Praėjusį penktadienį tarptautinis viešbučių tinklas „Marriott“ paskelbė, jog apie 500 milijonų klientų, pasinaudojusių jų dukterinės įmonės „Starwood’s“ paslaugomis, duomenys galėjo būti pavogti. 
Praėjusį penktadienį tarptautinis viešbučių tinklas „Marriott“ paskelbė, jog apie 500 milijonų klientų, pasinaudojusių jų dukterinės įmonės „Starwood’s“ paslaugomis, duomenys galėjo būti pavogti.
Skelbiama, jog tarp pavogtų duomenų galėjo būti kliento vardas, elektroninio pašto adresas, telefono numeris, paso numeris, banko sąskaitos informacija, gimimo data, lytis bei atvykimo ir išvykimo laikai. Tokių, milijardus kainuojančių itin jautrių asmens duomenų paviešinimo incidentų – ne vienas. „Yahoo“. „Uber“. „Equifax“.
Neįtikėtina, tačiau vienaip ar kitaip visų šių įmonių klientų asmens duomenys pateko į nusikaltėlių rankas. Beje, pastaruosius domina ne tik milžinai – skaičiuojama, kad 61 proc. visų 2017 m. vykusių atakų buvo nukreipta į įmones, turinčias mažiau nei 1000 darbuotojų. Dominykas Šeikis, „Visma Lietuva“ programinės įrangos saugumo specialistas, pranešime žiniasklaidai analizuoja, kokios saugumo spragos dažniausios ir ką daryti, jog jų neliktų.
© DELFI / Andrius Ufartas
Laiku atnaujinti kritinę serverių programinę įrangą
Kaip svarbu atnaujinti savo programinę įrangą galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax“. 2017 m. liepą jie pranešė, jog buvo nutekinta 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56200 buvo pasai, vairuotojų pažymėjimai, mokesčių mokėtojų ID numeriai („Business Insider“). „Reuters“ rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių. Silpnąją vietą programišiai rado įmonei laiku neatnaujinus „Apache Struts“ programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą).
Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai. Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis tik, skaičiuojama, kad apytiksliai 41 proc. įmonių turi daugiau nei 1000 neapsaugotų failų („Varonis“) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai. Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.
Darbuotojų švietimas
Laiku atnaujinti kritinę serverių programinę įrangą Kaip svarbu atnaujinti savo programinę įrangą galima pasimokyti iš stambios JAV kredito istorijos agentūros „Equifax“. 2017 m. liepą jie pranešė, jog buvo nutekinta 146 milijonų klientų asmens duomenys. Skaičiuojama, kad apie 56200 buvo pasai, vairuotojų pažymėjimai, mokesčių mokėtojų ID numeriai („Business Insider“). „Reuters“ rašo, jog ši ataka galėjo kainuoti daugiau nei 600 milijonų dolerių.
Silpnąją vietą programišiai rado įmonei laiku neatnaujinus „Apache Struts“ programinės įrangos (jos saugumo pataisymai buvo išleisti 2017 metų kovą). Gavus prieigą prie vidinio tinklo, piktavaliai turėjo marias laiko jautrios ir silpnai apsaugotos informacijos paieškai. Programinės įrangos atnaujinimas yra sudėtingas procesas, todėl kiekviena įmonė turėtų turėti tai reguliuojančią politiką. Vis tik, skaičiuojama, kad apytiksliai 41 proc. įmonių turi daugiau nei 1000 neapsaugotų failų („Varonis“) – juose galima rasti tokios informacijos kaip kreditinių kortelių numeriai ar sveikatos įrašai.
Tikėtis, kad jūsų duomenys nėra tokie įdomūs programišiams – naivu. Kiekviena įmonė renka daug klientų ar darbuotojų asmeninių duomenų, net jei tai kandidato CV ar registracija gauti naujienlaiškį.
Darbuotojų švietimas
Daug saugumo spragų nesunkiai rasti ir ištaisyti gali profesionalūs įsilaužimų testuotojai. Nuolat besikeičiant programinei įrangai, įsilaužimų testavimas turi būti atliekamas prieš diegiant įrangą ar naujinimus į produkciją ar kitą viešai pasiekiamą aplinką. Išorinis įsilaužimų testavimas leistų nustatyti ir ištaisyti pažeidžiamumus prieš piktavaliams padarius milžiniškos žalos.
Įmonės, skiriančios daug resursų savo sistemų saugumo užtikrinimui, turėtų apsvarstyti „Bug Bounty“ programą, kurioje saugumo ekspertai gauna atlygį už atrastas saugumo spragas web aplikacijose. Informacija atskleidžiama tik griežtai nustatyta tvarka. Tai puiki alternatyva, suteikianti galimybę būti patikrintam geriausių saugumo ekspertų pasaulyje.
Žaibiška reakcija į incidentą
Kaip rodo „M-Trends“ ataskaita, įsilaužimą aptikti vidutiniškai užtrunka apie 200 dienų. Kvalifikuotas personalas ir kompleksinė tinklo stebėsenos įranga šį laikotarpį, o kartu ir įsilaužimo pasekmes, gali stipriai sumažinti. Paprastai tinklo saugos strategija skirta apsaugoti vidinį tinklą iš išorės, tačiau yra visiškai neįgali nustatyti atakas vidiniame tinkle.
Svarbiausias kibernetinio saugumo principas: darykite prielaidą, jog į jums priklausančias sistemas jau įsilaužė. Tai reiškia, kad reikia dėti pastangas ne tik bandant apsisaugoti nuo įsilaužimų, bet ir žinoti, ką daryti, jei į jūsų sistemas vis vien buvo įsilaužta. Tam reikia sukurti aiškiai dokumentuotas procedūras – kas kam atsako, kas priima sprendimus, paskirsto išteklius, viešina ir imasi konkrečių žalos minimizavimo veiksmų.
Jūsų kibernetinis saugumas yra kompleksinis sprendimas, reikalaujantis ir žmogiškųjų, ir finansinių resursų. Vis dėlto ne visada būtina kurti etatą savo įmonėje, specialistus galima samdyti iš šalies – tokiu būdu gausite būtent jums pritaikytą paslaugą. Nepamirškite, įsilaužimai kainuoja ne tik pinigus ar jūsų įmonės reputaciją, jūs esate atsakingi už žmones, kurie jums patikėjo savo duomenis.
