Wprowadzenie do problemu / definicja
Ericsson ujawnił incydent bezpieczeństwa dotyczący nieautoryzowanego dostępu do danych przechowywanych przez zewnętrznego usługodawcę. Sprawa dotyczy amerykańskiej spółki Ericsson Inc. i pokazuje, jak istotnym zagrożeniem pozostaje ryzyko związane z podmiotami trzecimi, które przetwarzają informacje w imieniu dużych organizacji.
To przykład naruszenia, w którym źródłem problemu nie było bezpośrednie przełamanie zabezpieczeń własnej infrastruktury firmy, ale kompromitacja partnera odpowiedzialnego za przechowywanie danych. Z perspektywy cyberbezpieczeństwa taki scenariusz potwierdza, iż ochrona danych musi obejmować cały łańcuch dostaw, a nie wyłącznie systemy wewnętrzne.
W skrócie
Według ujawnionych informacji incydent objął 15 661 osób. Potencjalnie naruszone mogły zostać dane pracowników i klientów, w tym imiona i nazwiska, adresy, numery identyfikacyjne, numery Social Security, dane prawa jazdy, informacje z dokumentów rządowych, daty urodzenia, a w części przypadków również informacje finansowe i medyczne.
Ericsson podkreślił, iż nie stwierdzono naruszenia własnych systemów wewnętrznych. Problem dotyczył danych utrzymywanych przez zewnętrznego dostawcę usług, co znacząco komplikuje zarówno nadzór nad bezpieczeństwem, jak i późniejsze działania naprawcze.
Kontekst / historia
Incydenty związane z dostawcami należą dziś do najtrudniejszych obszarów zarządzania ryzykiem. Firmy coraz częściej powierzają partnerom obsługę procesów kadrowych, rozliczeń, świadczeń, dokumentacji oraz danych klientów. Każda taka relacja biznesowa rozszerza powierzchnię ataku i zwiększa zależność od praktyk bezpieczeństwa stosowanych poza organizacją.
W przypadku Ericsson publiczne ujawnienie sprawy nastąpiło po zgłoszeniu do adekwatnych organów w Stanach Zjednoczonych. Z dostępnych informacji wynika, iż źródłem problemu był podmiot odpowiedzialny za przechowywanie określonych danych związanych z personelem i klientami. Choć naruszenie nastąpiło poza bezpośrednią kontrolą właściciela danych, skutki regulacyjne, reputacyjne i operacyjne przez cały czas obciążają markę Ericsson.
Analiza techniczna
Z technicznego punktu widzenia zdarzenie można zakwalifikować jako naruszenie danych wynikające z kompromitacji środowiska dostawcy. Tego typu incydenty często są efektem przejęcia kont uprzywilejowanych, phishingu, vishingu, słabego uwierzytelniania, błędów segmentacji sieci lub wykorzystania podatności w infrastrukturze partnera.
Kluczowe znaczenie ma fakt, iż zagrożone dane były przechowywane poza infrastrukturą Ericsson. Oznacza to, iż standardowe kontrole wdrożone wewnątrz organizacji mogły nie mieć bezpośredniego zastosowania do miejsca faktycznego przetwarzania informacji. W praktyce ciężar zabezpieczeń przesuwa się na relację z dostawcą, architekturę integracji i warunki umowne.
- bezpieczeństwo integracji z dostawcą,
- minimalizację zakresu przekazywanych danych,
- szyfrowanie danych w spoczynku i tranzycie,
- zarządzanie kluczami kryptograficznymi,
- monitoring dostępu i analizę anomalii,
- kontrolę tożsamości oraz dostępów uprzywilejowanych,
- wymogi audytowe i procedury reagowania na incydenty.
Istotne jest również to, iż wśród potencjalnie ujawnionych informacji znalazły się dane o wysokiej wrażliwości. Połączenie danych identyfikacyjnych z numerami identyfikacyjnymi, informacjami finansowymi lub medycznymi znacząco zwiększa ich wartość dla cyberprzestępców i może umożliwiać wieloetapowe oszustwa.
