Kun Optus haastetaan oikeuteen, mikä meni pieleen ja mitä voimme oppia?

Oikeuden rattaat pyörivät joskus hitaasti. Näin on Australiassa, jossa yksityisyydensuojaviranomainen on nosti lopulta siviilioikeudellisen seuraamusmenettelyn teleoperaattori Optusta vastaan ​​vuonna 2022 tapahtuneesta tietomurrosta, jonka vaikutukset ovat edelleen olemassa.

Liittovaltion tuomioistuin voi määrätä jopa 2.2 miljoonan Australian dollarin (1.1 miljoonan punnan) sakon jokaisesta rikkomuksesta, ja Australian tiedotusvaltuutettu (AIC) väittää yhden rikkomuksen jokaista 9.5 miljoonaa yksilöä kohden, joiden yksityisyyteen Optus sen mukaan "vakavasti puuttui". Vaikka tämä on erittäin epätodennäköistä, se tarkoittaa teoreettista enimmäissakkoa, joka on yli 20 biljoonaa Australian dollaria (9.8 biljoonaa puntaa).

Mutta luultavasti tärkeämpää kuin tapauksen lopputulos on se, mitä paikalliset yritykset voivat oppia tapauksesta – tiedonhallinnan ja riskienhallinnan suhteen.

Murto, joka ravisteli Australiaa

Tapaus juontaa juurensa syyskuuhun 2022, jolloin uhkatoimija onnistui pääsemään käsiksi miljoonien asiakkaiden henkilötietoihin Australian toiseksi suurimmassa teleoperaattorissa. Tähän sisältyi:

• Nimet, syntymäajat, kotiosoitteet, puhelinnumerot ja sähköpostiosoitteet
• Passin numerot, ajokortin numerot, Medicare-kortin numerot, syntymätodistuksen ja avioliittotodistuksen tiedot sekä asevoimien, puolustusvoimien ja poliisin henkilöllisyystodistukset

AIC väittää Optuksen "ei ryhtynyt kohtuullisiin toimiin" näiden tietojen suojaamiseksi, vedoten yrityksen kokoon ja resursseihin, vuotojen määrään sekä tietojen paljastumisesta yksilöille aiheutuvaan vaaraan.

Uhrien todellisuudessa kärsimien vahinkojen tarkkuudesta on kiistanalaista. Vaikka uhkaaja vaati alun perin miljoonan Yhdysvaltain dollarin (1 740,000 punnan) lunnaita, hän muutti myöhemmin päätöstään ja väitti poistaneensa tiedot, on edelleen mysteeri, myytiinkö tiedot eteenpäin vai käytettiinkö niitä huijareiden toimesta. Mutta on selvää, kuinka henkisesti se rasitti lukemattomia australialaisia ​​ja viranomaisia, joiden oli myönnettävä henkilöllisyystodistukset uudelleen.

Tapahtuman aiheuttama kansallinen raivo johti uuden, korkeamman kyberturvallisuusjärjestelmän käyttöönottoon. tietomurtosakotja maan ensimmäinen itsenäinen laki tällä alalla: Cyber ​​Security ActAustralian viestintä- ja mediaviranomainen (ACMA) haastaa myös Optuksen oikeuteen televiestintälain (Telecommunications (Interception and Access) Act 1979) rikkomisesta.

Mitä tapahtui?

AIC on ollut vaitonainen tietomurron yksityiskohdista. ACMA-tapauksessa tehdyissä hakemuksissa, jotka SecurityScorecard kerro yksityiskohtainen tarina siitä, mitä tapahtui ja mikä meni pieleen. Tietoturvatoimittaja väittää, että:

• Uhkatoimija sai pääsyn Optus-tietoihin väärin määritetyn, passiivisen API:n kautta.
• API:sta tuli internetiin suunnattu vuonna 2020, mutta sen käyttöoikeuksien hallinta muuttui tehottomaksi vuonna 2018 tapahtuneen koodausvirheen vuoksi.
• Vaikka samankaltaisia ​​ongelmia löydettiin ja korjattiin Optus-pääverkkotunnuksella vuonna 2021, API:n sisältävä aliverkkotunnus jätettiin "paljaaksi, valvomatta ja korjaamatta".
• Uhkatoimija pystyi kyselemään asiakastietoja useiden päivien ajan ja kävi läpi kymmeniätuhansia IP-osoitteita välttääkseen havaitsemisen.

Itse tietoturvaongelman lisäksi on herännyt kysymysmerkkejä siitä, miksi miljoonien entisten asiakkaiden tietomurtojen kohteena olevat tiedot liittyivät tietomurtoihin. Tietojen minimoinnin parhaiden käytäntöjen mukaan monet näistä olisi pitänyt poistaa. Oli myös valituksia Optuksen kriisiviestintätoimistaYritys väitti alun perin joutuneensa "hienostuneen hyökkäyksen" uhriksi, minkä asiantuntijat myöhemmin kyseenalaistivat. Jotkut valittivat myöhemmin, että yritys oli hidas julkaisemaan tärkeitä tietoja huolestuneille asiakkaille, pyytämään anteeksi ja ottamaan vastuuta sekä antamaan toimintakelpoisia neuvoja asianosaisille.

