Pliki miały wpływ na konta funduszu emerytalnego
27.05.2024
W niedawnym wpisie na blogu Google Cloud podzielił się szczegółami na temat incydentu, który dotknął jednego z jego australijskich klientów, UniSuper, funduszu emerytalnego.
Incydent polegał na przypadkowym usunięciu prywatnej chmury Google Cloud VMware Engine (GCVE) klienta z powodu błędnej konfiguracji operatorów Google.
Według wpisu, incydent miał miejsce, gdy operatorzy Google wdrażali prywatną chmurę GCVE dla UniSuper za pomocą wewnętrznego narzędzia.
Nastąpiła niezamierzona błędna konfiguracja, gdy jeden z parametrów pozostał pusty. To miało niezamierzony skutek, polegający na domyślnym ustawieniu prywatnej chmury GCVE klienta na określony czas z automatycznym usunięciem na końcu tego okresu. Po roku prywatna chmura GCVE klienta została automatycznie usunięta z powodu tej błędnej konfiguracji. Nie wysłano powiadomienia do klienta, ponieważ usunięcie zostało wywołane przez pusty parametr w wewnętrznym narzędziu, a nie przez żądanie usunięcia ze strony klienta.
Google zaznacza, że powiadomienie do klienta poprzedziłoby każde usunięcie zainicjowane przez klienta.
Po incydencie zespoły klienta i Google przez kilka dni pracowały nad odzyskaniem prywatnej chmury GCVE UniSuper, przywróceniem konfiguracji sieciowych i zabezpieczeń oraz przywróceniem obciążeń z kopii zapasowych.
Na szczęście klient miał dane przechowywane poza Google Cloud, co ułatwiło proces odzyskiwania.
Google podjęło kroki, aby zapobiec podobnym incydentom w przyszłości, w tym wycofanie wewnętrznego narzędzia, które spowodowało błędną konfigurację, oraz automatyzację procesu wdrażania, aby wyeliminować możliwość błędu ludzkiego.
Wielu ekspertów technologicznych skrytykowało odpowiedź Google, uznając ją za „minimum”. Wskazują oni na konieczność wprowadzenia bardziej kompleksowych środków, takich jak implementacja procesów ręcznej weryfikacji przed przeprowadzeniem masowych usunięć oraz rozważenie tymczasowego zawieszenia zamiast natychmiastowego usunięcia usług.
Ten incydent podkreśla niebezpieczeństwa związane z poleganiem wyłącznie na dostawcach chmury dla infrastruktury oraz konieczność utrzymywania kopii zapasowych poza miejscem przechowywania danych.
Również uwypukla potrzebę posiadania solidnych procesów i zabezpieczeń przed błędami ludzkimi przy zarządzaniu kluczowymi danymi i usługami klientów.
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.
