Kasmet duomenų saugumo temą papildo ne tik perspėjimai apie naujus pavojus, bet ir žinios apie įvairius sprendimus, padedančius efektyviau kovoti su grėsmėmis. Paradoksalu, tačiau nors technologijos, kuriomis naudojasi įsilaužėliai, tobulėja ir pinga, nerūpestingi darbuotojai išlieka didžiausia grėsme organizacijos duomenų saugumui visame pasaulyje. Ir tai vienas ryškiausių pavyzdžių, kai lemiamą įtaką informacijos saugumui turi ne grėsmės naujumas, o jos apimtis ir paplitimas.
Kaip šiandien reikėtų rikiuoti pavojus duomenų saugumui ir šiuos pavojus mažinančius sprendimus? Apie tai pasakoja vienos didžiausių IT įmonių Lietuvoje – „Blue Bridge“ – Tinklų ir apsaugos sprendimų skyriaus vadovas Sigitas Bičiūnas.
Daugiau įrenginių – daugiau problemų
Šiemet dėmesio centre – augantis išmaniųjų įrenginių skaičius, kuris didina saugumo spragų tikimybę. Taip pat – nenusistovėjusi mobiliųjų įrenginių naudojimo politika daugelyje organizacijų.
„Jei organizacijai priklausančius įrenginius dar galima kontroliuoti, atnaujinti programinę įrangą, valdyti prieigą prie programėlių ir t. t., asmeniniuose įrenginiuose šito padaryti neįmanoma. Tai tampa rimta problema, jei darbui naudojami asmeniniai įrenginiai, iš jų prisijungiama prie organizacijos sistemų, duomenų bazių, tinklo, atsisiunčiami verslo duomenys ir t. t. Nepalanki ir atvirkštinė situacija – kai darbo įrenginiai naudojami asmeniniams tikslams, į juos siunčiamos neaiškios reputacijos programėlės, atidarinėjamos įtartinos nuorodos ir t. t. Pasiekus tokio naudotojo įrenginį, galima labai paprastai prieiti prie organizacijos duomenų, elektroninio pašto ir kitų sistemų. Trumpiau tariant, tai šiuo metu didėjanti grėsmių kategorija, kuriai skiriama vis daugiau dėmesio“, – pasakoja Sigitas Bičiūnas.
Naujienų pateikė ir „klasikiniai“ pavojai – virusai, kirminai, pažeidžiamumų išnaudojimo kodai.
„Įvairios išorinės atakos tampa vis išmanesnės ir labiau užmaskuotos. Taip pat, vis labiau plinta agresyvios „Ransomware“ virusų atakos, kai virusas užšifruoja duomenis, esančius kompiuteryje, ir reikalauja išpirkos. Aišku, išpirkos sumokėjimas negarantuoja, kad duomenys bus atšifruoti. Su tokiais atvejais teko susidurti ir Lietuvoje. Manau, ateityje taip pat sulauksime daugiau DoS/DDoS atakų, kurios jau dabar nėra naujiena. Taigi tai yra grėsmės, kurias reikia turėti omeny renkantis specifines saugumo priemones“, – pastebi „Blue Bridge“ ekspertas.
Darbuotojų švietimas ir kitos būtinosios priemonės
Nerūpestingi, saugumo klausimais neapmokyti darbuotojai išlieka viena didžiausių grėsmių. „Sakyčiau, kad tai pavojus numeris vienas. Kad ir kaip gerai būtų apsaugotos sistemos, žmogus visuomet yra silpnoji grandis. Pradedant nuo „neužrakintų“ darbo kompiuterių iki situacijos, kai darbuotojas į serverinę įsileidžia be perspėjimo pasirodžiusį kondicionierių meistrą ir nepaprašo jo dokumentų. Darbuotojų švietimas saugumo klausimais yra kertinis akmuo kalbant apie duomenų saugumą“, – sako S. Bičiūnas.
Vienas paprasčiausių aplaidumo pavyzdžių – silpni arba seni, jau ne vienerius metus „gyvenantys“ slaptažodžiai. „Slaptažodžius rekomenduojama keisti bent kas 90 dienų arba dar dažniau – priklausomai nuo to, kiek jautri informacija saugoma“, – pastebi „Blue Bridge“ Tinklų ir apsaugos sprendimų skyriaus vadovas.
Kita paplitusi, bet dažnai pamirštama problema – senos sistemos ir programinės įrangos versijos. „Senos sistemos naudojamos iš inercijos, su jomis patogiau dirbti, nes viskas pažįstama. Tačiau neatnaujinamos sistemos turi daugybę saugumo spragų, kuriomis gali pasinaudoti net moksleivis. Nemažą pavojų kelia ir dešimties metų senumo ar dar vyresnės operacinės sistemos, antivirusinės programos ir t. t., kurių nebepalaiko gamintojai. Tokie produktai yra visiškai neatsparūs šiuolaikinėms grėsmėms“, – sako pašnekovas.
Ar pakanka elementarių sprendimų?
Saugumo „higienos“ klausimų išsprendimas padidina saugumo lygį, tačiau negarantuoja apsaugos nuo sudėtingesnių grėsmių, pastebi „Blue Bridge“ ekspertas. „Dažnai keičiami slaptažodžiai, „sulopytos“ ar atnaujintos sistemos, dėmesingi darbuotojai ir aiškus išmaniųjų įrenginių naudojimo reglamentas užtikrina minimalų apsaugos lygį, bet tai yra būtinybė. Kalbant apie rimtesnę apsaugą, reikalingi specifiniai sprendimai ir produktai“, – sako jis.
Saugumo priemones rikiuojant pagal svarbą, pirmoje vietoje būtų elementarios saugumo priemonės, o toliau rikiuotųsi labiau specifinės ir parinktos pagal organizacijos tipą. „Universalių priemonių, apsaugančių nuo visko – nėra. Be to, reikia atsiminti, kad kuo priemonė universalesnė, tuo didesnė tikimybė, kad ji bus paprastesnė ir mažiau efektyvi kalbant apie tam tikrus saugumo aspektus“, – pasakoja S. Bičiūnas.
Pašnekovas pasidalija įžvalga, kad Lietuvoje universalių priemonių trūkumai jau pastebėti – organizacijos vis dažniau domisi specifiniais sprendimais. Lietuvos verslo įmonėse ir valstybinėse įstaigose jau nėra naujiena apsauga nuo duomenų nutekėjimo, privilegijuotų paskyrų kontrolė, saugumo įvykių ir incidentų valdymo sistemos, internetinių aplikacijų ugniasienės, L2/L3 šifratoriai, internetinio turinio ir el. pašto apsaugos sistemos, naujos kartos antivirusai ir kt.
Top 4 saugumo priemonės
>> Griežta saugumo politika. Slaptažodžių kontrolė visose sistemose, ribota prieiga prie resursų, privilegijuotų paskyrų priskyrimas tik tiems asmenims, kuriems tai būtina. „Tokių priemonių efektyvumas labai didelis ir jos beveik nieko nekainuoja – viską galima įgyvendinti turint standartinius sprendimus“, – sako Sigitas Bičiūnas.
>> Naujos kartos ugniasienė tinklo apsaugai. Šiuolaikinės ugniasienės turi integruotą antivirusinę programą, apsaugą nuo brukalų (angl. antispam) ir įsilaužimų (angl. Intrusion Prevention System), aplikacijų kontrolę, tinklapių filtravimą, dažnai ir minimalią apsaugą nuo duomenų nutekėjimo. „Tinkamai įdiegus ir sukonfigūravus šį įrenginį, jis apsaugos organizacijos tinklą nuo populiariausių ir pagrindinių grėsmių. Tokio sprendimo kaina priklauso nuo gamintojo, saugumo funkcijų skaičiaus ir įrenginio dydžio“, – paaiškina S. Bičiūnas.
>> Kompiuterinių darbo vietų apsauga. „Šis sprendimas apsaugo nuo žinomo kenkėjiško kodo ir kainuoja vos keletą eurų darbo vietai“, – sako pašnekovas. Šiuo metu populiaru kartu su tradicinėmis, grėsmių aprašais besiremiančiomis antivirusinėmis programomis diegti ir naujos kartos antivirusus, kurie sudėtingesniais metodais atpažįsta tradicinėms apsaugos programoms nežinomą kenkėjišką veiklą ir nulinės dienos atakas.
>> Smėliadėžė (angl. sandbox). Tai tinkle esantis įrenginys, kuris realiu laiku analizuoja tinklo srautą, parsiunčiamus failus ir saugioje virtualizuotoje aplinkoje paleidžia įtartiną kodą, tiria jo veiklą ir kt. „Smėliadėžė padeda aptikti nulinės dienos atakas, pažeidžiamumų išnaudojimo kodus, jau užkrėstų sistemų „skambučius namo“ (angl. callback). Kadangi šiuolaikinės grėsmės dažnai būna polimorfinės, užmaskuotos, tradicinės parašais paremtos apsaugos priemonės jas įsileidžia į organizacijos vidų. Todėl šalia tradicinės apsaugos reikėtų turėti ir naujųjų laikų pranašą – smėliadėžę“, – sako „Blue Bridge“ ekspertas.