Minister vnútra Laurent Nuñez počas svojho vypočutia pred Senátom podal veľmi podrobný opis kybernetického útoku, ktorý zasiahol jeho rezort. Hneď v úvode spresnil, že časť informácií týkajúcich sa tohto incidentu zostáva predmetom utajenia informačných systémov a prebiehajúceho súdneho vyšetrovania. Laurent Nuñez pripomenul chronológiu faktov: poplach bol vyhlásený 25. novembra minulého roka, keď Generálne riaditeľstvo národnej polície zistilo, že „heslá viacerých e-mailových schránok boli zmenené“. Vyšetrovanie nakoniec ukázalo, že zasiahnuté boli výlučne e-mailové účty národnej polície.
Foto: Ministère de l'Intérieur
Nedostatočná digitálna hygiena
Podľa podrobností hacker prevzal kontrolu nad týmito e-mailovými schránkami, z ktorých následne vyhľadával informácie zadávaním kľúčových slov súvisiacich s tajomstvami, názvami aplikácií a heslami. Umožnil to nedostatok digitálnej hygieny: zamestnanci si totiž cez e-maily vymieňali prístupové údaje. Vďaka týmto prístupom sa kyberzločinec dokázal prihlásiť do portálu združujúceho približne 150 policajných aplikácií. Z nich si prezrel sedem, vrátane TAJ (spracovanie kriminálnej minulosti), FPR (súbor hľadaných osôb) a záznamov Interpolu. Ide o databázy obsahujúce mimoriadne citlivé informácie. Z databázy TAJ, ktorá obsahuje približne 19 miliónov záznamov, uniklo 72 individuálnych spisov. Pirát tiež vyextrahoval niekoľko desiatok tisíc riadkov, teda sumárne záznamy obsahujúce meno, osobné údaje a základné informácie bez uvedenia dôvodu zápisu. Z databázy FPR bolo získaných 23 spisov a približne 3 000 sumárnych údajov. V súboroch Interpolu si prezrel 10 záznamov a len jeden bol vyextrahovaný.
Čítajte viac Tisíc ruských inžinierov proti USA: Najväčšia špionážna kampaň histórie
Údaje neboli zmenené ani zničené
Minister zdôraznil jeden bod: nedošlo k žiadnej úprave ani zničeniu údajov. Útočník totiž do súborov aktívne nezasahoval a žiadne prebiehajúce konanie nebolo ohrozené. Inými slovami, hlavným cieľom hackera bolo získanie (exfiltrácia) dát za účelom ich ďalšieho predaja. V súvislosti s útokom bol zadržaný 22-ročný muž. Ten je už známy z minulosti kvôli incidentom typu swatting (falošné anonymné telefonáty s cieľom uškodiť inej osobe) a zneužívaniu telefónnych liniek. K vniknutiu sa navyše na fóre na predaj dát prihlásila skupina vystupujúca pod názvom Shiny Hunters, pravdepodobne ako odveta za predchádzajúcu policajnú operáciu. Od polovice decembra už nie sú prítomné žiadne stopy po aktívnom útoku. Posledná stopa po vniknutí pochádza zo 16. decembra a k zatknutiu došlo 17. decembra.
Čítajte viac Smartfóny pod vysokou hrozbou: Ako sa naše telefóny stali novým bojiskom kyberzločincov
Zavedenie dvojfaktorovej autentifikácie pre všetkých agentov
Minister uviedol, že séria nápravných opatrení bola prijatá veľmi rýchlo. Všetky heslá k e-mailovým účtom boli resetované. Zrušených bolo približne tisíc neaktívnych účtov. Tímy vykonali kompletnú spätnú analýzu, aby vystopovali všetky pohyby útočníka v systéme, čo umožnilo presne identifikovať sedem prezeraných aplikácií a pohyb na dvoch ďalších portáloch, kde však nebola zistená žiadna aktivita. Súbežne s tým bola okamžite zavedená dvojfaktorová autentifikácia (2FA) na všetkých aplikáciách napadnutého portálu. Tá sa bude postupne rozširovať na všetky systémy ministerstva. Minister priznáva, že táto zmena je pre agentov náročná, keďže ministerstvo má približne 300 000 používateľov a stovky až tisícky informačných systémov. Stojí si však za tým: „Nemôžeme prejsť od jednoduchého hesla k silnej autentifikácii mávnutím čarovného prútika bez toho, aby sme hlboko nenarušili chod organizácie.“
