Kas tai? Eksperto įžvalgos

Koronaviruso pandemija priminė kibernetinio saugumo abėcėlę

Publikuota: 2020-03-24
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.
svg svg
„Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis.

Šalyje paskelbus karantiną, didžioji dauguma įmonių siekia užtikrinti savo darbuotojams sklandų darbą iš namų, o IT saugumo ekspertai nuogąstauja, kad pandemijos sukeltus pokyčius virtualioje erdvėje savo naudai gali išnaudoti kibernetiniai nusikaltėliai.

Neseniai bazines kibernetinio saugumo rekomendacijas dirbantiems nuotoliniu būdu paskelbė ir Nacionalinis kibernetinio saugumo centras (NKSC), o saugumo ekspertas, „Blue Bridge“ vyriausiasis sistemų inžinierius Kęstutis Meškonis atkreipia dėmesį, kad ir šios rekomendacijos, ir pasaulinės hakerių bendruomenės įžvalgos dar kartą liudija, kad saugumo požiūriu efektyviausiomis išlieka „klasikinės“ priemonės – kompleksiniai slaptažodžiai, atidžiai administruojamos privilegijuotos paskyros, kelių faktorių autentifikavimas ir šifravimo sprendimai.

Prieinama turi būti tik tai, kas būtina

Karantino ir nuotolinio darbo sąlygomis šalia naujų kibernetinių grėsmių reikėtų prisiminti ir apie senesnes, kurios vis dar labai aktualios daugeliui organizacijų, pastebi Kęstutis Meškonis.

„Svarbiausios kibernetinio saugumo spragos nepavaldžios „mados vėjams“. Pavyzdžiui, dabar kaip niekada svarbu atsiminti, kad lengviausia pasiekti organizacijos jautrius duomenis pasinaudojus „žmogiškuoju“ faktoriumi. Tai gali būti ir silpni bei keliems naudotojams vienodi prisijungimo slaptažodžiai, ir per didelis teisių prieiti prie svarbių sistemų ir IT infrastruktūros suteikimas, ir suklastoti el. laiškai iš kolegų, fišingas“, – sako pašnekovas ir apibendrina, kad organizuojant darbą nuotoliniu būdu, svarbiausias principas, pabrėžiamas ir NKSC rekomendacijose – leisti naudotojams žinoti ir prieiti tik prie tų duomenų, įrenginių ir sistemų, kurios yra būtinos darbui.

„Siekiant įgyvendinti šį principą, IT specialistams pirmiausia rekomenduočiau atkreipti dėmesį į privilegijuotų paskyrų administravimą. Kaip rodo pasaulinė ir Lietuvos statistika, būtent šių paskyrų administravimas „kaip patogiau“, o ne „kaip saugiau“ kelia didžiausią grėsmę“, – akcentuoja K. Meškonis ir primena, kad privilegijuotų paskyrų „nulaužimas“ yra ne tik pats greičiausias, bet ir pigiausias kelias jautrių duomenų link. Tai patvirtina ir žymiosios hakerių bei saugumo ekspertų konferencijos „Black Hat“ metu vykdyta apklausa 2017 m., kai net 32 proc. apklaustų hakerių nurodė, kad privilegijuotos paskyros – vienas pirmųjų taikinių siekiant gauti jautrius duomenis. NKSC taip pat primena apie būtinybę riboti darbo stočių administratoriaus teises naudojant unikalius prisijungimo duomenis.

Kas yra „stiprus“ slaptažodis?

Naudotojų slaptažodžiai turi atitikti bazines saugumo taisykles – jie turi būti sudaryti iš ne mažiau kaip 8 simbolių naudojant didžiąsias ir mažąsias raides, skaičius ir specialiuosius simbolius, primenama NKSC rekomendacijose. O štai IT administratorių ir kitų IT specialistų, turinčių prieigą prie sistemų ir IT infrastruktūros slaptažodžiai turi būti sudėtingesni.

„Net pagal oficialias tvarkas reikalavimai naudotojų ir IT administratorių slaptažodžiams skiriasi. Šioje vietoje reikėtų priminti, kad IT administratoriams šie reikalavimai griežtesni – jų slaptažodžius turi sudaryti 12 simbolių, slaptažodžiai turi būti keičiami kas 60 dienų, taip pat – naudojamas kelių faktorių autentifikavimas. Tačiau reikia atsiminti, kad tokios rekomendacijos puikiai tinka, jei slaptažodis sudaromas visiškai atsitiktine tvarka (angl. random), o iš savo patirties žinome, kad realybėje taip slaptažodžiai sudaromi ypač retai, nes dauguma IT administratorių ir naudotojų slaptažodžių sudaromi remiantis žodynu ir panaudojant tam tikras modifikacijas, kurių principai įsilaužėliams gerai žinomi. Tarp IT administratorių ir IT priežiūros paslaugas dideliam skaičiui klientų teikiančių kompanijų ypač paplitusi „mada“ naudoti klaviatūros kombinacijomis paremtus slaptažodžius. Deja, jie suteikia tik netikrą saugumo jausmą, nes įsilaužėliai apie visas šias kombinacijas, kai raides pakeičiamos lengvai nuspėjamais simboliais, puikiai žino“, – perspėja „Blue Bridge“ specialistas ir apibendrina, kad vis dėlto ir naudotojams, IT specialistams rekomenduoja taikyti savo slaptažodžiams dar didesnius reikalavimus – naudotojų slaptažodžiai turi būti ne trumpesni nei 12-15 simbolių, paremti sakiniais, o IT administratorių – ne trumpesni nei 25 simboliai ir sugeneruoti atsitiktine tvarka.

„Pirmiausia, tai reiškia, kad reikėtų vengti sezoninių, naudotojo vardą, pareigas, įmonės pavadinimą atkartojančių ir kitokių lengvai atspėjamų slaptažodžių. Verta perspėti, kad įsilaužėliai visame pasaulyje tikrai bandys prieiti prie paskyrų naudodami dabartinį kontekstą atspindinčius slaptažodžius, tokius kaip „Karantinas2020“ arba pilnas koronaviruso pavadinimas. Todėl nors pagunda greitai atnaujinti svarbiausius slaptažodžius šiuo visiems lengvai įsimenamu būdu tikrai didelė, to daryti nereikėtų“, –akcentuoja pašnekovas.

Tęstines problemas, susijusias su per paprastais ir sistemų administratorių, ir paprastų naudotojų slaptažodžiais, liudija ir 2018 m. „Black Hat“ apklausos rezultatai – net 75 proc. apklaustų hakerių nurodė, kad silpni slaptažodžiai, drauge su aplikacijų ir operacinės sistemos pažeidžiamumais, pats paprasčiausias būdas prieiti prie svarbiausių organizacijos duomenų, sistemų ir IT infrastruktūros.

Laiko patikrinta apsauga: kelių faktorių autentifikavimas ir šifravimas

Tarp geriausių apsaugos priemonių, kurios prieinamos net krizės laiku – duomenų šifravimas įvairiais lygmenimis ir kelių faktorių autentifikavimas. NKSC rekomendacijose patariama įmonės duomenis apsaugoti bent jau šifruojant kietąjį kompiuterio diską, o kelių faktorių autentifikavimą naudoti prisijungimui prie svarbiausių įmonės sistemų. K. Meškonis atkreipia dėmesį, kad istoriškai šios dvi apsaugos priemonės yra laikomos sunkiausiai apeinamomis, todėl jų įgyvendinimas šiuo metu – ypač aktualus.

„Kelių faktorių autentifikavimo principas, kai jungiantis prie savo paskyros reikia suvesti ne tik slaptažodį, bet, pavyzdžiui, gauti patvirtinimo kodą per išmanųjį, turėtų galioti ginantis ir nuo socialinės inžinerijos metodų. Tai reiškia, kad jeigu gaunate netikėtą kolegos el. laišką su jautrių duomenų prašymu, būtina jo perklausti, pavyzdžiui, telefonu arba per bendradarbiavimo programą. Tikėtina, kad netrukus matysime augantį fišingo atvejų skaičių“, – pastebi saugumo ekspertas. NKSC taip pat pataria papildomai kitais kanalais perduodamais slaptažodžiais apsaugoti ir jautrią informaciją, kuri perduodama trečiosioms šalims, pavyzdžiui, debesijos paslaugų tiekėjams.

Ar įmanoma dabartinėmis sąlygomis užtikrinti kompleksinį bazinių saugumo priemonių įgyvendinimą dabartinėmis sąlygomis? Į šį klausimą K. Meškonis atsako teigiamai. „Pavyzdžiui, savo klientams ir šiuo metu sėkmingai padedame įgyvendinti kelių faktorių autentifikavimo sprendimus įvairioms sistemoms ir aplikacijoms, taip pat – įrengiame IT administratorių bei naudotojų saugios nuotolinės prieigos sprendimus (VPN) ir saugias nuotolines darbo vietas (VDI). Padedame greitai pagerinti ir slaptažodžių valdymo praktikas. Šiai užduočiai skirti specializuoti slaptažodžių ir privilegijuotos prieigos valdymo sprendimai“, – sako pašnekovas.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Sukčiai ir piktavaliai suaktyvėjo – pandemija jiems puiki priedanga Premium

Kibernetinio saugumo bendrovės fiksuoja sukčių suaktyvėjimą. Visame pasaulyje plintantis koronavirusas jiems...

Technologijos
2020.03.31
Programėlės „Ubitel“ apžvalga: tvarkingas vairavimas draudimo kainos nesumažino Premium 3

„Verslo žinios“ baigė testuoti pirmąją Lietuvoje draudimo technologijų (angl. „InsureTech“) programėlę,...

