Cybersec to organizowane od czterech lat przez Instytut Kościuszki wydarzenie dla ekspertów i praktyków. Ma służyć wypracowywaniu rekomendacji służących cyfrowemu bezpieczeństwu w firmach i instytucjach państwowych. Nigel Ng był uczestnikiem tegorocznej debaty „Przemysł i cyfrowi szpiedzy: królewska bitwa” (po angielsku użyto terminu battle royale, nawiązującego do popularnego dziś rodzaju gier komputerowych, a wcześniej japońskiej powieści o tym samym tytule autorstwa Koeshuna Takamiego). W panelu uczestniczył także Michael Malsch z FBI, a także prokurator krajowy Bogdan Święczkowski.

I to właśnie podczas dyskusji pojawił się przykład wspomnianego włamania, którego data do dzisiaj w RSA jest traktowana jako czarny dzień w historii firmy. Otóż osiem lat temu ktoś dobrał się do systemu SecurID, produktu RSA, który umożliwia klientom tego producenta logowanie się do urządzeń za pomocą dwuskładnikowego uwierzytelnienia wykorzystującego generatory jednorazowych haseł. Na początku firma poinformowała o sprawie oszczędnie i zaczęła wymieniać tokeny SecurID używane przez korporacje. Niedługo potem amerykański koncern zbrojeniowy Lockheed Martin, stosujący ten system, ogłosił, że został zaatakowany właśnie drogą haseł SecurID RSA.

Przedstawiciele RSA przyznali, że ich produkt ucierpiał w związku z działaniem APT (Advanced Persistent Threat). To rodzaj uderzenia, przed którym cyberprzestępcy robią precyzyjne rozpoznanie i celują w słaby punkt za pomocą narzędzia dobranego do ustalonych okoliczności. W tym przypadku czterech pracowników EMC (do którego wtedy należało RSA) dostało e-maila wysłanego z podrobionego adresu firmy rekrutacyjnej, zatytułowanego „2011 Recruitment plan”. W załączniku był trojan backdoor Poison Ivy umieszczony w pliku .xls. Wirus korzystał z luki w Adobe Flashu i po otwarciu za pomocą Excela uruchamiał złośliwy skrypt. Następnie chował się w innych systemowych procesach i pozwalał na kontrolowanie zainfekowanego urządzenia.

Poza sensacyjną atrakcyjnością faktu, że hakerzy skutecznie dostali się do systemu firmy specjalizującej się w rozwiązaniach cyberbezpieczeństwa, uwagę zwraca coś ciekawszego. Otóż RSA nazwało atak „bardzo skomplikowanym” i nad takim stwierdzeniem warto się nieco pochylić. Niewątpliwie kategoria APT (zaawansowane, uporczywe zagrożenie) obejmuje działania przygotowane drobiazgowo. Ale atak przez załącznik w e-mailu, który wymaga otwarcia go przez pracownika (socjotechnika plus polityka zabezpieczeń) oraz używa backdoora znanego w 2011 r. już od trzech lat – nie jest operacją szczególnie przebiegłą. A przynajmniej nie powinna ona zaskoczyć ekspertów od cyberbezpieczeństwa i skutkować wejściem intruza do ważnego systemu firmy, w konsekwencji tworząc zagrożenie dla klientów (i to z branży zbrojeniowej!).

Jednak w tym, co piszę, nie chcę skoncentrować się na przemądrzaniu. Prawda jest taka, że luki są w każdej firmie i wszędzie da się włamać. To kwestia wkładu pracy, czasu i kosztów, czyli wysiłku i pieniędzy. Z kryzysowego doświadczenia RSA dla każdego przedsiębiorstwa i instytucji wynika, że bezpieczeństwo urządzeń należy traktować skrupulatnie i nie ograniczać się tylko do kwestii technicznych. Tak samo ważne jak zabezpieczenia, a może nawet ważniejsze, jest dbanie o wiedzę użytkowników w firmie, nawet taką, która specjaliście IT może wydawać się podstawowa i oczywista. Znowu tłumacząc na konkret, hakerzy nie włamaliby się do RSA (i do Lockheed Martina), gdyby jeden z czterech pracowników EMC nie otworzył załącznika w e-mailu. Tylko jeden nietechniczny element udaremniłby groźny atak, przynajmniej ten.