Tikriausiai nei vienas iš mūsų nenorėtų, kad mūsų privati, asmeninė informacija pasiektų kitus žmones. To nenorėtų ir organizacijos ar valdžios įstaigos. Ne veltui ypatingųjų duomenų apibrėžime nurodyta, kad tokių duomenų praradimas padarytų didelę žalą. Čia rasite jautrių duomenų praradimo žalą ir pasėkmes.
pasėkmės
Nesugebėjimas apsisaugoti nuo neteisėto poveikio gali sukelti rimtų pasekmių. Nusikaltėliai gali pavogti tapatybę ir vien matydami žmonių duomenis, jie pažeidžia asmens privatumą. Tai taip duomenų praradimas pat gali sukelti reguliacinių ir teisinių pasekmių, kurios verstų atlyginti žalą vartotojams, tai gali lemti irduomenų bazių ir infrastruktūros sugadinimą, kuris sutrikdytų veiklą, ar ją visiškai sustabdytų.
| Poveikis | Paaiškinimas |
|---|---|
| Tapatybės praradimas ir privatumo pažeidimai | Kaip jau minėta, nusikaltėliai vagia jautrią informaciją, susijusią su asmenimis bei jų tapatybe. Visa ši informacija leidžia nusikaltėliams apsimesti nukentėjusiais, daryti finansinius ar reputacijai kenkiančius nusikaltimus. Vien tokios asmeninės informacijos patekimas pas nusikaltėlį yra didelis privatumo pažeidimas. |
| Reputacinė žala | Neįgalumas apsaugoti jautrios informacijos labai stipriai paveikia informacijos saugotojų reputaciją, žmonės, įmonės nenori turėti reikalų su kibernetiškai ar sistemiškai nesaugiu veikėju, dėl to patiriamas klientų ar partnerių bazės nuosmūkis, kuris veikia ir finansiškai. |
| Finansinė žala | Praktiškai visi kiti ypatingųjų duomenų atskleidimo padariniai neigiamai paveikia finansus. Nuo nusikaltėlių pasinaudojusių pavogta informacija, nuo prarastos klientų bazės, nuo konkurentų sustiprėjimo, iki teisinių nuosprendžių – visa tai daro labai didelę žalą finansams. |
| Konkurencinis susilpnėjimas | Ypatingųjų duomenų praradimas gali sukelti įmonės konkurencinės padėties susilpnėjimą. Atskleista konfidenciali informacija, kaip komercinės paslaptys, patentuota informacija, tyrimai, gali leisti konkurentams pasinaudoti šia informacija ir pritaikyti sėkmingą formulę pas save ar padėti nuspėti paveiktos įmonės veiksmus. Dėl reputacinės žalos organizaciją palikusią klientų bazę gali pervilioti tą pačią paslaugą siūlantys konkurentai. |
| Reguliacinės ir teisinės problemos | Duomenų apsaugos pažeidimai parodo, kad įmonės nesugeba atitikti teisės aktų reikalavimų. Šie neatitikimai neapsaugojusiems duomenų gali atsirūgti baudomis, sankcijomis, kompensacijomis nukentėjusiesiems, patikrinimais ir auditais, veiklos apribojimais, o visi šie teisiniai nemalonumai be finansinių bėdų užtraukti ir neigiamos reputacijos šėšėlį. |
| Veiklos sustojimas | Prarasti duomenys, kai be jų neįmanoma dirbti, gali sutrikdyti arba sustabdyti galimybę atlikti reikalingas funkcijas, dėl ko procesai gali būti visiškai paralyžiuoti. Pačios atakos gali tiesiogiai paveikti sistemas, sustabdant veiklą, pvz. DDOS ataka, kurios metu visiškai apkraunama sistema, o slapta įdiegiama kenkėjiška įranga, vagianti duomenis. Kitos pasėkmės kaip teisiniai ribojimai, finansinė žala ir t.t. gali lemti ir įmonės teisinį uždarymą ar bankrotą. |
Šios pasėkmės gąsdina ne vieną, todėl siekiama jų išvengti. Saugumo sprendimai ir prevencija būtina norint užtikrinti aukštą duomenų saugumo lygį. Šioje įrašo dalyje skaitykite būtent apie tai.
PREVENCIJA
Duomenų rizikingumo įvertinimas ir klasifikavimas
Rekomenduojama sudaryti išsamų visų sistemų apdorojamų, saugomų ar perduodamų jautrių duomenų sąrašą. Nustačius duomenis, galima juos klasifikuoti pagal jų jautrumo lygį, atsižvelgiant į privatumo įstatymus, reguliavimo reikalavimus arba verslo poreikius. Ši klasifikacija padės nustatyti tinkamas apsaugos priemones kiekvienai kategorijai.
Aiški ir stipri prieigos kontrolė
Atsižvelgiant į anksčiau minėtą duomenų rizikingumo įvertinimą, būtina nustatyi, kas prie tų duomenų gali prieiti. Reikia apriboti prieigą prie ypatingųjų duomenų iki tiek kiek jos tikrai yra būtina. Siekiant apriboti jautrių duomenų atskleidimą, reikia įvesti mažiausių privilegijų principą. Organizacijoms patariama apriboti prieigos teises iki minimumo, reikalingo naudotojams savo darbui atlikti. Būtina nustatyti, ar nėra perteklinių teisių, kurios ne tik leidžia asmenims, be realios kompetencijos prieiti prie duomenų, o taip peta veda prie problemų izoliavimo, stebėjimo ir priežiūros problemų. Taip pat rekomenduojama įdiegti tvirtus autentifikavimo metodus, pvz. kelių veiksnių autentifikavimą.
Stiprus šifravimas
Šifravimas yra ypač svarbus įrankis jautriai informacijai apsaugoti. Svarbu naudoti naujausius ir stiprius standartinius šifravimo algoritmus ir protokolus. Reikia šifruoti visus ypatinguosius duomenis tiek ramybės būsenoje, tiek juos perduodant ir taikyti tinkamą raktų (leidžiančių iššifruoti duomenis) valdymo praktiką. Jeigu duomenų saugoti nereikia – geriausia juos iš viso ištrinti. Duomenų bazių, portalų ir paslaugų apsauga stipriai priklauso nuo slaptažodžių saugumo. Slaptažodžius būtina saugoti naudojant stiprias prisitaikančias ir “salted” (kai prie nešifruoto slaptažodžio pridedama frazė, kuri šifruojama kartu su slaptažodžiu) šifravimo funkcijas.
Greita ir efektyvi reakcija į duomenų pažeidimus, reagavimo planas
Jeigu tvarkomi ypatingieji duomenys privaloma būti pasirengus galimiems duomenų saugumo pažeidimams. Todėl rekomenduojama sukurti išsamų reagavimo į incidentus planą, kuriame būtų apibrėžtos funkcijos ir atsakomybė už saugumo incidentų valdymą. Tada reikia reguliariai testuoti sistemą ir atnaujinti planą, kad būtų užtikrintas jo veiksmingumas.
Fizinės ir skaitmeninės saugyklos saugojimas
Saugoti duomenis, kad ir kur jie būtų. Tai reiškia, kad skaitmeniniams duomenims reikia naudoti saugius, šifruotus saugojimo sprendimus, o serveriams ir popieriniams dokumentams – fizines saugumo priemones. Galiausiai rekomenduojama reguliariai daryti atsargines duomenų kopijas saugiose vietose už įmonės ribų arba šifruotose debesijos paslaugose.
Mokymai
Darbuotojai yra pirmoji gynybos linija. Todėl reikia nepamiršti informuoti savo darbuotojų bei reguliariai rengti mokymus apie kibernetinį saugumą. Tai apima mokymą, kaip atpažinti internetinį sukčiavimą (angl. phishing) ir kitas įprastas kibernetines grėsmes, apima ir aiškios duomenų tvarkymo politikos nustatymą ir užtikrinimą, kad darbuotojai žino savo pareigas.
Sistemos programinė įranga ir atnaujinimai
Būtina reguliariai atnaujinti visą programinę įrangą, sistemas ir programas. Patartina naudoti pataisų (angl. patch) valdymo sistemą, kad būtų galima automatizuoti atnaujinimus ir ištaisyti saugumo spragas. Privaloma įdiegti ugniasienes ir antivirusinę programinę įrangą, nuolat ją naujinti.
Duomenų naudojimo stebėjimas ir auditas
Patartina sekti, kas ir kada prieina prie jautrių duomenų. Šiuo tikslu reikėtų įdiegti žurnalo (angl. logging) ir stebėjimo sistemas, kad būtų galima stebėti prieigą prie duomenų iršių duonenų naudojimą. Reguliariai atlikiemas auditas, leistų aptikti bet kokią neleistiną prieigą ar įtartiną veiklą.
Taip pat rekomenduojama tikrinti konfigūracijų ir nustatymų veiksmingumą. Tai apima visų kriptografinių modulių testavimą, siekiant užtikrinti, kad jie veiktų teisingai, ir patikrinimą, ar saugumo kontrolės priemonės tinkamai sukonfigūruotos ir veikia taip, kaip numatyta.
Apsaugotas bendradarbiavimas su trečiosiomis šalimis
Tam, kad jautrūs duomenys būtų saugūs, reikėtų įvertinti ir stebėti partnerių, kurie turi prieigą prie šių duomenų, saugumo praktiką. Vertėtų apsvarstyti galimybę įgyvendinti sutartinius susitarimus dėl duomenų privatumo ir saugumo. Taip pat reikėtų riboti tiekėjų prieigą tik prie jiems reikalingų duomenų. Dirbant su partneriais, esančiais kitose šalyse turėtų būti taikomi papildomi saugumo reikalavimai, susiję su tarptautiniu duomenų perdavimu.
Šaltiniai:
https://owasp.org/www-project-top-ten/2017/A3_2017-Sensitive_Data_Exposure
Reply