Duomenų praradimo prevencija: 5 žingsniai link saugesnės aplinkos

Publikuota: 2019-09-11
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja

Mes — niekam neįdomūs, bet ar tikrai?
Spaudoje apie užsienio naujienas dažnai galime išvysti žinutes apie netinkamą duomenų apsaugą ir to pasekmes — „Facebook“ susilaukė baudos, nes neužtikrino kelių šimtų tūkstančių vartotojų duomenų apsaugos, „British Airways“ prarado klientų duomenis, JAV muitinės ir pasienio apsaugos tarnyba nepakankamai gerai pasirūpino saugumu ir apie 100 000 keleivių fotografijų buvo pavogtos per kibernetinį incidentą ir t.t.. Tačiau žinutes, kad kuri nors Lietuvos įmonė per kibernetinį incidentą prarado klientų duomenis, matome itin retai. Ar taip yra todėl, kad Lietuvos įmonės tikrai daug dėmesio skiria kibernetinei saugai ir prevencijai? O gal mūsų įmonės ir darbuotojų duomenys nėra patrauklus grobis? Visgi, labiau tikėtina, kad dažnai pačios organizacijos nežino, kad jų turimi duomenys buvo nukopijuoti – juk fiziškai niekas nedingo...

Nežinome  kaip panaudojami pavogti duomenys

Asmens duomenys ir kita konfidenciali informacija – labiausiai geidžiamas sukčių objektas ir brangus organizacijos turtas,  daugiau kaip pusė kibernetinių incidentų yra susiję su šio turto praradimu. Deja, vis dar nemažai šį turtą valdančių organizacijų tai ignoruoja. Kodėl? Nes apie duomenų praradimą, jeigu tik pavyksta nutylėti, garsiai nenori kalbėti ir nesigiria nė viena organizacija. Veikų latentiškumas sukuria apgaulingą įspūdį, kad incidentų nėra, o disponuojamas turtas (pvz.: lojalumo kortelių savininkų duomenys ir pan.) sukčių nedomina, tad ir tikimybė nukentėti minimali. Be to, praradus duomenis negali iškart išmatuoti finansinės žalos, išskyrus baudas pagal BDAR už netinkamą apsaugą, nes reputacinė žala arba klientų ieškiniai pasiveja organizaciją tik vėliau, kai „yla išlenda iš maišo“.

Atrodytų, kad socialinių tinklų prisijungimo duomenys nėra didelė vertybė — nustebsite sužinoję, kad tamsiajame internete (angl. The dark web)  už tokią informaciją prašoma iki 4 eurų. Pasinaudoti jūsų „Booking“ ar „TripAdvisor“ platformos paskyra gali pavykti ir už 3 eurus, panašios sumos prašoma ir už elektroninio pašto paskyrą. IT specialistai, stebintys tamsiojo interneto pardavimo platformas, skaičiuoja, kad juodojoje rinkoje jau buvo atsidūrę šeši su puse bilijono įvairių paskyrų prisijungimo duomenų.

Kyla klausimas, kokiu tikslu perkami šie pavogti duomenys? Panaudojimas labai platus: gal jums pasiseks ir į jūsų „nulaužtą“ elektroninio pašto dėžutę tiesiog įkris daugiau brukalų (angl. spam), bet gali būti, kad pasinaudojus jūsų pašto adresu ir lengvai atspėjamu slaptažodžiu, bus prisijungta prie vidinio įmonės tinklo. Tuomet, iš pirmo žvilgsnio mažai naudingi,  asmenį tik apibūdinantys, duomenys gali būti naudojami netikrai tapatybei sukurti ir nelegalioms veikloms vykdyti. Tad nenuostabu, kad ne vienas doras pilietis yra sulaukęs specialiųjų tarnybų klausimų dėl galimo dalyvavimo nusikaltime, nes renkant įrodymus buvo nustatyta, kad jo vardu ir jo adresu buvo siunčiamos prekės arba jo vardu užsakytos draudžiamos medžiagos ir panašiai. 

Apgaulingas paveikslas

Suklestėjus IT erai, organizacijos nemažai pastangų ir resursų skiria apsaugai nuo išorės įsilaužėlių, kurie, rodos, tik ir laukia progos užvaldyti sunkiai uždirbtą turtą. Įsilaužėlis (angl. hacker)  – dažnai įsivaizduojamas kaip tamsoje tūnantis, susikūprinęs, nevalyvas jaunuolis su gobtuvu ant galvos, apšviestas mirgančio ekrano bei nervingai liesais pirštais barbenantis klaviatūrą. Tikrovė tokia, kad mūsų maloniai besišypsantis ir pasitempęs darbuotojas/kolega su dailiu kostiumu gali būti didesnė grėsmė, negu tas „beveidis žmogus“ anapus ekrano. Pasak Cybersecurity Insiders 2018 metų atskaitos, net 90 proc. organizacijų jaučiasi nesaugios dėl vidinių kibernetinių grėsmių, pusė jų pripažįsta turėjusios incidentų per paskutinius 12 mėnesių, o didžiausią riziką įžvelgia dėl augančio privilegijuotų naudotojų skaičius ir prietaisų su prieiga prie jautrių duomenų kiekio.  Trečdalis organizacijų vidines tyčines grėsmes vertina kaip labiausiai nuostolingas, beveik pusė organizacijų mano, kad vidiniai (įskaitant netyčinius) ir išoriniai incidentai organizacijai atneša tiek pat žalos. Kuo didesnis nuostolis patiriamas, tuo mažiau turto susigrąžinama. Pusė nukentėjusiųjų nesusigrąžina nieko.  

Nepakankama vidaus kontrolė yra vienas iš pagrindinių elementų, nulemiančių asmens apsisprendimą sukčiauti. Kas penktas sukčius tai daro iš pasimėgavimo, kad jis arba ji tai gali, t.y. žino kaip apeiti kontrolės sistemą ir saugos priemones. Apie nepakankamą vidinę kontrolę liudija ir tai, kad dvigubai daugiau sukčiavimo atvejų identifikuojama atsitiktinai negu naudojant IT ir stebėsenos priemones.

5 žingsniai link saugesnės aplinkos

1. Neignoruoti. Neužtenka žinoti kad „kažkur“ yra kibernetinės grėsmės ir vidinis sukčiavimas, reikia suprasti, kad kiekvienas iš mūsų yra potencialus šių grėsmių taikinys. Didžioji dalis įsilaužėlių, ieško atsitiktinių lengvai pažeidžiamų aukų, o netyčiniai mūsų ar kolegų veiksmai gali sukelti negrįžtamas pasekmes, todėl privalu susitvarkyti „ūkį“. Neįmanoma apsisaugoti, jeigu nežinai ką ir nuo ko saugai. Sauga organizacijoje turi būti integruota. Dėl vis didesnio technologijų naudojimo ir taikymo įvairiuose įmonės procesuose ar jo stadijose, privalomas glaudus IT specialistų bendradarbiavimas su prevencijos padaliniais, nes tik „įdarbinus“ organizacijos turimus duomenis, galima daryti teisingas įžvalgas.

Sprendimas — vadovybės ir personalo mokymai, strateginiai ir kompleksiniai sprendimai saugos srityje.

2. Demonstruoti. Darbuotojai turi aiškiai žinoti koks elgesys yra netoleruotinas, kad yra vykdoma vidinė kontrolė ir kokios pasekmės gresia už draudžiamą elgesį. Etikos kodeksas yra privalomas visiems darbuotojams, nepriklausomai nuo jų pareigų. Vadovybė turi rodyti pavyzdį ne kalbomis, o elgesiu. Sprendimas — elgesio kodeksas, kovos su sukčiavimu politika, antikorupcinės programos ir kitos iniciatyvos.

3. Stebėti ir analizuoti. Svarbu pažinti ne tik išorinį klientą, bet ir savo darbuotoją. Vienas iš sukčiavimo identifikatorių – elgesio anomalija. Analizė galima dvejomis kryptimis: proaktyvi — nuo bendro duomenų srauto analizavimo iki netipinių atvejų ir įžvalgų arba tyriminė (po incidento) nuo konkretaus atvejo iki pilno vaizdo bei ryšių tarp, iš pirmo žvilgsnio, skirtingų objektų. Kiekvienas įvykis reikalauja gilesnės analizės, nes už kiekvieno pažeidimo yra konkretus žmogus, taigi, tiriant incidentą, svarbu surasti ne tik apsaugos spragą, bet ir asmenį. Eliminavus spragas, asmuo suras naujų būdų kaip tai apeiti.  

Sprendimas – saugumo įvykių valdymo technologijos (angl. SIEM), įsilaužimo aptikimo sprendimai (angl. Intrusion Detection Prevention Solutions (IDPS)) bei analitinės programos, „įdarbinti“ duomenis, ieškoti ryšių tarp duomenų iš skirtingų šaltinių bei apjungti skirtingas technologijas, pvz.: IBM QRadar su i2 Analyst‘s Notebook, kad būtų išnaudojamos abi minėtos analizės kryptys.

4. Vertinti. Organizacijos sauga — nenutrūkstamas procesas, kuris turi reaguoti į naujas grėsmių tendencijas ir prisitaikyti prie besikeičiančių aplinkybių.

Sprendimas — reguliarus rizikų vertinimas bei auditas.

5. Valdyti prieigą. Adekvatus atsakas sukčiams jų pačių metodais — naudotis technologijomis, kurios neapsunkintų darbo, bet sudarytų sąlygas darbuotojams dirbti atsakingai, nesukelti žalingų pasekmių netyčiniu elgesiu, pratintų prie IT higienos.

Sprendimas — tapatybės ir prieigos valdymas, kompromisas tarp ribojimų ir patogumo – duomenų praradimo prevencinės programos (angl. Data Loss Prevention (DLP)), šifravimas.

Ateityje mūsų laukia didesnė robotizacija, daiktų interneto plėtra, augs informacinių technologijų sąveika, tad apsauga nuo sukčių, ypač vidinių, kurie prižiūri ir administruoja mūsų technologijas, turi tapti organizacijos higienos dalimi. Ne, tikrai nereikia būti paranojiškais ir visur įžvelgti tik grėsmes, tačiau svarbu organizacijos vidinę ir išorinę aplinkas vertinti kritiškai, bei išvadas daryti remiantis informacija ir duomenimis. Tuomet galėsime priimti apsvarstytus ir argumentais paremtus sprendimus, kurie stiprins organizacijos atsparumą.

Apie autorių: Rūta Jašinskienė yra NRD Cyber Security, technologinių kibernetinės gynybos konsultacijų bei reagavimo į saugumo incidentus įmonės žvalgybos analitikos ekspertė ir dėstytoja. Rūta turi sukaupusi ilgametę tarptautinio policijos bendradarbiavimo bei tyrimų, žvalgybos stebėjimo, taktinės ir strateginės analizės patirtį.

Išsamų Rūtos Jašinskienės pristatymą apie duomenų praradimo prevenciją galite išgirsti spalio 3 d. vyksiančioje NRD Cyber Security konferencijoje „Kibernetinė gynyba Lietuvoje 2019: kolektyvus kibernetinis saugumas“, daugiau apie renginį: informacija ir registracija.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Pensijų nešiotojai: kuriamas Lietuvos pašto monopolis

Praėjusią savaitę priimtas Vyriausybės sprendimas nuo 2021-ųjų pensijų išnešiojimą patikėti tik Lietuvos...

„Novaturo“ apyvarta rugpjūtį smuko, bet rugsėjį tikimasi augimo

Kelionių organizatorės AB „Novaturas“ apyvarta Lietuvoje, Latvijoje ir Estijoje 2019 m. rugpjūčio mėnesį...

Paslaugos
10:04
Artėja virtinės „Microsoft“ produktų pabaiga: kaip tam pasiruošti? Verslo tribūna 4

Daugelis namų vartotojų ir organizacijų, naudojančių „Microsoft“ programinę įrangą, jau spėjo įsidėmėti 2020...

Ko vertos lietuviškos „fintechinės“ ambicijos? Premium 2

Kuo būti nenorime – žinome. Bet ar žinome, kuo būti norime? Suaugęs žmogus kasdien priima apie 35000...

Verslo klasė
2019.09.15
Per dešimtmetį „iPhone“ pabrango dvigubai 4

„Apple“ telefonų kainas nuosekliai kėlė metai po metų, bet panašu, jog ši tendencija lėtėja. Pigiausias...

Laisvalaikis
2019.09.15
„Laisvės TV“: esame atradę teisingą balansą 3

Internetinės televizijos „Laisvės TV“ valdytojai, pradėdami ketvirtus veiklos metus, džiaugiasi užsimezgusiu...

Rinkodara
2019.09.15
„Belaz“ gamins savivarčius, kurie dirbs be vairuotojų 4

Baltarusijos valstybinė kompanija „Belaz“, gaminanti itin didelės keliamosios galios sunkiąją karjerų...

Pramonė
2019.09.14
Dirbtinis Mikės Pūkuotuko intelektas: DI organizacijų valdyme šiandien ir rytoj Premium

Suskamba telefonas, skambina draugas. Atsiliepiu, niekas nekalba, perskambinu. Bičiulis dievagojasi man...

Verslo klasė
2019.09.14
Registrų centro pacientų registravimo sistema konkuruos su manodaktaras.lt ir kitais  14

Medijų ir skaitmeninio verslo bendrovė „Media bitės“, valdanti internetinę gydytojų rezervavimo sistemą...

Paslaugos
2019.09.14
Magistralėje Vilnius-Kaunas bus įrengti kintamos informacijos ženklai  6

Ruošiantis modernizuoti automobilių kelią Vilnius-Kaunas, jame bus įrengti ir kintamą informaciją...

Už absurdiškiausius mokslo tyrimus įteiktos „Šnobelio“ premijos 1

Rugsėjo 12 d. Harvarde (JAV) įvyko 29-oji „Šnobelio“ (Ig Nobel) premijų ceremonija. Premija skiriama...

Laisvalaikis
2019.09.14
Lietuviai nuo spalio į Sankt Peterburgą galės vykti su nemokama viza 8

Lietuva yra tarp 53 valstybių, kurių piliečiai nuo spalio į Sankt Peterburgą bei Leningrado sritį Rusijoje...

Paslaugos
2019.09.13
Ar egzistuoja tobula IT saugumo politika? Verslo tribūna

Prieš kelerius metus „The Economist“ paskelbta mintis, kad duomenys yra nauja nafta, vis dar aktuali ir...

2019.09.13
„Google“ Prancūzijoje skirta beveik 1 mlrd. Eur bauda 13

Technologijų milžinei „Google“ Prancūzija skyrė beveik 1 mlrd. Eur baudą, kad būtų nutrauktas kelerius metus...

Rinkodara
2019.09.13
Latvijos „Dienas Bizness“ tampa savaitraščiu 4

Vienas iš seniausių Latvijos laikraščių „Dienas Bizness“ nebebus spausdinamas darbo dienomis – tampa...

Rinkodara
2019.09.13
Lietuva – kodėl turistų pinigai byra pro šalį Premium 11

Nors turistų srautai muša rekordus, o Vilniuje dygsta nauji viešbučiai, pasauliniame turizmo konkurencingumo...

Paslaugos
2019.09.13
„TD Baltic“ apyvarta pernai augo 12,5% iki 78,7 mln. Eur 1

Estijos kapitalo informacinių technologijų (IT) produktų ir įrangos platintoja „TD Baltic“ praėjusiais metais...

Paslaugos
2019.09.12
Užbaigtas „Lexnet“ įsigijimo sandoris 2

UAB „Verslo žinios“ valdanti švedų bendrovė „Bonnier Business Press AB“ už neskelbiamą sumą užbaigė prieš...

Rinkos
2019.09.12
„Magnusson“ pasirinko naujus komunikacijos partnerius

Advokatų bendrija „Magnusson“ išsirinko naujus komunikacijos partnerius Lietuvoje – agentūrą „Idea prima“,...

Rinkodara
2019.09.12
Lietuviai, kurie padeda skaitmenizuoti Vokietijos pramonę Premium 1

Nuo interaktyvaus turinio kūrimo ir e. mokymų sprendimų bendrovės „Prewise“ šiemet oficialiai atskirta...

Paslaugos
2019.09.12

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau