Duomenų praradimo prevencija: 5 žingsniai link saugesnės aplinkos

Publikuota: 2019-09-11
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja

Mes — niekam neįdomūs, bet ar tikrai?
Spaudoje apie užsienio naujienas dažnai galime išvysti žinutes apie netinkamą duomenų apsaugą ir to pasekmes — „Facebook“ susilaukė baudos, nes neužtikrino kelių šimtų tūkstančių vartotojų duomenų apsaugos, „British Airways“ prarado klientų duomenis, JAV muitinės ir pasienio apsaugos tarnyba nepakankamai gerai pasirūpino saugumu ir apie 100 000 keleivių fotografijų buvo pavogtos per kibernetinį incidentą ir t.t.. Tačiau žinutes, kad kuri nors Lietuvos įmonė per kibernetinį incidentą prarado klientų duomenis, matome itin retai. Ar taip yra todėl, kad Lietuvos įmonės tikrai daug dėmesio skiria kibernetinei saugai ir prevencijai? O gal mūsų įmonės ir darbuotojų duomenys nėra patrauklus grobis? Visgi, labiau tikėtina, kad dažnai pačios organizacijos nežino, kad jų turimi duomenys buvo nukopijuoti – juk fiziškai niekas nedingo...

Nežinome  kaip panaudojami pavogti duomenys

Asmens duomenys ir kita konfidenciali informacija – labiausiai geidžiamas sukčių objektas ir brangus organizacijos turtas,  daugiau kaip pusė kibernetinių incidentų yra susiję su šio turto praradimu. Deja, vis dar nemažai šį turtą valdančių organizacijų tai ignoruoja. Kodėl? Nes apie duomenų praradimą, jeigu tik pavyksta nutylėti, garsiai nenori kalbėti ir nesigiria nė viena organizacija. Veikų latentiškumas sukuria apgaulingą įspūdį, kad incidentų nėra, o disponuojamas turtas (pvz.: lojalumo kortelių savininkų duomenys ir pan.) sukčių nedomina, tad ir tikimybė nukentėti minimali. Be to, praradus duomenis negali iškart išmatuoti finansinės žalos, išskyrus baudas pagal BDAR už netinkamą apsaugą, nes reputacinė žala arba klientų ieškiniai pasiveja organizaciją tik vėliau, kai „yla išlenda iš maišo“.

Atrodytų, kad socialinių tinklų prisijungimo duomenys nėra didelė vertybė — nustebsite sužinoję, kad tamsiajame internete (angl. The dark web)  už tokią informaciją prašoma iki 4 eurų. Pasinaudoti jūsų „Booking“ ar „TripAdvisor“ platformos paskyra gali pavykti ir už 3 eurus, panašios sumos prašoma ir už elektroninio pašto paskyrą. IT specialistai, stebintys tamsiojo interneto pardavimo platformas, skaičiuoja, kad juodojoje rinkoje jau buvo atsidūrę šeši su puse bilijono įvairių paskyrų prisijungimo duomenų.

Kyla klausimas, kokiu tikslu perkami šie pavogti duomenys? Panaudojimas labai platus: gal jums pasiseks ir į jūsų „nulaužtą“ elektroninio pašto dėžutę tiesiog įkris daugiau brukalų (angl. spam), bet gali būti, kad pasinaudojus jūsų pašto adresu ir lengvai atspėjamu slaptažodžiu, bus prisijungta prie vidinio įmonės tinklo. Tuomet, iš pirmo žvilgsnio mažai naudingi,  asmenį tik apibūdinantys, duomenys gali būti naudojami netikrai tapatybei sukurti ir nelegalioms veikloms vykdyti. Tad nenuostabu, kad ne vienas doras pilietis yra sulaukęs specialiųjų tarnybų klausimų dėl galimo dalyvavimo nusikaltime, nes renkant įrodymus buvo nustatyta, kad jo vardu ir jo adresu buvo siunčiamos prekės arba jo vardu užsakytos draudžiamos medžiagos ir panašiai. 

