Case study z audytu bezpieczeństwa fizycznego w branży retail

  • 60% amerykańskich małych firm zamyka działalność w ciągu sześciu miesięcy od poważnego wycieku danych.
  • Średni koszt pojedynczego incydentu sięga 150 tys. dolarów.
  • 60% Polaków przyznaje, że wynosi służbowe dane poza miejsce pracy bez zgody pracodawcy
  • 16% osób zabiera informacje ze sobą, gdy zmienia pracodawcę.

[case study przygotowane przez M3M]

W naszej działalności zazwyczaj zajmujemy się bezpieczeństwem danych w systemach informatycznych firm. Zgłaszają się do nas głównie duże firmy, które chcą upewnić się, że nie grożą im negatywne skutki ewentualnego wycieku danych. A konsekwencje mogą być różne. Najczęściej obawiają się oni tych biznesowych, jak utrata klientów zniechęconych wyciekiem swoich danych osobowych oraz tych prawnych – czyli skutków niespełniania norm i przepisów dotyczących ochrony danych osobowych, np. w postaci kar finansowych a nawet odpowiedzialności karnej.

Oczywiście w obu przypadkach dochodzą także wynikające z powyższych skutki finansowe, często na tyle poważne, że przedsiębiorstwo doświadcza zaburzenia lub utraty płynności finansowej. I nie są to wcale sytuacje rzadkie, gdyż według amerykańskich danych około 60% małych firm zamyka działalność w ciągu sześciu miesięcy od poważnego wycieku danych, a średni koszt pojedynczego incydentu sięga aż 150 tys. dolarów.

Dlatego coraz częściej przedsiębiorcy decydują się na dokładniejsze sprawdzenie odporności swoich organizacji na zagrożenia związane z kradzieżą danych. Zazwyczaj przeprowadzamy audyt, czyli sprawdzamy, czy nasz klient jest odpowiednio zabezpieczony od strony procesowej, prawnej oraz technologicznej i spełnia skrupulatnie normy oraz zalecenia nałożone obowiązującymi przepisami prawa polskimi i unijnymi. Testujemy również odporność infrastruktury informatycznej na ataki, a także podatność pracowników na przeróżne socjotechniki, próby wyłudzenia danych i manipulacje, w tym celu prowadzimy tak zwane testy penetracyjne oraz socjotechniczne. Czasem jednak uciekamy się do używania bardziej złożonych socjotechnik, aby rozpoznać naprawdę wszystkie słabe punkty naszego Klienta, tak, aby możliwe było ich maksymalne uszczelnienie. Niestety najsłabszym ogniwem najczęściej okazuje się człowiek. Prawie 60% Polaków przyznaje, że wynosi służbowe dane poza miejsce pracy bez zgody pracodawcy – wynika z badania „Ryzyko w sieci”, przeprowadzonego na zlecenie firmy Symantec. Aż 16% osób biorących udział w badaniu zabiera informacje ze sobą, gdy zmienia pracodawcę! Dlatego naszym zadaniem jest często praca z ludźmi, a nie tylko ze sprzętem, oprogramowaniem, czy dokumentacją odzwierciedlającą formalne wypełnienie norm bezpieczeństwa danych.

Jeden z naszych klientów, prowadzący dużą firmę z branży HoReCa, chciał się upewnić, czy przetwarzane przez niego dane są bezpieczne, a jego organizacja jest odporna nie tylko na ataki hakerskie i działalność cyberprzestępców, ale także na działalność przestępczą zmierzającą do wyłudzenia danych na zasadzie zwykłej kradzieży. Nasze zadanie polegało na przeprowadzeniu audytu bezpieczeństwa fizycznego we wskazanej lokalizacji firmy. Mieliśmy na celu sprawdzić, jak skuteczne jest zabezpieczenie wejścia na teren jednej z placówek klienta oraz przetestować działanie mechanizmów bezpieczeństwa. Mówiąc dokładniej – chodziło o symulację dostępu niepowołanej osoby trzeciej, podającej się za pracownika IT, do pomieszczeń firmy, gdzie znajdują się ważne dokumenty oraz niewielka serwerownia w centrum handlowym w jednym z największych polskich miast.

