aA
Praėjusį penktadienį tarptautinis viešbučių tinklas „Marriott“ paskelbė, jog apie 500 milijonų klientų, pasinaudojusių jų dukterinės įmonės „Starwood’s“ paslaugomis, duomenys galėjo būti pavogti.
© DELFI / Andrius Ufartas

Skelbiama, jog tarp pavogtų duomenų galėjo būti kliento vardas, elektroninio pašto adresas, telefono numeris, paso numeris, banko sąskaitos informacija, gimimo data, lytis bei atvykimo ir išvykimo laikai.

Tokių, milijardus kainuojančių itin jautrių asmens duomenų paviešinimo incidentų – ne vienas. „Yahoo“. „Uber“. „Equifax“. Neįtikėtina, tačiau vienaip ar kitaip visų šių įmonių klientų asmens duomenys pateko į nusikaltėlių rankas. Beje, pastaruosius domina ne tik milžinai – skaičiuojama, kad 61 proc. visų 2017 m. vykusių atakų buvo nukreipta į įmones, turinčias mažiau nei 1000 darbuotojų. Dominykas Šeikis, „Visma Lietuva“ programinės įrangos saugumo specialistas, pranešime žiniasklaidai analizuoja, kokios saugumo spragos dažniausios ir ką daryti, jog jų neliktų.

Laiku atnaujinti kritinę serverių programinę įrangą

Kaip svarbu atnaujinti savo programinę įrangą galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax“. 2017 m. liepą jie pranešė, jog buvo nutekinta 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56200 buvo pasai, vairuotojų pažymėjimai, mokesčių mokėtojų ID numeriai („Business Insider“). „Reuters“ rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių. Silpnąją vietą programišiai rado įmonei laiku neatnaujinus „Apache Struts“ programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą). Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai.

Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis tik, skaičiuojama, kad apytiksliai 41 proc. įmonių turi daugiau nei 1000 neapsaugotų failų („Varonis“) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai. Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.

Darbuotojų švietimas

Darbuotojų klaidos yra viena pagrindinių saugumo spragų. Tyrimas parodė, jog šios klaidos sukelia apie 50 proc. visų saugumo incidentų. Vienas iš pavyzdžių – „Yahoo“. Įsilaužimo į šį technologijų gigantą metu, 2014 metais buvo nutekinta informacija iš 3 milijardų naudotojų paskyrų. Tam, jog patektų į vidinį tinklą, programišiui užteko nusiųsti kenksmingą elektroninę žinutę vienam iš kompanijos darbuotojų.

Kitas atvejis – „Uber“. 2016-ųjų spalį buvo nutekinta informacija apie 56 milijonus vairuotojų. Šis incidentas kilo, nes programuotojai laikė slaptažodžius viešai prieinamoje „Github“ saugykloje.

Saugumo pagrindų mokymai turėtų būti privalomi visiems dirbantiems įmonėje, „Uber“ pavyzdys puikiai parodė, jog nuo klaidų neapsaugoti net ir IT profilio darbuotojai, dėl to „Visma Lietuva“ nuolat rengia mokymus savo specialistams. Visai nesvarbu kvalifikacija, tai gali būti procedūra atliekama prieš įdarbinant arba kasmetiniai mokymai. Apie saugumą sakoma, jog esate stiprus tiek, kiek jūsų silpniausia grandis, tad net tūkstančius kainuojantys tinklo perimetro saugos įrenginiai neapsaugos, jei nešviesite darbuotojų.

Reguliarus įsilaužimų testavimas

Daug saugumo spragų nesunkiai rasti ir ištaisyti gali profesionalūs įsilaužimų testuotojai. Nuolat besikeičiant programinei įrangai, įsilaužimų testavimas turi būti atliekamas prieš diegiant įrangą ar naujinimus į produkciją ar kitą viešai pasiekiamą aplinką. Išorinis įsilaužimų testavimas leistų nustatyti ir ištaisyti pažeidžiamumus prieš piktavaliams padarius milžiniškos žalos.

Įmonės, skiriančios daug resursų savo sistemų saugumo užtikrinimui, turėtų apsvarstyti „Bug Bounty“ programą, kurioje saugumo ekspertai gauna atlygį už atrastas saugumo spragas web aplikacijose. Informacija atskleidžiama tik griežtai nustatyta tvarka. Tai puiki alternatyva, suteikianti galimybę būti patikrintam geriausių saugumo ekspertų pasaulyje.

Žaibiška reakcija į incidentą

Kaip rodo „M-Trends“ ataskaita, įsilaužimą aptikti vidutiniškai užtrunka apie 200 dienų. Kvalifikuotas personalas ir kompleksinė tinklo stebėsenos įranga šį laikotarpį, o kartu ir įsilaužimo pasekmes, gali stipriai sumažinti. Paprastai tinklo saugos strategija skirta apsaugoti vidinį tinklą iš išorės, tačiau yra visiškai neįgali nustatyti atakas vidiniame tinkle.

Svarbiausias kibernetinio saugumo principas: darykite prielaidą, jog į jums priklausančias sistemas jau įsilaužė. Tai reiškia, kad reikia dėti pastangas ne tik bandant apsisaugoti nuo įsilaužimų, bet ir žinoti, ką daryti, jei į jūsų sistemas vis vien buvo įsilaužta. Tam reikia sukurti aiškiai dokumentuotas procedūras – kas kam atsako, kas priima sprendimus, paskirsto išteklius, viešina ir imasi konkrečių žalos minimizavimo veiksmų.

Jūsų kibernetinis saugumas yra kompleksinis sprendimas, reikalaujantis ir žmogiškųjų, ir finansinių resursų. Vis dėlto ne visada būtina kurti etatą savo įmonėje, specialistus galima samdyti iš šalies – tokiu būdu gausite būtent jums pritaikytą paslaugą. Nepamirškite, įsilaužimai kainuoja ne tik pinigus ar jūsų įmonės reputaciją, jūs esate atsakingi už žmones, kurie jums patikėjo savo duomenis.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Eksperimentas: ar tikrai išmanusis šiais laikais gali atstoti fotoaparatą? (42)

Keliauti yra nuostabu, o vėliau žiūrėti nuotraukas iš kelionių – ne mažesnis malonumas....

Geriausi šiais metais pasirodę telefonai (59)

Jau ištisą dešimtmetį turime galimybę naudotis išmaniaisiais telefonais. Nuo 2007-ųjų, kai...

Patarė, kaip saugiai pirkti internetu: 6 pagrindiniai suklastotų e. parduotuvių požymiai (8)

„Šventiniu laikotarpiu nemaža dalis gyventojų renkasi apsipirkimą e. parduotuvėse, tuo pačiu...

Išmaniosios programėlės gali išnykti – kas taps jų įpėdiniu? (6)

Prasidėjęs išmaniųjų telefonų bumas kartu su savimi į pasaulį atnešė ir įrenginiams skirtas...

Lietuvių biotechnologijų startuolis pateko tarp Italijos verslo akceleravimo programos nugalėtojų

50 tūkst. eurų ir pradėtas bendradarbiavimas su Italijos biotechnologijų milžine, atversiančia...

Top naujienos

Kaip vienas atsitiktinumas ir lemtingos 13 min. išgelbėjo Hitlerį ir pasmerkė visą pasaulį (111)

Daugelis lapkričio 9-ąją laiko lemtinga diena Vokietijai . Tačiau XX a. istorijos kryptį išties...

Darbą nuolatinio pavojaus sąlygomis valstybė vertina 500-700 eurų: net batus per didelius verčia nešioti (294)

48 dydžio batai vietoje reikalingų 46, sena suplyšusi uniforma, kurią reikia pačiam susisiūti,...

Pirmieji širdies sutrikimų simptomai: kardiologė patarė, kaip galima išvengti ankstyvos mirties (146)

Higienos instituto duomenimis, Lietuvoje daugiausiai serga širdies ir kraujagyslių ligomis . Per...

Kokį būstą pirkti, kad būtų paprasta parduoti net ir po 10 metų? (102)

„Pirkdami būstą gyventojai turėtų pagalvoti apie jo vertę ir likvidumą ateityje. Ar prireikus...

Savo „auksinį“ rezultatą gerinęs Bilis – šįkart penktas pasaulyje (19)

Simonas Bilis dar kartą gerino Lietuvos rekordą ir Kinijoje vykstančio pasaulio plaukimo...

Mažas ir visų pamirštas regionas, kurio vertė Kremliui – neįkainojama: mes bijome kalbėti (1150)

Kad išvengtų sankcijų, Kremlius suka aplinkkeliais: naudojantis šalia Juodosios jūros esančiu...

Eksperimentas: ar tikrai išmanusis šiais laikais gali atstoti fotoaparatą? (42)

Keliauti yra nuostabu, o vėliau žiūrėti nuotraukas iš kelionių – ne mažesnis malonumas....

Negirdėta istorija: Nowitzki galėjo tapti „Žalgirio“ varžovu Eurolygos finale (2)

Gyva Vokietijos krepšinio legenda Dirkas Nowitzki prieš kelias dienas grįžo ant parketo ir tapo...

Uždirba 700 eurų: net ir purvinas darbas gali teikti džiaugsmo (10)

Ten kiaulių nebuvo, bet viskas buvo riebaluota, viskas purvina, LRT RADIJO laidoje „Darbas – ne...

Neįgali moteris šaukiasi pagalbos: eglutei 150 tūkst. eurų randa, o neįgalus žmogus neįdomus (353)

„Man ranka nekyla „palaikinti“ šiemetinės Panevėžio kalėdinės eglės. Jos puošybai...