Duomenų praradimo prevencija: 5 žingsniai link saugesnės aplinkos

Reklama publikuota: 2019-09-11
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja
svg svg
Rūta Jašinskienė, NRD Cyber Security, žvalgybos analitikos ekspertė ir dėstytoja

Mes — niekam neįdomūs, bet ar tikrai?
Spaudoje apie užsienio naujienas dažnai galime išvysti žinutes apie netinkamą duomenų apsaugą ir to pasekmes — „Facebook“ susilaukė baudos, nes neužtikrino kelių šimtų tūkstančių vartotojų duomenų apsaugos, „British Airways“ prarado klientų duomenis, JAV muitinės ir pasienio apsaugos tarnyba nepakankamai gerai pasirūpino saugumu ir apie 100 000 keleivių fotografijų buvo pavogtos per kibernetinį incidentą ir t.t.. Tačiau žinutes, kad kuri nors Lietuvos įmonė per kibernetinį incidentą prarado klientų duomenis, matome itin retai. Ar taip yra todėl, kad Lietuvos įmonės tikrai daug dėmesio skiria kibernetinei saugai ir prevencijai? O gal mūsų įmonės ir darbuotojų duomenys nėra patrauklus grobis? Visgi, labiau tikėtina, kad dažnai pačios organizacijos nežino, kad jų turimi duomenys buvo nukopijuoti – juk fiziškai niekas nedingo...

Nežinome  kaip panaudojami pavogti duomenys

Asmens duomenys ir kita konfidenciali informacija – labiausiai geidžiamas sukčių objektas ir brangus organizacijos turtas,  daugiau kaip pusė kibernetinių incidentų yra susiję su šio turto praradimu. Deja, vis dar nemažai šį turtą valdančių organizacijų tai ignoruoja. Kodėl? Nes apie duomenų praradimą, jeigu tik pavyksta nutylėti, garsiai nenori kalbėti ir nesigiria nė viena organizacija. Veikų latentiškumas sukuria apgaulingą įspūdį, kad incidentų nėra, o disponuojamas turtas (pvz.: lojalumo kortelių savininkų duomenys ir pan.) sukčių nedomina, tad ir tikimybė nukentėti minimali. Be to, praradus duomenis negali iškart išmatuoti finansinės žalos, išskyrus baudas pagal BDAR už netinkamą apsaugą, nes reputacinė žala arba klientų ieškiniai pasiveja organizaciją tik vėliau, kai „yla išlenda iš maišo“.

Atrodytų, kad socialinių tinklų prisijungimo duomenys nėra didelė vertybė — nustebsite sužinoję, kad tamsiajame internete (angl. The dark web)  už tokią informaciją prašoma iki 4 eurų. Pasinaudoti jūsų „Booking“ ar „TripAdvisor“ platformos paskyra gali pavykti ir už 3 eurus, panašios sumos prašoma ir už elektroninio pašto paskyrą. IT specialistai, stebintys tamsiojo interneto pardavimo platformas, skaičiuoja, kad juodojoje rinkoje jau buvo atsidūrę šeši su puse bilijono įvairių paskyrų prisijungimo duomenų.

Kyla klausimas, kokiu tikslu perkami šie pavogti duomenys? Panaudojimas labai platus: gal jums pasiseks ir į jūsų „nulaužtą“ elektroninio pašto dėžutę tiesiog įkris daugiau brukalų (angl. spam), bet gali būti, kad pasinaudojus jūsų pašto adresu ir lengvai atspėjamu slaptažodžiu, bus prisijungta prie vidinio įmonės tinklo. Tuomet, iš pirmo žvilgsnio mažai naudingi,  asmenį tik apibūdinantys, duomenys gali būti naudojami netikrai tapatybei sukurti ir nelegalioms veikloms vykdyti. Tad nenuostabu, kad ne vienas doras pilietis yra sulaukęs specialiųjų tarnybų klausimų dėl galimo dalyvavimo nusikaltime, nes renkant įrodymus buvo nustatyta, kad jo vardu ir jo adresu buvo siunčiamos prekės arba jo vardu užsakytos draudžiamos medžiagos ir panašiai. 

Apgaulingas paveikslas

Suklestėjus IT erai, organizacijos nemažai pastangų ir resursų skiria apsaugai nuo išorės įsilaužėlių, kurie, rodos, tik ir laukia progos užvaldyti sunkiai uždirbtą turtą. Įsilaužėlis (angl. hacker)  – dažnai įsivaizduojamas kaip tamsoje tūnantis, susikūprinęs, nevalyvas jaunuolis su gobtuvu ant galvos, apšviestas mirgančio ekrano bei nervingai liesais pirštais barbenantis klaviatūrą. Tikrovė tokia, kad mūsų maloniai besišypsantis ir pasitempęs darbuotojas/kolega su dailiu kostiumu gali būti didesnė grėsmė, negu tas „beveidis žmogus“ anapus ekrano. Pasak Cybersecurity Insiders 2018 metų atskaitos, net 90 proc. organizacijų jaučiasi nesaugios dėl vidinių kibernetinių grėsmių, pusė jų pripažįsta turėjusios incidentų per paskutinius 12 mėnesių, o didžiausią riziką įžvelgia dėl augančio privilegijuotų naudotojų skaičius ir prietaisų su prieiga prie jautrių duomenų kiekio.  Trečdalis organizacijų vidines tyčines grėsmes vertina kaip labiausiai nuostolingas, beveik pusė organizacijų mano, kad vidiniai (įskaitant netyčinius) ir išoriniai incidentai organizacijai atneša tiek pat žalos. Kuo didesnis nuostolis patiriamas, tuo mažiau turto susigrąžinama. Pusė nukentėjusiųjų nesusigrąžina nieko.  

Nepakankama vidaus kontrolė yra vienas iš pagrindinių elementų, nulemiančių asmens apsisprendimą sukčiauti. Kas penktas sukčius tai daro iš pasimėgavimo, kad jis arba ji tai gali, t.y. žino kaip apeiti kontrolės sistemą ir saugos priemones. Apie nepakankamą vidinę kontrolę liudija ir tai, kad dvigubai daugiau sukčiavimo atvejų identifikuojama atsitiktinai negu naudojant IT ir stebėsenos priemones.

5 žingsniai link saugesnės aplinkos

1. Neignoruoti. Neužtenka žinoti kad „kažkur“ yra kibernetinės grėsmės ir vidinis sukčiavimas, reikia suprasti, kad kiekvienas iš mūsų yra potencialus šių grėsmių taikinys. Didžioji dalis įsilaužėlių, ieško atsitiktinių lengvai pažeidžiamų aukų, o netyčiniai mūsų ar kolegų veiksmai gali sukelti negrįžtamas pasekmes, todėl privalu susitvarkyti „ūkį“. Neįmanoma apsisaugoti, jeigu nežinai ką ir nuo ko saugai. Sauga organizacijoje turi būti integruota. Dėl vis didesnio technologijų naudojimo ir taikymo įvairiuose įmonės procesuose ar jo stadijose, privalomas glaudus IT specialistų bendradarbiavimas su prevencijos padaliniais, nes tik „įdarbinus“ organizacijos turimus duomenis, galima daryti teisingas įžvalgas.

Sprendimas — vadovybės ir personalo mokymai, strateginiai ir kompleksiniai sprendimai saugos srityje.

2. Demonstruoti. Darbuotojai turi aiškiai žinoti koks elgesys yra netoleruotinas, kad yra vykdoma vidinė kontrolė ir kokios pasekmės gresia už draudžiamą elgesį. Etikos kodeksas yra privalomas visiems darbuotojams, nepriklausomai nuo jų pareigų. Vadovybė turi rodyti pavyzdį ne kalbomis, o elgesiu. Sprendimas — elgesio kodeksas, kovos su sukčiavimu politika, antikorupcinės programos ir kitos iniciatyvos.

3. Stebėti ir analizuoti. Svarbu pažinti ne tik išorinį klientą, bet ir savo darbuotoją. Vienas iš sukčiavimo identifikatorių – elgesio anomalija. Analizė galima dvejomis kryptimis: proaktyvi — nuo bendro duomenų srauto analizavimo iki netipinių atvejų ir įžvalgų arba tyriminė (po incidento) nuo konkretaus atvejo iki pilno vaizdo bei ryšių tarp, iš pirmo žvilgsnio, skirtingų objektų. Kiekvienas įvykis reikalauja gilesnės analizės, nes už kiekvieno pažeidimo yra konkretus žmogus, taigi, tiriant incidentą, svarbu surasti ne tik apsaugos spragą, bet ir asmenį. Eliminavus spragas, asmuo suras naujų būdų kaip tai apeiti.  

Sprendimas – saugumo įvykių valdymo technologijos (angl. SIEM), įsilaužimo aptikimo sprendimai (angl. Intrusion Detection Prevention Solutions (IDPS)) bei analitinės programos, „įdarbinti“ duomenis, ieškoti ryšių tarp duomenų iš skirtingų šaltinių bei apjungti skirtingas technologijas, pvz.: IBM QRadar su i2 Analyst‘s Notebook, kad būtų išnaudojamos abi minėtos analizės kryptys.

4. Vertinti. Organizacijos sauga — nenutrūkstamas procesas, kuris turi reaguoti į naujas grėsmių tendencijas ir prisitaikyti prie besikeičiančių aplinkybių.

Sprendimas — reguliarus rizikų vertinimas bei auditas.

5. Valdyti prieigą. Adekvatus atsakas sukčiams jų pačių metodais — naudotis technologijomis, kurios neapsunkintų darbo, bet sudarytų sąlygas darbuotojams dirbti atsakingai, nesukelti žalingų pasekmių netyčiniu elgesiu, pratintų prie IT higienos.

Sprendimas — tapatybės ir prieigos valdymas, kompromisas tarp ribojimų ir patogumo – duomenų praradimo prevencinės programos (angl. Data Loss Prevention (DLP)), šifravimas.

Ateityje mūsų laukia didesnė robotizacija, daiktų interneto plėtra, augs informacinių technologijų sąveika, tad apsauga nuo sukčių, ypač vidinių, kurie prižiūri ir administruoja mūsų technologijas, turi tapti organizacijos higienos dalimi. Ne, tikrai nereikia būti paranojiškais ir visur įžvelgti tik grėsmes, tačiau svarbu organizacijos vidinę ir išorinę aplinkas vertinti kritiškai, bei išvadas daryti remiantis informacija ir duomenimis. Tuomet galėsime priimti apsvarstytus ir argumentais paremtus sprendimus, kurie stiprins organizacijos atsparumą.

Apie autorių: Rūta Jašinskienė yra NRD Cyber Security, technologinių kibernetinės gynybos konsultacijų bei reagavimo į saugumo incidentus įmonės žvalgybos analitikos ekspertė ir dėstytoja. Rūta turi sukaupusi ilgametę tarptautinio policijos bendradarbiavimo bei tyrimų, žvalgybos stebėjimo, taktinės ir strateginės analizės patirtį.

Išsamų Rūtos Jašinskienės pristatymą apie duomenų praradimo prevenciją galite išgirsti spalio 3 d. vyksiančioje NRD Cyber Security konferencijoje „Kibernetinė gynyba Lietuvoje 2019: kolektyvus kibernetinis saugumas“, daugiau apie renginį: informacija ir registracija.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose

Tema „Paslaugos“

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:














Svarbiausios dienos naujienos trumpai:



 
Viešbučiai tebesidžiaugia vasarišku atsigavimu, tačiau nuo spalio prasideda išbandymai Premium

Paskutinio vasaros mėnesio rezultatus suskaičiavę Vilniaus viešbutininkai neslepia santūraus džiaugsmo –...

Paslaugos
19:17
„InMedica“ pirmąjį pusmetį uždirbo 1,4 mln. Eur pelno 4

Medicinos klinikų tinklą valdanti bendrovė „InMedica“ šių metų pirmąjį pusmetį uždirbo 1,368 mln. Eur...

Paslaugos
11:49
„Tiketa Tour“ 2022 m. pavasarį pradės skrydžius į Kretą

Kelionių organizatorius „Tiketa Tour“ kitų metų gegužę planuoja pradėti tiesioginius skrydžius iš Vilniaus...

Paslaugos
07:44
Birštone atidarytas SPA viešbutis už 8 mln. Eur – teiks paslaugas tik suaugusiems 17

Birštono kurorte atidarytas viešbučio ir SPA kompleksas „Vytautas Ego SPA“, į kurį „Vytautas SPA“ verslo...

Paslaugos
2021.09.30
Lietuvos paslaugų eksportas augo mažiau nei importas

Lietuvos paslaugų eksportas antrąjį ketvirtį siekė 3,1 mlrd. Eur – 31% daugiau nei 2020 metų antrąjį...

Paslaugos
2021.09.30
„Siųsk pigiau“ švenčia dešimtmetį: sekasi, nes dirbame kaip komanda Verslo tribūna

Viena didžiausių siuntų siuntimo platformų internete „Siųsk pigiau“  šiais metais švenčia pirmąjį jubiliejų.

Paslaugos
2021.09.30
ES skaitmeninių paslaugų aktas: EP siekia neapkrauti smulkių įmonių ir apsaugoti vartotojus Verslo tribūna

Pernai Europos Komisijos pasiūlytas ES Skaitmeninių paslaugų aktas, kuris pirmą kartą nuo 2000-ųjų iš esmės...

Paslaugos
2021.09.30
Išvarginti logistikos chaoso, atidaro savas transporto linijas  Premium

Ieškodamos būdų ištrūkti iš užburto rato, logistikos, prekybos ir gamybos įmonės rizikuoja, pačios...

Logistika
2021.09.30
Slaptieji pirkėjai paskelbė, kuris prekybos tinklas aptarnauja geriausiai Premium 6

Slaptieji pirkėjai nustatė, kad aptarnavimo kokybė didžiuosiuose Lietuvos prekybos centruose per pastaruosius...

Paslaugos
2021.09.29
Maisto ir veterinarijos tarnyba ragina maitinimo verslus atsakingiau tikrinti galimybių pasus 1

Maisto ir veterinarijos tarnyba ragina maitinimo verslus atsakingiau tikrinti lankytojų galimybių pasus. Anot...

Pramonė
2021.09.28
Seimas imasi pataisų dėl notarų skaičiaus didinimo 4

Teritoriją, kur gyvena 7.000 -10.000 žmonių, nuo kitų metų liepos siūloma leisti aptarnauti bent vienam...

Paslaugos
2021.09.28
Pandemija laidojimo įmonių pajamas išaugino penktadaliu

Pandemija augino ritualinių paslaugų ir laidojimo verslą. Per pastaruosius metus laidojimo įmonių...

Paslaugos
2021.09.28
Septyniose šalyse gyvenęs ekspertas pristato 3 taisykles inovatyviam verslui Verslo tribūna

Naujosios kartos įmonių inovacijų ir verslumo ekspertas Slavo Tuleya per pastaruosius septynerius metus...

„Affidea Lietuva“ į naujas klinikas Šiauliuose ir Panevėžyje investavo 6 mln. Eur

Sveikatos priežiūros paslaugų įmonių grupė „Affidea Lietuva“, kuriai priklauso ir „Endemik“ medicinos centrų...

Paslaugos
2021.09.27
Dėl ugnikalnio išsiveržimo uždarytas La Palmos oro uostas

Ispanijos Kanarų salose suaktyvėjusiam Kumbre Vjechos ugnikalniui išspjovus pelenų penktadienį, praėjus...

Logistika
2021.09.25
Teismas apribojo kartelyje dalyvavusių vairavimo mokyklų vadovų veiklą

Kartelyje dalyvavusiems dešimties vairavimo mokyklų vadovams teismas apribojo teisę nuo vienerių iki trejų...

Paslaugos
2021.09.24
Lenkija pratęsė „Discovery“ valdomo naujienų kanalo licenciją, bet spaudimą išlaiko

Lenkijos transliavimo reguliuojančioji institucija trečiadienį paskutinę minutę pratęsė „Discovery Inc.“...

Rinkodara
2021.09.23
TOP 20 privačių mokyklų – pajamos augo dirbant ir per nuotolį Premium 2

Dauguma didžiausių privačių Lietuvos mokyklų 2020 m. išaugino pajamas. Tokiam pajamų spurtui turi paaiškinimą...

Paslaugos
2021.09.22
Prie „Ellex Valiunas“ jungiasi R. Pumputienės advokatų kontora

Nuo spalio 1 d. prie advokatų kontoros „Ellex Valiunas“ prisijungia ir 20-ąja partnere tampa advokatės Rūtos...

Vadyba
2021.09.22
Lietuviškas virtualių aviacijos mokymų startuolis „Aeroclass“ pritraukė 1,2 mln. USD investiciją Verslo tribūna

Lietuvių įkurtas „Aeroclass“ pritraukė 1,2 mln. USD dydžio investiciją iš į aviacijos inovacijas orientuoto...

Verslo aplinka
2021.09.22

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku