Tokių, milijardus kainuojančių itin jautrių asmens duomenų paviešinimo incidentų – ne vienas. „Yahoo“, „Uber“, „Equifax“ – neįtikėtina, tačiau vienaip ar kitaip visų šių įmonių klientų asmens duomenys pateko į nusikaltėlių rankas. Beje, pastaruosius domina ne tik milžinai – skaičiuojama, kad 61 proc. visų 2017 m. vykusių atakų buvo nukreipta į įmones, turinčias mažiau nei 1000 darbuotojų. Dominykas Šeikis, „Visma Lietuva“ programinės įrangos saugumo specialistas analizuoja, kokios saugumo spragos dažniausios ir ką daryti, kad jų neliktų.
Laiku atnaujinti kritinę serverių programinę įrangą
Kaip svarbu atnaujinti savo programinę įrangą, galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax“. 2017 m. liepą jie pranešė, jog buvo nutekinti 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56,200 įrašų buvo su pasų, vairuotojų pažymėjimų, mokesčių mokėtojų ID numeriais („Business Insider“).
„Reuters“ rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių. Silpnąją vietą programišiai rado įmonei laiku neatnaujinus „Apache Struts“ programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą). Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai.
Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis dėlto skaičiuojama, kad apytiksliai 41 proc. įmonių turi daugiau nei 1000 neapsaugotų failų („Varonis Systems“) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai. Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.
Darbuotojų švietimas
Darbuotojų klaidos yra viena pagrindinių saugumo spragų – „Kaspersky Lab“ tyrimas parodė, jog šios klaidos sukelia apie 50 proc. visų saugumo incidentų. Vienas iš pavyzdžių – „Yahoo“. Įsilaužimo į šį technologijų gigantą metu, 2014 metais, buvo nutekinta informacija apie 3 milijardus naudotojų. Tam, kad patektų į vidinį tinklą, programišiui užteko nusiųsti kenksmingą elektroninę žinutę vienam iš kompanijos darbuotojų. Kitas atvejis – „Uber“. 2016 -ųjų spalį buvo nutekinta informacija apie 56 milijonus vairuotojų. Šis incidentas kilo, nes programuotojai laikė slaptažodžius viešai prieinamoje „Github“ saugykloje.
Saugumo pagrindų mokymai turėtų būt privalomi visiems, dirbantiems bet kokioje įmonėje. „Uber“ pavyzdys puikiai parodė, jog nuo klaidų neapsaugoti net ir IT profilio darbuotojai, dėl to „Visma Lietuva“ nuolat rengia mokymus savo specialistams. Visai nesvarbu kvalifikacija, tai gali būti procedūra atliekama prieš įdarbinant arba kasmetiniai mokymai. Apie saugumą sakoma, jog esate stiprus tiek, kiek stipri jūsų silpniausia grandis, tad net tūkstančius kainuojantys tinklo perimetro saugos įrenginiai neapsaugos, jei nešviesite darbuotojų.
Reguliarus įsilaužimų testavimas
Daug saugumo spragų nesunkiai rasti ir ištaisyti gali profesionalūs įsilaužimų testuotojai. Nuolat besikeičiant programinei įrangai, įsilaužimų testavimas turi būti atliekamas prieš diegiant įrangą ar naujinimus į produkciją ar kitą viešai pasiekiamą aplinką. Išorinis įsilaužimų testavimas leistų nustatyti ir ištaisyti pažeidžiamumus prieš piktavaliams padarius milžiniškos žalos.
Įmonės, skiriančios daug resursų savo sistemų saugumo užtikrinimui, turėtų apsvarstyti „Bug Bounty“ programą, kurioje saugumo ekspertai gauna atlygį už atrastas saugumo spragas internetu prieinamose aplikacijose. Informacija atskleidžiama tik griežtai nustatyta tvarka. Tai puiki alternatyva, suteikianti galimybę būti patikrintam geriausių saugumo ekspertų pasaulyje.
Žaibiška reakcija į incidentą
Kaip rodo „M-Trends“ ataskaita, įsilaužimą aptikti vidutiniškai užtrunka apie 200 dienų. Kvalifikuotas personalas ir kompleksinė tinklo stebėsenos įranga šį laikotarpį, o kartu ir įsilaužimo pasekmes, gali stipriai sumažinti. Paprastai tinklo saugos strategija skirta apsaugoti vidinį tinklą iš išorės, tačiau yra visiškai neįgali nustatyti atakas vidiniame tinkle. Svarbiausias kibernetinio saugumo principas: darykite prielaidą, jog į jums priklausančias sistemas jau įsilaužė. Tai reiškia, kad reikia dėti pastangas ne tik bandant apsisaugoti nuo įsilaužimų, bet ir žinoti, ką daryti, jei į jūsų sistemas vis vien buvo įsilaužta. Tam reikia sukurti aiškiai dokumentuotas procedūras – kas už ką atsako, kas priima sprendimus, paskirsto išteklius, viešina ir imasi konkrečių žalos minimizavimo veiksmų.
Jūsų kibernetinis saugumas yra kompleksinis sprendimas, reikalaujantis ir žmogiškųjų, ir finansinių resursų. Vis dėlto ne visada būtina kurti etatą savo įmonėje, specialistus galima samdyti iš šalies – tokiu būdu gausite būtent jums pritaikytą paslaugą. Nepamirškite, įsilaužimai kainuoja ne tik pinigus ar jūsų įmonės reputaciją, jūs esate atsakingi už žmones, kurie jums patikėjo savo duomenis.
