W Polsce jesteśmy na etapie dyskusji, prac przygotowawczych i legislacyjnych oraz definiowania dobrych praktyk, jeśli chodzi o adaptację przez sektor finansowy modelu chmurowego. Tymczasem na najbardziej rozwiniętym pod tym względem rynku świata dochodzi do jednego z największych wycieków danych wrażliwych z banku.
Wiele wskazuje na to, że Paige A. Thompson, była inżynier w Amazon Web Services (AWS), pozyskała dane z zasobów banku Capital One przechowywanych właśnie w chmurze AWS. Zgodnie z dotychczas ujawnionymi faktami dostęp uzyskała wykorzystując niepoprawną konfigurację jednego z serwerów banku odpowiedzialnych za komunikację z chmurą. Co więcej, wykorzystana podatność była znana od 2014 roku i komunikowana przez specjalistów ds. bezpieczeństwa. Szczegóły ustaleń można znaleźć m.in. tutaj.
Wspólna odpowiedzialność za bezpieczeństwo
AWS stwierdził w oświadczeniu, że żadna z jego usług – w tym metadane – nie była bezpośrednią przyczyną włamania. Ze swojej strony oferuje narzędzia monitoringu zdolne do wykrywania tego rodzaju incydentów. Pytanie zatem, czy po stronie banku nie działał monitoring (i dlaczego) bądź czy alert został zignorowany. W swoim oświadczeniu FBI jednoznacznie obciążył Capital One odpowiedzialnością za naruszenie.
Zdania ekspertów ds. bezpieczeństwa są podzielone; część z nich jest zdania, że AWS jednak powinien zrobić więcej w zakresie monitoringu i alertowania klientów o błędach w konfiguracji, zwłaszcza tych znanych i powtarzających się. Inni uważają, że zgodnie z zasadą wspólnej odpowiedzialności zapewnienie bezpieczeństwa komunikacji z chmurą jest leży w obszarze odpowiedzialności klientów, choć oczywiście dostawcy mogą i powinni wspierać w tym zakresie klientów poprzez np. narzędzia monitorujące czy ostrzeżenia przed znanymi podatnościami i sugerowanie skutecznych rozwiązań. To drugie stanowisko reprezentuje Capital One przyznając, że nie ma podstaw do obwiniania AWS o wyciek danych.
Niedoceniana komunikacja z chmurą
Uważany za jeden z największych w historii bankowości wycieków danych doprowadził do ujawnienia danych osobowych około 106 mln osób w USA i Kanadzie, 140 tys. numerów ubezpieczenia społecznego i 80 tys. danych kont bankowych powiązanych z osobami korzystającymi z produktów Capital One.
Incydent ten, zdaniem ekspertów ds. ochrony danych, podkreśla delikatną równowagę, jaką dostawcy usług przetwarzania w chmurze utrzymują pomiędzy bezpieczeństwem a wydajnością. Zwracają uwagę na lukę jak powstała zarówno w procesie edukacji jak i zarządzania: często i szeroko podejmowane tematy bezpieczeństwa korporacyjnego (wewnątrz organizacji) oraz bezpieczeństwa danych w chmurze, budowanego i zapewnianego przez największych dostawców, korzystających z najnowszych technologii i czołowych specjalistów. W przypadku chmury publicznej często pomijają wrażliwy aspekt komunikacji organizacja-chmura, z wykorzystaniem otwartego internetu.
AWS Shared Responsibility Model (Model Współdzielonej Odpowiedzialności) dla usług infrastruktury został zaproponowany w ramach najlepszych praktyk wspierających zapewnienie bezpieczeństwa w korzystaniu z chmury AWS.
Źródło: Cloud Academy
Podstawowa infrastruktura chmurowa jest utrzymywana przez AWS i to dostawca odpowiada za jej bezpieczeństwo (Security „of” the cloud). Odpowiedzialność za komunikację z chmurą i dane do niej przesyłane spoczywa na kliencie (Security „in” the cloud). Dotyczy to szyfrowania, zabezpieczenia ruchu sieciowego, zabezpieczeń systemu operacyjnego, konfiguracji sieci i firewall’a, bezpieczeństwa aplikacji oraz zarządzania tożsamością i dostępem. Czy i w jakim zakresie wymienione elementy zostaną zastosowane zależy wyłącznie od klienta i determinowane jest wieloma czynnikami jak rodzaj i wielkość biznesu, wrażliwość danych, regulacje prawne itp.
Ludzie i procesy
Z-ca dyrektora CIA odpowiedzialny za obszar Digital Innovation Sean Roche uważa, że „chmura w swoim najsłabszym dniu jest nadal bezpieczniejsza niż rozwiązania po stronie klienta”. Federalne agencje USA, w tym CIA, korzystają już od lat a chmury AWS. Z kolei Pentagon przygotowuje się do udzielenia najdłuższego i najdroższego zamówienia w zakresie technologii chmurowych w ramach projektu JEDI – 10 letniej umowy o wartości 10 mld USD.
Najbardziej wymagający „klienci” nie mają zatem obaw co do bezpieczeństwa samej platformy usług w chmurze. W większości wypadków (jeśli nie we wszystkich) incydenty naruszenia poufności danych w chmurze nie są wynikiem niedoskonałości technologicznej a procesowej po stronie klienta oraz czynnika ludzkiego.
Monitoring osób odchodzących z firm z cenną wiedzą, której wykorzystanie w niewłaściwy sposób może być niebezpieczne pozostaje piętą achillesową systemu. Ms Thomson mając za sobą nawet krótki epizod współpracy z AWS wiedziała jakiej podatności szuka i jak ją wykorzystać. Wiedziała również, że wykorzystywana przez nią podatność występuje powszechnie (nie potwierdzone informacje mówią również o analogicznych działaniach wobec m.in. Ford Motor i UniCredit).
W jaki sposób zespół ds. bezpieczeństwa IT w Capital One, uznawany za jeden z najsilniejszych w branży, mógł pozwolić na działanie firewall’a z podatnością znaną od 2014 r.? Pytanie, które samo w sobie stanowi już case study ilustrujący, dlaczego doskonałość procesowa, automatyzacja i zmiany kulturowe w organizacji mają tak kapitalne znaczenie. Konieczność transformacji w kierunku modeli działania takich jak DevSecOps czy SRE (Site Reliability Engineering) wynika z bezpieczeństwa i zapewnienia ciągłości działania biznesowego i nie jest tylko hasłem z konferencji technologicznych.