Duomenų praradimo prevencija: 5 žingsniai link saugesnės aplinkos

Publikuota: 2019-09-11
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja

Mes — niekam neįdomūs, bet ar tikrai?
Spaudoje apie užsienio naujienas dažnai galime išvysti žinutes apie netinkamą duomenų apsaugą ir to pasekmes — „Facebook“ susilaukė baudos, nes neužtikrino kelių šimtų tūkstančių vartotojų duomenų apsaugos, „British Airways“ prarado klientų duomenis, JAV muitinės ir pasienio apsaugos tarnyba nepakankamai gerai pasirūpino saugumu ir apie 100 000 keleivių fotografijų buvo pavogtos per kibernetinį incidentą ir t.t.. Tačiau žinutes, kad kuri nors Lietuvos įmonė per kibernetinį incidentą prarado klientų duomenis, matome itin retai. Ar taip yra todėl, kad Lietuvos įmonės tikrai daug dėmesio skiria kibernetinei saugai ir prevencijai? O gal mūsų įmonės ir darbuotojų duomenys nėra patrauklus grobis? Visgi, labiau tikėtina, kad dažnai pačios organizacijos nežino, kad jų turimi duomenys buvo nukopijuoti – juk fiziškai niekas nedingo...

Nežinome  kaip panaudojami pavogti duomenys

Asmens duomenys ir kita konfidenciali informacija – labiausiai geidžiamas sukčių objektas ir brangus organizacijos turtas,  daugiau kaip pusė kibernetinių incidentų yra susiję su šio turto praradimu. Deja, vis dar nemažai šį turtą valdančių organizacijų tai ignoruoja. Kodėl? Nes apie duomenų praradimą, jeigu tik pavyksta nutylėti, garsiai nenori kalbėti ir nesigiria nė viena organizacija. Veikų latentiškumas sukuria apgaulingą įspūdį, kad incidentų nėra, o disponuojamas turtas (pvz.: lojalumo kortelių savininkų duomenys ir pan.) sukčių nedomina, tad ir tikimybė nukentėti minimali. Be to, praradus duomenis negali iškart išmatuoti finansinės žalos, išskyrus baudas pagal BDAR už netinkamą apsaugą, nes reputacinė žala arba klientų ieškiniai pasiveja organizaciją tik vėliau, kai „yla išlenda iš maišo“.

Atrodytų, kad socialinių tinklų prisijungimo duomenys nėra didelė vertybė — nustebsite sužinoję, kad tamsiajame internete (angl. The dark web)  už tokią informaciją prašoma iki 4 eurų. Pasinaudoti jūsų „Booking“ ar „TripAdvisor“ platformos paskyra gali pavykti ir už 3 eurus, panašios sumos prašoma ir už elektroninio pašto paskyrą. IT specialistai, stebintys tamsiojo interneto pardavimo platformas, skaičiuoja, kad juodojoje rinkoje jau buvo atsidūrę šeši su puse bilijono įvairių paskyrų prisijungimo duomenų.

Kyla klausimas, kokiu tikslu perkami šie pavogti duomenys? Panaudojimas labai platus: gal jums pasiseks ir į jūsų „nulaužtą“ elektroninio pašto dėžutę tiesiog įkris daugiau brukalų (angl. spam), bet gali būti, kad pasinaudojus jūsų pašto adresu ir lengvai atspėjamu slaptažodžiu, bus prisijungta prie vidinio įmonės tinklo. Tuomet, iš pirmo žvilgsnio mažai naudingi,  asmenį tik apibūdinantys, duomenys gali būti naudojami netikrai tapatybei sukurti ir nelegalioms veikloms vykdyti. Tad nenuostabu, kad ne vienas doras pilietis yra sulaukęs specialiųjų tarnybų klausimų dėl galimo dalyvavimo nusikaltime, nes renkant įrodymus buvo nustatyta, kad jo vardu ir jo adresu buvo siunčiamos prekės arba jo vardu užsakytos draudžiamos medžiagos ir panašiai. 

Apgaulingas paveikslas

Suklestėjus IT erai, organizacijos nemažai pastangų ir resursų skiria apsaugai nuo išorės įsilaužėlių, kurie, rodos, tik ir laukia progos užvaldyti sunkiai uždirbtą turtą. Įsilaužėlis (angl. hacker)  – dažnai įsivaizduojamas kaip tamsoje tūnantis, susikūprinęs, nevalyvas jaunuolis su gobtuvu ant galvos, apšviestas mirgančio ekrano bei nervingai liesais pirštais barbenantis klaviatūrą. Tikrovė tokia, kad mūsų maloniai besišypsantis ir pasitempęs darbuotojas/kolega su dailiu kostiumu gali būti didesnė grėsmė, negu tas „beveidis žmogus“ anapus ekrano. Pasak Cybersecurity Insiders 2018 metų atskaitos, net 90 proc. organizacijų jaučiasi nesaugios dėl vidinių kibernetinių grėsmių, pusė jų pripažįsta turėjusios incidentų per paskutinius 12 mėnesių, o didžiausią riziką įžvelgia dėl augančio privilegijuotų naudotojų skaičius ir prietaisų su prieiga prie jautrių duomenų kiekio.  Trečdalis organizacijų vidines tyčines grėsmes vertina kaip labiausiai nuostolingas, beveik pusė organizacijų mano, kad vidiniai (įskaitant netyčinius) ir išoriniai incidentai organizacijai atneša tiek pat žalos. Kuo didesnis nuostolis patiriamas, tuo mažiau turto susigrąžinama. Pusė nukentėjusiųjų nesusigrąžina nieko.  

Nepakankama vidaus kontrolė yra vienas iš pagrindinių elementų, nulemiančių asmens apsisprendimą sukčiauti. Kas penktas sukčius tai daro iš pasimėgavimo, kad jis arba ji tai gali, t.y. žino kaip apeiti kontrolės sistemą ir saugos priemones. Apie nepakankamą vidinę kontrolę liudija ir tai, kad dvigubai daugiau sukčiavimo atvejų identifikuojama atsitiktinai negu naudojant IT ir stebėsenos priemones.

5 žingsniai link saugesnės aplinkos

1. Neignoruoti. Neužtenka žinoti kad „kažkur“ yra kibernetinės grėsmės ir vidinis sukčiavimas, reikia suprasti, kad kiekvienas iš mūsų yra potencialus šių grėsmių taikinys. Didžioji dalis įsilaužėlių, ieško atsitiktinių lengvai pažeidžiamų aukų, o netyčiniai mūsų ar kolegų veiksmai gali sukelti negrįžtamas pasekmes, todėl privalu susitvarkyti „ūkį“. Neįmanoma apsisaugoti, jeigu nežinai ką ir nuo ko saugai. Sauga organizacijoje turi būti integruota. Dėl vis didesnio technologijų naudojimo ir taikymo įvairiuose įmonės procesuose ar jo stadijose, privalomas glaudus IT specialistų bendradarbiavimas su prevencijos padaliniais, nes tik „įdarbinus“ organizacijos turimus duomenis, galima daryti teisingas įžvalgas.

Sprendimas — vadovybės ir personalo mokymai, strateginiai ir kompleksiniai sprendimai saugos srityje.

2. Demonstruoti. Darbuotojai turi aiškiai žinoti koks elgesys yra netoleruotinas, kad yra vykdoma vidinė kontrolė ir kokios pasekmės gresia už draudžiamą elgesį. Etikos kodeksas yra privalomas visiems darbuotojams, nepriklausomai nuo jų pareigų. Vadovybė turi rodyti pavyzdį ne kalbomis, o elgesiu. Sprendimas — elgesio kodeksas, kovos su sukčiavimu politika, antikorupcinės programos ir kitos iniciatyvos.

3. Stebėti ir analizuoti. Svarbu pažinti ne tik išorinį klientą, bet ir savo darbuotoją. Vienas iš sukčiavimo identifikatorių – elgesio anomalija. Analizė galima dvejomis kryptimis: proaktyvi — nuo bendro duomenų srauto analizavimo iki netipinių atvejų ir įžvalgų arba tyriminė (po incidento) nuo konkretaus atvejo iki pilno vaizdo bei ryšių tarp, iš pirmo žvilgsnio, skirtingų objektų. Kiekvienas įvykis reikalauja gilesnės analizės, nes už kiekvieno pažeidimo yra konkretus žmogus, taigi, tiriant incidentą, svarbu surasti ne tik apsaugos spragą, bet ir asmenį. Eliminavus spragas, asmuo suras naujų būdų kaip tai apeiti.  

Sprendimas – saugumo įvykių valdymo technologijos (angl. SIEM), įsilaužimo aptikimo sprendimai (angl. Intrusion Detection Prevention Solutions (IDPS)) bei analitinės programos, „įdarbinti“ duomenis, ieškoti ryšių tarp duomenų iš skirtingų šaltinių bei apjungti skirtingas technologijas, pvz.: IBM QRadar su i2 Analyst‘s Notebook, kad būtų išnaudojamos abi minėtos analizės kryptys.

4. Vertinti. Organizacijos sauga — nenutrūkstamas procesas, kuris turi reaguoti į naujas grėsmių tendencijas ir prisitaikyti prie besikeičiančių aplinkybių.

Sprendimas — reguliarus rizikų vertinimas bei auditas.

5. Valdyti prieigą. Adekvatus atsakas sukčiams jų pačių metodais — naudotis technologijomis, kurios neapsunkintų darbo, bet sudarytų sąlygas darbuotojams dirbti atsakingai, nesukelti žalingų pasekmių netyčiniu elgesiu, pratintų prie IT higienos.

Sprendimas — tapatybės ir prieigos valdymas, kompromisas tarp ribojimų ir patogumo – duomenų praradimo prevencinės programos (angl. Data Loss Prevention (DLP)), šifravimas.

Ateityje mūsų laukia didesnė robotizacija, daiktų interneto plėtra, augs informacinių technologijų sąveika, tad apsauga nuo sukčių, ypač vidinių, kurie prižiūri ir administruoja mūsų technologijas, turi tapti organizacijos higienos dalimi. Ne, tikrai nereikia būti paranojiškais ir visur įžvelgti tik grėsmes, tačiau svarbu organizacijos vidinę ir išorinę aplinkas vertinti kritiškai, bei išvadas daryti remiantis informacija ir duomenimis. Tuomet galėsime priimti apsvarstytus ir argumentais paremtus sprendimus, kurie stiprins organizacijos atsparumą.

Apie autorių: Rūta Jašinskienė yra NRD Cyber Security, technologinių kibernetinės gynybos konsultacijų bei reagavimo į saugumo incidentus įmonės žvalgybos analitikos ekspertė ir dėstytoja. Rūta turi sukaupusi ilgametę tarptautinio policijos bendradarbiavimo bei tyrimų, žvalgybos stebėjimo, taktinės ir strateginės analizės patirtį.

Išsamų Rūtos Jašinskienės pristatymą apie duomenų praradimo prevenciją galite išgirsti spalio 3 d. vyksiančioje NRD Cyber Security konferencijoje „Kibernetinė gynyba Lietuvoje 2019: kolektyvus kibernetinis saugumas“, daugiau apie renginį: informacija ir registracija.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Revoliucija, varoma sudaužytais stiklais ir multimilijardinėmis sutartimis Premium

Šliaužianti technologinė automobilių pramonės transformacija ruošiasi šuoliams, kuriuos artimiausiu metu...

Verslo klasė
2020.01.01
Vilniuje daugelyje vietų brangsta automobilių stovėjimas

Vilniuje nuo sausio 1-osios keičiasi rinkliavos zonų ribos – dėl to daug kur brangsta automobilių stovėjimas,...

Verslo aplinka
2020.01.01
Italai tramdys turistus griežtomis taisyklėmis ir baudomis Premium

Italijoje turistinis sezonas trunka kiaurus metus. Saugodami kultūros paminklus, unikalius gamtos kampelius,...

Laisvalaikis
2019.12.31
„Spotify“ naujametinis pažadas – 2020-aisiais jokios politinės reklamos

Nuo 2016 m. JAV prezidento rinkimų kampanijos, kurios akcentu tapo melagiena (angl. fake news), politinė...

Paslaugos
2019.12.31
TOP10 rinkodaros ir komunikacijos šūvių per 2019-uosius

Pateikiame dešimties šių metų daugiausiai VŽ skaitytojų dėmesio sulaukusių, labiausiai skaitytų straipsnių...

Rinkodara
2019.12.31
„Samsung“ parodoje „CES 2020“ žada lūžį dirbtinio intelekto srityje

Kitą savaitę Las Vegase (JAV) startuojančioje parodoje „CES 2020“ Pietų Korėjos kompanija „Samsung“ žada...

Technologijos
2019.12.31
Informacinių technologijų 2019-ųjų akcentas: valstybės prieš korporacijas Premium

Svarbiausia 2019 m. žinia yra ta, kad ateitis atėjo – nuo praėjusio mėnesio filmo „Bėgantis skustuvo...

Verslo klasė
2019.12.31
Startuolis „Lympo“ sukirto rankomis su Pietų Korėjos biofarmacijos milžine

Lietuvos startuolis „Lympo“ ir Pietų Korėjos biofarmacijos milžinė „GC Pharma“ (anksčiau „Green Cross...

Paslaugos
2019.12.31
„Huawei“ vadovas įspėja apie sunkius metus

Ericas Xu, vienas iš „Huawei“ valdybos pirmininkų, paskutinę metų dieną darbuotojams siųstame laiške...

Technologijos
2019.12.31
Lietuvos paštui ieškomi nepriklausomi valdybos nariai 1

Susisiekimo ministerija praneša su atsirinktos personalo atrankos agentūros pagalba pradedanti kandidatūrų į...

2019-ieji turizme: pasaulį supurčiusi milžino griūtis ir konkurencijos proveržis Lietuvoje Premium

Netrukus už posūkio pasiliksiantys 2019-ieji turizmo sektoriuje išsiskyrė įvykių gausa. Lietuvoje šie metai...

Paslaugos
2019.12.31
Į Kaliningrado sritį su e. vizomis per pusmetį atvyko 70.000 turistų

Nuo liepos 1 d., kai Kaliningrado srityje startavo nemokamų e. vizų projektas, į šį regioną su tokiomis...

Paslaugos
2019.12.31
„Eddy Travels“ pritraukė beveik 0,5 mln. USD investiciją Premium

„Eddy Travels“, lietuvių startuolis, vystantis dirbtinio intelekto pagrindu veikiantį skaitmeninį kelionių...

Technologijos
2019.12.31
Sėkmės įkaitė: užkariavusi vaizdo jutiklių rinką, „Sony“ nebespėja jų gaminti Premium

Antrus metus iš eilės „Sony“ žiemos švenčių proga savo fabrikų neuždaro. Vis dėlto net 24 valandų per parą...

Pramonė
2019.12.31
Vilniaus, Švenčionių ir Šalčininkų gyventojams vanduo brangs 17%

Vilniaus miesto ir aplinkinių rajonų gyventojams vanduo ir nuotekų tvarkymas nuo kitų metų vasario brangs...

Paslaugos
2019.12.30
Su e. vizomis aplankyti Sankt Peterburgą jau panoro 100.000 užsieniečių

Per tris mėnesius užsieniečiai pateikė maždaug 100.000 paraiškų gauti nemokamas elektronines vizas į Sankt...

Paslaugos
2019.12.30
Buvęs „siauruko“ vadovas kaltinamas pasisavinęs daugiau nei 200.000 Eur 

Panevėžyje registruotai viešajai įstaigai „Siaurojo geležinkelio klubas“ anksčiau vadovavęs Vismantas...

Verslo aplinka
2019.12.30
Parkavimo vietų dalijimosi platforma žengia į Kauną Premium

Automobilių parkavimo vietų dalijimosi platforma „Barking“ ruošiasi startui Kaune. Neseniai veikla Lietuvoje...

Statyba ir NT
2019.12.30
Turizmas: už rekordų slepiasi neišnaudotas potencialas Premium

2019-ieji buvo rekordiniai Lietuvos turizmui: užsienio turistų srautai augo keliskart sparčiau nei Europos...

Verslo klasė
2019.12.29
Egipte Sinajaus pusiasalyje planuojama statyti dar vieną oro uostą turistams

Į Šarm el Šeicho kurortą grįžtant britų keliautojams, apie būtinybę atgaivinti turizmą svarstoma kitame...

Paslaugos
2019.12.28

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau