Bauk GDPR-a kruži Europom (a i šire)

Gledajući na događanja u informacijskoj sigurnosti s aspekta tematike ovog bloga, onda možemo reći da je uvođenje GDPR obilježio 2017. godinu u Hrvatskoj. Barem u zadnjih 4-5 mjeseci jer smo uvođenje GDPR još početkom godine vidjeli kao jednu veoma daleku obavezu koja se, k tomu, možda nas i ne tiče.

Pretpostavljam da se niste mogli oduprijeti stalnom podsjećanju na drastične novčane kazne kojim GDPR prijeti, niti pozivima na brojne seminare i konferencije na ovu temu, a nadam se da je to ostavilo pozitivan trag na vaš stav o GDPR-u. Ja ću se na ovim stranicama baviti GDPR-om iz druge vizure: primarno ću govoriti o ulozi CISO  u provedbi zahtjeva GDPR-a.    Iznijeti ću razmišljanja koje učestalo dijelim s kolegama, kao i pitanja/odgovore iz konzultantskih projekata o uvođenju GDPR u kojima sudjelujem. Napominjem da pod pojmom CISO, u ovim tekstovima, obuhvaćam ne samo osobe formalno nadležne za sigurnost informacijskog sustava već sve informatičke stručnjake uključene u sigurnosne procese.

Je li primjena GDPR zahtjeva uopće dio odgovornosti CISO funkcije?

Primjena GDPR-a je primarno odgovornost poslovnih funkcija i pravne službe, iako značajna uloga mora biti dodijeljena i informatičkim službama a posebno osoba nadležnim za informacijsku sigurnost. Ipak, iz višestrukih razloga, u mnogim se organizacijama smatra da je uvođenje GDPR primarno problem informatike i informacijske sigurnosti. Stoga, pokušati ću definirati crtu razgraničenja između poslovno/pravne i informatičko/sigurnosne funkcije kod uvođenja GDPR-a, pri čemu razmatranja o ulozi DPO i o naporima za očuvanje sukladnosti sa zahtjevima GDPR-a po okončanju procesa njegovog uvođenja ostavljam za drugu priliku.

Proces uvođenja GDPR-a podjelo sam, ne samo radi ovog teksta, na četiri glavne faze, a u svakoj od ovih faza moguće je identificirati ulogu CISO funkcije.

U prvoj fazi potrebno je uspostaviti okvir za uvođenje i upravljanje sukladnošću s GDPR-om, a naročito identificirati sve osobne podatke u poslovnom procesu i informacijskom sustavu. Krunski moment ove faze je procjena učinka na zaštitu podataka te specifikacija neophodnih mjera zaštite ovih podataka. Ključnu ulogu mora imati poslovna funkcija, no osobe iz redova informacijske sigurnosti koje imaju iskustvo na uvođenju regulatornih okvira ili sigurnosnih standarda (npr. PCI DSS, ISO 27001, pa, zašto ne, i Odluka HNB-a o primjerenom upravljanju informacijskim sustavom) mogu pružiti značajan doprinos uspješnoj provedbi ove faze, koja mora rezultirati, minimalno, kvalitetnom inventurom osobnih podataka i popisom mjera koje se nužno moraju provesti).

Druga faza mora rezultirati formalnom dokumentacijom (privole, ugovori s klijentima, interni pravilnici..) koji su u funkciji upoznavanja ispitanika o postupanju s osobnim podacima te pribavljanje njihove suglasnosti. U ovoj su fazi neophodni poznavanje poslovnog procesa i pravna kompetencija, a tehnički detalji će biti u drugom planu, iako ne i potpuno zanemarivi. Stoga smatram da sudjelovanje CISO u ovoj fazi nije nužno.

