Obětí byla panamská právnická firma Mossack Fonseca s pobočkami po celém světě. Mossack Fonseca je jednou z předních firem, která se specializuje na zakládání offshorových bankovních účtů pro bohaté a mocné. Uniklé dokumenty odhalují podrobnosti o utajovaných schránkových společnostech v daňových rájích a o lidech, kteří tyto společnosti využívají. Ono by na poskytování podobných služeb nebylo nic nelegálního, vždyť i množství bankovních subjektů využívá i takové legální cesty pro účely obchodování a daňové optimalizace, avšak Mossack Fonseca evidentně zakrývala nelegální příjmy množství vysoce postavených a vlivných lidí. Mezi nimi politici, mafiáni, prezidenti, diktátoři, ale i světoví atleti, kteří však ne vždy museli přímo figurovat na některém ze seznamů. Jejich přímá identita byla v mnoha případech skrytá za rodinné příslušníky, přátele a sympatizanty.

Odkrývání sítě finančních machinací

Za zveřejněním uniklých dat stojí investigativní novináři ze Süddeutsche Zeitung (SZ) spolu s organizací The International Consortium of Investigative Journalists (ICIJ). První kontakt s novináři uskutečnil útočník již koncem roku 2014. Přičemž první data jim poslal na začátku roku 2015. Jednalo se o e-maily, bankovní transakce, kopie pasů, databázové soubory, obrázky atd. Jelikož takové množství údajů, i vzhledem k jejich formě (i skeny dokumentů), by bylo velmi problematické manuálně zpracovat, skupina novinářů se rozhodla pro extrakci dat ze všech dokumentů a vytvoření databázových struktur tak, aby se v údajích dalo vyhledávat podobně jako v Googlu. Použili při tom specializovaný software Nuix. Téměř celý zbytek roku 2015 pracovala skupina přes 300 novinářů na odkrývání sítě firem, osob a bankovních transakcí, jejichž úkolem bylo v mnoha případech znepřehledňovat toky enormních finančních prostředků, což je obecně považováno za jeden z nástrojů na legalizaci výnosů z trestné činnosti. V některých případech se podařilo odhalit podezřelé transakce, které měly souvislost s velkými loupežemi (Brink’s-Mat), úplatkářskými aférami (FIFA, Watergate) a celkově s praním špinavých peněz.

Bezpečnostní zranitelnosti = data jako na podnose

Přestože zatím není zcela jasné, která z bezpečnostních zranitelností byla při útoku zneužita, je zřejmé, že útočníci měli na výběr zranitelnosti, které přímo zneužívaly známé díry v systémech Mossack Fonseca. Tyto mohly a měly být už dávno záplatované. Pravděpodobně se tedy nejednalo o žádnou zero-day zranitelnost, nakolik to v tomto případě skutečně nebylo nutné.

Jako hlavní podezřelí přicházejí v úvahu CMS systémy WordPress a Drupal s více než 25 nezáplatovaný zranitelnostmi, mezi jiným i zranitelnosti typu SQL injection a Drown attack. Na těchto CMS systémech byly postaveny klientské portály, přes které přistupovali klienti Mossack Fonseca ke svým citlivým datům.

Svou roli v tomto úniku mohl sehrát i Exchange Server 2010 s webovým přístupem OWA s verzí, která byla naposledy aktualizována v r. 2009. Toto přímo až muselo lákat potenciálních útočníků.

WordPress obsahoval i zranitelnost v zásuvném modulu Revolution Slider. Servery, které byly pravděpodobně cílem útoku, používaly stařičký SSL 2.0. TLS nebyl v Mossack Fonseca vůbec používán. S šifrováním e-mailů si také nedělali v Mossack Fonseca velkou hlavu a prostě data nešifrovali.

Včasné aplikování záplat je jedním z nejúčinnějších a poměrně levných opatření k zajištění informačních systémů, které zmenšuje attack surface. Přesto je stále vidět, že i firmy, které mají co skrývat, se těmito základními otázkami příliš nezabývají. Statistiky říkají, že až 80 % informačních systémů přístupných z internetu obsahuje alespoň jednu zranitelnost. Z pohledu potenciálního útočníka se v globálním měřítku jedná o prostřený stůl plný dobrot a podobné zveřejněné útoky jsou jen pomyslné třešničky na dortu.

Motivovaný jednotlivec, nebo skupina?

Odcizení dat z Mossack Fonseca se snaží analyzovat množství bezpečnostních expertů a někteří se přiklánějí k názoru, že by mohlo jít o interního útočníka z řad zaměstnanců nebo dodavatelů, jako v případě NSA a Edward SNOWDEN. Jednalo se však o poměrně velké množství dat, a je pravděpodobné, že přístup k takovému velkému množství „chráněných“ údajů mělo jen velmi málo interních lidí. Odhalení pachatele by tedy netrvalo velmi dlouho. Přesto zatím není znám.

V případě externího útočníka zůstává otázkou vektor útoku. To, zda se vnější útočník dostal k údajům přes díru v některém z informačních systémů nebo se dostal k některému z přihlašovacích údajů prostřednictvím sociálního inženýrství nebo jinou z mnoha možných cest, zůstává zatím neobjasněné.

Také se neví, zda se jednalo o jednotlivce, nebo skupinu. K útoku se nepřihlásila žádná hackerská skupina, takže je docela možné, že se jedná o práci jednotlivce. Zajímavé je i to, že útočníkovi pravděpodobně nejde o peníze, protože podle tvrzení deníku SZ neočekával za poskytnutí informací finanční kompenzaci. Motivace útočníka je podle tvrzení SZ odkrytí pozadí finančních machinací politických špiček.

Informace v centru pozornosti

Pokud mají společnosti co skrývat (a společnosti poskytující právní služby jakékoliv úrovně tedy rozhodně co skrývat mají), je třeba, aby se velmi pečlivě zabývaly ochranou svých údajů, jakož i údajů svých klientů. Na začátku každého bezpečnostního opatření je třeba si zodpovědět základní otázky:

• Jaká data vlastníme, zpracováváme nebo jimi jiným způsobem disponujeme?
• Jaká potenciální škoda by nám mohla vzniknout, pokud by se tato data dostala na veřejnost?
• Kdo by mohl mít o tato naše data zájem a proč; komu by nějak pomohla?
• Kde máme tato data uložena?
• Kdo má k těmto datům přístup?

Už pokud si společnost odpoví na tyto základní otázky, nemůže ji to nechat chladnou, a pokud bere bezpečnost informací vážně, zváží implementaci alespoň základních bezpečnostních opatření.

Častokrát se však naši konzultanti setkávají s tím, že již při první otázce narážejí společnosti na problém s klasifikací informací, což je vlastně jakási inventura na poli firemních informací a bez tohoto kroku je jen velmi těžké implementovat jakékoli další bezpečnostní opatření na ochranu informací, tak aby bylo k jejich ochraně možné přistupovat systematicky. Rada od společnosti, která se dlouhodobě zaměřuje na poskytování konzultačních služeb v oblasti informační bezpečnosti, může pomoci se poprat i s těmito otázkami.

Ochrana dat i pro společnosti poskytující právní služby

Společnosti poskytující právní služby se možná spoléhají na to, že svým vlivem a znalostí práva snad dokážou vzbudit respekt a obavy případných útočníků, že se jim půjde důrazněji „po krku“, avšak jak se ukázalo i v tomto případě, dostatečně motivovaného útočníka je velmi těžké odradit. Hlavně pokud mu již samotný kybernetický prostor poskytuje dostatečnou anonymitu a ochranu.

I když kvalitní zákony jsou dobrým právním základem pro ochranu firem a jednotlivců, samotná citlivá data dokážou ochránit jen minimálně. Proto je při jejich ochraně mnohem efektivnější zaměřit se na nastavení procesů v oblasti informační bezpečnosti a spolu s využitím technických prostředků a konzultačních služeb nechat dveře do svého IT království zavřené pro nepovolané.

Jedním z takových technických řešení, které může výrazně eliminovat to, že se k firemním dokumentům a informacím v nich uloženým dostanou neoprávněné osoby, je i řešení od izraelské společnosti CyberArk. Produkt této společnosti Sensitive Information Management (SIM) se snaží o bezprecedentní ochranu dokumentů napříč firmou, ale neváže se pouze na perimetr společnosti, ve které je nasazen, ale poskytuje možnost spolupráce s externími partnery a klienty prostřednictvím portálu pro bezpečnou výměnu dat. Srdcem celého řešení je patentovaný digitální trezor splňující certifikaci FIPS 140-2 s integrovaným HSM modulem a použitím šifrovacích algoritmů AES256 a RSA2048. Přitom není vůbec potřeba se starat o správu šifrovacích klíčů jako u jiných řešení.

Digitální trezor si tyto úkony řeší sám

Zjednodušeně lze říci, že se jedná o souborový server se zabudovanými pokročilými bezpečnostními funkcemi na ochranu dokumentů. Neomezuje se však pouze na ochranu uložených dokumentů (data at rest), ale vynucuje ochranu dokumentů i během transportu (data in motion). Přenášené dokumenty tak mohou být automaticky konvertovány do PDF, označené vodoznakem, zajištěné proti kopírování, tisku, modifikaci nebo uložení na disk. Zajímavostí je i dobře zvládnutá segregace rolí, kdy například IT správce může provádět všechny úkony související se správou trezoru, avšak nemá přístup k žádnému dokumentu, pokud mu není takový přístup explicitně umožněn vlastníkem dokumentu. Také každý uživatel má přístup pouze k vybraným dokumentům, se kterými může nakládat v rámci nastavených oprávnění. Takovým způsobem je zajištěno, že interní nebo externí útočník neodcizuje ze společnosti důvěrná data jako v případě Panama Papers.

Bezpečnost jako proces

Osobně jsem zastáncem budování systematické bezpečnosti, kde se bezpečnost IT řeší postupně od malého k většímu, přičemž se nezaměřujeme pouze na látání děr (nálezů z auditů), ale směřujeme bezpečnost firmy postupnými a stálými kroky směrem k vyšší úrovni zralosti.

K tomu je třeba, aby společnosti měly vytvořenou strategii rozvoje bezpečnostní infrastruktury a procesů, možná i na několik let dopředu. Při budování IT bezpečnostní strategie mohou pomoci i zkušené specializované firmy, jejichž hlavním posláním je právě pomáhat zákazníkům při budování IT bezpečnostní infrastruktury. To zajistí, že rozvoj bezpečnosti bude nedílnou součástí rozvoje celé společnosti.

Radko Vavrík Autor článku je konzultantem informační bezpečnosti ve společnosti AEC, s. r. o.