Dabar populiaru
Publikuota: 2018 gruodžio 7d. 12:40

Ko reikėtų pasimokyti iš eilinės šimtų milijonų žmonių duomenų vagystės?

Serverių kolokacijos duomenų centras Manhatane
Vida Press nuotr. / Serverių kolokacijos duomenų centras Manhatane

Praėjusį penktadienį tarptautinis viešbučių tinklas „Marriott“ paskelbė, jog apie 500 milijonų klientų, pasinaudojusių jų dukterinės įmonės „Starwood“ paslaugomis, duomenys galėjo būti pavogti. Skelbiama, jog tarp pavogtų duomenų galėjo būti kliento vardas, elektroninio pašto adresas, telefono numeris, paso numeris, banko sąskaitos informacija, gimimo data, lytis bei atvykimo ir išvykimo laikai, rašoma pranešime spaudai.

Tokių, milijardus kainuojančių itin jautrių asmens duomenų paviešinimo incidentų – ne vienas. „Yahoo“, „Uber“, „Equifax“ – neįtikėtina, tačiau vienaip ar kitaip visų šių įmonių klientų asmens duomenys pateko į nusikaltėlių rankas. Beje, pastaruosius domina ne tik milžinai – skaičiuojama, kad 61 proc. visų 2017 m. vykusių atakų buvo nukreipta į įmones, turinčias mažiau nei 1000 darbuotojų. Dominykas Šeikis, „Visma Lietuva“ programinės įrangos saugumo specialistas analizuoja, kokios saugumo spragos dažniausios ir ką daryti, kad jų neliktų.

Laiku atnaujinti kritinę serverių programinę įrangą

Kaip svarbu atnaujinti savo programinę įrangą, galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax“. 2017 m. liepą jie pranešė, jog buvo nutekinti 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56,200 įrašų buvo su pasų, vairuotojų pažymėjimų, mokesčių mokėtojų ID numeriais („Business Insider“).

„Reuters“ rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių. Silpnąją vietą programišiai rado įmonei laiku neatnaujinus „Apache Struts“ programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą). Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai.

Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis dėlto skaičiuojama, kad apytiksliai 41 proc. įmonių turi daugiau nei 1000 neapsaugotų failų („Varonis Systems“) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai. Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.

Darbuotojų švietimas

Darbuotojų klaidos yra viena pagrindinių saugumo spragų – „Kaspersky Lab“ tyrimas parodė, jog šios klaidos sukelia apie 50 proc. visų saugumo incidentų. Vienas iš pavyzdžių – „Yahoo“. Įsilaužimo į šį technologijų gigantą metu, 2014 metais, buvo nutekinta informacija apie 3 milijardus naudotojų. Tam, kad patektų į vidinį tinklą, programišiui užteko nusiųsti kenksmingą elektroninę žinutę vienam iš kompanijos darbuotojų. Kitas atvejis – „Uber“. 2016 -ųjų spalį buvo nutekinta informacija apie 56 milijonus vairuotojų. Šis incidentas kilo, nes programuotojai laikė slaptažodžius viešai prieinamoje „Github“ saugykloje.

Saugumo pagrindų mokymai turėtų būt privalomi visiems, dirbantiems bet kokioje įmonėje. „Uber“ pavyzdys puikiai parodė, jog nuo klaidų neapsaugoti net ir IT profilio darbuotojai, dėl to „Visma Lietuva“ nuolat rengia mokymus savo specialistams. Visai nesvarbu kvalifikacija, tai gali būti procedūra atliekama prieš įdarbinant arba kasmetiniai mokymai. Apie saugumą sakoma, jog esate stiprus tiek, kiek stipri jūsų silpniausia grandis, tad net tūkstančius kainuojantys tinklo perimetro saugos įrenginiai neapsaugos, jei nešviesite darbuotojų.

Reguliarus įsilaužimų testavimas

Daug saugumo spragų nesunkiai rasti ir ištaisyti gali profesionalūs įsilaužimų testuotojai. Nuolat besikeičiant programinei įrangai, įsilaužimų testavimas turi būti atliekamas prieš diegiant įrangą ar naujinimus į produkciją ar kitą viešai pasiekiamą aplinką. Išorinis įsilaužimų testavimas leistų nustatyti ir ištaisyti pažeidžiamumus prieš piktavaliams padarius milžiniškos žalos.

Įmonės, skiriančios daug resursų savo sistemų saugumo užtikrinimui, turėtų apsvarstyti „Bug Bounty“ programą, kurioje saugumo ekspertai gauna atlygį už atrastas saugumo spragas internetu prieinamose aplikacijose. Informacija atskleidžiama tik griežtai nustatyta tvarka. Tai puiki alternatyva, suteikianti galimybę būti patikrintam geriausių saugumo ekspertų pasaulyje.

Žaibiška reakcija į incidentą

Kaip rodo „M-Trends“ ataskaita, įsilaužimą aptikti vidutiniškai užtrunka apie 200 dienų. Kvalifikuotas personalas ir kompleksinė tinklo stebėsenos įranga šį laikotarpį, o kartu ir įsilaužimo pasekmes, gali stipriai sumažinti. Paprastai tinklo saugos strategija skirta apsaugoti vidinį tinklą iš išorės, tačiau yra visiškai neįgali nustatyti atakas vidiniame tinkle. Svarbiausias kibernetinio saugumo principas: darykite prielaidą, jog į jums priklausančias sistemas jau įsilaužė. Tai reiškia, kad reikia dėti pastangas ne tik bandant apsisaugoti nuo įsilaužimų, bet ir žinoti, ką daryti, jei į jūsų sistemas vis vien buvo įsilaužta. Tam reikia sukurti aiškiai dokumentuotas procedūras – kas už ką atsako, kas priima sprendimus, paskirsto išteklius, viešina ir imasi konkrečių žalos minimizavimo veiksmų.

Jūsų kibernetinis saugumas yra kompleksinis sprendimas, reikalaujantis ir žmogiškųjų, ir finansinių resursų. Vis dėlto ne visada būtina kurti etatą savo įmonėje, specialistus galima samdyti iš šalies – tokiu būdu gausite būtent jums pritaikytą paslaugą. Nepamirškite, įsilaužimai kainuoja ne tik pinigus ar jūsų įmonės reputaciją, jūs esate atsakingi už žmones, kurie jums patikėjo savo duomenis.

Komentarai: 1

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Interviu Aktualu

M.Aliochina iš „Pussy Riot“ apie protesto svarbą: „Tylėdamas savo laisvę atiduodi kitam“

Aktualu

Socialdarbiečiai siūlo Andrių Palionį į aplinkos ministrus

Gyvenimas

Įkvepiantys lietuviškos senatvės pavyzdžiai: drąsa pasakyti „ne“ vienatvei, ligoms ir apleistumui

„Ginčas“: „Žalgirio“ pravertos žaizdos – kaip gydyti „Rytą“?

Aktualu

Detektyvas Melnragėje: teismas aiškinasi, ką daryti su naujais namais ten, kur negalima išvis statyti?

Sportas

„Skrieja kamuolys“: „Copa Libertadores“ Madride, naujas lyderis Anglijoje ir Lionelio Messi baudos smūgiai

Gazas

„Godzila“ ant ratų: 50 benzingalvių už šį „Nissan GT-R50“ mokės po milijoną eurų

Gyvenimas

Lytį pakeitusi E.Mockutė: „Jaučiuosi kalta, jog man taip pasisekė, o kitiems – ne“

Vardai

Editos Daniūtės šventės Toskanoje – apie itališką Kūčių stalą su silke ir lietuviškų eglių grožį

Aktualu

Mindaugo Puidoko pataisas dėl vaiko teisių stabdo Seimo teisininkai

Aktualu

Jungtinės Karalystės premjerė Theresa May atidėjo svarbų balsavimą dėl „Brexit“

Maistas

Idealūs šventiniam sezonui – minkšti ir labai imbieriniai sausainiai

Gazas

Naujas sumanymas Dakarui: lenkai ruošiasi jį įveikti savo sukurtu elektromobiliu

Vardai

Muilo operų karalienei Gabrielai Spanic – 45-eri: geriausia dovana – pasibaigęs karas su sese dvyne

Verslas

Nuo parduotuvių iki turizmo – protestai Prancūzijoje sudavė smūgį visai šalies ekonomikai

Aktualu

„MG Baltic“ byloje liudijantis Dainoras Bradauskas: buvo daug humoro, išgalvotų dalykų

Vardai

A.Bandžiaus sužadėtinę buvęs vyras švedas išvijo iš namų: „Bėgau per miškus, skambinau policijai“

Aktualu

Seimas beveik vieningai priėmė Ukrainą palaikančią rezoliuciją, susilaikė tik R.Martinėlis ir S.Jakeliūnas

Sportas

Pasiūlymą Lioneliui Messi turintis Cristiano Ronaldo: „Gal jis manęs ir pasiilgo“

24sek

„Žalgirio“ išskirtinumas: efektyvi rungtynių pradžia – beveik be tritaškių

Naujienos

Maistas

Išlaidauti nebūtina: 4 nebrangūs patiekalai šventiniam stalui

Mokslas.IT

Renkasi IT specialistai: kurie darbo privalumai yra kertiniai?

Vardai

Jurgis Didžiulis 15min studijoje pristatė naują dainą, kviesdamas lietuvius nebeslėpti emocijų

24sek

Finikso krizė NBA – žaidėjas bandė pabėgti nuo trenerio pastabų

Aktualu

Pentagonas: JAV sunerimusios dėl agresyvios Rusijos atakos Kerčės sąsiauryje

Aktualu

R.Karbauskis: etatinį modelį taisanti prezidentė nori parodyti, kad „valdžia yra bloga“

Aktualu

Ernestas Naprys: Aš tikrai neisiu į protestą šį sekmadienį

24sek

Graži pergalė: „Žalgirio“ herojai ir Šaro korekcijos, pribloškusios „Olympiakos“

Gyvenimas

Kalėdinė eglutė: ekspertės patarimai, kaip išsirinkti tokią, kuri džiugintų, o ne keltų rūpesčių

Aktualu

BMW „nuskynė“ dar vieną autobusų stotelę – šįkart Klaipėdoje

Snieguotas penktadienis sostinėje

Aktualu

Žemynos progimnazijoje 39 mokytojai grįžo į klases, 23 dar streikuoja

Aktualu

JAV Tenesio valstijoje įvykdyta mirties bausmė prieš 36 metus nuteistam vyrui

Gyvenimas

5 dovanų idėjos, kurioms neišleisite nė 10 eurų

Vardai

Komikas Kevinas Hartas nebeves „Oskarų“ ceremonijos dėl homofobiškų komentarų

Aktualu

Dalia Grybauskaitė: švietimo reforma buvo arogantiškai stumiama

24sek

Besididžiuojančiam Šarui net paskaudo ausis: „Tai vyriškiausia mūsų pergalė“

Aktualu

Prezidentė pasirašė dekretus dėl trijų ministrų atleidimo

Maistas

Žinomas maisto fotografas dalinasi dviem receptais: kepti ant grilio galima ir iškritus sniegui

Aktualu

Iš Rusijai nepalankaus projekto pavadinimo išbraukta Maskvą erzinanti pavardė

Vardai

Ypatingos

07:15
07:03

Gera keliauti kartu

Kviečiame anties

Šiemet buvau geras

Maistas

Dovanoju sveikatą

Sveikata

Parašykite atsiliepimą apie Mokslas.IT