„CityBee“ duomenų nutekėjimo atvejis taps vienu iš retų kibernetinio saugumo precedentų Lietuvoje, sako Miroslav Lučinskij, Saulėtekio slėnio skaitmeninių inovacijų centre įmones konsultuojantis kibernetikos ekspertas. Jis pastebi, kad šalies verslas vis dar vadovaujasi požiūriu, jog informacijos apsauga – „palaukti galintis klausimas“, tačiau priduria, kad bent dalį procesų atlikdamas verslas galėtų užsitikrinti priimtiną informacijos saugumo lygį.
Pasak kibernetinio saugumo eksperto, informacijos apsaugos kultūra Lietuvoje dar tik formuojasi, o kur kas intensyviau šiuo klausimu rūpinasi tarptautinių bendrovių atstovybės, kurioms centrinis ofisas ne tik diktuoja sprendimus, bet ir suteikia reikiamų finansų. Prie tokios lėtos šalies verslo pažangos, M. Lučinskij nuomone, prisidėjo dar pakankamai mažas didelių ir plačiai visuomenei žinomų kibernetinių įsilaužimų bei incidentų skaičius.
Kibernetinio saugumo ekspertas atkreipia dėmesį, kad tokią situaciją šalyje reikėtų vadinti „saugumo skola“, kai informacijos apsauga reikėjo rūpintis dar vakar, tačiau su kiekviena diena, kai nesiimama reikiamų veiksmų ir nėra investuojama į sprendimus, problemos ir rizikos kaupiasi. M. Lučinskij dalijasi patarimais, kokie žingsniai padėtų pasiekti bent jau priimtiną informacijos saugumo lygį organizacijose.
– Sakoma, kad reikia mokytis ne iš savų, o iš svetimų klaidų. Ką iš „CityBee“ istorijos turėtų išsinešti šalies verslai ir organizacijos?
– Skaudžiausi incidentai nutinka geriausiems. „CityBee“ – neabejotinai yra vienas iš lyderių savo rinkoje, tad tai puikus pavyzdys to, kad ir kitų sričių lyderiai gali nukentėti nuo panašių įvykių. Kodėl taip yra? Nes sėkmingi verslai traukia dėmesį. Tikėtina, kad įmonė, kuriai sekasi blogiau, nebus įdomi niekam, tačiau lyderiaujančios kompanijos traukia tiek smalsuolių, tiek potencialių įsilaužėlių dėmesį.
Žinoma, šiuo konkrečiu atveju, vieša informacija rodo, kad tai veikiau buvo neatsakingas elgesys su duomenimis nei tikslingai į įmonę nukreiptas dėmesys ar įsilaužimas. Remiantis viešai skelbiama informacija, duomenys buvo viešai prieinami, tad tiesiog reikėjo tam tikro gudrumo, kad galėtum juos parsisiųsti.
„CityBee“ atveju nutekinta įvairi su vartotojų paskyromis susijusi informacija. Nors tokie duomenys yra skaitmeninis turtas, laimei, kad tai nebuvo planuotas įsilaužimas. Pastaruoju atveju daugiausiai rizikos keltų vertingesni duomenys, pavyzdžiui, jei yra saugomi automobilių judėjimo maršrutai, būtent jie būtų laikomi kur kas vertingesniais. Įsilaužėlis ar prie tokių duomenų prieigą gavęs asmuo galėtų analizuoti, kur, kada ir kokie žmonės vyko, taip atrasti išties vertingos ir jautrios informacijos, todėl padaryti kur kas daugiau žalos įmonės vartotojams. Tačiau toks pavojus gali grėsti ne tik „CityBee“, bet ir taksi ar pavėžėjų bendrovėms, jei pastarosios kaupia klientų maršrutų informaciją. Kitaip tariant, pamažu reikėtų nustoti galvoti, kad man taip nenutiks.
– Ar su panašia duomenų nutekėjimo situacija gali lengvai susidurti ne vienas verslas? Kodėl?
– Nereti atvejai, kai potencialūs įsilaužėliai ar smalsuoliai tiesiog ieško bet kokių internete pasiekiamų duomenų. Ir „CityBee“ atveju buvo taip, kad žmogus, žiūrėdamas, kokie duomenys yra pasiekiami debesyje, rado priklausančius šiai bendrovei, juos nusikopijavo ir paviešino. Tačiau reikėtų pažymėti, kad tokių pavyzdžių pasaulyje tikrai ne vienas ir ne du. Dažnai būna, kad įmonė į debesį įkelia duomenis, kurie nėra tinkamai sukonfigūruoti, todėl sistema juos leidžia pasiekti bet kam, kas tik žino adresą. Kaip gauti tą adresą? Šiam tikslui yra kuriami ir pasitelkiami įvairūs įrankiai bei technikos.
Nors įmonės siekia ar turėtų siekti duomenis apsaugoti, neretai nutinka, kad iš pradžių apsaugoti duomenys prieinami tampa tuomet, kai įvairių procesų metu įvyksta klaida. Pavyzdžiui, sistemos administratorius padarė dokumento su duomenimis kopiją ir ją patalpino į turimą nepagrindinį serverį, vėliau pasikeitė serverio konfigūracija ir jie tapo prieinami.
– Esate minėjęs, kad šalies bendrovės nepakankamai rūpinasi informacijos apsauga. Kas jas stabdo?