”Optus-tietomurto on selkeä muistutus siitä, että kyberriskien hallinnalla on kaksi puolta. Ensimmäinen on itse ohjelmistokehityksessä – riskien tunnistaminen ja hallinta ennen koodin julkaisua, sen aikana ja sen jälkeen. Turvaton ohjelmisto tai väärä konfigurointi voivat aiheuttaa vakavia seurauksia, kun asiakastietoja on mukana”, Patterned Securityn johtaja Mac Moeun kertoo ISMS.online-sivustolle.

”Toinen on se, miten käsittelet tapahtuman. Käytät todistetusti toimivaa ja katastrofien jälkeistä palautumista koskevaa suunnitelmaa, olet avoin, viestit varhain ja usein sekä kerrot asiakkaille selkeästi, mihin tapahtuma on vaikuttanut. Nämä vaiheet antavat sinulle parhaat mahdollisuudet säilyttää asiakkaiden luottamus.”

Mitä voimme oppia?

Optus-tietomurto oli ensimmäinen pitkässä sarjassa suuria tapauksia, jotka ravistelivat Australiaa, mukaan lukien Medibankin ja Latitude Financialin. Mutta ensimmäisenä ja yhtenä pahimmista se on varoittava esimerkki monille. Emoyhtiö Singtel syrjään 140 miljoonaa Australian dollaria (68.5 miljoonaa puntaa) laskeuman kustannusten kattamiseksi, ja raporttien mukaan merkittävä asiakasvaihtuvuus tapahtuman jälkeen.

Puhtaasti teknisestä näkökulmasta tietoturvajohtajien tulisi ottaa huomioon:

• Mahdollisten tietoturvariskien, kuten passiivisten API-rajapintojen ja hallitsemattomien resurssien, seuranta
• Käyttäytymiseen perustuvan valvonnan käyttöönotto epäilyttävän toiminnan (kuten IP-osoitteiden kierrätyksen) merkitsemiseksi
• Tietojen minimointi parhaana käytäntönä, varmistaen, että kaikki organisaation tarpeettomat tiedot poistetaan
• Turvalliset koodauskäytännöt (DevSecOps), mukaan lukien automaattinen skannaus

Ryan Sherstobitoff, SecurityScorecardin kenttätiedustelupäällikkö, kertoo ISMS.online-sivustolle: ”Optus-tietomurto korostaa tiukkojen API-luetteloiden ja -tarkastusten (mukaan lukien passiiviset päätepisteet), turvallisen koodauksen ja jatkuvan haavoittuvuuksien skannauksen, vahvojen tietojen säilytys-/poistokäytäntöjen sekä edistyneen poikkeamien tunnistuksen tarvetta, jotta voidaan havaita heikosti kehittyneitä mutta tehokkaita hyökkääjätaktiikoita.”

Erikseen AIC keskittyy kerrostettujen tietoturvakontrollien, verkkotunnusten selkeän omistajuuden, vankan tietoturvan valvonnan ja säännöllisten tarkistusten tarpeeseen. Organisaatiot voivat kuitenkin luultavasti parantaa tilannetta. Kokonaisvaltaisempi ratkaisu olisi ottaa käyttöön parhaiden käytäntöjen standardit, kuten ISO 27001 ja 27701 (tietoturvan hallintajärjestelmän ja yksityisyyden suojan tiedonhallintajärjestelmän toteuttamiseksi).

Ne tarjoavat kattavan, riskiperusteisen kehyksen arkaluonteisten tietojen, mukaan lukien henkilötietojen (PII), hallintaan ja suojaamiseen. Vaatimustenmukaisuuden saavuttaminen varmistaa, että organisaatiot ymmärtävät, mitä tietoja ne hallinnoivat, missä tietoturva-aukkoja saattaa olla ja mitkä valvontamekanismit ja prosessit auttavat korjaamaan näitä aukkoja. Ratkaisevasti standardit edistävät jatkuvan seurannan ja parantamisen ajatusta, jotta vaatimukset täyttävät organisaatiot voivat sopeutua muuttuvaan IT-infrastruktuuriin, uhkatrendeihin ja muihin tekijöihin.

”Nämä tietoturvan hallintajärjestelmät tarjoavat jäsenneltyjä ja auditoitavia hallintakeinoja resurssien hallintaan, turvalliseen kehitykseen, valvontaan ja henkilötietojen elinkaaren hallintaan – auttaen organisaatioita noudattamaan nollaluottamusperiaatteita, minimoimaan tietovuodon ja välttämään pitkäaikaisia ​​koodaukseen tai säilytykseen liittyviä sokeapisteitä”, Sherstobitoff sanoo.

Optus-tietomurto tapahtui ehkä kolme vuotta sitten, mutta se varjostaa edelleen australialaisia ​​yrityksiä. Jos useammat oppivat menneisyyden virheistä, se ei ole huono asia.