Kibernetinio saugumo rekomendacijos 2022 metams: kaip nekartoti 2021-ųjų saugumo klaidų?

2022 01 10 · 3 minutės

Kasmet kibernetinio saugumo svarba tam vis aktualesne tiek visuomenėje, tiek verslo sektoriuje. Tapatybės vagysčių išteklių centro duomenimis (angl. Identity Theft Resource Center), duomenų nutekėjimo įvykių pasauliniu mastu išaugo 17%, lyginant 2020 m. ir 2021 m. sausio-rugsėjo mėnesių laikotarpius.  

2021 m. pabaigoje IT specialistai atkreipė dėmesį į smarkiai plintantį „nulinės-dienos“ pažeidžiamumą (angl. zero-day vulnerability), susijusį su programinės įrangos komponentu – „Log4j“. Laiku neatnaujinta programinė įranga ir prastas sistemos komponentų saugumo atnaujinimas suteikia galimybes kibernetiniams užpuolikams pasisavinti jautrią informaciją bei sukelti žalą vidinėms sistemoms. Tokie įvykiai kaip „Log4j“ pažeidžiamumo atsiradimas ir išplitimas plačiu mastu dar kartą patvirtina augantį kibernetinių grėsmių lygį.  

Būtina, jog įmonės rūpintųsi savo infrastruktūros ir sistemų saugumu dar prieš nutinkant kibernetiniams išpuoliams. Dėl šių priežasčių šiame blogo įraše apžvelgsime kelias garsiausiai nuskambėjusias kibernetines atakas 2021 m. Lietuvoje bei pristatysime rekomendacijas, padedančias užkirsti kelią ar sumažinti kibernetinių išpuolių keliamą žalą jūsų organizacijai. 

Gerųjų programinės įrangos kūrimo praktikų nesilaikymas kainuoja brangiai 

Gerųjų praktikų nesilaikymas, kuriant programinę įrangą, ilgainiui gali kainuoti itin brangiai. Programinės įrangos kūrimas, neatsižvelgiant į saugumo praktikas, neigiamai veikia ne tik vidinius organizacijų procesus, bet taip pat paliečia galutinius paslaugų vartotojus.  

Vienas iš saugumo praktikų nesilaikymo pavyzdžių – sveikatos portalo „E.sveikata“ sistemos įvykis. Dėl pacientų asmeninių duomenų nutekėjimo, įvykusio dėl prastos sistemų apsaugos, buvo skaudžiai nukentėta dar 2018 m. Praėjus keleriems metams po pastarojo įvykio, 2021 m. sausio mėnesį „E.sveikata“ sistemoje pastebėta dar viena saugumo spraga – pakeitus skaitmenį „E.sveikata“ interneto puslapio adreso lauke, buvo galima matyti informaciją, susijusią su kitų pacientų registracijomis pas gydytojus bei jų kontaktiniais duomenimis. Šį parametrų manipuliavimo pažeidžiamumą lėmė gerųjų programavimo praktikų nesilaikymas. Tad dėl šios spragos kilo grėsmė tiek pacientų duomenų konfidencialumui, tiek „E.sveikata“ ir bendrai Lietuvos Respublikos Sveikatos apsaugos ministerijos, kuriai yra pavaldus pastarasis portalas, reputacijai.

Siekiant išvengti saugumo spragų programavimo etape, svarbu rūpintis kuriamo produkto ar paslaugos saugumu dar planavimo etape, tiek nustatant būtinus saugumo reikalavimus, tiek užtikrinant atitiktį pagrindiniams saugumo standartams ir gerosioms praktikoms bei jų laikymąsiTaip pat yra būtina atlikti reguliarius sistemos saugumo testavimus visuose produkto ar paslaugos vystymo bei gyvavimo etapuose siekiant užtikrinti unikalios programinės įrangos saugą. 

Prasta programinės įrangos priežiūra – kelias į nuolatinius pažeidžiamumus  

Saugumu reikia rūpintis ne tik kuriant programinę įrangą, bet ir ją sukūrus. Netinkamos sistemos konfigūracijos ir neatnaujinta programinė įranga veda prie galimų duomenų konfidencialumo, vientisumo ir (ar) pasiekiamumo pažeidimų. Tą įrodo ne vienas pastarųjų metų kibernetinio saugumo įvykis Lietuvoje.  