– Lietuviams, o tuo tarpu ir šalies verslui, neretai įprasta taupyti, todėl ir saugumas yra tai, kas gali palaukti. Nemaža dalis šalies įmonių nėra įsivertinusios, kokius duomenis ir informaciją turi bei valdo, tad jos ir nežino, nuo ko pradėti kibernetinio saugumo kelią. Deja, dažniausiai tokiais atvejais jokie procesai taip ir nebūna pradedami. Čia svarbų vaidmenį vaidina ir dažno lietuvio bruožas norėti daryti viską ir iškart. Tačiau norint turėti viską ir greitai, reikalingi dideli finansiniai ištekliai. Būtent juos išvydus, neretai suprantama, kad tai – per brangu ir nusprendžiama geriau nedaryti nieko. Mano patarimas būtų pradėti pokyčius po truputį, bet sistemingai.
– Ko imtis ir kokių klaidų nekartoti turėtų verslas, norintis užsitikrinti bent priimtiną informacijos saugumo lygį?
– Mano patarimai kiekvienai organizacijai būtų iš pradžių susidėlioti prioritetus: identifikuoti, kurios sistemos bei duomenys mažiau, o kurie – labiau svarbūs ir nuo to pradėti bent jau po truputį investuoti į informacijos saugumą. Kitas svarbus patarimas – turėti pokyčių valdymo strategiją ir numatytus procesus. Nors informacijos saugumo auditas yra naudingas ir tarsi nuotrauka parodo jūsų situaciją konkrečiu metu, būtent pokyčių valdymo procesai leidžia viską reguliuoti ir, įvykus incidentui, nesudėtingai atsekti klaidas. Pavyzdžiui, įvykus įsilaužimui ir duomenų nutekinimo įvykiui, įmonė, pirmiausia, turėtų išsiaiškinti, kaip tai įvyko. Kad tai pavyktų padaryti, būtina pokyčius dokumentuoti. Jeigu tai nėra daroma arba pokyčių žurnalai saugomi trumpą ar nepakankamą laiką, klaidų gali ir nepavykti išsiaiškinti. Kiekvienas pokytis įmonėje turėtų būti peržiūrimas, apsvarstomas, o tokių sprendimų neturėtų priimti vienas sistemų administratorius.
Dar vienas patarimas – neapsistoti tik ties vienu paslaugų tiekėju. Būna atvejų, kai įmonė iš tiekėjo įsigyja debesijos saugyklos paslaugą, šis taip pat bendrovei atlieka ir saugumo konfigūravimo darbus, tačiau po kurio laiko įmonė nusprendžia to paties tiekėjo paprašyti atlikti įsilaužimo testą. Kas tokiu atveju nutinka? Tiekėjas patikrina pats save. Tai – ypač prasta praktika, tačiau tokių atvejų tenka pastebėti. Be to, vertėtų neapsistoti tik ties pigiausiu produktu ar paslauga. Kaip verta palyginti tiekėjus, taip derėtų daryti ir su paslaugomis ir produktais.
Galiausiai, pokyčius atlikite strategiškai, sistemingai ir apgalvotai. Tikėtina, kad po pastarųjų dienų įvykių dalis įmonių, išsigandusios galimo debesų saugyklose patalpintų duomenų nutekėjimo, ieškos įvairių nuo to saugančių produktų ir jų prisipirks. Tačiau prieš priimant greitus sprendimus, siūlyčiau juos pasverti – galbūt jūsų organizacijos atveju jis visai nereikalingas.
– Darbuotojai – ne mažiau svarbi sėkmingos informacijos apsaugos įmonėje dalis. Kokias klaidas, susijusias su jų apmokymu, pasirengimu ar įgalinimu, daro įmonės?
– Pavyzdžiui, Vakarų Europoje neretai žmonės vengia vieni patys priimti sprendimus, nes būtent iš sprendimo priėmimo ir kyla atsakomybė. Šalyje gajus pokyčių valdymas, kai norint priimti sprendimą, reikalingas kelių žmonių pritarimas. Tokia sistema, mano nuomone, jiems labai padeda ir informacijos saugumo aspektu. Tuo tarpu Lietuvoje, jei norime kažką pakeisti, tai imame ir padarome – patys ir be pasitarimo. Pavyzdžiui, darbuotojas prisijungia prie sistemos, atlieka pakeitimą, kurio metu galimai pasikeičia ir kitų komponentų būsena, tačiau padaręs darbą apie jį kitų kolegų šis neinformuoja.
Nors V. Europos atveju procesai išsitęsia ir sumažėja darbo dinamiškumas, tai ypač svarbi dalis siekiant apsaugoti informaciją ir atitikti BDAR reikalavimus. Pavyzdžiui, BDAR reikalauja, kad įmonės stengtųsi išvengti kylančių grėsmių. Tad jei organizacija turi sprendimų priėmimo organą, kuriame keli žmonės ar komanda tariasi ir priima sprendimus, tai gali būti palaikyta bendrovės pastangomis bei rūpesčiu, siekiant užkirsti kelią kibernetiniams incidentams.
Tuo tarpu Lietuvoje gaji praktika pokyčių sprendimus priimti patiems ir nesitariant. Tai užtikrina dinamiškumą, tačiau leidžia išvengti kur kas mažiau klaidų ar prasčiau apsaugo organizaciją įvykus incidentui.
Į Saulėtekio slėnio Skaitmeninių inovacijų centrą verslo bei organizacijų atstovai gali kreiptis pagalbos kibernetinio saugumo klausimais. Centro ekspertai gali padėti:
- Atlikti informacijos saugumo auditus;
- Kurti, diegti ir administruoti informacijos saugumo programines sistemas;
- Įvertinti atsparumą nuo kibernetinių antpuolių;
- Apmokyti darbuotojus.
Kitos naujienos
