Prieš kelerius metus „The Economist“ paskelbta mintis, kad duomenys yra nauja nafta, vis dar aktuali ir šiandien. Kibernetiniai nusikaltėliai siekia pasipelnyti iš duomenų, organizacijos – šiuos duomenis apsaugoti. Rugsėjo 5 d. vykusioje kibernetinio saugumo konferencijoje „ESET Security Day“ saugumo specialistai diskutavo, kaip sukurti tobulą įmonės IT saugumo politiką.
Vien dokumento nepakanka
Pasak Valstybinės duomenų apsaugos inspekcijos (VDAI) IT skyriaus vedėjo dr. Jevgenij Tichonov, saugumo politika yra svarbus dokumentas, nustatantis pagrindinius informacijos apsaugos principus konkrečioje organizacijoje. Vertinant saugumo politikos dedamąsias dalis, asmens duomenų apsauga yra viena esminių.
„Asmens duomenų saugumo pažeidimai turi sankirtą su labai skirtingais incidentais: tiek su kibernetiniais, tiek su ryšių tinklų ir net fizinės saugos incidentais. Pavyzdžiui, pratrūko vamzdis, užliejo jūsų serverį ir jūs praradote asmens duomenų vientisumą – tai bus taip pat asmens duomenų pažeidimas“, – pavyzdžiais dalinasi dr. J. Tichonov.
VDAI specialistas rekomenduoja organizacijoms peržiūrėti duomenų tvarkymo operacijas: duomenų kategorijas, tvarkymo tikslus, laikymo vietą ir pan. Svarbu suprasti ir įvertinti, kokį poveikį gali sukelti asmens duomenų saugumo pažeidimai, tokie kaip duomenų atskleidimas, pakeitimas ar sunaikinimas, taip pat atsižvelgti į grėsmės atsiradimo tikimybes.
„Fondia Suomijos“ vyresnioji teisininkė Sari Koskela pastebi, kad organizacijos dažnai save apgauna manydamos, kad teisininkai sutvarkys visas privatumo ir duomenų apsaugos problemas.
„Deja, mes neturime tokių supergalių – mums reikia žmonių, kurie žino techninius apsaugos niuansus, kurie žino, kaip apsaugoti duomenis, – teigia S. Koskela. – Teisininkai gali sutvarkyti dokumentus, suformuoti privatumo politiką, bet to juk nepakanka, mums reikia visų procesų“.
Pasak teisininkės, itin svarbu duomenų apsaugą traktuoti kaip neatsiejamą kiekvieno projekto dalį ir pažvelgti į duomenų tvarkymą bei valdymą iš duomenų subjekto perspektyvos.
Žmogiškasis faktorius
Be techninių duomenų saugumo priemonių, kaip prieigų kontrolė ir autentifikavimas, techninių žurnalų įrašai, darbo vietų bei tinklo apsauga, atsarginės kopijos ir kt., VDAI atstovas dr. J. Tichonov pabrėžia organizacinių duomenų saugumo priemonių svarbą.
„Būtina tiksliai aprašyti vaidmenis ir atsakomybes, valdyti prieigą, išteklius. Mokymai yra vienas reikšmingiausių dalykų saugume, – tvirtina pranešėjas. – Tik kas penktas asmens duomenų saugumo incidentas kyla dėl kibernetinio incidento, pusė visų pažeidimų – dėl žmogiškosios klaidos. Jei jūs gerai apmokysite darbuotojus, jei gerai paskirstysite vaidmenis ir atsakomybes, jei pas jus bus gerai sutvarkytos prieigos, jūs galite išvengti kas antro pažeidimo“.
Pranešėjui pritaria „Safetica“ plėtros vadovas Radek Hanzlik, tikinantis, kad 80 proc. duomenų nutekėjimo atvejų kyla per klaidą: neatsargumą, IT kompetencijos trūkumą ar net tingumą, bei dėl prarastų įrenginių.
„Jūs galite turėti geriausią techninę ir programinę įrangą, bet jei darbuotojas nežino, kaip saugiai dirbti su duomenimis, jūs galite pralaimėti šią dvikovą dėl duomenų apsaugos“, – komentuoja R. Hanzlik.
Pasak saugumo eksperto, tiek žmogiškos klaidos, tiek tyčinio duomenų nutekinimo atveju, kompanijos susiduria su ta pačia problema – nepakankama kontrole ir matomumo trūkumu.
Svarbiausia – kontrolė
IT saugumo ekspertas Darius Povilaitis su „ESET Security Day 2019“ dalyviais pasidalino detaliais patarimais, kaip pasirengti incidentams, juos aptikti bei kontroliuoti.
„Pagrindiniai saugumo principai: griežta kontrolė, minimalios reikalingos teisės, baltieji sąrašai (angl. whitelist), pradinė padėtis (angl. baseline) ir stebėsena. Pastaroji itin svarbi – jokia saugumo sistema nedirba, jei nematote, kas darosi“, – renginio metu tvirtino specialistas.
