GDPR var altid ment som vag. Ved ikke at liste præskriptive tekniske kontroller – som for eksempel PCI DSS gør – forbliver forordningen bedre relevant over tid. Men dens princip om "teknologineutralitet" kan også være en kilde til frustration for compliance-teams. For mere pragmatisk vejledning vender mange sig mod bedste praksis-standarder som ISO 27001:2022, der fremmer en struktureret, risikodrevet tilgang til cybersikkerhed.
Men som databrud hos LastPass og andre organisationer har vist, er det ikke en universalmiddel – især hvis teams ikke griber compliance an med en tankegang om løbende gennemgang og forbedring.
Hvad skete der med LastPass?
Det menes, at LastPass-bruddet i 2022 afslørede oplysninger om omkring 30 millioner globale kunder, herunder 1.6 millioner i Storbritannien. Uanset hvad var det et ret sofistikeret angreb, der indeholdt to forskellige faser:
- En trusselsaktør kompromitterede en softwareingeniørs bærbare computer, hvilket gav dem adgang til en SSE-C-nøgle. De kunne teoretisk set have brugt denne til at få adgang til sikkerhedskopier af kundedata, herunder krypterede adgangskodebokse. Nøglen var dog krypteret, og fuld adgang til databasen krævede også en anden AWS-adgangsnøgle.
- En trusselaktør var i stand til at udnytte en sårbarhed i Plex-videostreamingtjenesten, som var blevet downloadet til en ledende udviklingsingeniørs personlige bærbare computer. Dette gjorde det muligt for dem at installere en keylogger og efterfølgende dekryptere SSE-C-nøglen og få fat i AWS-adgangsnøglen. Det åbnede døren til de krypterede adgangskodebokse.
Fordi masteradgangskoder til disse hvælvinger blev gemt lokalt på kundernes enheder og aldrig delt med LastPass, burde de have været sikre. Men dårlig implementering af PBKDF2-algoritmen betød, at utallige adgangskoder blev brute-forceret i årene siden bruddet, hvilket førte til et anslået antal Kryptovalutatyveri for 35 millioner dollars.
Hvad ICO sagde
Informationskommissærens kontor (ICO) fik en bøde på 1.2 millioner pund fra LastPass for sin "manglende implementering og anvendelse af passende tekniske og organisatoriske foranstaltninger i strid med artikel 5(1)(f) i den britiske GDPR og artikel 32(1)." Virksomheden tillod specifikt ledende ingeniører at bruge personlige bærbare computere til at få adgang til produktionsnøgler, den tillod medarbejdere at forbinde personlige og forretningsmæssige arkiver med den samme masteradgangskode, og den undlod at rotere AWS-nøgler efter den første hændelse.
Alligevel anerkendte tilsynsmyndigheden, at overholdelse af ISO 27001:2022 burde have betydet, at virksomheden fulgte ICO's egen vejledning om sikring af hjemmearbejdsenheder og adskillelse af personlige og arbejdsmæssige enheder/konti. Det gjorde den tydeligvis ikke.
"LastPass er ikke en undtagelse. Vores nylige forskning viste, at mere end en fjerdedel (26%) af privatlivsprofessionelle mener, at deres organisation sandsynligvis vil opleve et væsentligt brud på privatlivets fred inden for det næste år. Dette risikoniveau er hurtigt ved at blive normen," fortæller ISACA's globale strategidirektør, Chris Dimitriadis, til IO (tidligere ISMS.online).
"Overholdelse af standarder som ISO 27001 er afgørende – men det er kun udgangspunktet. LastPass-bruddet understreger en barsk sandhed: privatliv og databeskyttelse kan ikke reduceres til afkrydsning af felter. Organisationer skal bevæge sig ud over minimal overholdelse og hen imod virksomhedsomfattende kapacitets- og modenhedsvurderinger."
Flytter med tiderne
LastPass er ikke den første og vil bestemt ikke være den sidste virksomhed, der oplever et alvorligt brud, på trods af at virksomheden teknisk set er certificeret i henhold til bedste praksis-standarder. Andre bemærkelsesværdige tilfælde inkluderer:
- 23andMeDNA-testfirmaet blev idømt en bøde på 2.3 millioner pund af ICO efter et brud, der påvirkede millioner af kunder. Det undlod at pålægge brugerne multifaktorgodkendelse (MFA), havde utilstrækkelig overvågning af usædvanlig aktivitet og gjorde det muligt for trusselsaktører at misbruge en intern funktion (DNA-slægtninge) til at få adgang til flere konti, end de burde have været i stand til.
- Interserve-gruppenOutsourceren fik en bøde på 4.4 millioner pund efter et brud på medarbejderdata. Selvom indbruddet blev markeret af virksomhedens endpoint-beskyttelsesværktøjer, undlod de at undersøge sagen.
Sager som denne fremhæver ikke manglerne ved standarder som ISO 27001. De beviser, at mange organisationer stadig ikke griber compliance-programmer an med den rette tankegang.
"Selvom ISO 27001, SOC 2 og andre standarder er et fremragende og tidstestet grundlag for at vurdere virksomheders informationssikkerhed, er de ikke – og har aldrig været – udformet som en garanti for, at en virksomhed er uangribelig, eller at 100 % af politikker eller procedurer følges korrekt," forklarer Ilia Kolochenko, CEO for ImmuniWeb.
"Desuden, selvom alle politikker og procedurer følges behørigt, betyder eller antyder det ikke, at de underliggende processer er teknisk fejlfrie."
Dennis Martin, specialist i krisestyring og forretningsrobusthed hos teknologiservicefirmaet Axians UK, tilføjer, at standardbaseret compliance kun er nyttig, når ledere insisterer på, at kontrollerne fungerer i praksis.
"Sikkerhedsforanstaltninger skal testes, valideres og udfordres regelmæssigt. Antagelser og dokumenterede processer kan ikke erstatte beviser. En 'test, ikke tillid'-tankegang er afgørende, hvis organisationer ønsker tillid til deres sikkerhedspolitik," fortæller han IO (tidligere ISMS.online).
"Effektiv compliance er kontinuerlig. Trusler udvikler sig, forretningsdrift ændrer sig, og kontroller forringes over tid. Regelmæssig gennemgang og forbedring er nødvendig for at sikre, at det, der er nedskrevet, stadig afspejler virkeligheden."
Kontinuerlig forbedring
Faktisk anerkender ISO 27001:2022 "eksplicit", at sikkerhed ikke må stå stille, fortæller Oleria VP for sikkerhed, Didier Vandenbroeck, til IO.
"Et kerneprincip i standarden er løbende forbedring, hvor revisorer forventes at fremhæve muligheder for forbedring, hvor kontroller kan være teknisk kompatible, men ikke længere passende til det udviklende trusselsbillede," forklarer han.
"Når certificering bliver en øvelse med afkrydsningsfelter, går det princip tabt. Certifikater er i sidste ende meningsløse, hvis organisationer ikke følger dem i praksis eller undlader at sætte spørgsmålstegn ved, om eksisterende kontroller stadig giver mening i betragtning af, hvordan folk rent faktisk arbejder, og hvordan angribere opererer."
IO CPO, Sam Peters, er enig.
"Derfor er rammer og standarder mest effektive, når de behandles som levende ledelsessystemer, der effektivt fungerer som modeller til håndtering af cyberrisici, snarere end statiske compliance-milepæle," fortæller han IO.
"Princippet om løbende forbedringer, integreret gennem regelmæssig gennemgang, udfordringer og tilpasning, har været centralt for vores tilgang hos IO siden starten og afspejler, hvad regulatorer i stigende grad forventer at se i praksis. Brugt på denne måde giver rammer et holdbart fundament for organisationer til at håndtere cyberrisiko i et miljø med konstant forandring, snarere end et øjebliksbillede af compliance på et enkelt tidspunkt."
En sådan tilgang er særligt vigtig for at håndtere GDPR-risiko i en tid, hvor tilsynsmyndigheder lægger stadig større vægt på kontekst.
"Tilsynsmyndighederne signalerer meget tydeligt, at 'passende tekniske og organisatoriske foranstaltninger' bør forstås som kontekstuelle og udviklende snarere end faste eller statiske. Hvad der anses for passende, vil variere afhængigt af faktorer som risikoeksponering, datafølsomhed og trusselsbilledet og vurderes i stigende grad efter en hændelse," konkluderer han.
"I praksis betyder det, at tilsynsmyndighederne er mindre interesserede i, om et rammeværk er blevet vedtaget, og mere fokuserede på, hvor effektivt det bruges til at identificere, gennemgå og styre informationssikkerhedsrisici over tid."