Bene garsiausiai 2021 m. Lietuvoje nuskambėjęs kibernetinis incidentas – tai automobilių dalinimosi platformos „CityBee“ klientų duomenų nutekėjimas. Praėjusių metų vasario mėnesį buvo paviešinti beveik 110 tūkst. „CityBee“ vartotojų duomenys. Šį įvykį lėmė netinkama viešosios debesijos aplinkos, kurioje buvo laikoma atsarginė klientų duomenų kopija, priežiūra. „CityBee“ vartotojų slaptažodžiai buvo užkoduoti nesaugiu SHA-1 algoritmu, o vartotojų tapatybės duomenys saugomi atvirojo teksto forma. Dar šių metų lapkričio mėnesį Valstybinė duomenų apsaugos inspekcija (VDAI) priėmė sprendimą dėl pažeidimo ir skyrė „CityBee“ bendrovei 110 tūkst. eurų baudą

Norint apsisaugoti nuo tokių nemalonių įvykių, yra patartina pasirūpinti atsarginių duomenų kopijų saugumu, apriboti prieigą prie jautrių duomenų ir atlikti reguliarias saugumo patikras. Taip pat yra itin svarbu laikytis universalių saugumo patarimų, susijusių su programinės įrangos saugos užtikrinimu, siekiant sumažinti pastarųjų grėsmių tikimybę iki minimumo: 

  • Laiku atnaujinti programinę įrangą. 
  • Reguliariai atlikti saugumo pataisymus. 
  • Periodiškai, kas pusmetį ar dažniau, atlikti įsilaužimo testavimo, rizikų vertinimo bei saugos vertinimo veiklas.  

Bent viena pažeidžiama sistema – lengvas grobis kibernetiniams užpuolikams 

Užtenka tik vienos pažeidžiamos sistemos, jog būtų įsilaužta į organizacijos vidines sistemas. Skirtingų techninių ir administracinių saugumo priemonių nebuvimas didina riziką, jog nusikaltėliai pavogs didesnį kiekį duomenų.  

2021 metų gruodžio mėnesį reklamos technologijų bendrovės „Adform“ vidinėse administratorių sistemose buvo aptikta kibernetinė ataka. Šio incidento metu buvo įsilaužta į vidines įmonės sistemas ir pavogti sistemų administratorių duomenys. Kibernetiniai įsilaužėliai ėmė reikalauti išpirkos už pavogtus duomenis grasindami juos paviešinti. Svarbu paminėti, kad po atakos jokie darbuotojų ar klientų asmens duomenys nebuvo viešai paskelbti. Bendradarbiaujant su Nacionaliniu kibernetinio saugumo centru (NKSC) „Adform“ atliko šio įvykio tyrimą ir išleido oficialų pranešimą, kuriame patikino, kad nėra grėsmės klientų asmeniniams klientų duomenims, kadangi užpuolikai neturi pavogtų duomenų kopijų. Nors „Adform“ atveju duomenys buvo pavogti, tačiau naudojamos vidinės IT apsaugos sistemos užkirto kelią didesnio masto duomenų vagystei iš kitų sistemų. 

Praėjusių metų kovo mėnesį viename iš internetinių forumų buvo išplatinti apie 7 tūkst. studentų duomenų. Tarp nutekintų įrašų buvo studentų vardai, pavardės, lytis, asmens kodai, namų adresai, miestai, mokyklos, mokyklų baigimo metai, gimimo datos ir kt. Po šio įvykio NKSC atliko tyrimą incidento priežastims ir mastui nustatyti. Atlikto NKSC tyrimo ataskaita atskleidė, kad duomenys galėjo nutekėti iš „LieMSIS“ sistemos, tačiau nebuvo nustatyta, jog nutekėjimo priežastis yra kibernetinė ataka. Minėtos ataskaitos duomenimis, incidentas galėjo įvykti dėl neapribotos prieigos prie internetu pasiekiamų išteklių ir nekontroliuojamo aukštųjų mokyklų informacinių išteklių išsiplėtimo (angl. system sprawl). 

Siekiant užkirsti kelią sistemų pažeidžiamumams svarbu yra taikyti defense-in-depth informacijos saugos principą, kai skirtinguose lygiuose yra naudojama ne viena saugumo priemonė. Šis metodas pasitelkia skirtingus fizinius, techninius bei administracinius saugos metodus. Taip pat svarbu periodiškai atlikti pažeidžiamumų testavimą ir laiku atnaujinti pažeidžiamą programinę įrangą.

Kibernetinio saugumo prognozės ir patarimai 2022 metams 

Atsižvelgiant į praėjusiais metais pagarsėjusius kibernetinius incidentus Lietuvoje, galima įžvelgti tam tikras 2022-ųjų kibernetinio saugumo tendencijas: 

  • Padidėjęs programinės įrangos (angl. ransomware) atakų skaičius, siekiant išpirkos. Tokio tipo užpuolimai „užkrečia“ nemažą kiekį įrenginių ir blokuoja prieigą už kurios atgavimą prašoma išmokos. 
  • Išaugęs daiktų interneto (angl. IoT) atakų skaičius. Populiarumu neatsiliks kibernetinės atakos, kurios yra nukreiptos į IoT sistemas. Tikėtina, jog tokių atakų apimtis gali būti kur kas didesnė nei visais prieš tai praėjusiais metais. Tokie pažeidžiamumai kaip, pavyzdžiui „Log4j“, gali sukelti grėsmę IoT įrenginiams, kurių programinės įrangos atnaujinimas, po tokių įrenginių išleidimo į rinką, yra itin sudėtingas. 
  • Populiarėjančios viešosios debesijos paslaugos ir jų saugumas. Viešosios debesijos paslaugomis besinaudojančių bendrovių kiekis nuolat auga, todėl svarbu atkreipti dėmesį į debesies infrastruktūros saugumo užtikrinimą ir gerųjų saugumo praktikų taikymą.  
  • Tobulėjančios ir augančios socialinės inžinerijos atakos. „Phishing“ atakos vis dar išlieka efektyviu būdu išgauti reikiamą informaciją ar priversti vartotoją atlikti žalingus veiksmus. 

Ne tik Lietuvoje, tačiau visame pasaulyje išaugęs kibernetinių atakų kiekis lėmė didėjančius iš kibernetinių nusikaltimų gaunamus pelnus. Būtų naivu tikėtis, jog šiais metais nusikaltėliai bus pasyvesni. Apibendrinant Lietuvoje įvykusius duomenų nutekėjimo atvejus, galima pateikti tokias rekomendacijas

  • Pastebėjus kibernetinę ataką, nedelsiant informuoti įmonės vadovybę ir pranešti NKSC. 
  • Naudoti saugius slaptažodžius ir periodiškai juos keisti. 
  • Pravesti darbuotojams mokymus apie duomenų apsaugą ir prevencinius veiksmus, kaip reikėtų išvengti kibernetinių incidentų. 
  • Sekti, jog programinė įranga būtų laiku atnaujinta. 
  • Užtikrinti reikalingų saugumo pataisymų diegimą. 
  • Periodiškai, bent kas pusmetį, atlikti įsilaužimo testavimo, rizikų vertinimo bei saugos vertinimo veiklas. 

Aptarti kibernetiniai incidentai patvirtina mintį, jog kibernetinio saugumo praktikos neretai pradedamos taikyti tik patyrus pastarųjų įvykių pasekmes. Gera žinia – visuomenėje sparčiai daugėja diskusijų, susijusių su kibernetinio saugumo temomis. Atsiranda nauji nuomonių lyderiai ir įmonės, kurios dalinasi įvairiomis saugumo praktikomis bei patarimais.  

Panašu, kad vis daugiau organizacijų rimčiau atsižvelgia į kibernetinio saugumo svarbą ir tolstame nuo „nereikia spręsti problemos, kol jos nėra“ mąstymo. Nors saugumo praktikų  poreikis nuolat auga, žengti pirmuosius žingsnius link gerųjų saugumo praktikų įgyvendinimo neretai yra sudėtinga – gali pritrūkti reikalingų žinių, resursų ir tikslaus sistemų pažeidžiamumo vertinimo. 

Nesvarbu, ar dar tik ketinate pradėti taikyti saugumo praktikas savo organizacijos sistemose, ar planuojate vystyti visapusišką įmonės saugumo infrastruktūrą – mes, „Baltic Amadeus“, galime padėti jums įvairiais informacijos saugumo klausimais.