Konsekwencje / ryzyko
Skutki takiego incydentu są wielowymiarowe. Dla osób objętych naruszeniem oznacza to podwyższone ryzyko kradzieży tożsamości, oszustw finansowych, prób wyłudzeń oraz ukierunkowanych kampanii socjotechnicznych. Szczególnie niebezpieczne są przypadki, w których ujawnieniu mogły ulec numery Social Security, dane finansowe albo informacje medyczne.
Dla organizacji konsekwencje obejmują koszty notyfikacji, obsługi prawnej, ewentualnych usług monitorowania kredytowego, dochodzeń wewnętrznych oraz wzmocnionych audytów. Dodatkowo pojawia się presja reputacyjna, ponieważ odbiorcy końcowi zwykle postrzegają właściciela danych jako odpowiedzialnego za całość ich ochrony, niezależnie od tego, gdzie doszło do faktycznej kompromitacji.
W sektorach o strategicznym znaczeniu, takich jak telekomunikacja, podobne zdarzenia mogą mieć jeszcze większy ciężar. Firmy działające w tym obszarze obsługują dane i procesy o podwyższonej wrażliwości, co zwiększa ich atrakcyjność zarówno dla cyberprzestępców, jak i bardziej zaawansowanych grup zagrożeń.
Rekomendacje
Incydent powinien być dla organizacji sygnałem do wzmocnienia programu zarządzania ryzykiem stron trzecich. najważniejsze znaczenie ma ograniczenie ilości danych przekazywanych dostawcom wyłącznie do zakresu niezbędnego do realizacji konkretnej usługi.
- stosowanie zasady minimalizacji danych i pseudonimizacji tam, gdzie to możliwe,
- wymaganie MFA, szyfrowania i segmentacji po stronie dostawców,
- regularne audyty bezpieczeństwa oraz testy techniczne partnerów,
- ciągły monitoring ryzyka zamiast jednorazowej oceny przed podpisaniem umowy,
- wdrożenie dodatkowych kontroli dla danych o najwyższej wrażliwości,
- przygotowanie scenariuszy reagowania na incydenty po stronie dostawców.
W praktyce umowy z podmiotami trzecimi powinny jasno określać obowiązki dotyczące retencji logów, czasu notyfikacji incydentu, prawa do audytu oraz zasad odpowiedzialności. Równie ważne jest utrzymanie pełnego śladu audytowego i ograniczenie dostępu uprzywilejowanego do absolutnego minimum.
Osoby, których dane mogły zostać naruszone, powinny zachować szczególną ostrożność wobec wiadomości phishingowych, połączeń vishingowych i nietypowych operacji finansowych. Wskazane jest także monitorowanie raportów kredytowych oraz ostrożność przy udostępnianiu danych identyfikacyjnych przez telefon i e-mail.
Podsumowanie
Przypadek Ericsson pokazuje, iż bezpieczeństwo informacji nie kończy się na granicy własnej infrastruktury. Kompromitacja usługodawcy zewnętrznego może doprowadzić do ujawnienia wrażliwych danych tysięcy osób, choćby jeżeli systemy organizacji nie zostały bezpośrednio naruszone.
To kolejny dowód na to, iż zarządzanie ryzykiem dostawców, minimalizacja danych oraz twarde wymagania bezpieczeństwa wobec partnerów powinny być traktowane jako fundament nowoczesnej strategii cyberbezpieczeństwa. W realiach współczesnych zagrożeń łańcuch dostaw pozostaje jednym z najważniejszych obszarów obrony.
Źródła
- Infosecurity Magazine – Ericsson Breach Exposes Data of 15k Employees and Customers – https://www.infosecurity-magazine.com/news/ericsson-breach-exposes-data-15k/
- Office of the Maine Attorney General – Ericsson Inc Data Breach Notice – https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/d920097e-fba8-455c-b632-c7e115e5eb15.html
- BleepingComputer – Ericsson US discloses data breach after service provider hack – https://www.bleepingcomputer.com/news/security/ericsson-us-discloses-data-breach-after-service-provider-hack/
- SecurityWeek – Thousands Affected by Ericsson Data Breach – https://www.securityweek.com/thousands-affected-by-ericsson-data-breach/