Com actuar davant una bretxa de seguretat produïda per un ciberatac


Josep Aragonés Salvat     15/01/2021

Bretxes de seguretat

Una bretxa, fallida o violació de seguretat de dades personals, és aquell incident de seguretat que ocasiona la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservats o tractats d'una altra manera, o la comunicació o accés no autoritzats a les esmentades dades.

Desafortunadament, cada vegada són més les organitzacions que es veuen afectades per un incident de seguretat provocat per un ciberatac. Els ciberdelinqüents estan cada vegada més capacitats i van molt per davant de la tecnologia existent, pel que resulta pràcticament impossible estar completament fora de perill d'aquests atacs.

Pla de contingència

Cada cop es fa més necessari que les organitzacions comptin, a més de amb les mesures de seguretat prèvies oportunes que tractin d'impedir aquests incidents de seguretat, amb un pla d'actuació o pla de contingències que contempli què fer en cas de ciberatac, quan les mesures establertes en principi no han impedit la violació o bretxa de la seguretat de les dades.

Aquestes mesures específiques d'actuació estaran destinades a contenir, mitigar o eliminar els danys que poguessin ocasionar-se en cas de ciberatac en diferents àmbits:

  • organitzatiu (administració, comercial, etc.)
  • protecció de dades
  • reputacional

Aquest pla permetrà actuar de forma ràpida i eficaç, ja que el temps en aquests casos és fonamental tant:

  • pel que fa a l'acompliment normatiu, d'acord amb el GDPR, tan aviat com el responsable del tractament tingui coneixement que s'ha produït una bretxa de la seguretat de les dades personals d'efectuar la corresponent notificació a l'autoritat de control competent, sense dilació i com a molt tard a les 72 hores següents.
  • com pel que fa als interessos de la pròpia organització de continuar amb la seva activitat econòmica habitual el més aviat possible.

Independentment de la seva mida i complexitat, les organitzacions, tant si són responsables o encarregades de tractaments de dades personals, han de tenir clarament establert com procedir davant una bretxa de seguretat. Durant tot el procés de gestió de la bretxa, cal tenir en compte la recol·lecció i custòdia d'evidències que permetin disposar d'informació presentable davant de tercers.

A més de la informació sostreta, les pèrdues econòmiques, i les sancions econòmiques que podrien implicar patir un incident d'aquest tipus, una altra qüestió a tenir en compte com hem comentat és l'impacte reputacional de l'incident a l'entitat. Per tot això, es fa necessari que es coordini a tot el personal i a tots els departaments implicats:

  • Departament informàtic (TIC): per tornar com més aviat millor la normalitat als sistemes d'informació de l'organització mitjançant l'aplicació de mesures que corregeixin la vulnerabilitat i la restauració de la informació a través de les còpies de seguretat.
  • Departament legal (privacitat, compliance, jurídic): per notificar la bretxa de seguretat a l'autoritat de control i a les persones afectades, atendre els afectats (clients, pacients, alumnes, usuaris, empleats, afiliats, etc.) que reclamin indemnitzacions i emprendre accions contra el ciberdelinqüent, denunciant el fet davant l'autoritat competent.
  • Comitè de crisi: per iniciar les accions necessàries per tal de disminuir el dany reputacional que pugui patir l'organització.

Solucionada la bretxa i verificada l'eficàcia de les mesures adoptades, s'entra en la fase de recuperació, que té com a objectiu el restabliment del servei en la seva totalitat, confirmant el seu funcionament normal i evitant en la mesura del possible que succeeixin nous incidents basats en la mateixa causa.

Categories de bretxes de seguretat

Les bretxes de seguretat poden classificar-se en les següents categories segons es vegi afectada la informació:

  • Bretxa de confidencialitat: accés no autoritzat, o sense un propòsit legítim, a la informació.
  • Bretxa d'integritat: alteració o substitució de la informació original.
  • Bretxa de disponibilitat: impossibilitat d'accés a les dades originals quan cal. Pot ser temporal (les dades són recuperables, però prendrà un període de temps) o permanent (les dades no poden recuperar-se).

