פריצה שאותרה לאחרונה חשפה נתונים של כמעט כל תושבי אקוודור, כ- 17 מיליון איש, בהם גם 6.7 מיליון ילדים. מלבד ההיקף העצום, הפריצה זכתה לכותרות עקב עומק המידע שנחשף, לרבות קבצים המכילים מספרי זיהוי ממשלתיים רשמיים, מספרי טלפון, רשומות לגבי מצב משפחתי, תאריכי נישואין, היסטוריית השכלה ומידע לגבי מקומות עבודה.
הפריצה לנתונים התאפשרה הודות לחולשת אבטחה בשרת AWS Elasticsearch לא מאובטח אשר בו אוחסן מידע אודות אזרחי אקוודור ע"י חברה לניתוח נתונים - Novaestrat. פריצה זו לנתונים מדגישה את חשיבות ההבנה של אמצעי הבקרה שמתקין ספק הענן ושל הצעדים שארגונים יכולים לנקוט כדי לחזק ולשפר את המדיניות ונהלי האבטחה.
רוב ספקי הענן פועלים לפי מודל של אחריות משותפת, שבו הספק אחראי לאבטחה עד לנקודה מסוימת ולאחר מכן האחריות עוברת למשתמשי השירות. ספקי ענן ציבורי מספקים הנחיות ברורות לגבי מודלי האבטחה של האחריות המשותפת והעמידה ברגולציה בסביבות ענן, אך המציאות העגומה היא שרבים מתעלמים מהנחיות אלו.
למעשה, נתונים שפורסמו לאחרונה בדו"ח האיומים המתקדמים של סייברארק מעידים ש-75% מהמשיבים מסתמכים בעיקר על האבטחה המובנית של ספקי הענן ולמחצית מהארגונים אין כלל אסטרטגיה לאבטחת נתונים או נכסי מידע פריבילגיים בענן. זוהי למעשה דלת פתוחה בפני גורמים בעלי כוונות זדון.
אקוודור אינה הממשלה היחידה שהמידע של תושביה נחשף באמצעות שרת בלתי מאובטח ומן הסתם גם לא האחרונה. שרת Elasticsearch דומה חשף את רשומות המצביעים של כ-14.3 מיליון בני אדם בצ'ילה, המהווים כ-80% מאוכלוסיית המדינה.
ככל שיותר גופים ממשלתיים מאמצים את הענן כדי להיות גמישים יותר ולשרת טוב יותר את האזרחים, חיוני שימשיכו לפתח גם את אסטרטגיות אבטחת הענן כדי להגן באופן יזום מפני איומים חדשים ולחזק את האמון בקרב האזרחים הסומכים על שירותיהם.
מאת: לביא לזרוביץ', ראש קבוצת מחקר במעבדות סייברארק