Treća faza uvođenja GDPR-a obuhvaća uvođenje “Data protection by design” mjera. Ove mjere se temelje na rezultatima procjene utjecaja na privatnost i procjenu rizika, no ne očekujem da će se nužno provoditi u svakoj organizaciji, a opseg primjene svakako će se razlikovati među organizacijama. Ova faza uglavnom obuhvaća primjenu različitih kontrolnih mjera, gotovo isključivo unutar aplikativnih sustava u kojima se obrađuju osobni podaci. Stoga, ključnu ulogu imati će razvojni timovi u informatičkim odjelima, a poslovne funkcije će sudjelovati u fazi dizajna i testiranja, kao što je praksa i u drugim razvojnim projektima. CISO neće nužno sudjelovati u ovoj fazi, no svakako predlažemo da bude konzultiran u postupku planiranja i testiranja predviđenih sigurnosnih mjera.  

Uloga CISO-a bit će ključna u četvrtoj fazi, a to je primjena općih sigurnosnih mjera koje ojačavaju otpornost informacijskog sustava i onemogućuju kompromitaciju osobnih podataka. Nažalost, GDPR je u svojem osnovnom tekstu veoma škrt oko specifikacije ovih mjera, no sadrži možda najznačajniji doprinos u promišljanju kvalitete sigurnosnih mjera: obavezu objave podataka o sigurnosnih proboja i to u roku od 72 sata od trenutka kada organizacija detektira takav događaj. Ovaj zahtjev povlači obavezu detaljne razrade plana odgovora na sigurnosne incidente i to će svakako biti tema jednog od sljedećih tekstova na ovim stranicama.

GDPR ne sadrži detaljnu specifikaciju općih kontrolnih mjera, no predviđena je mogućnost naknadne specifikacije ovih standarda koji bi mogli biti i podloga za certifikaciju. Iako bi se lako moglo zaključiti da je izostanak ovih mjera manjkavost GDPR-a, ja ne mislim tako. Sigurnosnim stručnjacima stoji na raspolaganju nekoliko veoma detaljnih sigurnosnih okvira, a moja preferencija su CIS Critical Security Controls. Također, uz malo truda, možete napraviti i derivaciju PCI DSS standarda i prilagoditi ga okruženju osobnih podataka.

Bez obzira što ovu fazu proglašavamo glavnim područjem odgovornosti CISO-a, treba jasno reći da završnu riječ u pravilu ima management. Naime, ove mjere često podrazumijevaju dodatan budžet kao i nova ograničenja za poslovne procese, što će se moći provesti isključivo uz autoritet managementa. Stoga, glavni rizik kojem CISO može biti izložen je eventualni pristup managementa koji bi se temeljio na principu zadovoljavanja tek nužnih zahtjeva GDPR-a. U tom slučaju kompetencija i iskustvo CISO-a bi se fokusirali na traženju rupa u GDPR uredbi, a ne u kreiranju sveobuhvatnog i učinkovitog sigurnosnog okvira, čime CISO nezasluženo preuzima značajnu odgovornost. Iz tog razloga svakako ohrabrujemo CISO-e i sve druge informatičke stručnjake da inzistiraju na punoj primjeni zahtjeva GDPR i da ovu uredbu iskoriste kao priliku za argumentiranu traženje suglasnosti managementa za primjenu sigurnosnih mjera.

Na koncu, nemojte zaboraviti na činjenicu da usklađenost s regulatornim standardima ne znači nužno i sigurnost sustava. To je tek prva postaja na složenom putu na kojem morate očekivati transformaciju GDPR od pravnih formulacija i strateških rezolucija ka dubinskim mjerama i kontinuiranom nadzoru ovih mjera.  Možemo, stoga, i zaključiti da uloga CISO u fazi uvođenja GDPR-a nije ključna (tek u četvrtoj gore opisanoj fazi), ali kad budu zaživjele mjere zaštite osobnih podataka, uloga CISO-a će biti ključna u održavanju ovih mjera.

Teorije o WannaCrypt napadu

Nakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.

WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.

Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.

Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).

Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.

Što se dogodilo? Pojavom WannaCrypt-a, porastao je  broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD,  a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD).  Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.

No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.

Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?

WanaCrypt: je li ovo tek prvo poluvrijeme?

Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.

Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.

Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.

No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte https://support.microsoft.com/en-us/help/2696547).

Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.

Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.