Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams

Beveik 800 000. Tiek įvairių sistemų ir paslaugų vartotojų duomenų buvo nutekinta vos per savaitę. Drįstu spėti, kad tai – tik ledkalnio viršūnė, ir apie pavogtus asmeninius duomenis išgirsime dar ne kartą.

Vienintelis būdas užkirsti kelią piktavališkiems ketinimams ir tinkamai saugoti įmonėms patikėtus klientų duomenis yra atsakyti į klausimą: „Ar sistema, kurios paskirtis yra saugoti asmens duomenis ir kitą jautrią informaciją, yra tam pritaikyta?“.

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas (angl. „legacy systems“). Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų bei Asmens duomenų apsaugos įstatymo reikalavimų. Tokios sistemos, norint jas naudoti toliau, turi būti perdaromos, modernizuojant dalį sistemos komponentų ar perprogramuojant visą sistemos kodą, taip pat galėtų būti įvertinta galimybė išnaudoti Viešųjų debesų (angl. „Public Cloud“) teikiamas galimybes ir privalumus.

Sistemos, sukurtos prieš BDAR, dažnai neatitinka BDAR reikalavimų

Asmeniniai duomenys neretai vadinami naujuoju auksu, todėl jų praradimas gali turėti skaudžių pasekmių. Tinkamai tvarkant duomenis netgi ir duomenų nutekėjimo atveju potenciali žala tiek vartotojams, tiek disponuojančiai duomenimis organizacijai, gali būti mažesnė. Viena didžiausių klaidų tvarkant asmens duomenis yra taikyti įprastas duomenų tvarkymo procedūras ir principus– tam kelią ir bando užkirsti Asmens duomenų apsaugos įstatymas (BDAR).

Nuo 2016 m. įsigaliojus BDAR, įmonės, kaupiančios asmens duomenis, privalo užtikrinti tinkamą jų apsaugą, neatskleisti šių duomenų trečiosioms šalims ir naudoti asmens duomenis tik tiems tikslams, kuriems asmuo suteikė leidimą. Visi asmens duomenys turėtų būti šifruojami ir pseudonimizuojami (angl. “pseudonymisation”). Prie tokių duomenų prieiga turėtų būti suteikiama tik tiems žmonės, kuriems ją būtina turėti, o sistemą ir jų infrastruktūrą privalu nuolatos audituoti. Tam, kad įmonės turima sistema galėtų užtikrinti visų šių reikalavimų laikymąsi, ji turi atitikti ir technologinius, ir saugumo reikalavimus.

Ypatingai svarbu įsivertinti BDAR atitikimą jeigu disponuojama sistema buvo pradėta kurti dar prieš BDAR įsigaliojimą, kadangi ją projektuojant, apie griežtus asmeninių duomenų apsaugos techninius reikalavimus galėjo būti ir nepagalvota. Natūralu, seniau sukurtos IT sistemos skyrė mažiau dėmesio asmens duomenų apsaugai, todėl būtina įvertinti ar esamos apsaugos priemonės užtikrina tinkamą šių duomenų apsaugą tiek kasdienėje įmonės veikloje, tiek nesankcionuotos prieigos atveju.

Viešasis debesis negali tapti viešu praeinamuoju kiemu

Po BDAR įsigaliojimo pastebiu tendenciją, kad įmonės ieško greitų būdų spręsti sistemų problemas, todėl renkasi perkelti jas į Viešuosius debesis. Ten esančios paslaugos suteikia galimybę modernizuoti programinę įrangą ir kartu gauti visas IT paslaugas, tarp jų ir duomenų apsaugai reikalingas priemones, vienoje vietoje. Migruojate į viešąjį debesį, nes jis saugus ir nereikia rūpintis duomenų ar sistemų saugumu? Tai mitas, kurį reikėtų pamiršti. Viešojo debesies paslaugų tiekėjas užtikrina fizinę duomenų centrų saugą bei suteikia aibę priemonių kuriamos informacinės sistemos saugumui užtikrinti. Tačiau tinkamas šių apsaugos priemonių parinkimas, projektavimas ir konfigūravimas išlieka jūsų pareiga. Jei nebus sukurta visa duomenų apsaugos sistema ir įjungti saugikliai, tai Viešas debesis bus tarsi viešas kiemas, į kurį gali patekti kas nori. Tai – didelė klaida. Pavyzdžiui, jeigu Viešajame debesyje pasirenkamos infrastruktūros paslaugos, tokios kaip Virtualūs serveriai, reikia nepamiršti, kad Operacinės sistemos (Windows ar Linux) priežiūra, saugumas ir konfigūravimas lieka įmonės IT specialistų rankose. Visiškai nesvarbu ar sistema įdiegta į Jūsų įmonės serverį ar Viešajame debesyje esantį serverį, reguliarūs atnaujinimai ir antivirusinių priemonių naudojimas yra būtini, kad programišiai neišnaudotų naujai atsiradusių saugumo spragų (angl. "Zero-Day Vulnerabilities").

