Wraz z kontynuacją agresji wojsk rosyjskich w Ukrainie rośnie potencjał dalszej eskalacji hybrydowych działań wojennych. Jednocześnie trzeba mieć również świadomość, że konflikt może doprowadzić do poważnych cyberataków na cele poza granicami Ukrainy. Taki stan rzeczy postawił świat w stan podwyższonej czujności, a w szczególności wobec jednego z kluczowych elementów dzisiejszego świata jakim są centra danych.
Według eksperta ds. cyberbezpieczeństwa ESET, wraz z ewentualnym rozszerzeniem się wrogich działań cybernetycznych poza granicę Ukrainy centra danych mogą znaleźć się na pierwszej linii ognia, a następstwem ataków na nie może być m.in. utrata dostępu do szeregu kluczowych usług.
Dlaczego centra danych mogą być głównym celem ataków?
W związku z pandemią COVID-19 i wywołanym przez nią wzrostem liczby pracowników zdalnie wykonujących obowiązki uwaga w dziedzinie cyberbezpieczeństwa przesunęła się na rozproszoną siłę roboczą. Zagrożenia związane z istnieniem wielu punktów końcowych i zwiększona powierzchnia ataku pozostają wciąż istotną kwestią, którą należy monitorować.
Jednak nie powinno to umniejszać wagi bezpieczeństwa centrów danych, które stanowią jeden z najbardziej atrakcyjnych celów dla zaawansowanych cyberprzestępców. Duże zainteresowanie nimi wynika z faktu, że są one kluczowym ogniwem w globalnych łańcuchach dostaw. W zależności od celu atak może wpłynąć na dowolną liczbę kluczowych branż, począwszy od opieki zdrowotnej, poprzez finanse, a na energetyce i transporcie kończąc – mówi Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa. Centra danych są nominalnie lepiej chronione niż wiele lokalnych korporacyjnych zasobów IT, ale z uwagi na ich wielkość, skuteczny atak może przynieść większe korzyści. Taka kalkulacja z pewnością skłania do podejmowania wrogich działań – dodaje.
Jakie są główne zagrożenia?
Pomimo ogromnych wydatków na globalne bezpieczeństwo w 2020 roku właściciele centrów danych muszą zdać sobie sprawę, że krajobraz zagrożeń stale się zmienia. W przypadku cyberataków jednym z prawdopodobnych celów jest zakłócenie świadczenia usług lub zniszczenie strategicznych danych. Oznacza to, że jednymi z największych zagrożeń będą kolejno złośliwe oprogramowanie, rozproszone ataki typu DDoS, a nawet zagrożenia fizyczne.
Złośliwe oprogramowanie
Do tej pory firma ESET wykryła już trzy rodzaje niszczycielskiego złośliwego oprogramowania, zarówno przed konfliktem w Ukrainie, jak i w jego trakcie. HermeticWiper, IsaacWiper i CaddyWiper to zidentyfikowane zagrożenia ransomware, z których pierwsze zostało użyte na kilka godzin przed rozpoczęciem inwazji. Natomiast następnego dnia IsaacWiper uderzył w ukraińskie organizacje. W obu przypadkach mowa o atakach planowanych od miesięcy, których głównym celem było zniszczenie strategicznych danych i unieruchomienie kluczowych systemów.
Chociaż żaden ze złośliwych programów ransomware atakujących ukraińskie instytucje nie był skoncentrowany na centrach danych, to przykład z 2017 roku pokazuje, jakie mogą być skutki takiego ataku. NotPetya, seria cyberataków z wykorzystaniem oprogramowania podszywającego się pod ransomware, w rzeczywistości działało na podobnej zasadzie co HermeticWiper. Celem tego ataku w 80% okazały się systemy zlokalizowane w Ukrainie, w tym strategiczne elementy ukraińskiej infrastruktury takie jak ministerstwa, banki, systemy metra i przedsiębiorstwa państwowe – dodaje Kamil Sadkowski.
Ataki typu odmowa usługi
Byliśmy także świadkami poważnych kampanii DDoS przeciwko ukraińskim bankom państwowym i stronom rządowym. Urzędnicy w Kijowie potwierdzają, że strony rządowe są pod niemal ciągłym atakiem od czasu rozpoczęcia inwazji. Warto pamiętać, że ataki DDoS mogą być wykorzystywane do odwrócenia uwagi pracowników ochrony centrów danych, podczas gdy podejmowane są bardziej ukryte, destrukcyjne próby instalacji złośliwego oprogramowania.
Fizyczne ataki na centra danych
Chociaż jest to najmniej prawdopodobny scenariusz, to wobec eskalacji wojny w Ukrainie zdecydowanie nie można wykluczyć ataków sabotażowych na centra danych. Aktualne raporty wskazują, że szwajcarskie centrum danych należące do usług międzybankowych SWIFT znalazło się niedawno pod ochroną uzbrojonej straży. Wiąże się to z ryzykiem, które brytyjskie Narodowe Centrum Bezpieczeństwa (NCSC) podkreśla w swoich nowych wytycznych.
Zaawansowane grupy cyberprzestępcze demonstrowały w przeszłości swoje umiejętności i determinację w kampaniach, takich jak ataki SolarWinds, które naruszyły bezpieczeństwo sieci co najmniej dziewięciu amerykańskich agencji rządowych. Atakujący mogą spędzić miesiące na przygotowywaniu narzędzi i przeprowadzaniu rekonesansu przed przystąpieniem do wrogich działań. Dlatego też wzmocnienie zabezpieczeń jest kwestią, którą operatorzy centrów danych stanowczo muszą wziąć pod uwagę – ostrzega ekspert ESET.
Operatorzy centrów danych powinni skoncentrować się na sześciu kluczowych obszarach:
- Fizyczne granice centrum danych, obejmujące wszystkie jego budynki.
- Hala danych (ang. data hall), ze szczególnym uwzględnieniem kontroli dostępu we współdzielonych centrach danych.
- Sale spotkań powinny być zabezpieczone kontrolą dostępu, wykrywaniem włamań, np. z pomocą CCTV, przeszukiwalną bazą wejść i wyjść, ochroną szaf, anonimizacją i niszczeniem zasobów.
- Ludzi, co oznacza kierowanie właściwą kulturą bezpieczeństwa popartą szkoleniami i podnoszeniem świadomości.
- Łańcuch dostaw wraz z ocenami ryzyka obejmującymi zagrożenia fizyczne, personalne i cyberbezpieczeństwa.
- Właściciele centrów danych powinni optymalizować stosowane środki zapobiegawcze, nie wykluczać kompromisów, a przede wszystkim podejmować kroki w celu wykrywania i szybkiego reagowania na zagrożenia, aby zminimalizować ich wpływ.