Žinios yra galia, o duomenys – naujasis auksas!
Duomenys turi daug savybių, panašių į auksą. Duomenis galima pakartotinai panaudoti kuriant naujas žinias, lygiai taip pat, kaip auksą galima išlydyti ir paversti naujomis vertybėmis. Auksas turi didesnę vertę, kai jis paverčiamas juvelyriniu dirbiniu, o duomenų vertė išauga, kai jie yra perdaromi į gražiai atrodančią ir aiškią ataskaitą. Ir kaip aukso saugojimas reikalauja atsargumo priemonių ir su saugumu susijusių išlaidų, taip ir saugant duomenis reikia nuolat investuoti į saugumą. Tačiau, kitaip nei auksas, nauji duomenys kuriami nuolat.
Jau 2020 m. kiekvienas žmogus Žemėje per sekundę vidutiniškai sukūrė 1,7 MB duomenų, o tai reiškia 143 GB duomenų per dieną, t. y. apie 7 valandas 4K raiškos filmo (suspausto). Apimtis yra didelė, nes sukurtas naujas turinys daugiausia yra garso ir vaizdo failai. Daugelis „Teams“ susitikimų užfiksuojami įrašuose, nauji automobiliai įrašinėja važiavimą, kad galėtų treniruoti dirbtinį intelektą, programėlės buferizuoja filmus, muziką ir tinklalapius, kad užtikrintų didesnę spartą mūsų įrenginiuose, o telefonai leidžia mums kurti didelės raiškos nuotraukas ir vaizdo įrašus, kuriuose galime fiksuoti bet kurią savo gyvenimo akimirką. Be to, vaizdo stebėjimo sistema mato kiekvieną mūsų žingsnį viešose vietose, o kiekvienas mūsų veiksmas internete įrašomas, kad būtų galima nuspręsti, kokią reklamą rodyti.
Debesijos paslaugos didina įmonių atsakomybę
Jei anksčiau žmonės duomenis saugodavo savo kompiuteriuose, tai dabar visi dokumentai, nuotraukos ir vaizdo įrašai saugomi debesijoje, o tai didina paslaugų teikėjų atsakomybę. Jei įmonė darbuotojams suteikia modernią darbo aplinką, atsakomybė saugoti ir apsaugoti visus duomenis tenka darbdaviui. Tam reikia vis sudėtingesnės IT architektūros.
Pandemijos metu greitai atsirado nauji darbo būdai ir jiems palaikyti įdiegtos naujos, dar neišbandytos programos. Nuotolinio darbo patirties neturinčių įmonių IT valdytojai greitai prarado su duomenimis susijusių procesų kontrolę. Praradus kontrolę nėra lengva susigrąžinti centrinį debesijos paslaugų valdymą. Buvo sukurta daug naujų programėlių, nekreipiant dėmesio į saugumą ar centrinį valdymą. Įmonių darbuotojai dažnai nenori atsisakyti jiems įprastų programų, o darbuotojų perkvalifikavimas ir pasirengimas naudotis tomis programomis, kurioms įmonė teikia pirmenybę, užima daug laiko.
Vartotojų paskyros yra pažeidžiamos kibernetinių grėsmių
Debesijos paslaugomis sukurtoje infrastruktūroje duomenys pasiekiami bet kur - ir darbe, ir namuose. Vieninteliai dalykai, kurių reikia prieigai, tai tinkamas naudotojo vardas ir slaptažodis. Patogumo dėlei darbuotojai linkę naudoti tą patį naudotojo vardą ir slaptažodį daugelyje skirtingų paslaugų. Todėl, pažeidus vieną paslaugą, kibernetiniams nusikaltėliams lengva atakuoti kitas įmonės naudojamas sistemas.
Šiai rizikai valdyti naudojami vieno prisijungimo (SSO) ir kelių veiksnių autentifikavimo (MFA) metodai.
Vienkartinis prisijungimas (angl., Single Sign-On) – tai sistema, kai įmonė naudoja vieną centralizuotą naudotojų teisių sistemą (Active Directory, Entra ID) visiems kompiuteriams, serveriams ir paslaugų naudotojams valdyti. Kiekviena kita užsakyta paslauga sujungiama su centralizuota naudotojo teisių sistema, kad darbuotojas visoms paslaugoms naudotų tą pačią paskyrą. Iš pirmo žvilgsnio žmogui gali pasirodyti, kad sistema sukurta pagal principą, kad kiekvienoje paslaugoje jis naudoja tą patį naudotojo vardą ir tą patį slaptažodį. Tačiau taip nėra. SSO sprendime esančios paslaugos slaptažodžių savo duomenų bazėse nesaugo. Jei asmuo nori pasinaudoti paslauga, tarnyba susisiekia su centralizuota įmonės vartotojų teisių sistema. Centralizuotai vartotojų teisių sistemai identifikavus asmenį, jie patvirtina paskyros autentiškumą paslaugoje ir asmuo gali naudotis paslauga. Nors visomis paslaugomis iš tiesų naudojamasi tuo pačiu vartotojo vardu ir slaptažodžiu, visoms paslaugoms asmens identifikavimas vyksta kontroliuojamoje įmonės sistemoje.
Daugiafaktoriniam autentiškumo nustatymui (MFA) reikia naudoti papildomą identifikavimo įrenginį, kurio kibernetiniai nusikaltėliai negali lengvai pasiekti. Pavyzdžiui, iš paslaugos, kurios saugumas pažeistas, internetu galima atsisiųsti informaciją apie asmenį, kuris naudojo tą patį naudotojo vardą ir slaptažodį. Tačiau ne taip paprasta pasiekti jų telefoną, į kurį saugumo kodas siunčiamas SMS žinute.
Todėl šiuolaikiniam autentifikavimui turi būti naudojamas kelių faktorių autentifikavimas, kad pasinaudoti neteisėta prieiga nebūtų įmanoma iš karto, kai tik nuteka vartotojo vardas ir slaptažodis. Įmonės duomenys geriausiai apsaugoti naudojant abi sistemas – kelių faktorių autentifikavimą ir vienkartinį prisijungimą. Tuomet lengviau užkirsti kelią išpuoliui, o jam įvykus - greitai uždaryti paskyrą iš vienos vietos.
Tik centralizuotas valdymas yra greitas
Be paskyrų valdymo, prasminga centralizuoti ir kitas įmonės kibernetinės apsaugos paslaugas. Debesijos paslaugų eroje vis labiau neišvengiamas centralizuotas prieigos prie duomenų valdymas, centralizuotas naudojimo registravimas, centralizuotas atsarginių kopijų darymas ir kitos centralizuotos operacijos. Tik taip už kibernetinę saugą atsakingi asmenys gali susidaryti išsamų vaizdą. Sistemos žurnalai ir atsarginės kopijos niekada neapima ilgo laikotarpio.
2021 m. „Blumira“ ir IBM atlikta apklausa atskleidė, kad vidutinis kibernetinio incidento gyvavimo ciklas yra 287 dienos, iš kurių 212 dienų prireikia gedimui aptikti, o 75 - blokuoti ir ištaisyti. Sėkmingi kibernetiniai išpuoliai paprastai aptinkami tik tada, kai pasekmės jau būna akivaizdžios. Taigi vietinių įrenginių žurnalų, kuriuos įrenginiai saugo trumpą laiką, nepakanka, o kibernetinių nusikaltėlių aukomis tapusių sistemų žurnalai nėra patikimi. Todėl praktiška taikyti centralizuotą sistemos registravimą ir duomenų atsarginę kopiją, kai duomenys saugomi mažiausiai 365 dienas.
Kokių saugumo priemonių pakanka?
Norint nuspręsti, kuriuos duomenis reikėtų apsaugoti ir kokias saugumo priemones taikyti, duomenis reikėtų suklasifikuoti. Kai kurie duomenys visada yra svarbesni už kitus, todėl reikėtų geriau užtikrinti jų pirminio formato išsaugojimą išlaikant konfidencialumą. Norint tai įvertinti, būtina įvertinti duomenų svarbą, atsižvelgiant į poreikį juos naudoti ir jų naudojimo poveikį. Po to būtina nustatyti duomenims taikytiną riziką, kuria remiantis turėtų būti sukurtos procedūros ir techniniai sprendimai duomenims apsaugoti.
Įmonės dažnai mano, kad visi duomenys yra vienodai svarbūs arba kad visiems duomenims turėtų būti taikomos vienodos saugumo priemonės. Jei finansiškai įmanoma taikyti aukščiausio lygio saugumo priemones visų duomenų saugojimui, informacijos saugumo standartas ISO 27 001 to nedraudžia. Tačiau išlieka pareiga instruktuoti duomenis tvarkančius darbuotojus, jei duomenys apima verslo paslaptis arba asmens duomenis.
Komercinių paslapčių teisinės apsaugos įstatyme nurodyta, kad verslo paslaptis – tai informacija, kuri tos srities specialistams nėra visuotinai žinoma, kuri turi komercinę vertę, nes yra slapta ir kurios paslapčiai išsaugoti buvo imtasi pagrįstų priemonių. Jei verslo paslaptis saugoma vienodai kaip ir bet kurie kiti duomenys, o specialistas turi prieigą prie visų duomenų vienodai su verslo paslaptimi, verslo paslapties atskirti nuo kitų duomenų neįmanoma. Įmonėje dirbantis specialistas, turintis kasdienę prieigą prie duomenų, negali žinoti, kad duoti duomenys toje srityje nėra visuotinai žinomi. Jei verslo paslaptis saugoma lygiai taip pat, kaip ir toje srityje visuotinai žinoma informacija, darbuotojas ją traktuoja kaip bet kurią kitą informaciją, palengvinančią jo darbą. Todėl verslo paslaptį svarbu įvardinti taip, kad ji būtų atskirta nuo toje srityje visuotinai žinomos informacijos.
Asmens duomenų teisinės apsaugos įstatyme nustatyti dar griežtesni asmens duomenų tvarkymo reikalavimai. Pavyzdžiui, 14 punkte nustatytas reikalavimas nustatyti duomenų subjekto tapatybę tik tol, kol laikomasi duomenų tvarkymo tikslo, ir leidimas tvarkyti asmens duomenis tik konkrečiais, aiškiai apibrėžtais ir teisėtais tikslais. O 17 dalyje reikalaujama, kad pasibaigus asmens duomenų saugojimo terminui, duomenų valdytojas ir duomenų tvarkytojas privalo visam laikui ištrinti asmens duomenis. Tokių reikalavimų galima laikytis tik tuo atveju, jei asmens duomenys yra atskirti nuo kitų duomenų ir jei jiems taikomos teisinės procedūros skiriasi nuo kitiems įmonės duomenims taikomų saugojimo ir tvarkymo reikalavimų.
Kokius kibernetinės apsaugos reikalavimus reikėtų taikyti pirmiausia?
Praktinės techninės duomenų apsaugos priemonės, kurios turi būti taikomos, apima bent šias:
- šifravimo taikymas tiek saugant duomenis, tiek juos perduodant;
- saugios atsarginės kopijos laikymas kitoje vietoje;
- centralizuotas visos įrangos atnaujinimas;
- kelių veiksnių autentiškumo patvirtinimo (MFA) taikymas paskyroms;
- vienkartinis prisijungimas (SSO) visose paskyrose;
- darbuotojų mokymai atpažinti kibernetines grėsmes ir apgaulingus el. laiškus.
Atlikus pirmiau nurodytus veiksmus, kiti praktiniai veiksmai yra šie:
- techninių duomenų nutekėjimo blokavimo priemonių taikymas;
- prieigos prie konfidencialių duomenų registravimas;
- naudotojų ir administratorių veiklos registravimas;
- centralizuotas visų žurnalų valdymas, kad būtų galima susidaryti išsamų vaizdą;
- veiklos instrukcijų dokumentavimas, kad būtų galima greitai reaguoti į saugumo incidentus.
Aukščiau pateiktos rekomendacijos yra pirmieji saugumo plėtros žingsniai. Konkrečios priemonės ir sistemos, kurias taiko kiekviena įmonė, priklauso nuo konkretaus verslo, duomenų jautrumo ir vertės.