Skamba kaip dar viena antraštė iš COVID-19 pandemijos kronikų, tačiau šį kartą apie skaitmeninę pandemiją ir pakilusią temperatūrą dėl asmens duomenų apsaugos.
Didžiausia asmens duomenų vagystė per visą Lietuvos nepriklausomybės laikotarpį šiomis dienomis tarsi atvėrė Pandoros skrynią: verslas per mažai investuoja į infrastruktūros ir duomenų saugumą ir prisiima per didelę riziką, nes metiniuose biudžetuose eilutę „IT saugumas“ stipriai sumažinti arba iš viso nubraukti lengviausia. Beveik niekas nesupranta, kas tai yra, o tikrai suprantantys nesugeba įrodyti vadovams, kad rizika yra reali ir su labai rimtomis problemomis galima susidurti praktiškai bet kada.
Nereikia bijoti ir laukti, reikia veikti.
Pirmas žingsnis – giluminis kibernetinio saugumo vertinimas, apimantis pažangiausias pažeidžiamumų aptikimo bei įsilaužimų simuliavimo praktikas, ir saugumo pavertimas kasdienybe, įdiegiant DevSecOps praktikas.
DevSecOps – sutrumpinimas „development, security, and operations“ – praktika siekiama saugumo priemones integruoti į kiekvieną aplikacijos kūrimo etapą: nuo pradinio architektūros dizaino, programinio kodo rašymo, testavimo iki diegimo ir paleidimo į gyvenimą. Kitaip nei klasikinėje aplikacijų vystymo praktikoje – kai saugumu susirūpinama tik tada kai aplikacija paruošta paleisti į gamybą (angl. production) arba, dar blogiau, kai pirmas vartotojas sušunka apie problemą. Klasikiniu atveju saugumas paliekamas atskiroms saugumo testavimo arba kokybės užtikrinimo – QA komandoms, tuo tarpu DevSecOps praktikoje saugumas yra kiekvieno programuotojo, DevOps‘o ir administratoriaus atsakomybė.
Yra visos priemonės realiai ištestuoti veikiančias Jūsų sistemas ir jas patobulinti.
Kibernetinio saugumo testavimas modernioje organizacijoje negali apsiriboti įprastu automatizuotu pažeidžiamumų skenavimu ir standartinės ataskaitos, su krūva false-positive ir realių pažeidžiamumų, atspausdinimu.
Modernūs kibernetinio saugumo vertinimai vykdomi keliais etapais: nuo įprasto pažeidžiamumų identifikavimo, įsilaužimo testavimo, programinio kodo audito, socialinės inžinerijos (žmogiškųjų resursų pažeidžiamumą) testavimo iki darbuotojų saugumo mokymų ir kitų veiklų, skirtų įvertinti organizacijos galimybės atlaikyti kibernetines atakas ir suteikiančių vadovams ramesnį miegą.
Tokiais atvejais cloud infrastruktūra ir pačios aplikacijos yra atakuojamos taip, kaip tai darytų tipiniai modernūs programišiai. Siekiant racionalumo ir realaus rizikos vertinimo, privaloma įsigilinti į testuojamos organizacijos verslo aplinką, specifiką – siekiama surasti realius ir labiausiai tikėtinus verslo pažeidžiamumus bei silpnąsias vietas. Kartais tenka ir fiziškai apsimesti nedorėliu, atvykti į organizacijos biurą, ar bandyti atsiimti „svetimą“ siuntą. Galiausiai, užuot pateikus ilgus pažeidžiamumų ir problemų, kurias reikėtų išsitaisyti patiems, bendradarbiaujant užkardomos visos saugumo spragos.
Įgyvendinus testavimą turi būti įdiegtos saugumo stebėsenos komponentės.
Kelios dažniausios aplikacijų, veikiančių cloud‘e, rizikos:
1. Paskyrų perėmimas dėl netinkamo ar nepakankamo prieigos valdymo;
2. Duomenų perėmimas ir nutekinimas;
3. Duomenų praradimas (kai nebetenkama prieigos prie verslui svarbios informacijos);
4. Nesaugios aplikacijų sąsajos (angl. Application User Interfacde – API);
5. Nepakankama cloud infrastruktūros ir saugyklų konfigūracija;
6. DDoS atakos.
Verta atkreipti dėmesį, jog Gartner prognozuoja, kad iki 2025 m., beveik visos (99%) cloud saugumo klaidos bus kilusios dėl pačios organizacijos, naudojančios Cloud paslaugas, kaltės.
Žmogus tampa didžiausia spraga
Negalima pamiršti ir žmogiškojo faktoriaus. Moderniose organizacijose atakų taikiniais tampa konkretūs asmenys, kasdieniame darbe naudojantys dažnai ne vieną įrenginį. Darbuotojai atakuojami naudojant socialinės inžinerijos scenarijus, nes žmogus visada linkęs labiau pasitikėti, nei tikrinti.
Socialinė inžinerija – tai manipuliavimas žmonėmis ir jų protu siekiant apeiti informacijos apsaugos sistemas. Techninės saugumo priemonės nuolat tobulėja, tačiau žmonės nekinta. Jie su savo silpnybėmis, stereotipais ir nusistatymais lieka silpniausioji informacinio saugumo grandis.
Todėl organizacijos, siekiančios užtikrinti pakankamą saugumo lygį arba jį padidinti, turi investuoti ir į saugumo sprendimus, ir į žmones. Nes kam uoliai slėpti seifo slaptažodį, jei seifą paliekame atrakintą?
Skaylink – valdomų Cloud ir IT paslaugų lyderis Baltijos šalyse. Saugumo lygį padidinti galite testuodami savo infrastruktūrą, vykdant nuolatinę stebėseną ir teisingai įveiklinant jau naudojamą programinę įrangą.
Daugiau:
Darbo vietos saugumui – www.bttarmour.lt
