.
A Biblioteca Britânica afirma que a TI legada é o principal fator que atrasa os esforços de recuperação do ataque de ransomware Rhysida no final de 2023.
Rhysida invadiu a Biblioteca Britânica em outubro do ano passado, roubando 600 GB de dados e, o que é mais importante, destruindo muitos de seus servidores que estão agora em processo de substituição.
A instituição afirma num novo relatório que analisa o incidente que muitos dos seus sistemas não podem ser restaurados devido à sua idade. Eles não trabalharão mais na nova infraestrutura ou simplesmente não conseguirão obter suporte do fornecedor após o fim da vida útil (EOL).
Ele também destaca a “topologia de rede historicamente complexa” que, em última análise, proporcionou à afiliada da Rhysida acesso mais amplo e oportunidades para comprometer sua rede e sistemas do que normalmente esperariam com alvos corporativos mais típicos.
Esses sistemas legados também dependiam de processos de dados manuais de extração, transformação e carregamento (ETL) menos seguros, em vez de um fluxo de trabalho encapsulado de ponta a ponta, como é típico em ambientes modernos. Como resultado, um volume maior de dados de funcionários e clientes transitava na rede.
“Há uma lição clara em garantir que o vetor de ataque seja reduzido tanto quanto possível, mantendo a infraestrutura e as aplicações atualizadas, com maiores níveis de investimento no ciclo de vida em infraestrutura tecnológica e segurança”, diz o relatório. [PDF] estados.
“A Biblioteca respondeu o mais rápido que pôde dadas as circunstâncias e seguiu as medidas necessárias para limitar o ataque, mas ainda assim sofreu danos muito significativos”.
Quanto ao motivo pelo qual a Biblioteca Britânica operava sistemas tão antigos que não podem mais ser restaurados, diz-se que os Regulamentos para Bibliotecas de Depósito Legal (Obras Não Impressas), introduzidos em 2013, tiveram um grande papel a desempenhar.
Esses regulamentos significavam que a biblioteca era obrigada a fazer uma série de investimentos importantes, usando dinheiro retirado dos fundos principais da biblioteca, em serviços obrigatórios, como arquivamento da web, sistemas de preservação digital e aplicativos de visualização. Isto esgotou os fundos da Biblioteca que de outra forma poderiam ter sido usados para modernizar o seu património de TI.
A administração do passado também é responsável pelo “espólio tecnológico extraordinariamente diverso e complexo” da Biblioteca Britânica – que foi formado em torno de “coleções e culturas organizacionais muito diferentes reunidas pela Lei da Biblioteca Britânica de 1972”.
Qual é o dano?
A interrupção causada pelo ataque de Rhysida, que resultou na retirada do ar de quase todos os serviços da Biblioteca até que o incidente fosse contido, incluindo acesso Wi-Fi no local e terminais de pagamento, ainda é sentida hoje.
A Biblioteca Britânica orgulha-se de ter conseguido permanecer aberta durante todo o incidente, mas muitos dos seus serviços principais permanecem interrompidos.
Seus serviços de pesquisa, por exemplo, permanecem incompletos mesmo após o retorno, em janeiro, da funcionalidade de pesquisa de catálogo on-line da Biblioteca. Também foi substancialmente restringido nos dois meses imediatamente após o ataque.
A Biblioteca abriga peças e textos únicos e é utilizada por pesquisadores de todos os tipos para diversos projetos, e também costuma oferecer acesso online a diversos recursos, como periódicos de pesquisa. O acesso eletrônico a eles ainda está offline cinco meses após o ataque.
As Salas de Leitura da Biblioteca, que podem ser reservadas pelos membros para examinar obras no local (a Biblioteca Britânica não permite que livros saiam das instalações) também estão totalmente disponíveis, mas o acesso ao seu acervo físico é reduzido em cerca de 50 por cento. O conteúdo mantido em seus amplos cofres de arquivo de 44 acres do Boston Spa também ainda não está disponível.
Os empréstimos de obras a outras instituições continuam, mas com restrições, acrescenta o relatório. E o acesso às coleções para o pessoal é limitado, o que está a ter repercussões noutras funções da Biblioteca, embora não tenha especificado quais são.
Em caso de dúvida, vá para a nuvem
A Biblioteca Britânica agora tem um foco renovado em tecnologias baseadas em nuvem e espera-se que dependa delas mais do que nunca, a partir dos próximos 18 meses.
Os atuais sistemas de e-mail, finanças, RH, folha de pagamento e segurança física são atualmente baseados na nuvem e não foram afetados pelo ataque. A Biblioteca reconhece o facto de que a nuvem não resolve todos os seus riscos de segurança e introduz novos riscos no processo, mas acredita que, em última análise, serão mais fáceis de gerir a longo prazo.
Falando em administrar tudo isso, parece que a Biblioteca pode ter um trabalho difícil. Como ele próprio admite, a equipe técnica estava “sobrecarregada” antes do ataque e não houve menção de que isso seria corrigido entre então e agora.
A escassez de pessoal era uma grande preocupação na época. Agora, existe actualmente a crença de que a equipa pode não ter dimensão suficiente para satisfazer as exigências do programa de reconstrução, e o relatório alude a um potencial problema com a forma como a Biblioteca paga pelo seu talento.
“A necessidade de aumentar a capacidade de segurança cibernética e de engenharia em nuvem será particularmente aguda e difícil de remediar sem reconsiderar como a Biblioteca remunera as habilidades de TI de alta demanda”, afirma.
Esta revisão das TI está a ser financiada com financiamento que foi originalmente previsto para divulgação ao longo de sete anos, entre 2023 e 2030, mas uma parte significativa deverá ser antecipada como parte de um orçamento revisto de três anos.
O período de seis meses após o ataque, que terminará no próximo mês, foi designado como um período para implementar soluções provisórias para recuperar os sistemas da forma mais completa possível. Nos próximos 18 meses é onde se espera que todas as atualizações de TI ocorram.
O período de financiamento de sete anos da Biblioteca foi originalmente concebido em 2022, quando ela perdeu a certificação Cyber Essentials Plus. Foi originalmente aprovado em 2019, mas uma mudança de critérios fez com que a Biblioteca ficasse aquém dos padrões do programa apoiado pelo governo.
Para aqueles que desejam ler o relato completo da Biblioteca sobre como ocorreu o ataque, o relatório fornece muitos detalhes sobre como tudo se desenrolou. Os investigadores, no entanto, não têm certeza sobre todos os aspectos do ataque, uma vez que a destruição do servidor pelos cibercriminosos foi abrangente o suficiente para apagar muitos de seus rastros digitais.
A Biblioteca Britânica publica, através do relatório, uma lista de coisas que aprendeu com o incidente que informará a sua abordagem futura às TI e à segurança cibernética, que será amplamente aplicável nos aspectos culturais e técnicos da organização.
“Investimento, ousadia e foco incansável são necessários para garantir que estejamos tão seguros quanto possível contra esta ameaça, uma vez que o custo de investir na prevenção é compensado pelo risco de não conseguirmos prevenir”, afirma.
“Embora as medidas de segurança que tínhamos em vigor em 28 de outubro de 2023 fossem extensas e tivessem sido acreditadas e testadas em termos de resistência, em retrospectiva, há muitas coisas que gostaríamos de ter compreendido melhor ou de ter priorizado de forma diferente.” ®
.
