Kibernetinis saugumas – ar tikrai jūsų duomenys saugūs?

Visai neseniai garsiai nuskambėjo dar viena duomenų vagystė – viešbučių tinklas „Marriott” paskelbė, jog apie 500 milijonų klientų, pasinaudojusių dukterinės įmonės „Starwood’s” paslaugomis, duomenys buvo pavogti.

Tokių incidentų, kainuojančių milijonus, ne vienas. O nusikaltėlius domina ne tik milžiniškos įmonės, bet ir mažieji verslininkai. Skaičiuojama, kad 61% visų 2017 m. vykusių atakų* buvo nukreipta į įmones, turinčias mažiau nei 1000 darbuotojų. Dominykas Šeikis, Visma Lietuva programinės įrangos saugumo specialistas, dalinasi įžvalgomis apie tai, kokios saugumo spragos dažniausios ir ką daryti, jog jų neliktų.

Laiku atnaujinti kritinę serverių programinę įrangą

Kaip svarbu atnaujinti savo programinę įrangą galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax”. 2017 m. liepą jie pranešė, jog buvo nutekinta 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56,200 buvo pasai, vairuotojų pažymėjimai, mokesčių mokėtojų ID numeriai (šalt.Business Insider). Reuters rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių. Silpnąją vietą programišiai rado įmonei laiku neatnaujinus Apache Struts programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą). Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai.

Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis tik, skaičiuojama, kad apytiksliai 41% įmonių turi daugiau nei 1000 neapsaugotų failų (šalt.Varonis) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai. Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.

Darbuotojų švietimas

Darbuotojų klaidos yra viena pagrindinių saugumo spragų – Kaspersky tyrimas teigia, jog šios klaidos sukelia apie 50% incidentų, kurios baigiasi duomenų vagystėmis. Vienas iš pavyzdžių –  Yahoo”. Įsilaužimo į šį technologijų gigantą metu, 2014 metais buvo nutekinta informacija iš 3 milijardų naudotojų paskyrų. Tam, jog patektų į vidinį tinklą, programišiui užteko nusiųsti kenksmingą elektroninę žinutę vienam iš kompanijos darbuotojų. Kitas atvejis – UBER”. 2016 -ųjų spalį buvo nutekinta informacija apie 56 milijonus vairuotojų. Šis incidentas kilo, nes IT specialistas laikė slaptažodžius viešai prieinamoje Github saugykloje.

Saugumo pagrindų mokymai turėtų būt privalomi visiems dirbantiems įmonėje,  UBER” pavyzdys puikiai parodė, jog nuo klaidų neapsaugoti net ir IT specialistai, dėl to Visma Lietuva nuolat rengia mokymus savo darbuotojams. Visai nesvarbu kvalifikacija, tai gali būti procedūra atliekama prieš įdarbinant arba kasmetiniai mokymai. Apie saugumą sakoma, jog esate stiprus tiek, kiek jūsų silpniausia grandis, tad net tūkstančius kainuojantys tinklo perimetro saugos įrenginiai neapsaugos, jei nešviesite darbuotojų.

Reguliarus įsilaužimų testavimas

Daug saugumo spragų nesunkiai rasti ir ištaisyti gali profesionalūs įsilaužimų testuotojai. Nuolat besikeičiant programinei įrangai, įsilaužimų testavimas turi būti atliekamas prieš diegiant įrangą ar naujinimus į produkciją ar kitą viešai pasiekiamą aplinką. Išorinis įsilaužimų testavimas leistų nustatyti ir ištaisyti pažeidžiamumus prieš piktavaliams padarius milžiniškos žalos.

Įmonės, skiriančios daug resursų savo sistemų saugumo užtikrinimui, turėtų apsvarstyti Bug Bounty programą, kurioje saugumo ekspertai gauna atlygį už atrastas saugumo spragas web aplikacijose. Informacija atskleidžiama tik griežtai nustatyta tvarka. Tai puiki alternatyva, suteikianti galimybę būti patikrintam geriausių saugumo ekspertų pasaulyje.

Žaibiška reakcija į incidentą

Kaip rodo M-Trends ataskaita, įsilaužimą aptikti vidutiniškai užtrunka apie 200 dienų. Kvalifikuoti IT specialistai ir kompleksinė tinklo stebėsenos įranga šį laikotarpį, o kartu ir įsilaužimo pasekmes, gali stipriai sumažinti. Paprastai tinklo saugos strategija skirta apsaugoti vidinį tinklą iš išorės, tačiau yra visiškai neįgali nustatyti atakas vidiniame tinkle. Svarbiausias kibernetinio saugumo principas: darykite prielaidą, jog į jums priklausančias sistemas jau įsilaužė. Tai reiškia, kad reikia dėti pastangas ne tik bandant apsisaugoti nuo įsilaužimų, bet ir žinoti, ką daryti, jei į jūsų sistemas vis vien buvo įsilaužta. Tam reikia sukurti aiškiai dokumentuotas procedūras – kas kam atsako, kas priima sprendimus, paskirsto išteklius, viešina ir imasi konkrečių žalos minimizavimo veiksmų.

Jūsų kibernetinis saugumas yra kompleksinis sprendimas, reikalaujantis ir žmogiškųjų, ir finansinių resursų. Vis tik, ne visada būtina kurti etatą savo įmonėje, IT specialistus galima samdyti iš šalies – tokiu būdu gausite būtent jums pritaikytą paslaugą. Nepamirškite, įsilaužimai kainuoja ne tik pinigus ar jūsų įmonės reputaciją, jūs esate atsakingi už žmones, kurie jums patikėjo savo duomenis.