CISA, agência de cibersegurança dos EUA, admite falta de plano de resposta após funcionário vazar dados de login no GitHub
A agência de cibersegurança dos EUA (CISA) revelou que precisou criar um plano de resposta emergencial durante o incidente, após um contratado vazar dados confidenciais de acesso a sistemas governamentais publicamente no GitHub.
A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) admitiu em um relatório post-mortem que não possuía um plano de resposta (playbook) pré-preparado para o vazamento de dados críticos na nuvem ocorrido em maio passado. Isso levou os funcionários a "passar tempo criando [o playbook] no início do incidente" enquanto resolviam o problema de forma ad-hoc.
O incidente começou em maio, quando pesquisadores de segurança da GitGuardian descobriram uma grande quantidade de dados confidenciais, como chaves e credenciais de acesso a sistemas governamentais dos EUA, armazenados em um repositório público do GitHub. Esses dados haviam sido carregados por um funcionário de um contratado que trabalha para a própria CISA. Os pesquisadores tentaram entrar em contato diretamente com a empresa contratada para alertá-la, mas não obtiveram resposta.
A história foi divulgada publicamente depois que os pesquisadores notificaram Brian Krebs, um jornalista investigativo independente de cibersegurança. Krebs contatou diretamente a CISA. Somente após ser contatada pelo jornalista, a CISA agiu para remover o repositório e revogar ou alterar todos os dados confidenciais vazados imediatamente.
O ponto interessante é que a CISA tem feito campanha e exigido que várias organizações, tanto governamentais quanto privadas, criem playbooks para responder a diferentes tipos de incidentes cibernéticos por muitos anos. No entanto, no relatório mais recente, a própria agência admitiu que "errou ao não criar um playbook para GitHub/Nuvem antes" especificamente para esse tipo de situação. Apesar disso, a CISA confirmou que, após a investigação pós-incidente, não encontrou evidências de que os dados vazados tenham sido utilizados por agentes mal-intencionados e que nenhuma informação de clientes ou outros dados sensíveis foi afetada.
Este incidente é um lembrete importante de que mesmo agências nacionais responsáveis pela cibersegurança podem ter vulnerabilidades em seus processos, e reforça a importância de ter um plano de resposta pré-preparado para todas as situações, e não apenas criá-lo quando os problemas surgem.