Atsisakant įmonės fizinės infrastruktūros ir nusprendus migruoti į Viešąjį debesį, dažna daroma klaida yra migruoti sistemas tokias, kokios jos yra dabar ir daryti tik minimalius pakeitimus (angl. "lift-and-shift"). Prieš imantis šio veiksmo būtina investuoti laiko ir pastangų suprantant kokias paslaugas teikia pasirinkto Viešojo debesies tiekėjas ir kaip jo teikiamos paslaugos atitinka įmonės migruojamos ar kuriamos sistemos komponentus. Pastaruoju metu žiniasklaidoje nuskambėję duomenų paviešinimo atvejai įvyksta dėl to, kad projektuojant sistemą neįvertinami nefunkciniai reikalavimai, tarp kurių informacijos saugos reikalavimai yra vieni svarbiausių, ir šių reikalavimų įgyvendinimas pamirštamas tinkamai ištestuoti.

Kaip išnaudoti Viešojo debesies funkcionalumus saugumui užtikrinti?

Vartotojo sąsaja neretai tampa pirminiu kenkėjiškų atakų taikiniu, bandant išnaudoti visas įmanomas spragas. BDAR kontekste svarbu ne tik apsaugoti kaupiamus jautrius vartotojų duomenis, tačiau ir užtikrinti, kad tie patys jautrūs duomenys, vedami į sistemą nebūtų perimami juos siunčiant tarp sistemos komponentų ar perduodant į susijusias sistemas, todėl įprastai jautrūs duomenys apsaugomi juos užšifruojant saugiais, tam skirtais šifravimo algoritmais. Programišiai dažnai taikosi įsilaužti į sistemą ir vartotojų paskyras bandydami atspėti jų prisijungimo vardus ir slaptažodžius, todėl būtina nepamiršti pasirinkti papildomų priemonių, tokių kaip slaptažodžių sudėtingumo politikos, nesėkmingų prisijungimų kiekio per tam tikrą laiko tarpą kontrolės ir anomalių reiškinių stebėjimo ir kontrolės, kuri leistų pastebėti, kad vartotojas per trumpą laiko tarpą bando prisijungti iš skirtingų geografinių lokacijų ir pan. Tokias priemones Viešajame debesyje ne retai galima naudoti visiškai nemokamai, tačiau įmonės pamiršta išnaudoti visas užsakytų paslaugų galimybes.

Duomenų bazės – antras dažniausiai pasitaikantis programišių taikinys. Nesvarbu ar renkamasi naudoti duomenų bazes kaip platformą (angl. „PaaS“) ar kaip paslaugą (angl. „SaaS“), jos turi būti atitinkamai konfigūruojamos ir prižiūrimos. Duomenų bazių izoliavimas nuo kitų sistemos komponentų naudojant viešųjų debesų tinklo segmentus ir ugniasienės komponentus yra sistemos kūrėjų atsakomybėje, todėl teisinga sistemos architektūra atlieka labai svarbų vaidmenį šiame uždavinyje. Teisingai atskyrus kuriamos sistemos komponentus, Viešajame debesyje galima užtikrinti, kad tinklo segmentuose bus atidaromi tik būtini prievadai (angl. "Ports"), o duomenys perduodami saugiai, kai kiekvienas sistemos komponentas, prieš perduodamas arba prašydamas duomenų turi autentifikuotis su jam skirtu raktu (angl. "Access key"). Papildomą apsaugos sluoksnį įneša teisingai sukonfigūruotos Viešojo debesies politikos (angl. "Policies"), kurių pagalba galima kontroliuoti visas sistemines ir vartotojų prieigas, stebėti jautrius įvykius, tokius kaip bandymus įsilaužti ar kitaip paveikti sistemą ir viską kontroliuoti su automatizavimo įrankiais, kurių pagalba galima automatizuoti sistemos atsaką į tam tikrus veiksmus ar anomalijas, o atsakingi sistemos priežiūros asmenys nedelsiant gaus apie tai pranešimus ir galės atlikti intervenciją. Šias apsaugos priemones suteikia Viešojo debesies pakete esančios paslaugos, tačiau jos nėra automatinės – jas reikia tinkamai pasirinkti ir panaudoti. BDAR kontekste reikia nepamiršti, kad asmens duomenys turi būti apsaugoti ne tik kasdienėje IT sistemos veikloje, bet ir įvykus saugumo incidentams, todėl duomenų bazėje saugomus asmens duomenis rekomenduotina šifruoti. Tokių apsaugos priemonių projektavimu ir diegimu turėtų pasirūpinti sistemą kuriantys IT specialistai.

