Wyciek danych w Szwecji. Bezpieczeństwo przegrywa z presją czasu [Komentarz Exatela]

Poniedziałek, 31 Lipca 2017, 15:54

Wycieki informacji nie są wcale rzadkimi sytuacjami. Co więcej – wraz z postępującą cyfryzacją rośnie ich skala i wrażliwość upublicznionych danych. Widzieliśmy już wycieki haseł użytkowników z portali społecznościowych, kartotek medycznych czy tajnych dokumentów. Wydawać się może więc, że każda kolejna sytuacja od razu wpływa na poprawę bezpieczeństwa danych.  Jednak niedawne wydarzenia w Szwecji, gdzie doszło do przecieku informacji wrażliwych dla obywateli, jak i dla bezpieczeństwa Państwa, nie potwierdzają tej tezy.  

Co było źródłem tego problemu? Rząd Szwecji już w 2011 roku rozpoczął poszukiwania oszczędności w obsłudze IT. Wtedy – idąc z duchem czasu i księgowej dokładności – skierowali się w stronę outsorcingu. I tak w 2015 roku szwedzka Agencja Transportu rozpoczęła działania „redukujące koszty” obsługi swoich systemów. W ich efekcie zwalniała własnych pracowników IT i podpisała umowę zewnętrzną na zarządzanie sieciami oraz bazami danych.  W pośpiechu rozpoczyna się przenoszenie baz Agencji do tzw. „chmury”. Wtedy raczej nikt nie myślał, że może być to początek obecnej sytuacji, określonej w mediach mianem „katastrofy". Bo dane fizycznie zostały przeniesione na terytorium innego kraju. W usługach chmurowych nie jest to nic niespotykanego. Ale ten konkretny przypadek ocenia się inaczej, gdy weźmiemy pod uwagę wrażliwość materiałów. Wśród informacji znajdowały się bowiem listy osób działających pod przybraną tożsamością w związku z pracą w służbach specjalnych, dane szwedzkich pilotów wojskowych posiadających cywilne licencje lotnicze czy spis osób objętych programem ochrony świadków. Oprócz tego znaleźć tam można było obiekty infrastruktury drogowej, kolejowej i lotniczej oraz informacje dot. pojazdów wojskowych. Sam dostęp do informacji nie wymagał odpowiednich poświadczeń bezpieczeństwa. Co więcej - fizycznie serwery bazodanowe pod tą usługę przechowywane były poza granicami Szwecji.

Czytaj też: Największy wyciek danych w historii Szwecji

Niestety to nie pierwszy raz, gdy bezpieczeństwo przegrywa z presją czasu, wolą bezkrytycznego szukania oszczędności i brakiem zdrowego rozsądku. W tym wypadku można przypuszczać, że w niepowołanych rękach, dane te mogą zagrozić zdrowiu i życiu obywateli oraz bezpieczeństwu samego Państwa. W konsekwencji tego zdarzenia zaczęły się pojawiać informacje o możliwym wotum nieufności wobec trzech ministrów, a nawet przedwczesnych wyborach. Nałożono również grzywnę i zwolniono szefową Agencji Transportu, która była odpowiedzialna realizację tego projektu. Jednak to tylko cena polityczna. Nikt bowiem nie wspomina o konsekwencjach społecznych (jak w przypadku informacji o osobach objętych programem ochrony świadków) czy tych dla obronności kraju, których od razu wyliczyć się nie da. Oczywiście nie wolno zapomnieć o kosztach bieżącej obsługi samego incydentu, które nie są publicznie znane i pewnie nigdy nie będą.

Usługa chmur obliczeniowych staje się coraz popularniejsza i tańsza. Nic więc dziwnego, że w kontekście redukcji kosztów IT jest to bardzo interesująca opcja. Ale musimy pamiętać, że jesteśmy również odpowiedzialni za informacje, którymi zarządzamy. Każde rozwiązanie, szczególnie te należące do administracji publicznej, musi być przygotowane racjonalnie (dobrze i bezpiecznie). Bo za każdym razem, gdy chęć obniżenia kosztów przysłoni nam aspekt cyberbezpieczeństwa, sytuacja ze Szwecji może się powtórzyć.

Autor Paweł Krawczyk – Kierownik III linii Security Operations Center Exatel S.A.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz