Práticas de Liderança de Violação de Dados e Cibersegurança - Estudo de Caso: UMUC 2014

Em fevereiro de 2014, a Universidade de Maryland sofreu uma violação no sistema em que mais de 280.000 registros foram copiados. Esses registros continham informações pessoais de estudantes e professores do início dos anos 90, incluindo seus nomes, números de identificação da universidade e números de previdência social. (Lista da organização). Nesse mesmo mês, uma segunda violação ocorreu no mês seguinte por um ex-contratado insatisfeito que havia avisado as falhas do sistema e queria chamar atenção para as falhas de segurança inerentes (Dance, 2014).


Embora nenhuma informação tenha sido roubada na segunda violação, esse hack levantou bandeiras vermelhas sobre se o UMD estava ou não trabalhando para impedir ataques como o primeiro no futuro.


Brian Voss, diretor de informações da Universidade de Maryland na época das violações, perdeu o emprego em março de 2014, um mês após elas. A falha de ambas as violações ocorreu em um departamento de segurança cibernética negligente, firewalls insuficientes e outro sistema de proteção e hackers inteligentes que estavam cientes dessas duas situações. Se as funções de segurança cibernética, como a identificação de ameaças que poderiam afetar a segurança do sistema e os sistemas de auditoria para fins de conformidade com a segurança, fossem mais fortes desde o início, as violações poderiam ter sido evitadas.


Uma recomendação principal para evitar novos ataques é a implementação de uma liderança forte e encorajadora na posição de CIO, que se concentrará na necessidade de um sistema de segurança seguro e impenetrável. Em uma era da informação como hoje, proteger informações pessoais é vital, e um forte líder para incentivar seu departamento é a chave para um departamento seguro de segurança cibernética. Além de um chefe de departamento sólido, testes e atualizações constantes dos sistemas por profissionais de segurança cibernética empregados pela UMD devem ser incentivados para evitar novas violações.


Estudo de caso


A Universidade de Maryland sofreu duas violações de dados diferentes ao longo de um mês. O primeiro ataque foi classificado como altamente sofisticado. Os hackers primeiro carregaram um cavalo de Troia em um site de compartilhamento de fotos da universidade usando a rede Tor para ocultar sua identidade. A partir disso, eles conseguiram roubar e alterar uma senha de administrador de TI. Eles usaram essa senha única para acessar um banco de dados que contém os nomes, os IDs das universidades e os números de seguridade social de certos alunos e funcionários que datam de 1992 (Pham, 2014). Suspeita-se que, uma vez que os hackers tenham acesso a esses dados, eles tenham feito cópias deles para uso posterior. A perda de mais de 280.000 registros representa um golpe catastrófico para a credibilidade das políticas de segurança cibernética da UM e, mais importante, é uma ameaça para todos os indivíduos cujos dados foram comprometidos.


A segunda violação foi cometida por um ex-contratado, David Helkowski, que achou que a UMD não fazia o suficiente para aumentar suas defesas cibernéticas após o primeiro ataque. Durante uma entrevista ao Baltimore Sun, Helkowski disse que percebeu as vulnerabilidades meses antes do ataque inicial (Dance, 2014). Helkowski ganhou acesso ao servidor UMD por um backdoor sobre o qual havia alertado a universidade. Nesse momento, ele pensou que iria impressionar a nova força-tarefa de segurança cibernética da universidade, para que eles entendessem a profundidade do problema. Helkowski obteve o endereço de e-mail de todos os membros da força-tarefa de segurança junto com o número de telefone e o número de previdência social do presidente da universidade fora do servidor. Ele enviou essas informações por e-mail aos membros da força-tarefa, mas também as publicou em vários sites públicos. (Dança, 2014)


Em um longo e já excluído tópico do Reddit, Helkowski detalhou suas motivações e métodos, além de informações sobre como o FBI invadiu sua casa. Ele se considerava um denunciante prestando um serviço necessário à universidade, mas suas ações ainda eram ilegais. Por causa disso, Helkowski perdeu o emprego e admitiu que isso poderia impedi-lo de ocupar uma posição de TI novamente (Gallagher, 2014).


Práticas de Liderança


As consequências do primeiro ataque foram as maiores e ganharam mais manchetes. Era irresponsável a universidade deixar os dados em algum lugar tão acessível e repreensível que a universidade mantivesse dados pessoais e sensíveis de pessoas que não eram afiliadas à escola há mais de duas décadas. O aumento do controle do acesso aos dados, bem como uma política de retenção de dados mais restrita, poderiam ter atenuado os principais problemas desse ataque. Como os registros foram mantidos por mais de 23 anos, a superfície de ataque foi substancial.


Proteger dados e limitar o acesso a informações confidenciais são os principais trabalhos dos profissionais de segurança cibernética (Guggenberger, 2018). Eles podem ser responsáveis ​​por um sistema principal ou vários sistemas, dependendo do escopo de seu trabalho pessoal e do tamanho da organização em que são empregados. Com um sistema tão grande quanto o da Universidade de Maryland, você pode assumir que havia muitos profissionais diferentes de segurança cibernética com funções específicas em seus sistemas. Infelizmente, violações ocorrem e, então, isso é tarefa dos profissionais de segurança cibernética investigar como os hackers se infiltraram no sistema, quanta informação eles tiveram acesso e se alguma coisa foi alterada ou alterada (Guggenberger, 2018). Após essa investigação, essas informações são usadas para proteger ainda mais o sistema e tentar evitar outra violação.


O chefe da equipe de profissionais cujo trabalho era fazer tudo isso era o diretor de informações da Universidade de Maryland, Brian Voss. Após a brecha, Voss afirmou que o que mais o preocupava era o quão sofisticado era o ataque; ele disse que "não havia porta aberta" e que os hackers precisavam "abrir várias fechaduras para acessar esses dados" (Svitek & Anderson, 2014). Wallace Loh, o presidente da Universidade na época, fez uma declaração dizendo que, com as autoridades policiais, o departamento de segurança cibernética estava fazendo todo o possível para investigar como essa violação poderia ter ocorrido e fortalecendo seu sistema para garantir que isso não aconteça. novamente (Loh, 2014). Mesmo fora de suas próprias bocas, era o trabalho desses líderes proteger as informações dos alunos e professores para garantir que outra violação fosse impossível, e foi isso que fez com que Helkowski violasse tanto choque.


Embora o segundo ataque não tenha necessariamente vazado muitos dados, ele mostrou como a universidade foi negligente em tapar os buracos em sua segurança cibernética. Como alternativa, Helkowski realizou suas ações apenas um mês após o ataque inicial. Uma organização do tamanho de UMD se move lentamente, independentemente da gravidade do crime. Mudar a política é fácil, promulgar que a política é a parte difícil, que também é parcialmente responsável pelas falhas de segurança. No momento do ataque, o departamento de TI da universidade tinha um orçamento de aproximadamente US $ 50 milhões e uma força de trabalho de 419 funcionários. Qualquer organização desse porte terá dificuldade em alterar seu curso, independentemente do que Voss e Loh prometeram aos alunos e funcionários (Robinson, 2014). Essa falta de velocidade é uma falha enorme da parte do Voss especificamente, e a falha se espalha além da capacidade de corrigir os buracos tão rapidamente. Se Helkowski trouxe suas preocupações sobre a falta de estabilidade do sistema para as pessoas certas, e elas realmente não foram tratadas, a falha se espalhou por todo o departamento por não ouvir os contratados que foram contratados para remediar a situação.


Uma habilidade crucial exigida dos líderes de segurança é a de sua resposta a um incidente; mobilizando rapidamente recursos técnicos próprios e de parceiros para gerenciar incidentes e, na pior das hipóteses, recuperação. Os líderes de segurança devem ser capazes de trabalhar em colaboração para garantir que toda a empresa possa suportar ameaças cibernéticas, bem como evoluir continuamente para satisfazer o cenário regulatório cada vez mais complexo (Ismail, 2017). Parecia ser a liderança que Voss não tinha, e foi isso que o levou a ficar sem emprego um mês após a brecha.


O impacto das funções de segurança cibernética


As violações não podem ser responsabilizadas unicamente por Brian Voss, mas como ele é o chefe do departamento de segurança cibernética da organização, ele sofreu o impacto do golpe. Existem muitos papéis diferentes que desempenham um papel em todos os departamentos de segurança da informação e são todos igualmente importantes. Quanto mais informações estudadas na violação de dados da UMD, mais fácil é identificar que a maioria dessas funções desempenhadas com eficácia teria sido crucial na prevenção da perda de todas essas informações pessoais. As duas principais funções que teriam impedido as violações estavam relacionadas à determinação de possíveis ameaças externas e à implementação de sistemas de auditoria para fins de conformidade de segurança. Essas funções parecem bastante óbvias em relação à segurança cibernética, mas talvez elas achem que seu sistema é tão perfeito que falharam em voltar ao básico de vez em quando para garantir que o sistema não pudesse ser comprometido.


As circunstâncias que permitiram a ocorrência dessa violação foram uma mistura de rápida expansão de diferentes redes da Universidade de Maryland e complacência em sua segurança cibernética. Um relatório de auditoria da Divisão de Tecnologia da Informação da universidade constatou que a universidade não usava firewalls para proteger todos os segmentos de rede da Internet e partes não confiáveis ​​de sua rede interna (Robinson, 2014). Mesmo nas circunstâncias em que os firewalls eram usados, eles às vezes permitiam conexões inseguras e desnecessárias aos recursos críticos do computador do datacenter. Os firewalls não foram configurados para monitorar o tráfego de todas as fontes não confiáveis. Além de tudo isso, o departamento de TI da UMD não conseguiu manter seu software anti-malware instalado, atualizado e funcionando adequadamente (Robinson, 2014). O que se pode extrair dessas informações é que testes simples de seu próprio sistema para determinar os riscos externos e, a partir daí, encontrar maneiras de protegê-lo melhor, poderiam ter evitado esse ataque.


Mesmo se a universidade tivesse todos os controles adequados, um ataque semelhante ao de Helkowski era apenas uma questão de tempo. Ele tinha acesso às redes internas e podia ver mais do que o hacker normal. No artigo do Baltimore Sun sobre o ataque, "funcionários da universidade disseram que Helkowski não acessou os dados da mesma maneira que ocorreu uma violação maior" (Dance, 2014). Portanto, quaisquer que fossem seus objetivos ou descobertas, eles eram em grande parte irrelevantes para o caso em apreço e provavelmente causavam mais danos à universidade do que ele pretendia. O que o ataque dele fez foi mostrar que eles poderiam ter usado seus próprios recursos e prestadores de serviços para melhorar seu próprio sistema e proteger as informações de centenas de milhares de estudantes e professores.


Conclusões e Recomendações


O maior problema que a liderança da Universidade de Maryland nessa situação havia sido a falta de comunicação. Não está claro onde ocorreu a deficiência, porque não conseguimos encontrar nenhuma comunicação interna. No entanto, é claro que, quando essa violação ocorreu, a liderança não estava totalmente informada sobre a gravidade e não compreendeu completamente o quão amplas eram as vulnerabilidades. Isso é demonstrado pela declaração original divulgada pelo Presidente Loh, que subestimou bastante a quantidade de dados das pessoas comprometidas. Também é demonstrado que a força-tarefa de segurança cibernética criada após a primeira violação para reparar as vulnerabilidades em sua rede não estava respondendo a preocupações diferentes. Isso é demonstrado pela segunda violação, porque o autor era um ex-contratado da universidade que cometeu a violação porque achava que a universidade não estava respondendo às vulnerabilidades que ele pensava que enviaria uma mensagem mais alta (Svitek & Anderson, 2014).


Os principais desafios para os profissionais de segurança cibernética são manter-se atualizados sobre o que está acontecendo no campo. Como um departamento de segurança cibernética, ficar para trás nas últimas descobertas tecnológicas pode significar uma violação do seu sistema. Recomenda-se estabelecer as bases para a equipe de segurança cibernética e permitir que os profissionais apliquem técnicas modernas e sofisticadas. Isso pode ser feito de várias maneiras: implementando as melhores e mais recentes práticas e padrões do setor, interagindo com outras pessoas do setor para aprender uns com os outros, incentivando a educação e o treinamento contínuos entre o departamento e estudando constantemente seus sistemas e vulnerabilidades específicos e riscos que a acompanham (Guggenberger, 2018). Se a Universidade de Maryland College Park tivesse liderança que implementasse todas as estratégias acima mencionadas, as violações provavelmente poderiam ter sido evitadas.


Para os CIOs e CISOs, a mensagem é clara: alguém precisa levar a liderança superior da empresa à conscientização e respostas eficazes a riscos de terceiros. O CIO e o CISO estão melhor posicionados para defender essa estratégia. A partir daí, as diferentes equipes podem trabalhar juntas para garantir que uma ameaça à integridade do sistema de segurança não penetre em suas paredes - e isso pode ser testado por hackers contratados, verificando se são capazes de fazer exatamente isso. Parece que contratar alguém com as habilidades de Helkowski para tentar invadir o sistema e, a partir desse hack, determinar que as falhas poderiam ter impedido ambas as violações, e salvou todas as informações pessoais copiadas de fazê-lo nas mãos erradas.


No geral, as organizações e suas redes de TI estão interconectadas a um nível que torna a segurança uma responsabilidade compartilhada. É importante que as principais empresas e universidades contratem um CIO capaz de liderar e incentivar, especialmente quando mergulharmos ainda mais em uma era em que a tecnologia é uma parte tão vital de nossas vidas. Um tom positivo no topo pode ajudar as organizações a evitar trabalhar com terceiros não confiáveis ​​e a construir relacionamentos de parceiros éticos nos quais a responsabilidade pela liderança em segurança cibernética é compartilhada, produtiva e eficaz.


Autores:


Emily Parrish

Phillip Kidd

Cleber Visconti

Jonathan Batselos

Eric Evans


Data: 13 de março de 2018

Gestão e Política de Segurança Cibernética da UMUC MsC


Referências


Dance, S. (2014, 04 09). O ex-funcionário contratado da UM diz que acessou dados para revelar problemas. Recuperado do The Baltimore Sun: http://www.baltimoresun.com/news/maryland/education/bs-md-data-breach-suspect-20140409-story.html


Gallagher, S. (2014, 06 05). Nas suas palavras: Como um hacker invadiu uma universidade e se tornou um alvo do FBI. Recuperado da arstechnica: https://arstechnica.com/information-technology/2014/05/why-he-hacked-university-of-maryland-contractor-turned-hacker-tells-all/3/


Guggenberger, B. (2018, 12 de março). Visão geral do campo de segurança cibernética. Lendo.


Ismail, N. (2017, 09/07). Cibersegurança - o desafio incansável da liderança. Recuperado da era da informação: http://www.information-age.com/cyber-security-unrelenting-challenge-leadership-123468401/


Loh, W. D. (2016, 19 de fevereiro). Violação de dados. Recuperado em 12 de março de 2018, em https://www.president.umd.edu/communications/statements/data-breach


Lista de organização. (n.d.). Recuperado em 12 de março de 2018, de https://content.umuc.edu/file/e8432068-18b9-4b82-a443-25406949030d/1/Organization%20List.html


Pham, T. (2014, 20 de outubro). Credenciais de administrador roubadas levaram à violação de sistemas universitários. Recuperado em 12 de março de 2018, em https://duo.com/blog/stolen-administrator-credentials-lead-to-breach-of-university-systems


Ponemon Institute LLC. (2016). Tom no risco superior e de terceiros. Instituto Ponemon e avaliações compartilhadas. Obtido em SCMagazine.


Robinson, R.M. (2016, 12 27). Um Guia do Usuário para Liderança em Segurança Cibernética. Recuperado de SecurityIntelligence: https://securityintelligence.com/a-users-guide-to-cybersecurity-leadership /


Robinson, T (2014, 12, 11). A auditoria mostra que ainda existem falhas de segurança na Universidade de Maryland.


Recuperado da Mídia SC:


https://www.scmagazine.com/the-university-is-still-vulnerable-to-attack/article/539620/


Svitek, P. & Anderson, N. (2014, 02 19). A violação de segurança de computadores da Universidade de Maryland expõe 300.000 registros. Recuperado do The Washington Post: https://www.washingtonpost.com/local/college-park-shady-grove-campuses-affected-by-university-of-maryland-security-breach/2014/02/19/ce438108- 99bd-11e3-80ac-63a8ba7f7942_story.html? Utm_term = .778abd5f613c

2 visualizações
Contato

Edifício Icon - Alameda Mamoré, 503 Conj.33

Alphaville - São Paulo

CEP 06454-040

Edifício Bolsa de ImóveisAv. das Nações Unidas, 11.541 - Brooklin, São Paulo - SP, 04578-000

 

 

 

 

Tel: +55 11 3181-8444

contato@baymetrics.com.br