Przedmiotem symulowanej kradzieży miały paść dane, w tym dane klientów, których w ciągu dnia placówka obsługuje setki. Zgodnie z założeniami, podjęliśmy kroki symulacji realnego działania przeciwnika, którego celem jest przedostanie się na teren firmy i uzyskanie dostępu do pomieszczeń podlegających szczególnej ochronie. W tym przypadku, została wykorzystana inżynieria społeczna (socjotechnika), w celu uzyskania dostępu do “zabezpieczonej” strefy, czyli newralgicznej infrastruktury.

Postawiliśmy na przybranie przez jednego z naszych pracowników biorących udział w symulacji odpowiedniej tożsamości, budzącej zazwyczaj zaufanie pracowników. Zadecydowaliśmy, że podczas wykonywania operacji nasz pracownik operacyjny wcieli się w rolę serwisanta z zewnętrznej firmy IT obsługującej infrastrukturę informatyczną klienta. Szukając luk w systemie zabezpieczeń i najsłabszych ogniw należy wyznaczyć także potencjalną ofiarę – w tym przypadku na celowniku znalazł się akurat kierownik działu HR który, jak dowiedzieliśmy się od naszego klienta, w dniu operacji miał być na miejscu. W dniu symulacji nasz audytor podający się za rzekomo przysłanego informatyka zjawił się w placówce klienta z samego rana, tuż przed otwarciem. Rozpoczął rozmowę z kierownikiem, sugerując, że został przysłany w celu przeprowadzenia prac serwisowych w serwerowni.

Podstawowy błąd polegał na braku weryfikacji tożsamości audytora oraz nie zweryfikowaniu u osoby trzeciej zlecenia serwisu. Kierownik HR wprawdzie początkowo wyrażał zdziwienie brakiem uprzedzenia go o takiej wizycie, ale do uśpienia jego czujności wystarczyło okazanie mu zwykłej plakietki identyfikacyjnej ze zdjęciem oraz z fałszywym imieniem i nazwiskiem. Pracownik naszego klienta bez większych formalności zaprowadził “fałszywego informatyka” przez boczne wejście wprost do najbardziej newralgicznego miejsca, a mianowicie do pomieszczeń serwerowni, umożliwiając dostęp do kluczowej infrastruktury. Następnie pozostawił tam naszego audytora bez żadnego nadzoru.

W rezultacie, audytor zrealizował zamierzony cel w ciągu zaledwie 20 minut, uzyskując dostęp do pomieszczenia z serwerami co w sytuacji realnej kradzieży mogłoby pociągnąć za sobą skutki prawne, finansowe, a także wizerunkowe.

Jak nietrudno się domyślić, nasz Klient przyjął wyniki audytu ze zdziwieniem, był bowiem przekonany, że wdrożony system bezpieczeństwa działa bez zarzutu, a pracownicy nie byliby skłonni wpuścić do placówki osoby trzeciej.

Oczywiście nasze działania nie ograniczają się do wskazywania błędów czy luk w zabezpieczeniach. Po przeprowadzeniu tego typu testów, jak w przypadku każdego audytu, klient otrzymuje raport oraz wnioski z badania wraz z sugestiami niezbędnych do podjęcia kroków.

W tym konkretnym przypadku zarekomendowaliśmy wprowadzenie odpowiednich procedur związanych z weryfikacją tożsamości osób trzecich. Za kluczowe uznaliśmy także przeszkolenie pracowników w zakresie bezpieczeństwa informacji, szczególnie w kontekście ochrony przeciwko kampaniom phishingowym, zarówno tym fizycznym, jak i cyfrowym. Zleciliśmy także okresową konserwację i testy urządzeń takich jak czytniki kart dostępu oraz kamery monitoringu CCTV, bo tym zakresie także wykryliśmy niedociągnięcia.

Z naszej praktyki wynika, że przedsiębiorcy najczęściej są pewni działania wdrożonych zabezpieczeń, tymczasem w większości przypadków udaje nam się znaleźć luki i słabe punkty, które prawdziwym przestępcom umożliwiłyby uzyskanie dostępu do interesujących ich danych, a potem dowolnego ich wykorzystania – mogą one zostać sprzedane konkurencji, wykorzystane do szantażu i wyłudzenia okupu lub oszustwa finansowego, upublicznione w sieci, lub wykorzystane w jeszcze innym celu, który przyjdzie do głowy przestępcom, których kreatywność nie zna granic.

Case study przygotowane przez: Paweł Markiewicz, CEO M3M oraz Grzegorz Leśniewski, Data Protection/Compliance M3M

Related articles

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj