Omfattende WADA-tiltak etter angrepet

Rammet av hackerangrep i august/september. 

Tirsdag 13. september gikk WADA ut og bekreftet at den russiske hackergruppen "Fancy Bear" hadde stjålet og publisert konfidensielle opplysninger om en rekke utøveres medisinske fritak (TUE).

Les også: Solheim: - Et svært alvorlig angrep

Informasjonen skaffet de ved å hacke ADAMS (Anti-Doping Administration and Management System) via en brukerkonto opprettet spesifikt for OL i Rio. Denne kontoen inneholdt informasjon om alle OL-utøvernes medisinske fritak. 

Umiddelbart etter at de ble kjent med hackerangrepet, nedsatte WADA et responsteam bestående av både sentralt ansatte og personer hentet utenfra, og etablerte også samarbeid med politimyndighetene i Canada.

Etterforskningen av angrepet pågår fortsatt.

"Fancy Bear" har offentliggjort utøverinformasjon ved seks ulike anledninger, men til nå har ingen norske utøvere blitt rammet. Antidoping Norge valgte å endre rutinene som følge av angrepet, og har sluttet å bruke ADAMS for medisinske fritak. 

Les også: Slutter å bruke ADAMS for medisinske fritak

5. oktober gikk WADA ut med et sammendrag av hva som har skjedd siden ADAMS-databasen ble hacket, og hva de har gjort for å løse problemet. Nedenfor gjengir vi disse punktene. 

1. I juni 2016 opprettet WADA en ADAMS-konto til Rio 2016 for å samle nødvendig utøverinformasjon til det planlagte antidoping-programmet under lekene. Den internasjonale olympiske komité har siden den gang hatt råderett over kontoen, og har som administrator opprettet egne brukerkontoer til de ansvarlige for antidoping-programmet under OL. De har også opprettet brukerkontoer til to WADA-representanter som var til stede under lekene som observatører.

2. Før og under OL iverksatte hackere phishing-angrep mot e-postkontoene til en rekke representanter fra WADA og IOC, og det var slik de skaffet seg passordene som ga dem tilgang til ADAMS-databasen. (Phishing er en form for nettangrep hvor hackerene forsøker å få brukeren til å oppgi brukernavn og passord. Som regel ved å sende e-post med beskjed om å logge seg på for å oppdatere kontaktinformasjon eller en tilsvarende beskjed. E-posten vil da inneholde en link som går til en falsk webside slik at hackerene får brukernavn og passord når man forsøker og logge på).

3. WADAs tekniske og juridiske team mener å vite at en inntrenger fikk ulovlig tilgang til ADAMS-databasen med informasjon om OL-utøverne en rekke ganger mellom 25. august og 12. september.

4. 13. september slapp hackergruppen som kaller seg "Fancy Bear" den første samlingen med utøverinformasjon stjålet fra ADAMS. Siden den gang har gruppen sluppet nye opplysninger ved fem ulike anledninger. Opplysningene de slipper samsvarer med opplysningene som ble stjålet mellom 25. august og 12. september.

5. Etter å ha funnet ut om hackingen 13. september, gjorde WADA en rekke grep for å få klarhet i omfanget av angrepet og for å sikre systemet. Alle kontoer knyttet til Rio-OL ble deaktivert, "Glemt passord"-funksjonen ble fjernet og kapasiteten til å logge sikkerhetsrelatert informasjon ble økt. WADA økte også overvåkningen av logger og nettverksaktivitet, i tillegg til at de deaktiverte inaktive brukere.

6. WADA hyret deretter FireEye-selskapet Mandiant, som spesialiserer seg på cybersikkerhet, til å etterforske organisasjonens aktiva, nettverk og systemer, deriblant ADAMS, for å avdekke omfanget av angrepet og stoppe eventuelle andre trusler. Konsulentselskapet fikk også i oppgave å etterforske sårbarheten til WADA-systemene. 5. oktober er over 90 prosent av selskapets analyser unnagjort, og det har så langt ikke fremkommet opplysninger som tilsier at annen informasjon har blitt sjålet. 

7. I tillegg til å ha kommunisert hackingen bredt til egne interessenter og media, har WADA tatt kontakt med de rammede utøverne, deres internasjonale særforbund og nasjonale antidopingbyråer for å bistå.

8. WADA har rådet alle ADAMS-brukere til å være ekstra varsomme når de kommuniserer elektronisk for å unngå eventuelle phishing-forsøk. Byrået ble forrige uke gjort oppmerksom på at flere brukere hadde mottatt en mistenkelig e-post, angivelig fra visegeneraldirektør Rob Koehler, hvor de fikk beskjed om at WADA-presidenten ønsket å snakke med dem om cyberangrepene. WADA presiserer nå at Rob Koehler aldri har sendt en slik e-post.

9. Underveis i etterforskningen har WADA også avdekket at noe av informasjonen lekket av "Fancy Bear" er upresis. Byrået undersøker dette videre, og oppfordrer den eller de som finner upresis informasjon om å kontakte WADA.

10. I tillegg til ekstra autentiseringskontroller, har WADA tatt grep for å styrke sikkerhets- og overvåkingsprogrammet, blant annet gjennom å iverksette en full gjennomgang av systemet for å avdekke svakheter. WADA skal også veilede brukerne av ADAMS i hvordan de bedre kan sikre seg mot phishing-angrep.

Publisert: 06.10.16 - Oppdatert: 21.11.17

Flere artikler