Pasak D. Povilaičio, vartotojams įmonės viduje turi būti suteikiamos tik minimalios reikalingos teisės: vartotojų prieigos turi būti suteikiamos pagal vartotojo tapatybę ir tik prie jiems priskirtų ar reikalingų resursų. Vartotojų darbo vietos turi būti apsaugotos ugniasienėmis, kurios blokuotų įeinančius ryšius, ribotų leidžiamas paslaugas internete. Svarbu vykdyti vartotojo srauto automatinę analizę, kuri leistų blokuoti pavojingas svetaines ir tikrintų srautą nuo virusų.
Taip pat svarbu susitvarkyti tinklus, serverių išėjimas į internetą turi būti blokuojamas, esant poreikiui – griežtai kontroliuojamas.
Nesaugomi „tiltai“
Pranešimą skaitęs Nacionalinio kibernetinio saugumo centro (NKSC) direktorius Dr. Rytis Rainys pasidalino nuogąstavimu, kad nepaisant to, jog Lietuvoje galime pasigirti technologiškai modernia interneto tinklo infrastruktūra ir dideliu interneto greičiu, kas antra lietuviška interneto svetainė yra pažeidžiama.
Itin ši problema aktuali svetainėms su turinio valdymo sistema: net 52 proc. tokių svetainių gali būti nulaužtos kibernetinių nusikaltėlių, o 20 proc. turi kritinių saugumo spragų. Pasak R. Rainio, šie pažeidžiamumai gali būti išnaudoti kibernetinėms atakoms arba tolimesniems įsilaužimams.
„Tai tik mitas, kad interneto svetainė yra nekalta, per ją neįmanoma nieko padaryti – gana dažnai svetainės yra tramplinas, tiltas į kitus incidentus ir netgi vidinius įmonių tinklus“, – tvirtina NKSC vadovas.
Kaip papildomą grėsmę, be šiuo metu suaktyvėjusių išpirkos reikalaujančių kenkėjų, Dr. R. Rainys išskiria nesaugią tinklo įrangą – Lietuvoje parduodamus interneto maršrutizatorius, skirtus namų ūkiams ir smulkioms įmonėms, su Rusijos DNS paslaugos „Yandex.DNS“ ir „SkyDNS.DNS“ servisu.
Iššūkiai IT specialistams
ESET saugumo evangelistas Tony Anscombe, skaitęs pranešimą apie išmaniesiems pastatams kylančias kibernetinio saugumo grėsmes, pabrėžia, kad pastatai jau seniai nebėra vien plytos ir cementas.
„Net jei galvojate, kad jūs nedirbate išmaniajame pastate, jūsų verslo pastate kažkur yra kontrolės kambarys, kur valdomi visi komunikacijos tinklai, santechnika, – komentuoja T. Anscombe. – Galbūt šiandien kai kurie dalykai tebėra valdomi rankiniu būdu, tačiau po penkerių metų viskas bus susieta su tam tikra nuotolinio valdymo forma“.
Pasak pranešėjo, apie išmaniesiems pastatams kylančias grėsmes būtina kalbėti vien tam, kad pasiruoštume netolimos ateities scenarijams, kai kibernetiniai nusikaltėliai, perėmę pastatų vėdinimo ir šildymo, durų valdymo kontrolę, sieks pakenkti pažangioms organizacijoms.
ICS saugumo ekspertas Vytautas Butrimas renginyje apžvelgė kritinei infrastruktūrai kylančius saugumo iššūkius, kurie dažniausiai yra gerokai sudėtingesni nei įprastose verslo organizacijose.
„Kai IT srityje įvyksta gedimas, žmonės tiesiog nueina išgerti puodelio kavos, kol administratoriai atstatys sistemas. Tačiau klaidos kritinėje infrastruktūroje, kur valdomos elektrinės ir branduoliniai reaktoriai, gali kainuoti net gyvybę“, – pastebi saugumo ekspertas.
Anot V. Butrimo, dažniausiai kritinių infrastruktūrų atakos prasideda nuo IT – įsilaužus į organizacijos kompiuterius bandoma laužtis toliau į industrinės kontrolės sistemas, tačiau tam reikia specifinių žinių, todėl tokie įsilaužimai būna gerai suplanuoti. O patiems IT specialistams, dirbantiems kritinėse infrastruktūrose, tenka atsargiau taikyti saugumo sprendimus, nes net vienas operacinės sistemos atnaujinimas gali tapti rimta industrine grėsme.
Jau penkerius metus iš eilės vykusi kibernetinio saugumo konferencija „ESET Security Day“ sulaukė didelio IT specialistų ir vadovų dėmesio. Tai yra pasaulyje pripažinto IT saugumo renginių ciklo dalis, kuris skirtas ne tik pasidalinti kibernetinio saugumo tendencijomis ir gerosiomis praktikomis, bet ir suburti IT profesionalus, verslo atstovus ir visus besidominčius naujausiomis IT technologijomis.