Technologijos
2020.03.29
„Thermo Fisher Scientific Baltic“ vadovas: tik sprendimų ir veiksmų greitis gali padėti aplenkti virusą Premium

Algimantas Markauskas, „Thermo Fisher Scientific Baltic“ generalinis direktorius, sako, kad pasaulyje...

Technologijos
2020.03.28
Siūlo įpareigoti operatorius teikti Vyriausybei karantinuojamų asmenų buvimo vietos duomenis Premium 3

Vyriausybė pritarė Susisiekimo ministerijos parengtam Elektroninių ryšių įstatymo pakeitimui, numatančiam,...

Technologijos
2020.03.26
Analizė: vaizdo konferencijų sprendimai – kokių yra ir ką rinktis Premium

Europai ir kitoms šalims laikantis karantino, verslas ir valdžia priversti dirbti nuotoliniu būdu. Taigi,...

Technologijos
2020.03.26
Lietuviškas EKG diržas paruoštas, programinė įranga dar kuriama Premium

Neinvazinę širdies veiklos stebėsenos sistemą (diržą primenantį EKG prietaisą) kurianti UAB „Zivė“ jau turi...

Technologijos
2020.03.26
20 metų kurtos bendrojo ES patento sistemos bent kol kas nebus Premium

Vokietijos konstitucinio teismo sprendimas dėl Bendrojo ES patentų teismo susitarimo ratifikavimo užkirto...

Technologijos
2020.03.26
Plastiko gamybos įmonėje „įdarbinti“ ir stogai Verslo tribūna 1

Daugiau nei 6 mln. kWh elektros energijos per metus suvartojanti gamybos įmonė „Hoda“ nuolat ieško būdų...

Išmani Lietuva
2020.03.26
Nuotolinis darbas su „Bite“: 5 išmanieji sprendimai verslui Verslo tribūna

85 proc. kompanijų pastebi, kad nuotolinis darbas didina darbuotojų produktyvumą, rodo kompanijos „IWG“...

Išmani Lietuva
2020.03.26
Koronaviruso pandemija priminė kibernetinio saugumo abėcėlę Verslo tribūna

Šalyje paskelbus karantiną, didžioji dauguma įmonių siekia užtikrinti savo darbuotojams sklandų darbą iš...

Išmani Lietuva
2020.03.24
Europos Parlamentas pirmą kartą istorijoje balsuos nuotoliniu būdu Premium

Koronaviruso pandemija įvairiais būdais tikrina viso pasaulio Vyriausybių pasirengimą ir galimybių ribas.

Technologijos
2020.03.23
Per karantiną el. priemonėmis pasirašomų dokumentų padaugėjo du kartus 1

Pirmąją karantino savaitę el. priemonėmis pasirašomų dokumentų padaugėjo daugiau kaip 2 kartus. Taip pat augo...

Technologijos
2020.03.23
„Hack The Crisis“: technologijų bendruomenė ieško būdų suvaldyti koronavirusą 2

Valstybei ir visuomenei stojus į akistatą su beprecedenčiais pandemijos iššūkiais, per 300 technologijų...

Technologijos
2020.03.21
„Telia“: ryšio srautų gyventojams ir verslui neribosime 1

Nors ryšio tinklų apkrovos ir mobiliųjų duomenų srautai paskelbus karantiną Lietuvoje gerokai išaugo,...

Paslaugos
2020.03.20
Kaip kuriame inovatyvią Lietuvą ir kokie iššūkiai laukia ateityje Verslo tribūna

Mokslo, inovacijų ir technologijų agentūra (MITA) jau šiemet minės 10-metį, kuomet dirbant kartu viešajam,...

Išmani Lietuva
2020.03.19
„City Service“ registruoja naują prekės ženklą Premium

Koncerno „Icor“ pastatų priežiūros įmonės „City Service“ valdoma bendrovė „Mano Būsto priežiūra“, teikianti...

Paslaugos
2020.03.19
Įrankis, padedantis stebėti darbo rezultatus ir efektyvumą karantino metu Verslo tribūna

Koronaviruso pandemijos akivaizdoje svarbu ne tik išmokti dirbti nuotoliniu būdu, bet ir stebėti darbo...

Išmani Lietuva
2020.03.19
Tyrimas dėl galimo „Asseco“, „Atea“ ir „IT&T Systems“ susitarimo nutrauktas Premium

Konkurencijos taryba (KT) nutraukė tyrimą dėl trijų IT paslaugas teikiančių bendrovių, kurios praėjusios...

Technologijos
2020.03.18
„Bitės Profai“ trumpam keičia profilį: padės besimokantiems ir dirbantiems namuose Verslo tribūna

Išmaniųjų galimybių žinovai, „Bitės Profai“, nuo šiol padės ir dirbantiems namuose – konsultuos nuotolinio...

Išmani Lietuva
2020.03.18
Gyvybės mokslų startuoliai rungiasi ne tik dėl pinigų

Baigėsi Mokslo, inovacijų ir technologijų agentūros (MITA) idėjų konkurso „Wanted: Life Sciences Innovator!“...

Gazelė
2020.03.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus