Tämän vuoden ensimmäinen puolisko ei ole ollut onnellinen Oraclelle tai sen asiakkaille. Yritys on kärsinyt kahdesta vakavasta tietomurrosta. Tämä on jo itsessään ongelma, mutta todellinen kysymys on, miten se on käsitellyt tunkeutumisia.
Asiantuntijat ovat arvostelleet tietokantajättiä huonoista tietomurtojen julkistamiskäytännöistä, mukaan lukien viestin puutteesta ja vääristelystä, kun se on tunnustanut.
Rikkomus numero yksi
Yrityksen ongelmat alkoivat helmikuun puolivälissä, kun se sai tietää, että hyökkääjät olivat päässeet käsiksi sähköisten terveystietojen yrityksen Cernerin palvelimilla oleviin tietoihin. Cernerillä, jonka Oracle osti 28 miljardilla dollarilla vuonna 2022, oli voimassa oleva sopimus Yhdysvaltain veteraaniasiainministeriön kanssa. Oracle sai tietää hyökkäyksestä noin kuukausi sen tapahtumisen jälkeen.
A ryhmäkanne Maaliskuun lopussa Oraclea vastaan nostetussa kanteessa moitittiin yhtiötä tapauksen huonosta käsittelystä.
”Ilmoituksen puute pahentaa tietomurron uhrien tilannetta”, kanteessa todettiin ja valitettiin, ettei se ollut ilmoittanut kenellekään tapauksesta tai kertonut heille, oliko se pystynyt torjumaan uhan. Siinä ei myöskään selitetty, miten tunkeutuminen tapahtui.
Toinen murto iski
Sitten paljastui toinen tietomurto. Kyberturvallisuusyritys CloudSEK löysi uhkatoimija nimeltä 'rose87168' myi tietoja verkossa.
Tiedot varastettiin 140,000 11:lta pilvipalvelun vuokralaiselta, salaperäisen rikollisen myyjän mukaan. Toimittaja väitti päässeensä järjestelmään Oracle Cloud -kirjautumispisteen kautta. CloudSEK havaitsi, että he hyödynsivät Oracle Fusion Middleware 2014G -instanssia, johon viimeksi tehtiin korjaus vuonna XNUMX. Varastettuihin resursseihin kuuluvat kryptografisia varmenteita sisältävät Java Key Store -tiedostot sekä salatut kertakirjautumisen salasanat ja avaintiedostot.
Se on melko vakava asia asiakkaille, mutta Oracle ei ilmeisesti julkaissut juuri mitään tietoja tietomurron alkuaikoina, paitsi väitti, että se vaikutti vain vanhoihin palvelimiin. kertoi Piipittävä tietokone: ”Oracle Cloudiin ei ole tapahtunut tietomurtoa. Julkaistut tunnistetiedot eivät ole Oracle Cloudiin. Yksikään Oracle Cloudin asiakas ei ole kokenut tietomurtoa eikä menettänyt tietoja.”
Asiantuntijat olivat kuitenkin eri mieltä. rose87168 teki otoksen tietoturvakonsultointiyritys Hudson Rockin toisen perustajan, Alon Galin, saatavilla olevista tiedoista. Gal yhteyttä listalla olevat yritykset varmensivat tiedot. Asiakkaat sanoivat, että Oracle Cloudista peräisin olevat tiedostot olivat aitoja.
CloudSEK myös julkaisi jatkoartikkelin todistaen, että päätepiste rose87168 otti haltuunsa tuotantoyksikön.
Oracle otti lopulta yhteyttä joihinkin asiakkaisiin yksityisesti ja ilmoitti, että sen ensimmäisen sukupolven palvelimissa oli tapahtunut tietoturvaongelma. Ensimmäisen sukupolven palvelimet ovat vanhoja koneita, jotka nykyään palvelevat Oracle Cloud Classic -palvelua. Toisen sukupolven palvelimia, jotka sisältävät lisäominaisuuksia, kutsutaan Oracle Cloudiksi.
Kaikki tämä tarkoittaa, että jos Oraclen kieltolausekkeen sanamuotoa noudatetaan tarkasti, vain Oracle Cloud Classic -palvelimia uhattiin, ei Oracle Cloud -palvelimia. Epäilemme kuitenkin, että markkinat yleisesti ottaen olisivat halunneet käydä täydellisen ja avoimen keskustelun tapahtuneesta sen sijaan, että olisivat olleet tekemisissä vaiteliaan toimittajan kanssa, joka paljasti vain välttämättömät tiedot.
Kuka poisti arkistoidun sivun?
Tässä kohtaa asiat muuttuvat erityisen mutkikkaiksi. rose87168 oli myös ladannut tekstitiedoston vaarantuneeseen Oracle-päätepisteeseen ja julkaissut siitä kuvakaappauksen todisteeksi siitä, että he hallitsivat resurssia. Kuvakaappaus vaarantumisen todisteista tallennettiin Wayback Machineen, Internet Archiven ylläpitämään palveluun. Tämä palvelu tallentaa verkkosivustojen kopioita jälkipolville niiden katoamisen jälkeen. Arkistoitu sivu oli kuitenkin väitetysti... poistettu käyttämällä Arkiston poissulkemisprosessia.
”Oracle aktiivisesti peittelee todisteita tunkeutumisesta”, sanoi tietoturvatutkija Jake Williams X:n sulkemista koskevassa viestissään. ”Tämä joku toteuttaa 1990-luvun tietomurtosuunnitelmia vuonna 2025.”
Emme voi todistaa kuka poisti sivun, mutta koko tapaus on silti erinomainen oppitunti siitä, miten ei pidä käsitellä tietomurtoa yritykseltä, joka on päättänyt suojella brändiään. kilpailee kasvattaakseen osuuttaan tuottoisasta pilvipalveluliiketoiminnasta.
Kuinka tehdä se oikein
Miten tietomurron julkistamiseen tulisi suhtautua? NIST:n Computer Security Incident Handling Guide -oppaan ja ISO 27001 -standardin kaltaiset viitekehykset sisältävät laajat ohjeet tietomurroista tiedottamiseen. Keskeisiä kohtia ovat:
Kommunikoi nopeasti ja täsmällisesti: Ilmoita asianosaisille osapuolille niin pian kuin käytännössä mahdollista, kun tapahtuma on vahvistettu ja sen laajuus ymmärretty. Säännökset vaativat nykyään usein ainakin alustavia raportteja tiukan ajan sisällä, ja siitä on tulossa pakollista monissa tapauksissa.
Koordinoi vastauksesi: Pidä viestintä faktapohjaisena ja koordinoituna, jotta kukaan ei paljasta mitään vahvistamatonta. Tätä varten selvitä etukäteen, kuka puhuu eri sidosryhmille, mukaan lukien asiakkaat, sääntelyviranomaiset, työntekijät, urakoitsijat ja lehdistö. Heidän kauttaan tapahtuva viestintä varmistaa, että kaikki ymmärtävät sisäisen viestintäketjun.
Tiedä, mitä viestiä: Vaikka kaikkea ei ole saatavilla alkuaikoina, ilmoitusten tulisi lopulta sisältää yhteenveto tapahtuneesta, sekä tiedot siitä, mitä tietoja vaarantui ja mitä toimia tehdään ongelman lieventämiseksi ja sen estämiseksi toistumasta. Asianomaisten henkilöiden tulisi myös tietää, mitä heidän tulisi tehdä suojellakseen itseään.
Älä kommunikoi liian vähän: Kaikkia tietoja ei julkaista välittömästi, mutta sinun tulee olla mahdollisimman suora ja viestiä vilpittömässä mielessä. Kuten Yhdysvaltain liittovaltion kauppakomissio (FTC) huomauttaa: ”Älä anna harhaanjohtavia lausuntoja tietomurrosta. Äläkä pidä salaa tärkeitä tietoja, jotka voisivat auttaa kuluttajia suojelemaan itseään ja tietojaan.” Odotamme avointa viestintää, emme vääristelyä. Älä kohtele tätä vastakkainasetteluna.
Määritä viestintämallit: Ennalta hyväksyttyjen viestipohjien kehittäminen auttaa pitämään viestinnän sujuvana ja johdonmukaisena. Liittovaltion kauppakomissio (FTC) on esimerkki.
Yhteensopiva sääntelyviranomaisten kanssa: Eri lainkäyttöalueilla (sekä kansainvälisillä, kansallisilla että paikallisilla) on omat sääntönsä siitä, miten ja milloin eri sidosryhmille on ilmoitettava. Samoin on eri toimialoilla. Tee yhteistyötä lakimiestesi kanssa varmistaaksesi, että noudatat niitä.
Pysy vastuullisena: Aivan kuten arkielämässä, aikuiset odottavat toistensa tunnustavan virheensä ja korjaavan ne. Varmista, että asiakkailla on riittävä tuki. Tähän voi sisältyä tehokas viestintä ja erityistä apua tietomurtojen korjaamiseen, mukaan lukien työkalut, jotka auttavat suojaamaan sinua. On kuvaavaa, että CloudSEK, ei Oracle, julkaisi yrityksille työkalun, jonka avulla ne voivat selvittää, ovatko heidän tietonsa varastettujen tietueiden listalla.
Tämä ei ole ainoa kerta, kun Oraclen lähestymistapa kyberturvallisuusongelmien käsittelyyn on saanut kritiikkiä. Näitä ovat mm. hitaat vastaukset tuotteidensa tietoturva-aukkojen raportteihin ja CSO:n purkaukseen tietoturvatutkijoista, jotka lähettivät hänelle bugiraportteja, mikä sai niin paljon vastalauseita, että yritys poisti senOrganisaatiolla on selvästi oma tapansa tehdä asioita, ja olemme varmoja, että tämä ei ole viimeinen kerta, kun se aiheuttaa tyrmistystä teknologiateollisuudessa.
