#CyberMagazyn: Wyłączyłeś 2FA? Holenderski sąd: odpowiadasz za incydent
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Login i hasło nie są już uznawane za wystarczające zabezpieczenie naszych kont, co wielokrotnie powtarzają eksperci z branży cyberbezpieczeństwa. Obecnie rekomenduje się wykorzystanie dwuetapowego uwierzytelniania, czyli podania dodatkowego składnika podczas logowania (np. jednorazowego kodu). Sąd w Holandii Północnej orzekł, że niewdrożenie MFA znacznie przyczyniło się do możliwości wystąpienia incydentu bezpieczeństwa w środowisku chmurowym, który kosztował przedsiębiorstwo prawie 3,4 mln złotych.
W artykule security.nl z 24 października br. opisano incydent w pewnej holenderskiej firmie, która korzystała z usług chmurowych Microsoft Azure za pomocą zewnętrznego dystrybutora.
„Koszty korzystania z usług chmury Azure są każdorazowo rozliczane po fakcie. Microsoft obciąża kosztami dystrybutora ICT, który następnie obciąża nimi tzw. »resellerów”«, takich jak fryzyjski dostawca IT” – przekazano na łamach wspomnianego portalu.
Kosztowny incydent
7 listopada 2022 r. dystrybutor ICT, odpowiedzialny za świadczenie usługi fryzyjskiemu przedsiębiorstwu (nazywanemu „dostawcą IT”), wykrył ponadprzeciętne wykorzystanie zasobów chmurowych, które powodowało koszty w wysokości 22 tys. euro dziennie. Z czasem okazało się, że cyberprzestępca uzyskał nieuprawniony dostęp do infrastruktury i uruchomił w niej „około 60 serwerów chmurowych do kopania kryptowalut” (tzw. cryptominery). Serwery miały działać z maksymalną wydajnością przez pięć tygodni.
Łączna suma kosztów korzystania z zasobów środowiska chmurowego wyniosła 864 tys. euro, czyli ponad 3,6 mln złotych (stan na październik 2025 roku). „Fryzyjski dostawca IT posiadał ubezpieczenie, lecz nie obejmowało ono tego rodzaju nadużycia” – stwierdzono w artykule.
W toku analizy incydentu stwierdzono, że dostawca IT (fryzyjskie przedsiębiorstwo) wyłączył dwuetapowe uwierzytelnianie.
Czytaj też
Poszukiwanie „winnego”
Dostawca IT, korzystający z usług chmurowych Azure za pośrednictwem dystrybutora ICT, chciał udowodnić podwykonawcy naruszenie obowiązku „należytej staranności” w kontekście niewdrożenia dwuetapowego uwierzytelniania, pomimo tego, że samemu doprowadził do wyłączenia konieczności stosowania 2FA.
Sąd w Holandii Północnej orzekł, że twierdzenia dostawcy IT są bezpodstawne, ponieważ dystrybutor ICT (pośrednik) poinformował fryzyjską firmę o konieczności włączenia dwuetapowego uwierzytelniania.
„Zdaniem sądu dostawca IT powinien był na podstawie wcześniej wysłanego e-maila aktywnie włączyć MFA” – przekazano na łamach security.nl.
Sąd dochodzi do wniosku, że fryzyjski dostawca IT sam ponosi odpowiedzialność za szkody będące skutkiem włamania, które — zdaniem sądu — najprawdopodobniej było możliwe, ponieważ dostawca IT nie włączył MFA. Firma musi więc sama pokryć szkody.
security.nl o wyroku sądu
Dlaczego dwuetapowe uwierzytelnianie jest ważne?
„Wyłączyłem MFA, żeby było wygodniej – 864 tys. euro kary przez sąd. Lekcja dla branży: prawnik nie chroni, ale bezpiecznik techniczny chroni” – skwitował incydent Andrzej Piotrowski, ekspert z branży cyberbezpieczeństwa.
Dodał również, że od października 2022 r. dwuetapowe uwierzytelnianie jest domyślnie włączone w Azure, lecz w 2021 roku wymagało ręcznego uruchomienia.
„Wyrok sądu: Wiedziałeś. Zignorowałeś. Zapłacisz” – podsumowuje Piotrowski.
Należy dodać, że w dokumencie „Zalecenia w zakresie cyberbezpieczeństwa dla użytkowników systemów hybrydowych wykorzystujących komponenty chmury publicznej Microsoft”, opublikowanym przez Ministerstwo Cyfryzacji w 2023 roku, jednoznacznie wskazano konieczność wykorzystywania „uwierzytelnienia wieloskładnikowego dla dostępu do danych wrażliwych oraz w przypadku uwierzytelniania spoza chronionych sieci wewnętrznych”. Wskazanie zawarto w punkcie dotyczącym realizacji wymagań prawnych w zakresie bezpieczeństwa.
Rola 2FA/MFA jest kluczowa, ponieważ pozwala uchronić nasze konta przed nieuprawnionym dostępem poprzez wykorzystanie naszego loginu i hasła – podczas logowania zostaniemy poproszeni o podanie dodatkowego czynnika, takiego jak np. jednorazowy kod z aplikacji czy SMS-a. Posty cyberprzestępców na forach wskazują na to, że dane logowania Polek i Polaków są wykradane przez infostealery, czyli złośliwe oprogramowanie służące do pozyskiwania informacji (np. poświadczeń logowania).
Czytaj też
Rekomendacje
W styczniu 2022 roku CERT Polska opublikował rekomendacje techniczne dla systemów uwierzytelniania.
„Zaleca się wsparcie dla uwierzytelniania dwuskładnikowego” – stwierdzono wówczas w opracowaniu.
Warto również podkreślić wymóg stosowania uwierzytelniania dwuskładnikowego przez podmioty podlegające pod NIS2, co wskazano w art. 21 ust. 2 lit. j unijnej dyrektywy.
„Właściwe podmioty zapewniają, że użytkownicy są uwierzytelniani przy użyciu wielu składników uwierzytelniania lub mechanizmów ciągłego uwierzytelniania, zgodnie z klasyfikacją zasobu” – stwierdziła ENISA w rozdziale 11.7 poradnika dotyczącego implementacji NIS2.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?