Kolejny dzień, kolejna grzywna

Urząd ds. Informacji Information Commissioner's Office nałożył na Capita plc grzywnę w wysokości 14 milionów funtów za nie wdrożenie odpowiednich środków kontroli cyberbezpieczeństwa, co doprowadziło do poważnego naruszenia bezpieczeństwa danych w 2023 r., w wyniku którego ujawniono dane osobowe 6,6 miliona osób. Naruszenie to dotyczyło danych z ponad 600 programów emerytalnych i 325 organizacji, w tym wrażliwych informacji, takich jak rejestry karne, dane finansowe i informacje szczególnej kategorii.

Incydent rozpoczął się, gdy pracownik przypadkowo pobrał złośliwy plik. Chociaż w ciągu 10 minut uruchomiono alarm o wysokim priorytecie, firma Capita nie poddała urządzenia kwarantannie przez 58 godzin, dając atakującym czas na:

➡️ Wdrożenie złośliwego oprogramowania i uzyskanie uprawnień administratora

➡️ Przemieszczać się w sieciach

➡️ Uzyskać dostęp do prawie jednego terabajta danych i je wykraść

➡️ Wdrożyć oprogramowanie ransomware

Powolny czas reakcji stał się kluczowym czynnikiem w decyzji ICO o nałożeniu kary na Capita.

Foto: https://pl.freepik.com/

Wyniki

Brak zapobiegania eskalacji uprawnień i ruchom bocznym

➡️ Brak modelu warstwowego dla kont administracyjnych.

➡️ Atakujący mogli eskalować uprawnienia i przemieszczać się między wieloma domenami.

➡️ Ta luka została zgłoszona co najmniej trzy razy wcześniej, ale nie została naprawiona.

Brak reakcji

➡️ Alarm bezpieczeństwa został zgłoszony w ciągu 10 minut;

➡️ Firma Capita potrzebowała 58 godzin, aby zizolować urządzenie — podczas gdy docelowy czas reakcji wynosił 1 godzinę;

➡️ SOC miał zbyt mało pracowników i przez wiele miesięcy nie osiągał docelowych czasów reakcji na alarmy.

Niewystarczające testy penetracyjne i ocena ryzyka

➡️ Krytyczne systemy przetwarzające miliony rekordów były testowane tylko podczas uruchamiania — bez dalszych działań następczych.

➡️ Wyniki testów były przechowywane w izolacji.

➡️ Ryzyko w całej sieci było ignorowane i nie zajmowano się nim zbiorowo.

Zalecenia

➡️ Wdrożenie wielopoziomowych modeli administracyjnych i stosowanie zasady minimalnych uprawnień.

➡️ Zapewnienie terminowego monitorowania i reagowania na alerty.

➡️ Przeprowadzanie regularnych testów penetracyjnych i udostępnianie wyników.

➡️ Inwestowanie w podstawowe środki kontroli bezpieczeństwa, w tym segmentację sieci, EDR i monitorowanie logów.

To kolejne przypomnienie, że polityki zapisane na papierze nie powstrzymują cyberataków. Ten przypadek doskonale pokazuje, co się dzieje, gdy monitorowanie cyberbezpieczeństwa i reagowanie na incydenty nie są wdrażane prawidłowo. Łatwo jest napisać polityki, stworzyć procedury i wypełnić dokumenty dotyczące zgodności, ale „segregator z politykami” nigdy nie powstrzymał hakera. Powinno być oczywiste, że brak monitorowania w czasie rzeczywistym, powolne reagowanie na incydenty i zaniedbane zarządzanie podatnością na zagrożenia mogą prowadzić do incydentów.

Jak często powtarzam: „Nie da się chronić organizacji za pomocą folderu z politykami”.

Link

Autor: Sebastian Burgemejster