Prenumeratoriai žino daugiau. Prenumerata vos nuo 1,00 Eur!
Prenumeruoti

Didžiausia nepagarba klientui – kai jo duomenys perduodami ir saugomi nešifruotu pavidalu

Per keletą pastarųjų metų ne kartą teko susidurti su atvejais, kuomet nutekėjus duomenims iš informacinių sistemų norisi už galvos susiimti: iš kur pas paslaugos teikėją gali būti tiek nepagarbos klientui, kad jų duomenis – kartais net medicininius – saugotų tiesiog taip, nešifruotai. Sugebate kaip nors prieiti prie sistemos? Prašome, viskas jūsų. Paprastai ir atvirai.
Duomenys
Duomenys / Fotolia nuotr.

Už tokias nuodėmes – nesugebėjimą užtikrinti, kad konfidencialūs duomenys nebūtų prieinami tretiesiems asmenims – atgailauti turėtų „Grožio chirurgija“, kuri dabar dėl savo nesugebėjimo apsaugoti klientus yra žinoma labiau nei dėl savo atliekamų kosmetinės chirurgijos procedūrų. Galvą pelenais prieš keletą metų barstėsi įmonė „Hostinger“, praradusi savo klientų prisijungimo vardus ir slaptažodžius, saugotus nešifruoto teksto pavidalu.

Netgi valstybės užsakymu kurta e-sveikatos sistema į valstybės piliečių privatumą žvelgė atsainiai: gudresni vartotojai per ją galėjo susirinkti visų valstybės piliečių dalinius asmens duomenis. Tiesa, to, panašu, nenutiko. O kur dar panašaus lygio spragos VRK sistemoje, kur buvo suregistruoti balso teisę turintys asmenys ar „Mano dienyno“ saugumo trūkumas, leidęs bet kokiems asmenims susipažinti su daugybės moksleivių ir jų tėvų duomenimis.

123RF.com nuotr./Didžiųjų duomenų specialistas
123RF.com nuotr./Didžiųjų duomenų specialistas

Tačiau net ir tokie akivaizdžių grėsmių pavyzdžiai pamoko ne visus. „Deja, duomenų šifravimo pavyzdžių kol kas surasti kur kas sunkiau nei nešifravimo. Rinkos situacija yra liūdna, nors šifravimas yra būtinas (su sąlyga, kad kodas, slaptažodis ar šifras nėra ant geltono lipnaus lapelio pirmame stalčiuje pas Verutę buhalterijoje)“, – sakė įmonės „Privacy Partners“ vadovas Martynas Bieliūnas.

Neseniai paskelbto tyrimo duomenimis, Lietuvoje duomenų šifravimo principus taiko tik kas trečia įmonė: dažniausiai duomenų šifravimas buvo pasitelktas šifruoti el. paštą (32,5 proc. respondentų), vietinius failus (31 proc.) ar tinklo bei debesijos sprendimus (30,5 proc.).

Perdavimas

Duomenų – ypač jautrių ar asmeninių – šifravimas turėtų būti vykdomas ir perdavimo į interneto serverį metu, ir saugant serveryje. Apie tai, kad duomenys yra šifruojami, interneto naršyklėje sužinoti paprasta – tai akivaizdžiai matoma svetainės adreso eilutėje. Priklausomai nuo naudojamos naršyklės ir jos versijos, apie duomenų perdavimo nesaugumą praneša įspėjimas „Not Secure“ arba apskritimas su raidele „i“ viduje. Jeigu duomenys perduodami saugiai, į kairę nuo svetainės adreso matoma spynelės piktograma. Ir, žinoma, svetainės adresas prasideda arba http://, arba https:// (atkreipkite dėmesį į raidelę „s“ – ji čia svarbiausia).

HTTPS protokolas
HTTPS protokolas

Tokia adreso pradžia pažymi, kokiu protokolu vyksta duomenų perdavimas tarp asmens įrenginio ir serverio, kuriame yra lankoma svetainė. „HTTP protokolu tarp vartotojo įrenginio ir serverio perduodami duomenys nėra šifruojami, todėl visada yra rizika, kad kažkas, techniškai įsiterpęs tarp serverio ir kompiuterio, gali skaityti perduodamus duomenis, kurie gali būti ir konfidencialūs (prisijungimo, asmens duomenys ir panašiai). HTTPS protokolu duomenys prieš perdavimą tarp serverio ir vartotojo įrenginio yra užšifruojami panaudojant privatų ir viešą raktus. Taikant šiuolaikiškus šiandieninius šifravimo algoritmus bei technologijas (kompiuterių našumą), atspėti privatų raktą pernelyg sudėtinga ir nepraktiška: reikalingas milžiniškas skaičiavimo išteklių ir laiko kiekis“, – sakė bendrovės „Interneto vizija“ IT ekspertas Gintaras Skridulis.

Taigi interneto naršyklėse skaidrumo šiuo atžvilgiu tikrai pakanka: jeigu HTTPS protokolo naudojimo nereikalaujama, tai vartotojas bent jau gali tą labai nesunkiai sužinoti. Visai kita padėtis yra išmaniųjų programėlių pasaulyje. „Programėlių kūrėjai gali patys pasirinkti, kokiu protokolu – šifruojančiu ar nešifruojančiu – keliaus duomenys tarp vartotojo įrenginio ir tarnybinės stoties, patys kuria duomenų įvedimo formas ir neprivalo nurodyti vartotojui, kad duomenų perdavimas nebus saugus. Todėl visada lieka rizika, kad į duomenų perdavimo kanalą įsiterps trečias žmogus, šiuos duomenis nuskaitys ir be jokių pastangų juos matys atviru tekstu“, – aiškino 15min IT skyriaus vadovas Darius Gudavičius.

Saugojimas

Duomenų šifravimas galimas ne tik jų perdavimo, bet ir saugojimo metu. Ir tokia priemonė yra itin svarbus, tačiau ne visada pakankamas kibernetinės apsaugos komponentas.

„Reuters“/„Scanpix“ nuotr./Slaptažodis
„Reuters“/„Scanpix“ nuotr./Slaptažodis

„Programuotojams, sistemų architektams ir kūrėjams reikėtų žinoti, kad konfidencialią informaciją, ypač slaptažodžius, šifruoti būtina, kad įvykus nesankcionuotam įsilaužimui į sistemą nebūtų galima paprastai matyti duomenų. Be to, slaptažodžių šifravimas turi būti vykdomas vienakrypčiu (angl. hash) algoritmu. Ši praktika savo darbo specialistams yra žinoma ir naudojama, bet praktikoje yra tekę matyti ir, ko gero, nelabai patyrusių specialistų kurtų svetainių, kuriose slaptažodžių duomenų bazės saugomos nešifruoto teksto pavidalu“, – sakė G.Skridulis.

Anot specialisto, saugant ar naudojant konfidencialius duomenis kompiuteriuose ir išorinėse laikmenose, labai rekomenduojama naudoti šifravimą vietiniu, disko lygmeniu. „Mūsų įmonėje visuose darbiniuose nešiojamuose kompiuteriuose, kurie gali būti išnešami už biuro ribų ir yra didesnė įrangos vagystės rizika, privalomas ir naudojamas kietojo disko šifravimas. Vagystės atveju piktavalis galėtų nebent tik pačią kompiuterio geležį panaudoti, bet diske saugomų duomenų nuskaityti negalėtų“, – aiškino „Interneto vizijos“ ekspertas.

Kodėl nešifruojama?

Iš esmės visus duomenis galima būtų šifruoti taip, kad kiekviena svetainė, kiekvienas interneto išteklius būtų pasiekiamas duomenis iššifruojant tik naudotojo galiniame įrenginyje ir tik po tinkamos autentifikacijos. Taip būtų užtikrinamas maksimalus duomenų saugumas (išskyrus tuos atvejus, kai kitais būdais pavagiami prisijungimo duomenys ir jais neteisėtai pasinaudojama), tačiau ne visi paslaugų teikėjai ir svetainių šeimininkai to nori.

„Reuters“/„Scanpix“ nuotr./Programišius
„Reuters“/„Scanpix“ nuotr./Programišius

Mat duomenų užšifravimas ir iššifravimas yra kompiuterio pajėgumus taip pat išnaudojantis procesas. Tad saugus bendravimas su interneto ištekliais yra šiek tiek lėtesnis už nesaugų. „Galima atlikti paprastą bandymą – turėti dvi visiškai identiškos svetainės klonus, tik juos patalpinti per skirtingus subdomenus ir viename įjungti duomenų šifravimo SSL sertifikatą, o kitame – ne. Nors tas skirtumas nebus labai didžiulis, bet matuojant vienos ir kitos svetainės įkrovos laikus bus fiksuojamas sekundės dalių dydžio skirtumas“, – sakė G.Skridulis. O net ir sekundės dalys, uždelstos kraunantis svetainei, vartotojus erzina ir skatina internete ieškoti kitų užsiėmimų.

Dėl to – ir dėl kai kurių kitų techninių niuansų – interneto svetainių turinys, didelė dalis kitos informacijos, kuri nėra konfidenciali, svetainės prieglobos centruose dažniausiai yra saugomas nešifruotu pavidalu. Atsakingi tokių prieglobos centrų valdytojai duomenų saugumą užtikrina nuolat stebėdami patikimus informacijos apie kibernetines grėsmes šaltinius, kuriuose operatyviai publikuojama naujausia informacija apie atrastas spragas bei sukurtus saugumo pataisymus ir į tokius pranešimus operatyviai reaguoja.

Kas būtų duomenims nutekėjus?

Jeigu įvyktų kibernetinis incidentas ir programišiai sugebėtų kokiu nors būdu gauti privačios informacijos duomenų bazes, pirmiausiai reikėtų atsakyti į klausimą: ar ta informacija buvo šifruota, ar ne.

„Jeigu programišiai gautų prieigą tik prie šifruotų duomenų ir neturėtų privataus rakto šiems duomenims „atrakinti“ bei neturėtų galimybių jo gauti kokiais nors kitais metodais, jiems liktų viena galimybė: bandyti atspėti. Bet kadangi šiais laikais duomenims šifruoti naudojami itin ilgi (paprastai 256 bitų) raktai, toks metodas nėra efektyvus netgi naudojant galingiausius automatizuotai rakto kombinacijas atrinkinėjančius kompiuterius: tokio metodo kaina skaičiuojamaisiais ištekliais ir laiku yra tokia didelė, jog dažniausiai ji yra didesnė už užšifruotų duomenų vertę“, – teigė „Interneto vizijos“ vyr. IT specialistas Vytenis Grajauskas.

„Reuters“/„Scanpix“ nuotr./Slaptažodis
„Reuters“/„Scanpix“ nuotr./Slaptažodis

Kita vertus, programišiai gali bandyti ieškoti spragų šifravimo įrangoje ar užkrėsti virusu kompiuterį, kuriame gali būti privatus šifro raktas ir jį pavogti, todėl visuomet labai svarbu informaciją saugoti oficialių, geros reputacijos tiekėjų siūlomais šifravimo produktais bei nuolat rūpintis naudojamos programinės informacijos saugumu bei naujumu.

Jei į programišių rankas patektų nešifruotos duomenų bazės – kaip, deja, 2015 metais nutiko Kaune įsikūrusiai įmonei „Hostinger“ tokiu būdu nesaugojusiai net klientų prisijungimo vardų ir slaptažodžių, jos veikiausiai bus pardavinėjamos „tamsiajame internete“, o tokių duomenų bazių pirkėjai, sumokėję solidžius pinigus už pavogtą informaciją, neabejotinai ieškos būdų savo investiciją susigrąžinti su palūkanomis – ir dažniausiai su milžiniška žala asmenims, kurių informacija buvo pavogta.

Baustų ne tik programišiai, bet ir vartotojai, ir valdžia

Nuo šių metų gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR) grėsmės įmonėms, kurios atsainiai žiūri į savo klientų duomenų saugumą labai smarkiai išaugo: be tikimybės, kad programišiai pavogs ir pasinaudos klientų duomenimis, taip padarant didelę žalą apvogtosios įmonės reputacijai (ir, ilgainiui, pajamoms), tiesiogiai nuo programišių nukentėjusi įmonė gali būti nubausta dar net du kartus.

Viena vertus, klientai, kurie patyrė žalą dėl jų duomenų vagystės, gali kelti civilinius ieškinius. Antra vertus, neabejotinai būtų pradėtas tyrimas, po kurio, priklausomai nuo pažeidimo dydžio, grėstų bauda iki 4 proc. metinių pajamų arba iki 20 mln. eurų (priklausomai nuo to, kuri suma didesnė).

123rf.com nuotr./Kibernetinė ataka
123rf.com nuotr./Kibernetinė ataka

Anot M.Bieliūno, kiekvienu tokiu klientų duomenų nutekėjimo atveju būtų aiškinamasi, ar vartotojai buvo pakankamai aiškiai supažindinti su informacijos rinkimo sąlygomis, kur bei kaip ta informacija bus saugoma. Taip pat vertinant pažeidimo (ir galimos baudos) dydį būtų vertinama, kokių priemonių (techninių, juridinių ir organizacinių) buvo imtasi saugant IT sistemas, ar tinkamai sureaguota į incidentą, kokie veiksmai buvo atlikti jau po incidento – kaip buvo vykdomas tolesnis problemos plitimo apribojimas, kaip buvo informuoti paveikti asmenys ar institucijos.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Pranešimas apie prašymų dėl triukšmo mažinimo priemonių įgyvendinimo išlaidų kompensavimo priėmimą
Reklama
Atėjo metas apsitverti sklypą: specialistų patarimai
Reklama
Steikų diena: kaip paruošti sultingą ir burnoje tirpstantį steiką?
Reklama
„CFMOTO“ tapo naujos motociklų vairavimo akademijos Lietuvoje partneriais
Užsisakykite 15min naujienlaiškius