Duomenų kopijos reikalauja tokios pačios priežiūros kaip pati sistema ar jos duomenų bazė. Svarbu turėti veikiančias atsargines duomenų kopijas, nenumatytiems programinės įrangos gedimų atvejams, tačiau taip pat labai svarbu duomenų kopijas apsaugoti jas šifruojant ir talpinant tik ribotą prieigą turinčiose viešojo debesies paslaugose, ar apsaugotame vidiniame įmonės tinkle. Jeigu duomenų kopijos naudojamos programinės įrangos kūrimo ar vystymo tikslais, būtina užtikrinti, kad šie duomenys būtų nuasmeninti.

„Etiško įsilaužėlio“ darbas – parodyti silpnąsias sistemos dalis

Norint kokybiškai ištestuoti sistemą bei nustatyti sistemos saugumo būklę turi būti naudojami tiek specializuoti komerciniai įrankiai, tiek vykdomi skirtingi saugumo testavimo tipai, pavyzdžiui programinės įrangos kodo analizė. Dar vienas saugumo testavimo tipas – jau sukurtos sistemos testavimas „juodos dėžės“ principu, kai apie sistemą nežinoma nieko, o „įsilaužti“ bandoma iš išorinio vartotojo, užpuoliko, perspektyvos. Taip pat negalima nuginčyti kito saugumo testavimo tipo – rankinio saugumo testavimo – naudos, kai didelę patirtį turintis „etiškas įsilaužėlis“ stengiasi ne tik identifikuoti pažeidžiamumus, bet ir nustatyti galimą riziką pažeidžiamumų išnaudojimo atveju.

Viena iš didžiausių su saugumo testavimu susijusių problemų yra ta, jog tai reikalauja specifinių įgūdžių bei patirties, todėl ne kiekviena maža ar vidutinė organizacija pati gali atlikti saugumo testavimo darbus. Būtent todėl rekomenduojama kreiptis į saugumo profesionalus, užsiimančius tuo kiekvieną dieną bei turinčius pakankamai patirties identifikuoti labiausiai kritines sistemos vietas, taip pat naudojančius specializuotus, komercinius saugumo auditavimo įrankius. Savo srities specialistas, atlikęs įsilaužimo testavimą, galės pateikti tiek atrastus saugumo pažeidžiamumus, tiek paaiškinti jų riziką, bei galiausiai pateikti rekomendacijas ir instrukcijas kaip pažeidžiamumus reikėtų taisyti.

Sistemos apsauga stipri tiek, kiek stipri jos silpniausia grandis

Rūpinantis informacinės sistemos apsauga, būtinas kompleksiškas požiūris. Reikėtų nepamiršti atsakomybių už informacijos apsaugą įmonėje, apsaugos reikalavimų nustatymo, tinkamų priemonių parinkimo ir diegimo kuriant, vystant bei prižiūrint informacines sistemas. Tinkamai suprojektuota sistemos architektūra ir teisingai parinktų, įgyvendintų ir reguliariai audituojamų saugos priemonių visuma – tai saugikliai, kuriuos turi įsidėti kiekviena klientų asmens duomenis sauganti įmonė.

• Vilniaus TV bokšto rekonstrukcija: taurėje lankytojams atvertos naujos erdvės.
• Dirbtinio intelekto rinka 2030-aisiais: investuoti, reguliuoti ar bijoti?
• Vidaus vartojimas – Lietuvos ekonomikos augimo variklis.
• Ne tik varlių šlaunelės ir sraigės: 2 greiti ir pigūs prancūziški patiekalai.
• Kodėl įspėjamuosius pranešimus kartais gauna ne visi gyventojai?
• JAV atvėrė rinką Lietuvos oro bendrovėms.
• Kuo naudinga garso terapija?
• Koks turėtų būti seifo saugumo lygis?
• Ką veikti lietingais vakarais porai? 5 idėjos.
• Ką būtina žinoti apie vaistų nuo skausmo vartojimą? Didžiausios klaidos.
• Blokuojami 23 IP adresai, kuriais pasiekiama Kremliaus propaganda.
• Ženšenis: natūralus adaptogenas jūsų sveikatai.
• Lietuvos biudžetas nepasipildo milijonais už automobilių ridos klastojimą.
• IT Lietuvoje: trečdalis tėvų vis dar mano, kad tikslieji mokslai – berniukams.
• Ar galiu savo miške iškirsti sausuolius ir ko tam reikia?
• Ką daryti, kad turimas turtas nenuvertėtų: atkreipkite dėmesį į 4 žingsnius.
• Lietuvą sėkmingai pasiekė stiklinės stadijos europiniai unguriai.
• Paštu apsimetantys sukčiai masiškai atakuoja mobiliojo ryšio vartotojus.
• Ekonominiai ciklai: ar žinote, kaip jais pasinaudoti jūsų naudai?
• Pavasaris – vagišių darbymetis: neša kepsnines, net ir sunešiotus batus.
• Žvilgsnis į ateitį – „airBaltic“ išbandė „SpaceX“ internetą „Starlink“.
• Pensijos tolsta, darbuotojai sensta. Keisti požiūrį privalės ir darbdaviai.
• Žengsime į vasaros laiką − kodėl šis metas itin pavojingas vairuotojams?
• Seimas spręs, ar leisti gyventojams pasitraukti iš pensijų kaupimo.
• Daugiau nei ketvirtadalis vairuotojų vėluoja laiku atlikti techninę apžiūrą.
• Pasiūlymas internete lėmė prarastą laisvę: kaip atskirti verbavimą?
• Stalo žaidimai šeimai: linksmybės ir mokymosi derinys.
• Taip įdarytų kiaušinių dar neragavote: nustebinsite visą šeimą.
• Kaip keičiasi vairavimo įpročiai persėdus į elektromobilį?
• 4 išmanūs sprendimai, leidžiantys efektyviai taupyti elektrą.
• Žinomas treneris: trys klaidos, kurias daro tėvai mokydami vaikus plaukti.
• Delsimas mažinti naftos degalų vartojimą kainuoja 1 mln. eurų per darbo dieną.
• Sinchronizuotas palūkanų karpymas Europoje ir nerimo ženklai JAV.
• „Tele2“ tinkle jau veikia nauji dvylikaženkliai numeriai: numerių pakaks.
• Vandens someljė atsakė į amžiną klausimą: ar sveika gerti mineralinį vandenį?
• Finansinių apgavysčių mastai auga: kieno naudai veikia dirbtinis intelektas?
• Kaip atskirti alergiją nuo peršalimo ligų ir gripo?
• Atakuojami Ukrainos televizijos kanalai palydove „Eutelsat Hotbird“.
• Pasitikrinkite dar kartą: primena, kaip telefone įsijungti saugos pranešimus.
• Ilgesnės dienos – mažesnės elektros sąskaitos: kokie įpročiai jas dar sumažins?

Šio sąrašo naujienos detaliau

Daugiau ankstesnių naujienų:  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17  18  19  20  21  22  23  24  25  26  27  28  29  30  31  32  33  34  35  36  37  38  39  40  41  42  43  44  45  46  47  48  49  50  51  52  53  54  55  56  57  58  59  60  61  62  63  64  65  66  67  68  69  70  71  72  73  74  75  76  77  78  79  80  81  82  83  84  85  86  87  88  89  90  91  92  93  94  95  96  97  98  99  100  101  102  103  104  105  106  107  108  109  110  111  112  113  114  115  116  117  118  119  120  121  122  123  124  125  126  127  128  129  130  131  132  133  134  135  136  137  138  139  140  141  142  143  144  145  146  147  148