Zdecydowana większość przedstawionych poniżej informacji pochodzi z oficjalnych oświadczeń oraz wypowiedzi przedstawicieli RSA, w tym m.in. listu otwartego, opublikowanego przez Arta Coviello, szefa firmy.

Co się stało?

Systemy RSA stały się celem ataku, który przedstawiciele RSA nazywają "udanym atakiem typu APT" (Advanced Persistent Threat - tym mianem zwykle określa się złożony, wielostopniowy atak, którego celem jest przełamanie zabezpieczeń konkretnej organizacji/instytucji). Wiadomo, że napastnicy przejęli "pewne informacje", które w jakiś (niesprecyzowany przez RSA) sposób mogą negatywnie wpływać na bezpieczeństwo systemu autoryzacyjnego SecurID.

Zobacz również:

• Hakerzy włamali się do znanego polskiego sklepu internetowego

Co to znaczy?

Tego przedstawiciele RSA na razie nie mówią - poinformowali za to, jakich operacji przestępcy na pewno nie będą mogli wykonać: "wykradzione informacje nie umożliwiają przeprowadzenia skutecznego, bezpośredniego ataku na żadnego z naszych klientów, korzystających z RSA SecurID".

Skąd w takim razie całe całe to zamieszanie, i czy przestępcy mogą w jakikolwiek sposób użyć tych informacji?

Dopóki RSA nie ujawni, co właściwie skradziono, dopóty nie będzie znana jednoznaczna odpowiedź na to pytanie. Ale warto pamiętać, że produkty RSA są bardzo popularne w korporacjach, a niepokój przedstawicieli firmy świadczy o tym, że może istnieć metoda wykorzystania nielegalnego wykorzystania tych danych. Przedstawiciele RSA mówią tak: "Te informacje mogą zostać wykorzystane np. do ograniczenia skuteczności dwustopniowego autoryzowania dostępu w systemie SecurID - przestępcy mogą użyć ich podczas szerszego, wielostopniowego ataku. Obecnie ściśle współpracujemy z naszymi klientami i informujemy ich, jak mogą wzmocnić zabezpieczenia".

Jak można wzmocnić zabezpieczenia?

Lista zaleceń RSA składa się z dziewięciu punktów - ale większość z nich to dość ogólne i raczej oczywiste porady dotyczące zachowania bezpieczeństwa:

1. Zwrócić uwagę na sposób, w jaki pracownicy mający dostęp do korporacyjnych zasobów korzystają z serwisów społecznościowych.

2. Zobowiązać pracowników do korzystania z "silnych" haseł i PIN-ów.

3. Podczas przyznawania pracownikom dostępu do cennych zasobów, przyznawać im tylko absolutnie niezbędne, możliwie niskie, uprawnienia.

4. Poinstruować użytkowników, by unikali podejrzanych wiadomości e-mail oraz wyjaśnić, na czym polega phishing, i jak zachować się w przypadku prób wyłudzania poufnych informacji (a także zalecić im, by zgłaszali takie przypadki)

5. W miarę możliwości wdrożyć dwustopniowe systemy autoryzacji oraz rozwiązania SIEM (Security Information and Event Management)

6. Monitorować zmiany w systemie uprawnień, sprawdzać przypadki zwiększenia przywilejów i każdorazowo weryfikować zasadność takich decyzji.

7. Ograniczyć dostęp do narzędzi służących do zarządzania oprogramowaniem zabezpieczającym.

8. Sprawdzić procedury pod kątem ich odporności na ewentualne ataki wykorzystujące inżynierię społeczną.

9. Zaktualizować aplikacje zabezpieczające, oprogramowanie użytkowe oraz systemy operacyjne.

Co RSA zamierza zrobić w tej sprawie?

Firma deklaruje, że będzie pomagać wszystkim klientom w zabezpieczeniu ich systemów: "Jesteśmy gotowi przekazać im wszelkie niezbędne zasoby, narzędzia i informacje, które będą niezbędne do zapewnienia bezpieczeństwa. Zamierzamy zaangażować do tego zarówno wszystkich naszych pracowników, jak i naszych partnerów".

Jak włamywacze dostali się do RSA?

Nie wiadomo - RSA nie podaje żadnych szczegółów.

Czy dowiemy się tego?

Nie wiadomo - deklaracje firmy w tej kwestii są dość niejasne. Przedstawiciele RSA zapowiadają, że udostępnią "niezbędne informacje" tym klientom i organizacjom, którym będą one potrzebne do zapewnienia bezpieczeństwa. Firma zamierza też wykorzystać wnioski z analiz incydentu do opracowania nowych metod zabezpieczania infrastruktury przed złożonymi cyberatakami.

Jak RSA zaatakowała na włamanie?

Firma twierdzi, że zareagowała "agresywnie" i natychmiast wzmocniła zabezpieczenia. Jej pracownicy prowadzą dwutorowe dochodzenie w tej sprawie - badają ją zarówno samodzielnie, jak i w ramach współpracy z "odpowiednimi władzami".

Kiedy doszło do ataku?

Dokładnej daty czy przedziału czasowego nie podano - przedstawiciele RSA mówią tylko, że atak nastąpił niedawno. Amerykańska Komisja Giełdy i Papierów Wartościowych została powiadomiona pod koniec ubiegłego tygodnia (ale wiadomo, że już kilka dni wcześniej rozpoczęto wyjaśnianie incydentu).