Jeszcze niedawno (parę lat temu) odbywały się dyskusje i seminaria dotyczące możliwości przetwarzania danych w cloudzie. Wiele instytucji oraz firm miało wątpliwości związane z bezpieczeństwem tego typu usług. Niejedna organizacja broniła się przed transferem swoich danych objętych poufnością do infrastruktury, którą nie zarządza ich kadra IT. Pandemia przyspieszyła proces decyzyjny. Nastąpiło przeniesienie części usług IT do usług cloudowych z uwagi na większą dostępność i elastyczność przy dostępie zdalnym, z dowolnego miejsca zapewniającego dostęp do Internetu. Można oczywiście zgodzić się, że chmura wiele problemów rozwiązuje i pozwala bardziej elastycznie zarządzać usługami dostarczanymi do użytkowników. Jednak należy jednocześnie pamiętać, że pewien zakres danych może być na tyle krytyczny, że nie powinny trafiać poza szczególnie chroniony segment naszej sieci lokalnej. Przykładem są hasła, szczególnie administracyjne lub inne hasła użytkowników o wysokim poziomie dostępu.
Po ostatnim incydencie w usłudze LastPass powinien nas skłonić do większej ostrożności w transferze danych do cloudu. Zgodnie z informacjami opublikowanymi przez LastPass, nieznany cyberprzestępca uzyskał dostęp do środowiska pamięci masowej opartego na chmurze, wykorzystując informacje uzyskane z opisu incydentu z sierpnia 2022 r. Dotyczył on kradzieży części kodu źródłowego i informacji technicznych dotyczących środowiska. Następnie został wykonany atak na pracownika skutkujący wyciekiem danych uwierzytelniających następnie użytych do uzyskania dostępu do niektórych woluminów pamięci masowej w chmurze i ich odszyfrowania. Do czego uzyskał dostęp cyberprzestępca? Skopiował informacje z kopii zapasowej, które zawierały podstawowe informacje o koncie klienta i powiązane dane identyfikujące klienta takie jak np. nazwa firmy i nazwy użytkowników oraz adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass. Uzyskał również dostęp do zaszyfrowanych danych klienta, które pozostały zabezpieczone za pomocą AES 256-bit. Intruz mógłby odszyfrować te dane mając dostęp do unikalnego klucza szyfrowania pochodzącego z hasła głównego każdego użytkownika/klienta, jednak zgodnie z przyjętą architekturą LastPass nie zna hasła głównego klienta.
Jednym z efektów pandemii jest większe wykorzystanie usług cloudowych wykorzystywanych również do przechowywania krytycznych danych dla naszej działalności. Problemem staje często popularność takiej usługi, którą po prostu opłaca się hakować. Oczywiście ostrożność oznacza również dokładne zanalizowanie odpowiedzialności usługodawcy za nasze dane. Warto wziąć pod uwagę wytyczne normy ISO/IEC 27017, która obejmuje wiele obszarów krytycznych dla zapewnienia bezpieczeństwa naszych danych. Szczególnie w przypadku tak wrażliwych informacji, jak hasła czy inne dane uwierzytelniające. W przypadku LastPass architektura usługi znacznie utrudnia dostęp do zaszyfrowanych danych. Jednak wyciek nawet dobrze zaszyfrowanych haseł może wygenerować sporo problemów dla organizacji.
Autor: Artur Cieślik