Jak informowali przedstawiciele Górnośląsko-Zagłębiowskiej Metropolii (GZM), do cyberataku na ŚKUP (Śląska Karta Usług Publicznych) hakerzy wykorzystali fakt, że system bazował na starych rozwiązaniach serwerowych. W efekcie ataku, do którego doszło w nocy z 7 na 8 lutego br., przestały działać portal, aplikacja Mobilny ŚKUP, System Dynamicznej Informacji Pasażerskiej oraz znajdujące się w pojazdach kasowniki z czytnikami kart.
Użytkownicy komunikacji publicznej uruchamianej przez GZM byli proszeni o samodzielne kasowanie papierowych biletów, poprzez wpisanie na nich długopisem daty i godziny przejazdu oraz kasowanie ich w kasownikach dziurkujących.
Pomimo że nie znamy dokładnego wektora ataku, to wskazanie jako powodu kompromitacji serwera, nasuwa sposoby rozwiązania problemu poprawnego zabezpieczenia maszyny tego typu – newralgicznej, jednak starszej generacji. Jest całkowicie zrozumiałe, że nie zawsze aplikacje dziedzinowe pozwalają na sprawną aktualizację systemu operacyjnego serwera czy aplikacji współdziałających. Aktualizacja mogłaby spowodować ich unieruchomienie lub niestabilność działania. Ponadto wyzwaniem może być okoliczność, że dostosowanie aplikacji może oznaczać nagły i poważny koszt, w danym momencie nie do przyjęcia np. z uwagi na ograniczenia budżetowe. Jednak hakerzy aktywnie poszukujący podatności nie będą zwlekać z wykorzystaniem nadążającej się okazji. – tłumaczy Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.
Serwer starej generacji – jakie rozwiązania wzmocnią bezpieczeństwo?
Rozwiązaniem w podobnych przypadkach, w których aplikacja funkcjonuje na przestarzałym systemie, jest mikrosegmentacja i poprawne umiejscowienie firewalla online oraz właściwe zastosowanie reguł bezpieczeństwa.
Najłatwiejsze wdrożenie polegałoby na odłączeniu przestarzałego serwera, tak aby nie komunikował się z Internetem, a jedynie z określonymi urządzeniami i tylko taką transmisją sieciową, która została zdefiniowana przez producenta lub wykryta w momencie monitorowania ruchu sieciowego. Mikrosegmentacja krytycznego serwera zmniejsza jego widoczność w sieci. To proste, choć jednocześnie nie do końca oczywiste rozwiązanie. Dodatkowo, gdyby serwer działał w klastrze, farmie serwerów lub na wirtualizatorze, to mikrosegmentację można zrealizować w formie zwirtualizownego urządzenia. – wyjaśnia Aleksander Kostuch.
Urządzenie firewall Stormshield (w skrócie SNS) może służyć do autoryzacji uprawnionych użytkowników czy komputerów. Pozwala implementować reputację adresów IP, reputację hostów, użyć geolokalizacji. Pozwala zestawić szyfrowane tunele VPN pomiędzy urządzeniami, a także kontrolować liczbę połączeń redukując ataki typu DDOS. Możemy monitorować ruch sieciowy oraz przepływność.
Jeżeli protokół komunikacyjny pomiędzy serwerem a pozostałymi elementami systemu jest standardowy, to, nawet gdy wykorzystuje protokoły przemysłowe, można reguły bezpieczeństwa wzmocnić stosowaniem głębokiej analizy protokołów. – mówi Aleksander Kostuch.
Jak wskazuje ekspert z perspektywy operatora wyłączenie serwera z aplikacją, która działa jedynie na tym konkretnym serwerze. może być trudne. A niektórych aplikacji, zwłaszcza tych starszych, zwyczajnie nie sposób uruchomić na nowszych serwerach.
Można je aktywnie jednak zabezpieczyć, a jak widać, możliwości w tym zakresie jest wiele. Niestety żadne zabezpieczenie nie jest w pełni skuteczne, szczególnie gdy brakuje przeszkolonego zespołu. Dlatego tak ważna jest edukacja w zakresie ryzyka oraz możliwych sposobów jego zmniejszania. A zasadnicze pytanie, w sytuacji, gdy mleko już się rozlało, brzmi: czy zrobiliśmy wszystko, aby zminimalizować ryzyko ponownego ataku. – podsumowuje ekspert Stormshield.
