Kodėl namus saugome nuo vagių, o kibernetinėje erdvėje nevengiame įsilaužėlių?

Publikuota: 2018-09-07
Nuotr. iš asmeninio albumo
Nuotr. iš asmeninio albumo
„Cyber Security Academy“ kibernetinio saugumo mokymų projekto vadovė

Neseniai populiarioje Firefox naršyklėje aptiktas pažeidžiamumas apdorojant SVG formato įskiepius, kurių naudojimas internete įgauna pagreitį. Google Chrome naršyklėje buvo aptikta spraga užtikrinant saugią prieigą prie populiarių USB įrenginių iš naršyklės. Šiais pažeidžiamumų atvejais potencialių aukų kiekis matuojamas milijardais. Kas atsakingas už saugesnės kibernetinės erdvės sukūrimą ir duomenų vagysčių žalos atlyginimą?

Šiemet kibernetinėje erdvėje dominuoja reguliarios naujienos apie sėkmingas kibernetines atakas. Firefox, Google Chrome ir kitos naršyklės įdiegtos beveik kiekviename įrenginyje, todėl tik laiko klausimas, kada spragos, atsirandančios šias programas papildant inovatyviais sprendimais, leis programišiams perimti vartotojų kompiuterių kontrolę iš naršyklių. Kyla natūralus klausimas, kas atsakingas už tokio mąsto žalos atlyginimą, jeigu saugumo spragos būtų sėkmingai išnaudotos?

Minėti Firefox ir Google Chrome pažeidžiamumai tėra keli konkretūs atvejai, kada reguliariai testuojant, naršyklėse aptinkami kritiniai pažeidžiamumai. Panašu, kad ir gerą vardą turintys programinės įrangos kūrėjai nespėja užtikrinti saugios inovacijų integracijos arba tiesiog neatidžiai praleidžia programinio kodo klaidas, tampančias kritinėmis spragomis.

Panagrinėkime programinės įrangos ir IT sprendimų saugumo klausimą iš įvairių suinteresuotų asmenų pusių. Neretas IT sprendimų kūrėjas pripažįsta, kad atskiras dėmesys saugumui skiriamas tik tuo atveju, kai yra aiškūs kliento poreikiai ir apibrėžti saugumo reikalavimai sutartyje. Kitaip tariant, neturint papildomo susitarimo su klientu, programinės įrangos ir IT sprendimų kūrėjai paprastai neplanuoja papildomų saugumo užtikrinimo žingsnių, negu tai numato standartinės kūrimui pasitelktos priemonės.

Viena labiausiai paplitusių nuomonių tarp programinės įrangos priežiūrą atliekančių sistemų ir tinklo administratorių yra tokia, kad jų prižiūrimoje infrastruktūroje bandymų įsilaužti nebūna, o jeigu tokių bandymų ir būtų, tai jų sėkmė greičiausiai priklausytų nuo programinės įrangos spragų, už kurias jie neatsako. Vadinasi, atsakomybę už duomenų nutekėjimą turėtų prisiimti organizacija, įsigijusi nesaugią programinę įrangą. Arba programinę įrangą įsigijusios organizacijos darbuotojai, kurie ja naudojasi.

Žiūrint iš programinę įrangą įsigijusios organizacijos pusės, akivaizdu, kad, jeigu organizacija, norėdama skaitmenizuoti savo veiklos procesus, kreipiasi į IT paslaugas teikiančią įmonę, tikėtina, kad ji neturi visų reikalingų kompetencijų įvertinti sukurto produkto saugumą. Todėl logiška, kad esant sprendimo saugumo pažeidžiamumui, organizacija atsakomybės irgi neturėtų pilnai prisiimti.

Atrodo, kibernetinės erdvės dalyviai atsiduria uždarame rate. Vartotojai kaltina blogai veikiantį IT sprendimą, sprendimą valdanti organizacija reiškia priekaištus jį kūrusiai kompanijai, o pastaroji nemato problemų, nes saugumo poreikis nebuvo identifikuotas sprendimo kūrimo metu. Tai rodo tam tikrą visuomenės brandos trūkumą kibernetinio saugumo klausimais.

Ekspertai, atliekantys įsilaužimų testavimus įvairiose informacinėse sistemose, teigia, kad net nevykdant rimtų atakų simuliacijų, o paprasčiausiai atsitiktine tvarka skanuojant tinklą, randama nemažai pažeidžiamumų. Apie aptinkamas spragas viešai kalba didelė dalis etiškųjų įsilaužėlių. Taigi, kyla natūralus klausimas - jeigu pažeidžiamumų vis daugėja, kas turėtų rūpintis jautrių duomenų saugumu, kuriam grėsmę kelia būtent nesaugūs programinės įrangos sprendimai?

Susiduriame su Lietuvos kibernetinio saugumo švietimo klausimu. Visų pirma, reikia pradėti nuosekliai kelti tiek programinės įrangos ir sprendimų kūrėjų, tiek ir tų sprendimų naudotojų bei paprastų žmonių sąmoningumą kibernetinio saugumo klausimais. Būtina ugdyti kritišką vertinimą ir atsargumą kibernetinėje erdvėje, priešingu atveju situacija lieka aklavietėje, į kurią veda kaltųjų paieškos. Juolab, kad šių metų gegužės 25-ąją įsigaliojęs BDAR reglamentas sukuria dar daugiau galimybių mojuoti kumščiais, tad teismai tarp IT sprendimų kūrėjų ir jų klientų neišvengiami.

Pirmiausia, kiekviena organizacija turėtų skatinti bendrą visų darbuotojų IT saugumo suvokimą, tuo labiau kad rinkoje yra plati kibernetinio saugumo mokymų pasiūla – nuo elementaraus kibernetinės erdvės dalyvio sąmoningumo ugdymo iki techninius etiškojo įsilaužėlio gebėjimus lavinančių praktikų. Pirminis tikslas - ugdyti darbuotojų pastabumą ir gebėjimą atpažinti kibernetinio puolimo atvejus, tokiu būdu užtikrinti geresnę organizacijos duomenų ir sistemų apsaugą.

Be abejo, programinės įrangos ir IT sprendimų kūrėjams būtina ugdyti ir techninius gebėjimus, nuo supratimo apie saugų kodą iki saugaus programavimo. Tai leidžia techninių sprendimų kūrėjams lengviau identifikuoti pažeidžiamas kuriamų ar vystomų sistemų vietas, įsisavinti teisingus jų pašalinimo metodus.

Sistemų kūrėjams ir administratoriams, siekiantiems specializuotis kibernetinio saugumo srityje, būtina į programinę įrangą žiūrėti iš įsilaužėlio perspektyvos, perprasti jo motyvus ir techninių žinių spektrą. Saugumo specialistams privaloma susipažinti ne tik su įsilaužimų įrankiais ir metodikomis, tačiau išmokti priversti aplikacijas daryti tai, kam jos nebuvo sukurtos. Gebėjimas atlikti kompiuterinę įsilaužimų ekspertizę yra privalomas, nes, tik vertinant ir atpažįstant įsilaužimų požymius, galima nuo jų apsisaugoti ateityje.

Žinojimas yra svarbus. Neįmanoma apsisaugoti nuo to, kas nežinoma. Išeinant iš namų užrakiname duris, nes suvokiame grėsmes palikus jas praviras. Kodėl turėtų būti kitaip kibernetinėje erdvėje? Akivaizdu, kad nepakanka nusipirkti modernią tinklo saugumo įrangą, nes tai tik vienas iš daugelio būtinų žingsnių. Turint omeny, kad daugiau nei 90% atakų pasiekia tikslą dėl žmogaus klaidos, didinti visuomenės kibernetinio saugumo sąmoningumą tiesiog būtina. Žmogiškasis faktorius yra vienas svarbiausių siekiant apsisaugoti kibernetinėje erdvėje, todėl būtina kiekvieną paskatinti reikšmingai prisidėti prie saugesnės ateities kibernetinėje erdvėje kūrimo.

Komentaro autorė - Monika Žemgulytė, „Cyber Security Academy“ kibernetinio saugumo mokymų projekto vadovė

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.
Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau