Fintech gigants Marquis vaino ugunsmūra piegādātāju SonicWall pārkāpumu savā datu noplūdē
Kibernoziegumi kļūst arvien sarežģītāki, un, kā liecina jaunākais incidents, draudi var nākt no visneaizsargātākās vietas – no pašiem aizsardzības rīkiem. Fintech nozīmes uzņēmums Marquis atklājis, ka 2025. gada datu pārkāpums, kurā tika izpostītas tūkstošiem klientu ugunsmūra konfigurācijas, noticis nevis viņu pašu sistēmās, bet gan pie viņu uzticētā drošības partnera – ugunsmūra risinājumu piegādātāja SonicWall. Uzņēmums stingri norādījis, ka plāno “meklēt atlīdzināšanu par visiem izdevumiem” no savas piegādātājas kompānijas, izraisot nopietnas diskusijas par atbildību digitālajā drošības ķēdē.
Kas notika? Datu noplūde ar sarežģītu vainīgo
Saskaņā ar oficiālo paziņojumu, 2025. gada nogalē Marquis konstatējis aizdomīgu aktivitāti savās perimetra aizsardzības sistēmās. Detalizēta forenziskā izmeklēšana atklājusi, ka uzbrucēji ir iegūjuši piekļūtu jutīgai informācijai par klientu tīkla infrastruktūru, tai skaitā konfigurācijas failiem un piekļuves parametriem ugunsmūriem. Sākotnēji domājot par iekšēju ievainojamību, izmeklētāji izsekoja uzbrukuma celiņu tieši uz SonicWall pārvaldības platformu, ko Marquis izmantoja savu drošības ierīču pārvaldībai.
Izrādījās, ka uzbrucēji izmantoja iepriekš nezināmu ievainojamību (zero-day vulnerability) tieši SonicWall sistēmās, lai iegūtu administratora piekļuvi. Caur šo “aizmugurējo durvju” viņi pēc tam varēja ne tikai skatīt, bet arī lejupielādēt un, iespējams, modificēt Marquis klientu ugunsmūra iestatījumus. Šāda konfigurāciju izpaušana ir ārkārtīgi bīstama – tā ir kā ienaidniekam iedot mājas drošības sistēmas shēmu ar atzīmētām blindēm un slēptām durvīm.
Kāpēc ugunsmūra konfigurācijas ir tik jutīgas?
Daudzi lietotāji domā, ka ugunsmūris ir “iestatīt un aizmirst” ierīce. Taču realitātē tā konfigurācija satur visu tīkla “DNS”. Tajā ir informācija par to, kuras iekšējās sistēmas ir pieejamas no ārpuses, kādi lietotājiem ir paplašināti piekļuves tiesības, kādi porti ir atvērti un kādi tīkla segmenti ir izolēti. Iegūstot šos datus, uzbrucēji var:
* Precīzi zināt, uz kurām sistēmām vērsties, lai izvairītos no nevajadzīgas uzmanības.
* Atklāt slēptas ievainojamības vai novecojušas pakalpojumu versijas, kas pieejamas tikai iekšēji.
* Izveidot maldinošus tīkla maršrutus, lai pārtvertu datus (man-in-the-middle uzbrukums).
* Sagatavot vēl nopietnāku uzbrukumu, kas varētu novest pie pilnīgas kontroles pār sistēmām.
Marquis uzsver, ka šajā noplūdē netika pakļauti tiešie klientu maksājumu dati, bankas kontu numuri vai personas kodi. Taču eksperti brīdina, ka iegūtā konfigurāciju informācija ir pirmā un ļoti vērtīgā dāvana uzbrucējiem, kas var ļaut viņiem vēlāk iegūt piekļuvi šiem jutīgajiem datiem.
Atbildības jautājums: Vai piegādātājs maksās par savu ievainojamību?
Šis incidents izceļ vienu no aktuālākajiem jautājumiem mūsdienu kiberdrošībā – atbildības sadalījumu starp uzņēmumu un tā pakalpojumu piegādātājiem. Marquis ir skaidri paziņojis, ka “meklēs atlīdzināšanu par visiem izdevumiem, kas saistīti ar šo incidentu, tostarp izmeklēšanu, klientu informēšanu, pastiprinātās monitoringa sistēmas un jebkādām tiesas prasībām vai sodus no regulatoriem” no SonicWall.
Tas rada vairākus precedenta jautājumus:
1. **Līguma noteikumi:** Vai līgumā starp Marquis un SonicWall ir skaidri noteikta atbildība par sekām, kas radušās no piegādātāja sistēmu ievainojamībām? Parasti piegādātāji mēdz ierobežot savu atbildību līdz pakalpojuma maksas atlīdzināšanai.
2. **Negadījuma rūpība (Due Diligence):** Vai Marquis veica pietiekamu pārbaudi, izvēloties SonicWall kā piegādātāju? Vai tika novērtēts viņu drošības praktiku vēsture?
3. **Regulatoru reakcija:** Kā uz šo incidentu reaģēs datu aizsardzības regulatori? Vai tie uzskatīs Marquis par galveno atbildīgo par klientu datu aizsardzību, neatkarīgi no tā, kurā sistēmā noplūde notika?
SonicWall reakcija un pastāvīgās drošības problēmas
SonicWall pagaidām nav sniedzusi detalizētu komentāru par konkrēto šo gadījumu. Tomēr jāatzīmē, ka uzņēmums nav svešs drošības incidentiem. Pagājušajos gados ir bijuši vairāki gadījumi, kad to produktos atklātas kritiskas ievainojamības, kas ļāvušas uzbrucējiem iegūt pilnu kontroli pār ierīcēm. Šis fakts noteikti tiks izmantots Marquis argumentācijā, pierādot, ka piegādātājs nepilda savas pienākums nodrošināt pietiekami drošus produktus.
Šis incidents skaidri parāda, ka vienkārša trešās puses risinājuma iegāde neattīra uzņēmumu no atbildības. Tas uzliek lielāku slodzi uz iekšējo IT drošības komandu, lai nepārtraukti monitorētu ne tikai savas, bet arī piegādātāju sistēmu drošību, veiktu regulārus risku novērtējumus un nodrošinātu, ka līgumi satur skaidrus atbildības noteikumus par drošības pārkāpumiem.
Kādi mācījumi citiem uzņēmumiem?
Marquis un SonicWall stāsts ir brīdinājuma signāls visiem uzņēmumiem, kas paļaujas uz ārējiem drošības risinājumiem.
1. **Neuzticieties aklīgi piegādātājam.** Pat visvairāk reklamētākā drošības platforma var kļūt par vājāko posmu. Īstenojiet “nulles uzticēšanās” (zero trust) arhitektūras principus, kur piekļuve netiek dota pēc noklusējuma, pat ja lietotājs atrodas “iekšā” tīklā.
2. **Pārbaudiet savus līgumus.** Pārrunājiet un iekļaujiet līgumos ar drošības piegādātājiem skaidrus punktus par atbildību un kompensāciju datu pārkāpuma gadījumā, kas izriet no viņu produktu trūkumiem.
3. **Divkāršojiet aizsardzību.** Nekad nepaļaujieties tikai uz vienu aizsardzības slāni. Izmantojiet vairāku piegādātāju risinājumus vai papildu iekšējo monitoringu, lai pārvaldītu trešās puses piekļuves riskus.
4. **Sagatavojieties incidentam.** Ir jābūt skaidram incidentu reaģēšanas plānam, kas ietver arī scenārijus, kad problēma rodas piegādātāja pusē. Kam jāzvana? Kā jāinformē klienti? Kā jāizvēršas no pakalpojuma, ja nepieciešams?
Nākotnes perspektīva: Drošība kā kopīga atbildība
Fintech nozare, kas strādā ar visjutīgākajiem datiem, noteikti būs šī incidenta rūdītākā novērotāja. Drošvien mēs redzēsim stingrākas regulatīvās prasības attiecībā uz trešo pušu pakalpojumu piegādātāju izvēli un pārraudzību. Uzņēmumi kā Marquis nākotnē varētu pieprasīt no piegādātājiem ne tikai sertifikācijas, bet arī pastāvīgus drošības auditus un pārbaudes.
Šis gadījums arī parāda, ka kiberdrošības jomā nav vienkāršu atbilžu. Pat nopircis “labāko” ugunsmūri, jūs neesat pilnībā aizsargāts. Patiesā aizsardzība rodas no daudzslāņu pieejas, pastāvīgas modrības un skaidras izpratnes, ka drošība ir nepārtraukts process, nevis vienreizējs produkta pirkums. Marquis tiesības pret SonicWall izskatīsies tikai kā pirmais šāda veida konflikts, bet mācība no tā jāņem visai nozarei – jūsu datu drošība ir tikpat stipra kā vājākais posms jūsu piegādātāju ķēdē.