Tipologies d'incidents de seguretat

Algunes tipologies de casos que poden donar lloc a un incident d'aquest tipus són:

  • Vulnerabilitat no coneguda (0-day): atac que permet accedir a les dades desconeixent l'origen de la vulnerabilitat. Serà una amenaça fins que el fabricant o desenvolupador la resolgui.
  • Atac dirigit (APT): atacs dirigits normalment a demanar informació fonamental que permeti continuar amb atacs més sofisticats. Per exemple, una campanya d'enviament de correu electrònic amb software maliciós a empleats d'una empresa fins a aconseguir que algun d'ells l'instal·li en el seu equip i proporcioni una porta d'entrada a sistema.
  • Denegació de servei (DoS/DDoS): atac que inunda de tràfic un sistema fins que no sigui capaç de donar servei als usuaris legítims del mateix.
  • Accés a comptes privilegiats: atac que permet accedir al sistema mitjançant un compte d'usuari amb privilegis avançats, el que li dona llibertat d'accions. Prèviament haurà d'haver aconseguit el nom d'usuari i contrasenya per algun altre mètode, per exemple, APT.
  • Codi maliciós: peces de software en que l'objectiu és infiltrar-se o fer mal a un ordinador, servidor o altre dispositiu de xarxa amb finalitats molt diverses. Una possibilitat per a que el codi maliciós arribi a una organizació és que un usuari l'instal·li de forma involuntària.
  • Compromís de la informació: tots els incidents relacionats amb l'accés i fuga, modificació o borrat d'informació no pública.
  • Robatori i/o filtració de dades: pèrdua/robatori de dispositius d'emmagatzematge amb informació.
  • Desfiguració (Defacement): tipus d'ATP que consisteix amb la modificació de la pàgina web corporativa amb la intenció de penjar missatges reivindicatius d'algun tipus o qualsevol altra intenció. L'operativa normal de la web queda interrompuda, produint-se, a més, danys reputacionals.
  • Explotació de vulnerabilitats d'aplicacions: quan un atac aconsegueix explotar amb èxit una vulnerabilitat existent a un sistema o producte aconseguint comprometre una aplicació de l'organització.
  • Enginyeria social: tècniques basades en l'engany, normalment dutes a terme a través de les xarxes socials, que s'emprenen per dirigir la conducta d'una persona o obtenir informació sensible. Per exemple, l'usuari és induït a prémer sobre un enllaç fent-li pensar que és el correcte.

Mesures de contenció

Algunes de les mesures de contenció que podrien aplicar-se en funció de cada cas:

  • Depenent del vector d'atac, impedir l'accés a l'origen de l'incident o els destinataris de la divulgació de informació: dominis, connexions remotes, ports, pegats, actualització de programari de detecció (antivirus, IDS, ...), bloqueig de trànsit, desactivar dispositius, servidors, equips informàtics, etc.
  • Suspendre les credencials lògiques i físiques amb accés a informació privilegiada. Canviar totes les contrasenyes d'usuaris privilegiats o fer que els usuaris ho facin de manera segura.
  • Realitzar una còpia de sistema (clonat) i una còpia bit a bit del disc dur que conté el sistema, i després analitzar les còpies utilitzant eines forenses.
    Aïllar el sistema utilitzat per revelar les dades per tal de realitzar una anàlisi forense més tard.
  • Si les dades han estat enviades a servidors públics, sol·licitar al propietari (o webmaster) que elimini les dades divulgades.
  • Si no és possible eliminar les dades divulgades, proporcionar una anàlisi completa de la situació al departament corresponent (Legal, Compliance, RRHH, etc.) o a qui exerceixi aquestes funcions en l'empresa.
  • Vigilar la difusió dels documents/dades filtrades en els diferents llocs web i xarxes socials (Facebook, Twitter, etc.) així com els comentaris i reaccions dels usuaris d'Internet.

Tasques d'erradicació

Després de la contenció d'un incident, l'erradicació pot ser necessària per a solucionar determinats efectes de l'incident de seguretat, com, per exemple, eliminar un malware o desactivar de comptes d'usuari vulnerades. Alguns exemples de tasques d'erradicació podrien ser:

  • Definir el procés de desinfecció, basat en signatures, eines, noves versions i/o revisions de programari, etc. i provar-ho. Assegurar que el procés de desinfecció funciona adequadament sense danyar serveis.
  • Comprovar la integritat de totes les dades emmagatzemades en el sistema, mitjançant un sistema de hashes que els fitxers no han estat modificats, amb especial atenció als fitxers executables.
  • Revisar la correcta planificació i actualització dels motors i firmes de antivirus.
  • Analitzar amb antivirus de tot el sistema, els discs durs i la memòria.
  • Restaurar connexions i privilegis de mica en mica. Especial accés restringit gradual de màquines remotes o no gestionades.