Hvert er hlutverk stjórnenda í óvissuástandi vegna Log4j veikleikans?

Mikið hefur verið fjallað um “Log4j” veikleikann sem er að hafa mikil áhrif í tölvuheiminum í dag og hefur Ríkislögreglustjóri, í samráði við netöryggissveitina CERT-IS og Fjarskiptastofu, virkjað óvissustig Almannavarna.

Afleiðingar innbrota vegna þessa veikleika geta verið margvíslegar — upplýsingaleki, skemmdarverk á upplýsingakerfum eða gagnagíslataka með tilheyrandi kostnaði eru raunverulegar ógnir. Það sem gerir þennan veikleika erfiðan viðfangs er að fjöldamörg kerfi í heiminum nota Log4j kóðasafnið, og erfitt getur verið að greina hvar og hvaða hugbúnaður er að nota Log4j. Log4j hefur gefið út uppfærslu á hugbúnaðarsafninu sem lagar þennan veikleika og er mælt með að allir uppfæri sem allra fyrst.

Í dag og undanfarna daga hafa meinfýsnir aðilar leitað að kerfum á Internetinu sem nota veika útgáfu af log4j með því að setja sérstakan texta (sem getur verið margskonar) inn í öll innsláttarsvæði og í breytur í veffyrirspurnum á þeim vefsvæðum fyrirtækja sem snúa út á Internetið.

Ef veikleikinn er til staðar, þá geta þeir, í mörgum tilfellum, náð fullum yfirráðum á þeim tölvubúnaði sem keyrir viðkomandi hugbúnað. Eftir að hafa náð yfirráðum er hægt að koma fyrir bakdyrum (hugbúnaður sem gefur meinfýsnum aðilum áfram aðgang að tölvukerfi eftir uppfærslu á Log4j). Bakdyrnar er m.a. hægt að nota til þess að tengjast öðrum kerfum á sama neti og valda miklum skaða. Í þeim tilfellum þegar full stjórn næst ekki á tölvukerfinu er samt til staðar áhætta á leka á viðkvæmum upplýsingum frá tölvukerfinu, svo einhver áhætta er alltaf til staðar ef veik útgáfa af Log4j er í notkun. Vegna þessa er gríðarlega mikilvægt að komast til botns í hvar þessi veiki hugbúnaður er notaður, en það getur verið mjög vandasamt þar sem að kerfin eru fjölmörg og á mismunandi stöðum. Ekki er hægt að einskorða leitina við kerfi sem snúa beint út á internetið, huga verður að því hvaða innri kerfi gætu verið að taka við gögnum frá notendum og athuga þau líka. Þetta er kapphlaup við tímann, því fyrr sem komið er í veg fyrir veikleikann, því meiri líkur eru á að veikleikinn hafi ekki áhrif. Hins vegar er ráðlagt að leggjast í skoðun á því hvort árás hafi náð árangri því þótt tilraunir eigi sér stað er ekki þar með sagt að árás hafi náð tilætluðum árangri. Einnig ber að hafa í huga að netbúnaður getur verið veikur fyrir þessum árásum, þannig að það er mikilvægt að uppfæra búnað, bæði á heimilum og í fyrirtækjum.

Syndis hefur tekið saman spurningar sem stjórnendur ættu að spyrja sitt tæknifólk til þess að halda þeim við efnið, hjálpa þeim við að víkka fókusinn og falla ekki í þá gryfju að álykta í stað þess að sannreyna.

Mikilvægt er að fá fram staðreyndir. Spurningar eins og: Getið þið staðfest þetta? Hvernig komust þið að þessari niðurstöðu? Hversu örugg eru þið með þessa niðurstöðu? Allt eru þetta spurningar sem vert er að fá svör við.

Dæmi um spurningar stjórnenda til tæknifólks

1. Hversu viss erum við um að búnaður frá þriðja aðila sé ekki að keyra Log4j?
   
   Án þess að leita vandlega í öllum búnaði sem fyrirtækið notar eða styðst við, þá er ekki hægt að fullvissa sig um að ekki sé verið að nota Log4j.
   
   

2. Erum við viss um að einhver hafi ekki nýtt sér þennan veikleika frá því á fimmtudag (09.12.21)?
   
   Eða jafnvel fyrr? T.d. sl. 6 mánuði? Getum við komist að því? T.d. með því að skoða atvikaskráningar? Þessi veikleiki er búinn að vera til staðar í mörg ár. Líklegast er að hann hafi einungis verið misnotaður síðan 9. des. 2021, mögulega síðan 1.des, en ráðlagt er að leita lengra aftur í tímann.
   
   

3. Erum við viss um að enginn hafi tekið sér bólfestu í kerfum okkar?
   
   Þeir sem nýta sér veikleikann í upphafi kappkosta við að taka sér bólfestu í kerfum fyrirtækja, og hafa þannig aðgang kerfunum síðar eða selja glæpamönnum aðgang þegar um róast.
   
   Aðgangur getur síðar meir verið notaður til þess að skemma, leka upplýsingum, stela fjármunum eða gagnagíslatöku svo dæmi sé nefnt.
   
   Mikilvægt er að tæknifólk styðjist við hugarfarið “assumed breach” þar til annað kemur í ljós í vinnu sinni.
   
   

4. Hvað erum við að gera núna til þess að vakta kerfin okkar? Gildir það líka um kvöld, nætur og helgar? Hvernig verða jól og áramót?
   
   Höfum við uppfært eftirlitskerfi?
   
   Web Application Firewall eða önnur öryggiskerfi - stöðugt þarf að uppfæra m.t.t. nýrra leiða/mynstra sem notaðar eru.
   
   Eldveggi (inn og útstreymi) líka fyrir HTTPS umferð? Eru t.d. þekktar IP adressur blokkaðar? Stöðugt þarf að uppfæra m.t.t. nýrra leiða sem notaðar eru.
   
   Hvernig getum við verið viss um að tilraunir séu gripnar um miðja nótt eða yfir helgi? Hver fær tilkynningarnar? Og hvað gerist svo?
   
   

5. Hversu vel erum við sett m.t.t. að skrá (logga) það sem fer út úr fyrirtækinu?
   
   Geymum við það sem fer út úr fyrirtækinu ef það fer í gegnum dulrituð samskipti?
   
   Hvernig getum við endurbyggt atburðarás og vitað hvað nákvæmlega fór út ef til þess kemur?**
   
   Hversu lengi eru þær atvikaskrár geymdar?
   
   

6. Er ástæða til þess að taka einhverjar þjónustur úr umferð þar til uppfærslur berast og hafa verið innleiddar?
   
   Full ástæða er til þess að taka út allt sem er ekki rekstrarlega mikilvægt en hefur ekki verið prófað til hlítar m.t.t. veikleikans.
   
   Fyrir annan búnað sem ekki er hægt að slökkva á tímabundið, en hefur ekki verið prófaður til hlítar m.t.t. veikleikans, ætti að byrja á að teikna upp flæði upplýsinga úr kerfinu til þess að greina mögulega Log4j veikleika.
   
   

7. Eru uppfærslur prófaðar m.t.t. virkni?
   
   Mikilvægt er að ganga úr skugga um að veikleikinn hafi örugglega verið lagaður með uppfærslunni.
   
   

8. Er fylgst með fréttum af nýjum árásum og leiðbeiningum daglega?
   
   Sífellt berast nýjar upplýsingar um árásaraðferðir og góð ráð til þess að verjast árásum.
   
   Mikilvægt er að fylgjast vel með og bregðast hratt við.
   
   

9. Eru afrit okkar virk og örugg?
   
   Nú er gott að kanna daglega hvort afritun eigi sér stað og að afritin séu heil (t.d. ekki dulrituð af meinfýsnum hökkurum).
   
   Er til afrit af afritum okkar sem er ótengt netkerfi fyrirtækisins? Ef ekki minnka líkurnar á að takist að endurheimta gögn úr gagnagíslatöku.
   
   Hefur endurbygging á kerfum frá afriti verið æfð og þekkir tæknifólk hversu langan tíma það tæki?
   
   

10. Hafið þið skoðað öll kerfi sem snerta netkerfi okkar?
    
    Hafið þið hugsað út í CRM kerfi, bókhaldskerfi, launakerfi, tímaskráningarkerfi, verkefnastjórnunarkerfi, sýndarvélaumhverfi, netbúnað, snarspjall, prentara, snjalltæki, öryggiskerfi, myndavélakerfi, símabúnað o.m.fl.?
    
    Mörg slík kerfi geta verið að taka við gögnum frá vefjum í gegnum vefþjónustur o.þ.h. og geta því verið veik fyrir log4j veikleikanum.
    
    Flestir framleiðendur búnaðar ættu að vera komnir með leiðbeiningar um hvort og hvernig bregðast skuli við.
    
    

Dæmi um spurningar til annarra stjórnenda

1. Erum við farin að undirbúa viðbrögð við upplýsingaleka eða rekstraráfalls?
   
   Er til uppkast af tilkynningu til viðskiptavina, starfsfólks og fjölmiðla komi til áfalls? Eru til leiðbeiningar um hvernig stýra megi samskiptum á jákvæðan hátt? Vitum við hvað þarf að forðast að segja?
   
   Hefur verið skilgreint hvernig samskipti fara fram ef tölvukerfi verða óaðgengileg?
   
   

2. Vitum við hverja við þurfum að hafa samband við, kalla til eða upplýsa komi til upplýsingaleka eða rekstraráfalls?
   
   Er til listi? Er hann réttur?