Vytenis Sakalas: vienintelis būdas apsisaugoti – testuotis ir naudoti apsaugos priemones

Publikuota: 2021-02-18
Vytenis Sakalas, BTT Cloud pardavimų vadovas, su Cloud ir IT  sprendimais dirbantis daugiau nei dešimtmetį.
svg svg
Vytenis Sakalas, BTT Cloud pardavimų vadovas, su Cloud ir IT  sprendimais dirbantis daugiau nei dešimtmetį.

Skamba kaip dar viena antraštė iš COVID-19 pandemijos kronikų, tačiau šį kartą apie skaitmeninę pandemiją ir pakilusią temperatūrą dėl asmens duomenų apsaugos.

Didžiausia asmens duomenų vagystė per visą Lietuvos nepriklausomybės laikotarpį šiomis dienomis tarsi atvėrė Pandoros skrynią: verslas per mažai investuoja į infrastruktūros ir duomenų saugumą ir prisiima per didelę riziką, nes metiniuose biudžetuose eilutę „IT saugumas“ stipriai sumažinti arba iš viso nubraukti lengviausia. Beveik niekas nesupranta, kas tai yra, o tikrai suprantantys nesugeba įrodyti vadovams, kad rizika yra reali ir su labai rimtomis problemomis galima susidurti praktiškai bet kada.

Nereikia bijoti ir laukti, reikia veikti.

Pirmas žingsnis – giluminis kibernetinio saugumo vertinimas, apimantis pažangiausias pažeidžiamumų aptikimo bei įsilaužimų simuliavimo praktikas, ir saugumo pavertimas kasdienybe, įdiegiant DevSecOps praktikas.

DevSecOps – sutrumpinimas „development, security, and operations“ – praktika siekiama saugumo priemones integruoti į kiekvieną aplikacijos kūrimo etapą: nuo pradinio architektūros dizaino, programinio kodo rašymo, testavimo iki diegimo ir paleidimo į gyvenimą. Kitaip nei klasikinėje aplikacijų vystymo praktikoje – kai saugumu susirūpinama tik tada kai aplikacija paruošta paleisti į gamybą (angl. production) arba, dar blogiau, kai pirmas vartotojas sušunka apie problemą. Klasikiniu atveju saugumas paliekamas atskiroms saugumo testavimo arba kokybės užtikrinimo – QA komandoms, tuo tarpu DevSecOps praktikoje saugumas yra kiekvieno programuotojo, DevOps‘o ir administratoriaus atsakomybė.

nuotrauka::1 nocrop

Yra visos priemonės realiai ištestuoti veikiančias Jūsų sistemas ir jas patobulinti.

Kibernetinio saugumo testavimas modernioje organizacijoje negali apsiriboti įprastu automatizuotu pažeidžiamumų skenavimu ir standartinės ataskaitos, su krūva false-positive ir realių pažeidžiamumų, atspausdinimu.

Modernūs kibernetinio saugumo vertinimai vykdomi keliais etapais: nuo įprasto pažeidžiamumų identifikavimo, įsilaužimo testavimo, programinio kodo audito, socialinės inžinerijos (žmogiškųjų resursų pažeidžiamumą) testavimo iki darbuotojų saugumo mokymų ir kitų veiklų, skirtų įvertinti organizacijos galimybės atlaikyti kibernetines atakas ir suteikiančių vadovams ramesnį miegą.

Tokiais atvejais cloud infrastruktūra ir pačios aplikacijos yra atakuojamos taip, kaip tai darytų tipiniai modernūs programišiai. Siekiant racionalumo ir realaus rizikos vertinimo, privaloma įsigilinti į testuojamos organizacijos verslo aplinką, specifiką – siekiama surasti realius ir labiausiai tikėtinus verslo pažeidžiamumus bei silpnąsias vietas. Kartais tenka ir fiziškai apsimesti nedorėliu, atvykti į organizacijos biurą, ar bandyti atsiimti „svetimą“ siuntą. Galiausiai, užuot pateikus ilgus pažeidžiamumų ir problemų, kurias reikėtų išsitaisyti patiems, bendradarbiaujant užkardomos visos saugumo spragos. 

Įgyvendinus testavimą turi būti įdiegtos saugumo stebėsenos komponentės.

Kelios dažniausios aplikacijų, veikiančių cloud‘e, rizikos:

  • Paskyrų perėmimas dėl netinkamo ar nepakankamo prieigos valdymo;
  • Duomenų perėmimas ir nutekinimas;
  • Duomenų praradimas (kai nebetenkama prieigos prie verslui svarbios informacijos);
  • Nesaugios aplikacijų sąsajos (angl. Application User Interfacde – API);
  • Nepakankama cloud infrastruktūros ir saugyklų konfigūracija;
  • DDoS atakos. 

Verta atkreipti dėmesį, jog Gartner prognozuoja, kad iki 2025 m., beveik visos (99%) cloud saugumo klaidos bus kilusios dėl pačios organizacijos, naudojančios Cloud paslaugas, kaltės.

Žmogus tampa didžiausia spraga

Negalima pamiršti ir žmogiškojo faktoriaus. Moderniose organizacijose atakų taikiniais tampa konkretūs asmenys, kasdieniame darbe naudojantys dažnai ne vieną įrenginį. Darbuotojai atakuojami naudojant socialinės inžinerijos scenarijus, nes žmogus visada linkęs labiau pasitikėti, nei tikrinti.

Socialinė inžinerija — tai manipuliavimas žmonėmis ir jų protu siekiant apeiti  informacijos apsaugos sistemas. Techninės saugumo priemonės nuolat tobulėja, tačiau žmonės nekinta. Jie su savo silpnybėmis, stereotipais ir nusistatymais lieka silpniausioji informacinio saugumo grandis.

nuotrauka::2 nocrop

Todėl organizacijos, siekiančios užtikrinti pakankamą saugumo lygį arba jį padidinti, turi investuoti ir į saugumo sprendimus, ir į žmones. Nes kam uoliai slėpti seifo slaptažodį, jei seifą paliekame atrakintą?

BTT Cloud – valdomų Cloud ir IT paslaugų lyderis Baltijos šalyse. Saugumo lygį padidinti galite testuodami savo infrastruktūrą, vykdant nuolatinę stebėseną ir teisingai įveiklinant jau naudojamą programinę įrangą.

Daugiau:

Darbo vietos saugumui — www.bttarmour.lt

Cloud saugumui — www.bttcloud.com/en/cloud-ps

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Keičiasi „NEO Finance“ vadovas

Bendrovės „NEO Finance“, valdančios tarpusavio skolinimo platformą „Paskolų klubas“, nauju administracijos...

Technologijos
2021.02.18
Silicio slėnio kraustynės: ko galime pasimokyti Premium 7

Kalifornijos Silicio slėnis dešimtmečius buvo technologijų industrijos epicentras, pradedant 1938 m., kai...

Technologijos
2021.02.18
„Eksma“ atsisako valdančiosios įmonės, 60 dalininkų pasidalins akcijas Premium

Lazerių technologijų grupė „Eksma“ keičia savo struktūrą. Po pertvarkos neliks kontroliuojančiosios UAB...

Technologijos
2021.02.18
„Fintech“ įmonių skaičius pernai augo nuosaikiau

Lietuvos inovatyvių finansinių įmonių („fintech“) skaičius pernai augo kiek nuosaikiau nei pastaraisiais...

Finansai
2021.02.18
Gydyklos pastatą Druskininkų K. Dineikos parke įsigijo „Geolitas“

Gydyklos pastatą K. Dineikos sveikatingumo parke Druskininkuose už beveik 0,5 mln. Eur įsigijo statybos bei...

Paslaugos
2021.02.18
Interneto sukčiai siūlo pirkti buvusios lažybų bendrovės „Orakulas“ klientų duomenis

Interneto sukčiai trečiadienį viename forume paskelbė parduodantys buvusios lažybų bendrovės „Orakulas“...

Technologijos
2021.02.18
Klientų ieškiniai „CityBee“ gali būti finansiškai skausmingesni nei baudos Premium

Teisininkai, komentuodami automobilių dalijimosi paslaugos „CityBee“ klientų duomenų nutekinimo istoriją,...

Paslaugos
2021.02.18
Prieš suvaržymus protestuojantys Latvijos kirpėjai kerpa apsnigtuose miškuose ar ant ledo

Latvijos kirpėjai protestuodami prieš suvaržymus dėl pandemijos žengė neįprastą žingsnį ir ėmė siūlyti savo...

Paslaugos
2021.02.18
„LTG link“ už 2,6 mln. Eur perka skaitmeninę valdymo sistemą 

Keleivius vežanti AB „Lietuvos geležinkeliai“ įmonė „LTG Link“ pasirašė sutartį su Vokietijos bendrove „IVU...

Logistika
2021.02.18
Oro uostų keleivius dėl COVID-19 testuos konkursą laimėjusi „Rezus.lt“

Lietuvos oro uostų skelbtą konkursą koronaviruso testavimo paslaugoms teikti išnuomojamuose plotuose laimėjo...

Paslaugos
2021.02.18
Koks yra tikrasis „Grigeo Klaipėdos“ nuotekų poveikis Kuršių marioms? Verslo tribūna 33

2020 metų pradžioje „TIG Environmental“ sulaukė „Grigeo Klaipėdos“ užklausos atlikti poveikio aplinkai...

Pramonė
2021.02.18
Vytenis Sakalas: vienintelis būdas apsisaugoti – testuotis ir naudoti apsaugos priemones Verslo tribūna 1

Skamba kaip dar viena antraštė iš COVID-19 pandemijos kronikų, tačiau šį kartą apie skaitmeninę pandemiją ir...

Paslaugos
2021.02.18
Verslas apie valstybės pagalbą: parama gulintiems ir dar tingintiems Premium 1

Papildomos subsidijos iš antrojo pagalbos paketo skirtos labiausiai ribojimų paveiktam verslui. Tačiau vieno...

Gazelė
2021.02.18
Pramonę robotizuojanti „Nord Robotics“ imasi ir medicinos: kuria autonominį testavimo robotą Premium

Daugiausia su pramonės automatizacija dirbantys Lietuvos robotų kūrėjai „Nord Robotics“ nusitaikė į medicinos...

Pramonė
2021.02.18
Virtuvės šefas L. Čeprackas: didžioji dalis jau numirusi, tik ne visi apie tai žino Premium 13

„Kai beveik prieš metus pasakiau, kad ateina restoranų verslo pakasynos, sulaukiau ne vienos pašaipios...

Laisvalaikis
2021.02.17
Restoranai po karantino: kaip pasiruošti atidarymui

Vyriausybei atlaisvinus pirmojo karantino ribojimus, nemažai viešojo maitinimo verslų nebuvo tam pasiruošę –...

Laisvalaikis
2021.02.17
Verslas tiesia pagalbos ranką „CityBee“ ir jos klientams Premium 4

Programišiams paviešinus apie 110.000 „CityBee“ klientų informaciją, ir vartotojams jau ruošiant grupinę...

Technologijos
2021.02.17
Brangių klientų pigūs duomenys 1

Lietuvą supurtė bene didžiausias nutekėjusių asmens duomenų skandalas. Jo epicentre – „Modus“ grupės valdoma...

Verslo aplinka
2021.02.17
K. Kaikaris: „CityBee“ duomenys pavogti iš migracinės bazės Premium 25

Nutekinti „CityBee“ duomenys buvo naudojami klientų duomenų bazės perkėlimui iš vienos platformos į kitą, ir...

Logistika
2021.02.17
Vyriausybė blokuoja Kinijos įrangą Lietuvos oro uostuose

Lietuvos Vyriausybė trečiadienį nusprendė uždrausti diegti Kinijos įmonės „Nuctech“ rentgeno patikros įrangą...

Technologijos
2021.02.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku