Hihetetlen, de igaz – az amerikai űrügynökség laboratóriumánál közel egy évig nem vették észre, hogy valaki behatolt a belső hálózatba. A történetben fontos szerepet játszik az úgynevezett árnyék informatika is: a betörők egy olyan miniszámítógépen keresztül jutottak be a hálózatba, melynek létezéséről az IT osztály nem is tudott.
A NASA sugárhajtással foglalkozó laboratóriumának (Jet Propulsion Laboratory – JPL) belső hálózatán tíz hónapon keresztül garázdálkodhattak gond nélkül ismeretlenek. A hackerek a jelenlegi Mars expedíciók adataihoz juthattak hozzá, de szabadon elérhették az űrhajós utazások adatait is.
Az esemény hivatalos vizsgálata eléggé lehangoló képet fest az intézmény biztonságáról. A JPL képtelen volt például a saját hálózatára csatlakozó eszközök figyelésére. Az is kiderül, hogy az IT-biztonság területén hiányos és nem megfelelő intézkedéseket hoztak.
Így nem osztották különböző részekre a belső hálózatot, ami megnehezítette volna a támadók dolgát. Az ismert biztonsági hibákat hónapokon keresztül nem javították. Ha egy biztonsági intézkedést nem ültettek a gyakorlatba hat hónap leforgása alatt, akkor egy speciális felmentésre volt szükség, melyet négy szenior vezető írt alá. Ezeket a felmentéseket évente felül kellett volna vizsgálni, de ezt sorozatosan elmulasztották. 2018 októberében 153 hasonló felmentés volt aktív, az esetek harmadában a felmentés indítványozója már nem is dolgozott a cégnél. És a legszörnyűbb, hogy 13 esetben a felmentések (vagyis a problémák) már 11 éve léteztek.
A felelősség eloszlásában is hiányosságokat tapasztaltak. A nem megfelelően képzett adminisztrátorok nem tudták, hogy jelentsék-e és egyáltalán hogyan dolgozzák fel a gyanús eseteket. A JPL biztonsági szabályzata és gyakorlata elmaradt a magasabbra tartott intézményekétől. Például a NASA-nál 24 órás ügyeletet tartó SOC (biztonsági központ) működött, míg a JPL saját központja csupán a rendes irodai munkaidőben működött. A JPL-nek kötelessége lett volna jelenteni bizonyos incidenseket, de senki sem ellenőrizte, hogy valóban megtették-e.
Árnyék IT: nemcsak a NASA problémája
Ilyen borzalmas biztonsági szinttel nem is meglepő, hogy a támadóknak volt idejük nyugodtan körbenézni a laboratóriumban.
A hackerek egy 40 dollárért megvásárolható Raspberry Pi számítógépen keresztül jutottak be a hálózatba. A cigarettás doboznyi számítógépet az egyik alkalmazott csatolta a hálózatra, és az IT osztálynak tudomása sem volt az eszköz létezéséről.
Sajnos nem csak a tudományos szféra találhatja magát hasonló cipőben, rengeteg KKV küzd hasonló problémákkal: szegmentáció nélküli hálózat, régi rendszerek, tisztázatlan felelősségek, adatvédelmi tervek teljes hiánya, és teljes adminisztrációs káosz, ahol senkinek sem tűnik fel egy újabb eszköz megjelenése a hálózaton. Érthető, hogy termelési vagy egyéb gazdasági problémák miatt nehezen lehet egy régi informatikai rendszert lecserélni, de akkor legalább a többi hálózattól elszeparálva működtessük az elavult eszközöket.