ООН крупно взломали, но организация никому об этом не сказала
Штаб-квартиры ООН в Женеве и Вене прошлым летом стали жертвами хакеров, которые получили данные к внутренней информации. Организация умолчала об этом, решив не информировать работников и общественность, данные о которых могли оказаться в руках злоумышленников, пишет The New Humanitarian.
Атака случилась в середине июля 2019 года, но ее заметили лишь через месяц. Об этом стало известно из отчета от 20 сентября, попавшего в руки журналистов. Документ освещает прорехи в безопасности, найденные сторонней исследовательской компании и меры, которые принимали в ООН для сдерживания взлома. Документ получили от анонимного сотрудника IT-отдела.
Точкой входа в систему ООН стала уязвимость в Microsoft SharePoint, для которой несколько месяцев существовал патч, но который организация не установила. Злоумышленники получили доступ к около 40 серверов, включая офис ООН по правам человека. Последний собирает чувствительные данные и он часто подвергался нападкам за раскрытие случаев нарушения прав. По оценкам, пострадать от взлома могло около 4 000 человек, к чьим данным хакеры получили доступ. Злоумышленники смогли скачать с серверов около 400 ГБ данных.
В ООН решили скрывать произошедшее. О событии знали лишь работники IT-отделов и главы пострадавших департаментов. Спикер организации сообщил, что точная природа и масштаб инцидента были неизвестны, поэтому об инциденте решили не сообщать публично. Пострадавшим работникам лишь сообщили о необходимости сменить пароли.
ООН несколько лет предупреждали о возможном масштабном взломе. Проведенный в 2012 году аудит показал неприемлемый уровень риска и по его результатам провели реструктуризацию серверов, веб-сайтов, почты и других сервисов. Проект обошелся в $1,7 млрд.
В 2018 году официальный аудит показал, что система остается уязвимой. Среди возможных проблемных точек были передача обслуживания на аутсорс, использование собственных гаджетов, обмен информацией, открытые данные, повторное использование и безопасная утилизация списанного IT-оборудования. Из 37 внутренних групп 28 не ответили на проведенный аудит. Из 1500 сайтов и приложений только одно осуществило аудит безопасности. Также из 38 105 человек персонала менее половины прошли обучение по базовой IT-безопасности.