Apgaulingas paveikslas

Suklestėjus IT erai, organizacijos nemažai pastangų ir resursų skiria apsaugai nuo išorės įsilaužėlių, kurie, rodos, tik ir laukia progos užvaldyti sunkiai uždirbtą turtą. Įsilaužėlis (angl. hacker)  – dažnai įsivaizduojamas kaip tamsoje tūnantis, susikūprinęs, nevalyvas jaunuolis su gobtuvu ant galvos, apšviestas mirgančio ekrano bei nervingai liesais pirštais barbenantis klaviatūrą. Tikrovė tokia, kad mūsų maloniai besišypsantis ir pasitempęs darbuotojas/kolega su dailiu kostiumu gali būti didesnė grėsmė, negu tas „beveidis žmogus“ anapus ekrano. Pasak Cybersecurity Insiders 2018 metų atskaitos, net 90 proc. organizacijų jaučiasi nesaugios dėl vidinių kibernetinių grėsmių, pusė jų pripažįsta turėjusios incidentų per paskutinius 12 mėnesių, o didžiausią riziką įžvelgia dėl augančio privilegijuotų naudotojų skaičius ir prietaisų su prieiga prie jautrių duomenų kiekio.  Trečdalis organizacijų vidines tyčines grėsmes vertina kaip labiausiai nuostolingas, beveik pusė organizacijų mano, kad vidiniai (įskaitant netyčinius) ir išoriniai incidentai organizacijai atneša tiek pat žalos. Kuo didesnis nuostolis patiriamas, tuo mažiau turto susigrąžinama. Pusė nukentėjusiųjų nesusigrąžina nieko.  

Nepakankama vidaus kontrolė yra vienas iš pagrindinių elementų, nulemiančių asmens apsisprendimą sukčiauti. Kas penktas sukčius tai daro iš pasimėgavimo, kad jis arba ji tai gali, t.y. žino kaip apeiti kontrolės sistemą ir saugos priemones. Apie nepakankamą vidinę kontrolę liudija ir tai, kad dvigubai daugiau sukčiavimo atvejų identifikuojama atsitiktinai negu naudojant IT ir stebėsenos priemones.

5 žingsniai link saugesnės aplinkos

1. Neignoruoti. Neužtenka žinoti kad „kažkur“ yra kibernetinės grėsmės ir vidinis sukčiavimas, reikia suprasti, kad kiekvienas iš mūsų yra potencialus šių grėsmių taikinys. Didžioji dalis įsilaužėlių, ieško atsitiktinių lengvai pažeidžiamų aukų, o netyčiniai mūsų ar kolegų veiksmai gali sukelti negrįžtamas pasekmes, todėl privalu susitvarkyti „ūkį“. Neįmanoma apsisaugoti, jeigu nežinai ką ir nuo ko saugai. Sauga organizacijoje turi būti integruota. Dėl vis didesnio technologijų naudojimo ir taikymo įvairiuose įmonės procesuose ar jo stadijose, privalomas glaudus IT specialistų bendradarbiavimas su prevencijos padaliniais, nes tik „įdarbinus“ organizacijos turimus duomenis, galima daryti teisingas įžvalgas.

Sprendimas — vadovybės ir personalo mokymai, strateginiai ir kompleksiniai sprendimai saugos srityje.

2. Demonstruoti. Darbuotojai turi aiškiai žinoti koks elgesys yra netoleruotinas, kad yra vykdoma vidinė kontrolė ir kokios pasekmės gresia už draudžiamą elgesį. Etikos kodeksas yra privalomas visiems darbuotojams, nepriklausomai nuo jų pareigų. Vadovybė turi rodyti pavyzdį ne kalbomis, o elgesiu. Sprendimas — elgesio kodeksas, kovos su sukčiavimu politika, antikorupcinės programos ir kitos iniciatyvos.

3. Stebėti ir analizuoti. Svarbu pažinti ne tik išorinį klientą, bet ir savo darbuotoją. Vienas iš sukčiavimo identifikatorių – elgesio anomalija. Analizė galima dvejomis kryptimis: proaktyvi — nuo bendro duomenų srauto analizavimo iki netipinių atvejų ir įžvalgų arba tyriminė (po incidento) nuo konkretaus atvejo iki pilno vaizdo bei ryšių tarp, iš pirmo žvilgsnio, skirtingų objektų. Kiekvienas įvykis reikalauja gilesnės analizės, nes už kiekvieno pažeidimo yra konkretus žmogus, taigi, tiriant incidentą, svarbu surasti ne tik apsaugos spragą, bet ir asmenį. Eliminavus spragas, asmuo suras naujų būdų kaip tai apeiti.  

Sprendimas – saugumo įvykių valdymo technologijos (angl. SIEM), įsilaužimo aptikimo sprendimai (angl. Intrusion Detection Prevention Solutions (IDPS)) bei analitinės programos, „įdarbinti“ duomenis, ieškoti ryšių tarp duomenų iš skirtingų šaltinių bei apjungti skirtingas technologijas, pvz.: IBM QRadar su i2 Analyst‘s Notebook, kad būtų išnaudojamos abi minėtos analizės kryptys.

4. Vertinti. Organizacijos sauga — nenutrūkstamas procesas, kuris turi reaguoti į naujas grėsmių tendencijas ir prisitaikyti prie besikeičiančių aplinkybių.

Sprendimas — reguliarus rizikų vertinimas bei auditas.

5. Valdyti prieigą. Adekvatus atsakas sukčiams jų pačių metodais — naudotis technologijomis, kurios neapsunkintų darbo, bet sudarytų sąlygas darbuotojams dirbti atsakingai, nesukelti žalingų pasekmių netyčiniu elgesiu, pratintų prie IT higienos.

Sprendimas — tapatybės ir prieigos valdymas, kompromisas tarp ribojimų ir patogumo – duomenų praradimo prevencinės programos (angl. Data Loss Prevention (DLP)), šifravimas.

Ateityje mūsų laukia didesnė robotizacija, daiktų interneto plėtra, augs informacinių technologijų sąveika, tad apsauga nuo sukčių, ypač vidinių, kurie prižiūri ir administruoja mūsų technologijas, turi tapti organizacijos higienos dalimi. Ne, tikrai nereikia būti paranojiškais ir visur įžvelgti tik grėsmes, tačiau svarbu organizacijos vidinę ir išorinę aplinkas vertinti kritiškai, bei išvadas daryti remiantis informacija ir duomenimis. Tuomet galėsime priimti apsvarstytus ir argumentais paremtus sprendimus, kurie stiprins organizacijos atsparumą.

Apie autorių: Rūta Jašinskienė yra NRD Cyber Security, technologinių kibernetinės gynybos konsultacijų bei reagavimo į saugumo incidentus įmonės žvalgybos analitikos ekspertė ir dėstytoja. Rūta turi sukaupusi ilgametę tarptautinio policijos bendradarbiavimo bei tyrimų, žvalgybos stebėjimo, taktinės ir strateginės analizės patirtį.

Išsamų Rūtos Jašinskienės pristatymą apie duomenų praradimo prevenciją galite išgirsti spalio 3 d. vyksiančioje NRD Cyber Security konferencijoje „Kibernetinė gynyba Lietuvoje 2019: kolektyvus kibernetinis saugumas“, daugiau apie renginį: informacija ir registracija.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Teismas leido atnaujinti vidutinio greičio matuoklių konkursą

Teismas leido tęsti Lietuvos automobilių kelių direkcijos skelbtą 2,6 mln. Eur (su PVM) vertės 100 vienetų...

„Telia“ už 1,4 mln. Eur išnuomos kompiuterių „Lietuvos geležinkeliams“

„Telia“ ir „Lietuvos geležinkeliai“ (LG) pasirašė 1,4 mln. eurų vertės trejų metų trukmės įrangos nuomos...

Lietuvos universitetui greitai prireikė pinigų: išleido obligacijas ir pasiskolino už 12% Premium

Lietuvos aukštoji universitetinė nevalstybinė mokykla Kazimiero Simonavičiaus universitetas finansuoti...

Rinkos
11:27
Lietuvių sukurti išmanūs vandens buteliukai, rodantys animaciją, dar supurtys pasaulį Premium

Susitelkimas į dar didesnę inovatyvių sprendimų kokybę ir papildoma komunikacija ne tik iš lūpų į lūpas...

Gazelė
11:15
Kas lietuviams kasdienybė, vokiečius dar vis stebina

Keliolika Lietuvos IT įmonių ketvirtadienį baigia prisistatymą „Smart Country Convention“ parodoje, Berlyne.

Gazelė
10:57
Dviženkle išraiška augantis „Microsoft“ pateisino investuotojų lūkesčius

JAV programinės įrangos ir technologijų bendrovė „Microsoft“ pirmąjį finansinių metų (trečiąjį kalendorinį)...

Rinkos
10:45
Telecentras spurtuoja: transliuos IPTV aukštąja raiška Verslo tribūna

Sparčiausią augimą mokamos televizijos paslaugų rinkoje pastaruoju metu demonstruojantis AB Lietuvos radijo...

Paslaugos
10:24
„Tesla“ nutildė skeptikus: netikėtai uždirbo pelno, akcijos pašoko 21%

JAV elektromobilio gamintojo „Tesla” paskelbta žinia apie uždirbtą pelną akcijas trečiadienį poprekybinės...

Rinkos
09:53
Smukus turistų srautams, Puketo viešbučiai mažina kambarių kainas

Puketo, turistų labiausiai pamėgtos Tailando salos, viešbučiai priversti mažinti kainas. Daug kambarių lieka...

Paslaugos
09:41
Advokatų, notarų ir antstolių etiką vertintų ir visuomenės atstovai

Vyriausybė pritarė Teisingumo ministerijos idėjai, kad notarų, antstolių ir advokatų garbės teismų nariais...

Paslaugos
2019.10.23
Didinamos lėšos mokslo ir verslo bendradarbiavimui

Vyriausybė pritarė Švietimo, mokslo ir sporto ministerijos siūlymui didinti lėšas mokslui,...

Paslaugos
2019.10.23
Klaipėdoje išaiškintas autoservisas, slėpęs pajamas ir mokėjęs algas vokeliuose 1

Finansinių nusikaltimų tyrimo tarnybos (FNTT) Klaipėdos apygardos valdyba kartu su Klaipėdos apygardos...

Paslaugos
2019.10.23
„Netflix“ nori skolintis dar 2 mlrd. USD, kad kurtų daugiau turinio

JAV internetinė televizija „Netflix“ planuoja pasiskolinti dar apie 2 mlrd. USD išleidžiant naujų obligacijų.

Rinkos
2019.10.23
„McDonald‘s“ pelnas nuvylė – akcijos atpigo 5%

JAV restoranų tinklo „McDonald‘s“ trečiojo ketvirčio pelnas pirmą kartą per dvejus metus neatitiko analitikų...

Rinkos
2019.10.23
Lietuva ir Japonija pasirašė memorandumus energetikos ir IT srityse 

Lietuva ir Japonija dvišaliame verslo forume Tokijuje pasirašė du bendradarbiavimo memorandumus energetikos...

Verslo aplinka
2019.10.23
Jungtinė Karalystė panaikino draudimą skrydžiams į Šarm el Šeichą

Jungtinė Karalystė (JK) panaikino 4 metus galiojusį draudimą vykdyti tiesioginius komercinius skrydžius į...

Paslaugos
2019.10.23
Lietuviai lazeriais ir ultragarsu apdirbs pačias trapiausias medžiagas

Bendrovės iš Vilniaus lazerinių technologijų klasterio TOOLAS baigia kurti ir netrukus pasiūlys pasaulinei...

Technologijos
2019.10.23
„Maximos“ ir „Top Sport“ reklamos – dėmesio centre Premium

Tarp labiausiai įsiminusių šio rudens reklamų karaliauja prekybos tinklo „Maxima“ kampanija su „Minions“...

Rinkodara
2019.10.23
Kibernetinis saugumas ant bangos: amerikiečiai už „Sophos“ siūlo 4 mlrd. USD

JAV privataus kapitalo kompanija „Thoma Bravo“ nori įsigyti Jungtinės Karalystės (JK) kibernetinio saugumo...

Technologijos
2019.10.22
Su tinklaraštininko J. Laukaičio idėja garsina Vilnių

Prieš metus įtraukiantį vaizdo klipą apie Lietuvą „Youtube“ kanale paskelbęs keliautojas, socialinių tinklų...

Rinkodara
2019.10.22

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau