Další lekce Edwarda Snowdena o bezpečnosti

Každá další informace uveřejněná o případu Edwarda Snowdena a jeho působení v NSA je neobyčejně cennou lekcí z bezpečnostní problematiky ve velkých firmách. V novém dílu této již takřka mýdlové opery jihoamerického ražení se dozvídáme o praktikách, které umožnily přístup k datům, která jsou jinak vyhrazena pouze pro nejpřísněji prověřené pracovníky.

Podle informací, které ve čtvrtek uveřejnila agentura Reuters, to byla právě přístupová práva prověřených osob, která posloužila jako vrátka k informačním skladům. Reuters citují nejmenovaný vládní zdroj, podle kterého se Snowdenovi podařilo přesvědčit něco mezi 20 až 25 spolupracovníky, aby mu poskytli všechny nezbytné údaje potřebné k přihlášení se pod jejich jménem. K tomu mu stačilo tvrzení, že to potřebuje pro svou práci správce systému.

Přibližně před dvěma měsíci prohlásil technický ředitel NSA lonny Anderson, že Snowden zneužil své pozice správce systému, díky které se mu podařilo získat dokumenty z intranetového portálu NSA, který slouží pro sdílení dokumentů a diskusím o nich. Pokud jsou ale nové informace pravdivé, znamená to, že Snowden pro své „aktivity“ nepotřeboval žádné zvláštní znalosti ani pozici, pouze jisté sociální inženýrství a přesvědčovací schopnosti. Současně z toho vyplývá, že měl pravděpodobně přístup k podstatně více materiálům, než se pracovníci NSA domnívali, respektive předstírali, že se domnívají.

Podle mnoha bezpečnostních expertů je podobné laxní chování se k vlastním přihlašovacím údajům ve větších společnostech poměrně časté. Podle výzkumu firmy Cyber Ark z počátku tohoto roku, kterého se účastnilo 236 ředitelů IT různých společností, ve více než 51 % případů byla hesla k privilegovaným nebo přímo správcovským účtům sdílena mezi více pověřenými uživateli. V případě korporací nad 5000 zaměstnanců to již bylo 57 %.

Sdílení hesel, především těch k citlivějším funkcím, samozřejmě může vést k obcházení všech kontrolních mechanismů společností. Většinou je to výsledek nedostatečného školení uživatelů a nedostatečného nasazení technologií, které by monitorovaly aktivity na účtech s vyššími právy. I v korporacích je přitom poměrně jednoduché své heslo nesvěřovat ani správcům systému, prostě musí pracovat společně s vlastníkem účtu, který se v případě potřeby přihlásí sám.

Samozřejmě to vše vyvolává otázky, jak vůbec má právě NSA, specializující se na operace s tajnými informacemi, zabezpečenou vlastní síť a do jaké míry se namáhala mít interní kontrolní mechanismy. A pokud se nedá spolehnout na to, že agentura jako NSA, která monitoruje a zaznamenává informace proudící po většině internetu, si je dokáže ohlídat na vlastním hřišti... čemu už uživatelé mají věřit?