Pod koniec marca br. Marriott International poinformował o nowym wycieku danych osobowych. To już drugie tak poważne naruszenie danych w sieci hoteli Marriott w ciągu ostatnich dwóch lat. W wyniku ostatniego incydentu wyciekły informacje o ponad 5 milionach gości hoteli Marriott na całym świecie.
Zakres danych, które dostały się w niepowołane ręce obejmuje nazwiska gości, numery telefonów, adresy zamieszkania, daty urodzenia, a także informacje o kontach lojalnościowych i preferencje dotyczące pokoju oraz informacje o korzystaniu z innych programów lojalnościowych (np. linii lotniczych). Do wycieku danych doszło w wyniku ataku hakerskiego na konta dwóch pracowników hotelu Marriott. Miało to miejsce prawdopodobnie w połowie stycznia br., jednak Marriott odkrył ten cyberatak dopiero pod koniec lutego. To już drugie w ostatnim czasie tak poważne naruszenie związane z niedostatecznym zabezpieczeniem danych spółki. W listopadzie 2018 r. również w wyniku działania hakerów, którzy uzyskali dostęp do systemu rezerwacji, wyciekły dane osobowe 383 milionów gości hotelowych.
Te poważne naruszenia danych rodzą pytania dotyczące podejmowanych przez firmy i instytucje działań w zakresie zwalczania cyberzagrożeń. W jaki sposób organizacje sprawdzają i weryfikują swoją infrastrukturę bezpieczeństwa? Czy testują zabezpieczenia i przeprowadzają ocenę ryzyka?
Zarządzanie ryzykiem w świecie cyfrowym
Ocena ryzyka związanego z cyberbezpieczeństwem to ocena ryzyka zagrożeń cybernetycznych lub cyfrowych. Jej głównym celem jest pomoc w zrozumieniu infrastruktury cyberbezpieczeństwa organizacji oraz wsparcie procesów, które ograniczają ryzyko cybernetyczne lub je zmniejszają. Jest to coraz ważniejsze, gdyż obecnie praktycznie każda organizacja w swojej działalności polega na technologiach i systemach informatycznych. Ocena ryzyka umożliwia uzyskanie informacji, które pomagają przygotować się na nieoczekiwane problemy lub zagrożenia, takie jak naruszenia danych, cyberataki czy szkodliwe działania pracowników.
Celem oceny ryzyka jest informowanie osób decyzyjnych i wspieranie reakcji na ryzyko poprzez identyfikację:
- istotnych zagrożeń dla organizacji lub zagrożeń kierowanych przez organizacje przeciwko innym organizacjom;
- podatności na zagrożenia zarówno wewnętrzne, jak i zewnętrzne w stosunku do organizacji;
- wpływu na organizacje m.in szkód, jakie mogą wystąpić, biorąc pod uwagę możliwość wykorzystania luk;
- prawdopodobieństwa wystąpienia szkody.[1]
Istnieje wiele powodów i przykładów, które pokazują, jak ważna jest obecnie ocena ryzyka cybernetycznego. Np. wspomniane naruszenia danych w Marriott International. Jeśli infrastruktura bezpieczeństwa Marriott byłaby odporna na ataki, wtedy mogłaby nie ucierpieć z powodu naruszenia bezpieczeństwa danych – przynajmniej tego drugiego. Chociaż dochodzenie w sprawie drugiego naruszenia bezpieczeństwa w Marriott International jest nadal w toku, można przypuszczać, że Marriott miał prawdopodobnie lukę w zabezpieczeniach, która doprowadziła do naruszenia danych. Czy można było temu zapobiec?
Nawet jeśli obaj pracownicy, których dane logowania hakerzy wykorzystali do przeprowadzenia drugiego ataku, byliby zaangażowani w ten incydent, to systemy bezpieczeństwa powinny były wykryć i zgłosić masowe żądania danych pochodzące z systemów z jednego miejsca. A jeśli takie działanie zostałoby wykryte i zgłoszone, wtedy zespoły bezpieczeństwa powinny sprawdzić problem i wykryć naruszenie danych. Tak się jednak nie stało.
Przykład ten pokazuje, że każda organizacja musi regularnie przeprowadzać ocenę ryzyka w obszarze cyberbezpieczeństwa. Można to zrobić stosując rozwiązania BAS (ang. Breach and Attacks Simulation) takie, jak platforma Cymulate, przeznaczona do przeprowadzania symulacji cyberataków i weryfikacji odporności infrastruktury bezpieczeństwa na zagrożenia.
Platforma Cymulate pozwala na bezpieczne testowanie ochrony oraz wskazuje luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia. Rozwiązanie umożliwia testowanie poziomu zabezpieczeń zarówno wewnątrz, jak i na zewnątrz organizacji oraz na podstawie wybranych standardów np. NIST RMF, CSVSS, Microsoft DREAD i MITRE ATT&CK. Ponadto dostarcza szczegółowych informacji dotyczących poszczególnych elementów infrastruktury narażonych na atak, a także określa sposoby poprawy bezpieczeństwa organizacji.
Ocena ryzyka cybernetycznego przeprowadzona za pomocą platformy Cymulate pomaga w identyfikowaniu słabych punktów bezpieczeństwa oraz wpływa na poprawę ogólnego bezpieczeństwa organizacji. Pomaga uniknąć cyberataków i innych incydentów naruszenia bezpieczeństwa oraz pozwala spełnić prawne i regulacyjne wymagania dotyczące cyberbezpieczeństwa. To wszystko razem wpływa nie tylko na wzmocnienie bezpieczeństwa oraz zaufania do organizacji ze strony obecnych i przyszłych klientów, ale pozwala również uniknąć niepotrzebnych kosztów i ryzyka.
[1] National Institute of Standards and Technology (NIST), Guide for Conducting Risk Assessments, 09.2012