Viena saugumo spraga – trys kirčiai
Klientų asmens duomenys yra itin svarbus įmonės turtas – šį faktą įstatymais apibrėžė prieš beveik dvejus metus Europos Sąjungoje įsigaliojęs Bendrasis duomenų apsaugos reglamentas ir savo kailiu patikrino jau toli gražu ne viena Lietuvos įmonė. Geriausiu atveju šio turto praradimas sukels reputacinę krizę, blogiausiu – kils verslo tęstinumo grėsmė.
Žala dėl duomenų praradimo gali būti trejopa. Įmonė, kuri iš pradžių tiesiogiai nukentėjo nuo programišių, o vėliau susilaukė neigiamo klientų vertinimo ir nepasitikėjimo, gali būti nubausta ir trečią kartą – rimtų finansinių sankcijų galima susilaukti ir iš Valstybinės duomenų apsaugos inspekcijos.
„Paradoksalu, bet garsiai nuskambėję pastarųjų mėnesių incidentai veikiausiai tik sustiprins kibernetinį saugumą Lietuvoje: jie aiškiai parodė, kad kibernetinės grėsmės nėra tik teorinės ir kad visuomenė vis blogiau toleruoja aplaidų asmens duomenų tvarkymą. Tai turėtų paskatinti įmones į savo ir klientų duomenų saugumą žvelgti itin atidžiai“, – sako technologijų įmonės „Baltnetos komunikacijos“ Technikos direktorius Audrius Žemgulis.
„Kibernetinės grėsmės nėra tik teorinės ir visuomenė vis blogiau toleruoja aplaidų asmens duomenų tvarkymą.“
Milžinišku žalos potencialu išsiskiria ne tik klientų duomenų nutekėjimas, bet ir konfidencialios verslo informacijos praradimas arba išpirkos reikalavimo atakos, po kurių tenka rinktis tarp dviejų blogybių: didvyriškai iškęsti tą skausmą, kurį įmonei gali sukelti kibernetiniai nusikaltėliai, ar, siekiant skubiai normalizuoti veiklą, sumokėti stambią pinigų sumą bei tokiu būdu padidinti nusikaltėlių motyvaciją skriausti ir kitus verslus.
Jei nuo labai motyvuotų programišių, kurie pasirinko konkretų taikinį bei turi pakankamai laiko, lėšų, sumanumo ir užsispyrimo savo darbą atlikti iki galo, apsiginti bemaž neįmanoma, tai susikurti tokius barjerus, kurie informacines sistemas apsaugotų pakankamai, kad lengviausio uždarbio ieškantys kibernetiniai nusikaltėliai („Verizon“ atliktas tyrimas parodė, jog 86 proc. tokių nusikaltimų vykdomi siekiant finansinio intereso) pasuktų ieškoti lengviau įveikiamų aukų, nėra labai sunku.
Tiesa, be nuolatinio dėmesio kibernetinio saugumo sričiai pakankamas apsaugos lygis vargiai įmanomas.
Fizinio ir technologinio saugumo užtikrinimas
Bet kurios įmonės, kurios veikloje svarbią dalį sudaro skaitmeninis komponentas, kibernetinis saugumas prasideda nuo fizinės skaitmeninių išteklių apsaugos: serveriai neturi būti „numesti“ koridoriuje ar standartiniame rūsyje, kur jie „niekam netrukdo“. Serverinė privalo atitikti tam tikrus saugumo standartus. Jos prieiga turėtų būti kontroliuojama, patalpos stebimos, įeinantys asmenys – registruojami. Energijos tiekimas – užtikrintas tiek iš pagrindinio tiekėjo, tiek atsarginiais energijos šaltiniais. Nepertraukiamam serverių veikimui svarbi ir patalpų temperatūros kontrolė.
Už įmonės skaitmeninį saugumą atsakingi specialistai turėtų be paliovos stebėti naujausių kibernetinių grėsmių tendencijas ir užtikrinti, kad bet kokios tarnybinėse stotyse naudojamos įrangos kibernetinį saugumą garantuojantys naujiniai būtų įdiegiami neatidėliojant. Taip pat svarbu naudoti ir papildomas apsaugos priemones – ugniasienes, antivirusinę ir nuo šnipinėjimo apsaugančią programinę įrangą bei nuo DDoS atakų apsaugančias priemones.
Šiais darbo iš namų laikais svarbu užtikrinti, kad prie vidinių įmonės sistemų nuotoliniu būdu besijungiantys darbuotojai naudotų saugumą didinančias virtualių privačių tinklų (VPN) paslaugas. Kiekvienas darbuotojas turi turėti tik tokią prieigą, kokia yra būtina jo funkcijoms atlikti. Itin svarbu pasirūpinti, kad atsisveikinant su darbuotoju visos jo prisijungimo ir naudojimosi vidiniais įmonės ištekliais galimybės būtų nedelsiant išjungtos – „Verizon“ tyrimo duomenimis, 30 proc. duomenų praradimo atvejų nutinka dėl „vidinių veikėjų“.
„Norint apsaugoti įmonės skaitmeninį perimetrą labai svarbus yra žinojimas, koks tas perimetras yra. Įmonės skaitmeninė infrastruktūra neapsiriboja vien serverine – į vidaus apsaugos zoną patenka ir kiekvienas įmonės ar įstaigos darbuotojo įrenginys, turintis galimybę jungtis prie vidinių sistemų, ir netgi daiktų interneto komponentai“, – sako A. Žemgulis.
„Įmonės skaitmeninė infrastruktūra neapsiriboja vien serverine – į vidaus apsaugos zoną patenka ir kiekvienas įmonės ar įstaigos darbuotojo įrenginys, turintis galimybę jungtis prie vidinių sistemų, ir netgi daiktų interneto komponentai.“
Pavyzdžiui, vartais į vidinius įmonės tinklus gali tapti belaidžiu būdu valdomas išmanusis termostatas, reguliuojantis dekoratyvinio akvariumo ar serverinės temperatūrą ar bet kuris kitas daiktų interneto kategorijai priskiriamas įrenginys, iš gamyklos paprastai atkeliaujantis su minimaliais saugumo nustatymais, kuriuos būtina sustiprinti. Tad visos gerosios saugumo praktikos turi būti taikomos kiekvienam iš šių įrenginių: atnaujinta programinė įranga, tinkamai apribota prieiga, stiprūs slaptažodžiai yra būtini.
Ypatingą dėmesį reikia skirti įrenginiams, kuriuos naudoja iš namų dirbantys kolegos. Daugelis jų prisijungimui prie darbo sistemų naudoja asmeninę techninę įrangą, kuri gali būti prieinama keliems šeimos nariams. Ir tai nėra tik pandemijos laikotarpio problema, išnyksianti iškart po visuomenės sveikatos problemų suvaldymo: prognozuojama, kad į tradicines darbo vietas grįš ne visi.
Pasak A. Žemgulio, siekiant maksimalaus vidinių įmonės tinklų saugumo, pravartu atkreipti dėmesį ir į „zero trust“ apsaugos modelį, kuris atsisako skaitmeninio perimetro sąvokos ir vadovaujasi principu „nepasitikėk niekuo“. Įgyvendinus organizacijos tinklo architektūrą remiantis šiuo modeliu, kiekvienas vartotojo bandymas pasiekti vidines įmonės sistemas pagal nutylėjimą laikomas nesaugiu ir prieš suteikiant prieigą turi būti patikrintas ir patvirtintas autorizuojant vartotoją bei autentifikuojant jo įrenginį.
„Siekiant maksimalaus vidinių įmonės tinklų saugumo, pravartu atkreipti dėmesį į „zero trust“ apsaugos modelį.“
Žinant, kad visų išvardintų fizinių ir techninių saugumo priemonių gali nepakakti, o verslo informacijai grėsmę kelia ne tik greito pasipelnymo siekiančios nusikalstamos organizacijos, bet ir atsitiktiniai, nenumatyti įvykiai bei gamtos stichijos, būtina užtikrinti ir atsarginių duomenų kopijų kūrimo bei saugojimo procesus. Reguliariai atnaujinama atsarginė duomenų kopija, kuri yra saugoma atskirai nuo darbinės aplinkos, yra geriausia apsauga nuo kibernetinių nusikaltėlių, kurie, užšifravę įmonės duomenų bazes, už jų sugrąžinimą reikalauja pinigų.
Viena silpniausių kibernetinio saugumo grandžių
Sėkmingai pasirinkus už kibernetinį saugumą atsakingą specialistą, specialistų grupę arba partnerį galima tikėtis, kad iš techninės pusės įmonės skaitmeninė infrastruktūra bus apsaugota pakankamai. Bet žmogiškasis veiksnys yra nuolatinės stebėsenos ir tobulinimo reikalaujantis kibernetinio saugumo aspektas: įmonių, ypač didesnių, kolektyvai nuolat kinta ir ne visų darbuotojų žinios kibernetinio saugumo srityje yra vienodos.
Net 22 proc. sėkmingų kibernetinių atakų įvykdomos panaudojant phishingo metodus, todėl kiekvienas atsakingos įmonės darbuotojas privalo būti apmokytas saugaus darbo su e. paštu ir kitomis bendravimo priemonėmis taisyklių, atskirti tikrą elektroninį laišką nuo nusikaltėlių užmesto kabliuko. Pakanka bet kuriam darbuotojui atidaryti vos vieną elektroniniu paštu atsiųstą netinkamą dokumentą, kad įmonės kibernetinio saugumo perimetre atsirastų skylė.
Ne mažiau svarbu yra stiprių prisijungimo prie vidinių įmonės sistemų slaptažodžių politika: ir švietimo, ir techninėmis priemonėmis darbuotojai turėtų būti skatinami ir darbinėms, ir asmeninėms paskyroms naudoti pakankamo ilgio bei pakankamo sudėtingumo slaptažodžius, kuriuos įveikti spėliojimo būdu užtruktų pernelyg ilgai, kad būtų verta tai daryti. Be to, slaptažodis jokiu būdu neturėtų būti vienodas visoms vieno žmogaus paskyroms, nes praradus jį prasčiau apsaugotoje sistemoje kiltų grėsmė visų to asmens paskyrų saugumui.
Gera saugumo praktika turėtų tapti ir reikalavimas slaptažodį periodiškai pasikeisti, net jei neabejojama, jog dėl to pasitaikys situacijų, kuomet slaptažodžiai užmirštami – šiai problemai spręsti sukurtos pakankamai patikimos slaptažodžio keitimo priemonės.
Ir visais atvejais, kai tai įmanoma, rekomenduojama įsijungti bei naudoti dviejų lygių autentifikavimo priemones, kuomet naudotojas atpažįstamas ne tik pagal tai, ką žino (slaptažodį), bet ir pagal tai, ką turi (asmeninį išmanųjį telefoną su atitinkama programėle).
Kitos naujienos
