Před nedávnem jsem byl jednou velkou finanční institucí požádán, abych v ní v souladu s požadavky regulátora provedl rutinní bezpečnostní audit IT. Tato organizace je povinna provádět vyhodnocení pravděpodobnosti zpronevěry vždy po několika letech. Většina prováděných transakcí se zde pohybuje v řádu mnoha milionů dolarů.
Šéf auditu IT (chraňme z právního hlediska nevinného a nazývejme ho panem X) projevoval starost především o oblast elektronických vkladů a převodů. Zprvu jsem předpokládal, že se obává, jaké slabiny bych mohl najít, protože to byl právě on, kdo nesl zodpovědnost za příslušný systém. A také to byl on, kdo zprovozňoval všechna bezpečnostní opatření na jeho ochranu.
Pan X mi sdělil, že četl zprávy, podle nichž právě finanční transfery jsou často
Hacker cílem hackerů. Svěřil se mi, že je až paranoidní při ochraně vlastnictví svého zaměstnavatele a že bere otázky informační bezpečnosti velmi vážně.
Když jsem vyjádřil přesvědčení, že některé části jeho síťové infrastruktury jsou neefektivní, nebo naopak přehnaně chráněné, zdálo se, že je na mě naštvaný. Potom se ale jeho emoce změnily v hrdost, že vybudoval tak komplexní systém. Přitom stále opakoval, že pod jeho dohledem nedošlo v tomto oddělení nikdy k žádnému kriminálnímu činu.
Manažeři zodpovědní za finanční převody dostávali denně nový autorizační kód, který jim umožňoval práci s elektronickými vklady a výběry. Denní obměna byla prováděna z bezpečnostních důvodů. Manažeři se přihlásili do svých aplikací, zahájili proces elektronického vkladu nebo výběru (obvykle ve formě převodu z účtu na účet) a při dokončení převodu získali autorizaci. Celý uvedený postup je první chybou systému: Finanční instituce by měla mít speciální náhodně generovaný kód pro každého manažera zvlášť, navíc měněný alespoň dvakrát za den.
Pan X, který byl zodpovědný za bezpečnost IT systémů, nainstaloval pro ochranu IT infrastruktury různé technologie – například pasti (honeypots), zařízení pro prevenci ztráty dat i forenzní zařízení (host based forensics devices). Objevila se ale nečekaná slabina: Pan X byl schopen celkem snadno získat denní autorizační kód. Většinou to ani nevyžadovalo žádné technické znalosti. Stačilo jen pobýt s finančními manažery a nenápadně jim nahlédnout přes rameno. A když to nešlo takto, prostě mohl nahlédnout do logovacích souborů svých bezpečnostních nástrojů a heslo zjistit odtud. Je ironií, že tyto nástroje byly nainstalovány, aby právě proti tomuto druhu podvodů chránily.
Protože měl pan X přístup k systémům pro převod peněz, zřídil si zde uživatelské ID. Nikdo mu nijak neomezoval přístup, protože k jeho práci patřilo testovat software, takže potřeboval platné přihlašovací jméno. A protože měl autorizační kódy pro vklady a výběry, běžně zadával příkazy k převodům peněz na několik soukromých účtů po celém světě.
Pan X měl to pochybné štěstí, že najal právě mě, aby bylo učiněno zadost pravidlu vyžadujícímu audit systému. A byla to souhra okolností, že mě jeho přístup přiměl zaměřit se na uvedené operace. Mohl bych tu kázat o potřebě nezávislého auditu, o nutnosti rozdělení kompetencí, o nezbytnosti přístupu založeného na rolích, nicméně základní pravdou je, že absolutní moc korumpuje. Zbytek tohoto příběhu si už dokážete představit...
Autorem tohoto příběhu je Aamir Lakhani, konzultant, který se specializuje na pokročilou moderní kryptografii. Amir je poradcem v oblasti kybernetické bezpečnosti v řadě společností z Fortune 500 a také vládních organizací USA. Aamirovy názory jsou často zveřejňovány v různých publikacích a je obecně považován za jednoho z předních expertů na Cloud Computing, virtualizaci, next-generation networking, datová centra a technologie kybernetické bezpečnosti. Aamir Lakhani publikuje své texty také na blogu CloudCentrics.com. Tento článek je publikován ve spolupráci s autorem. Mezititulky byly doplněny redakcí BusinessIT.cz.
Možná je to laciné, možná podbízivé, možná až nevkusné, ale nemohli jsme odolat: Některé příběhy lidí z IT, které jsme...