Kodėl kibernetinis saugumas nebėra pasirinkimas. Kiekvienas verslas, žengiantis į skaitmeninę erdvę, stato savo tvirtovę – kuria internetines svetaines, e. parduotuves, klientų valdymo sistemas. Tačiau pernelyg dažnai ši tvirtovė paliekama be sargybos, atvirais vartais ir silpnomis sienomis. Manoma, kad “mes per maži, kad kam nors rūpėtume”. Tai – brangiausiai kainuojantis mitas šiuolaikiniame versle.
Kibernetinis saugumas nėra IT skyriaus galvos skausmas, tai – jūsų verslo išlikimo, reputacijos ir finansinio stabilumo pamatas.
Realybė: palikta ir pamiršta sistema
Dažniausias scenarijus, su kuriuo susiduriame savo praktikoje, yra “paleisk ir pamiršk“ principas. Sukuriama moderni sistema, investuojami tūkstančiai, o po paleidimo ji paliekama dulkėti skaitmeniniame pasaulyje. Neatnaujinamos technologijos, nenaudojami saugūs prisijungimai, neįdiegiamos net elementariausios apsaugos.
Tokia apleista sistema kibernetiniams nusikaltėliams yra tas pats, kas atrakintas automobilis su rakteliais viduje. Klausimas ne “ar” į jį bus įsilaužta, o “kada”. Iš savo patirties galiu pasakyti – dažnai tai įvyksta greičiau, nei tikitės.
Panagrinėkime kelias realias grėsmes, kurias aptikome audituodami keletą Lietuvos įmonių sistemas, ir kaip jos gali paveikti jūsų verslą.
Scenarijus nr.1: Jūsų potencialus klientas ieško jūsų paslaugų “Google” ir patenka į puslapį, kuris atrodo identiškai kaip jūsų. Jis mato jūsų logotipą, jūsų spalvas, jūsų tekstus. Viskas atrodo patikima. Klientas bando prisijungti, suveda savo el. paštą ir slaptažodį… ir viskas. Duomenys jau nusikaltėlių rankose.
Tai – Clickjacking atakos pasekmė. Įsilaužėlis sukuria nematomą, kenkėjišką sluoksnį ant jūsų realios svetainės klono. Vartotojas galvoja, kad spaudžia “Prisijungti”, bet iš tiesų aktyvuoja kenkėjišką veiksmą.
Kokia žala jūsų verslui?
Masinis klientų duomenų nutekinimas: Slaptažodžiai, vardai, el. pašto adresai. Visiškas pasitikėjimo praradimas: Kaip klientas gali vėl jumis pasitikėti, jei jūsų vardu iš jo buvo pavogti duomenys?
Finansiniai nuostoliai: Tiek dėl prarastų klientų, tiek dėl BDAR baudų, kurios gali siekti milijonus.
Scenarijus nr.2: Jūsų konkurentas ar sukčius nori gauti visų jūsų registruotų klientų el. pašto adresų sąrašą. Jam nereikia įsilaužti į duomenų bazę, jis tiesiog sukuria paprastą scenarijų, kuris tūkstančius kartų per minutę bando registruotis su populiariausiais vardais ar el. pašto adresais.
Jūsų sistema jam “padeda” – jei vartotojas egzistuoja, ji grąžina atsakymą “Toks el. paštas jau registruotas”, jei ne – “Vartotojas nerastas”, per kelias valandas nusikaltėlis turi pilną jūsų aktyvių klientų sąrašą.
Kokia žala jūsų verslui?
Tikslinės phishing atakos: Nusikaltėliai, žinodami jūsų klientų el. paštus, gali siųsti jiems laiškus jūsų vardu, prašydami atnaujinti mokėjimo informaciją ar paspausti kenkėjišką nuorodą.
Scenarijus nr.3: Jūsų svetainėje yra komentarų skiltis, forumas ar bet koks laukelis, kur vartotojai gali įvesti tekstą. Įsilaužėlis viename iš komentarų palieka ne tik tekstą, bet ir nematomą, kenkėjišką JavaScript kodą.
Dabar kiekvienas lankytojas, atidaręs šį puslapį, savo naršyklėje nejučia įvykdo šį kodą. Rezultatas?
Vartotojo sesija pavagiama – įsilaužėlis gali prisijungti prie kliento paskyros be slaptažodžio.
Duomenys perimami tiesiogiai, kodas gali “matyti”, ką vartotojas veda į formas – slaptažodžius, asmens duomenis, net banko kortelės informaciją.
Svetainė tampa virusų platintoja: Jūsų puslapis gali pradėti siūlyti lankytojams atsisiųsti kenkėjišką programinę įrangą, jūsų svetainė iš verslo įrankio pavirsta ginklu, nukreiptu prieš tuos, kuriais turėtumėte rūpintis labiausiai – jūsų klientus.
Kibernetinio saugumo organizacija kasmet sudaro pavojingiausių grėsmių sąrašą. Tai ne teorija, o realybė. Štai 3 grėsmės, kurias privalo žinoti kiekvienas verslo savininkas:
Broken Access Control (Pažeista prieigos kontrolė)
Paprastai tariant įsivaizduokite viešbutį, kuriame svečio kortelė atrakina ne tik jo kambarį, bet ir administracijos kabinetą, kitų svečių kambarius ir sandėlį. Būtent tai ir yra pažeista prieigos kontrolė – vartotojas gali pasiekti duomenis ar funkcijas, kurios jam nepriklauso.
Cryptographic Failures (Kriptografijos klaidos)
Jūs renkate klientų slaptažodžius ar asmens kodus ir saugote juos paprastu tekstu ar pasenusiomis/pažeidžiamomis šifravimo technologijomis, lyg užrašytumėte ant lapelio ir paliktumėte ant stalo. Įvykus menkiausiam incidentui, visi jautriausi duomenys tampa atviri.
Injection (Įterpimo atakos)
Įsivaizduokite, kad pildote formą “Vardas”, o vietoj vardo įrašote specialią komandą, kuri sako sistemai: “Ištrink visą duomenų bazę”.
Jei sistema neapsaugota, ji įvykdys šią komandą. Taip galima ne tik ištrinti, bet ir pavogti visus jūsų duomenis.
Ar atlikome profesionalų saugumo auditą?
Ar turime planą, ką darysime, jei įsilaužimas vis tiek įvyks?
Ar reguliariai atnaujiname sistemas ir diegiame saugumo sprendimus
Jei jūsų verslas veikia internete – turite atsakomybę saugoti klientų duomenis. Tai nėra tik IT specialistų rūpestis – tai verslo išlikimo klausimas.
Nesvarbu, ar tai paprasta svetainė, ar sudėtinga e. platforma – saugumo patikra ir apsauga turi būti integruota nuo pirmos dienos.
Mes padedame verslams atlikti:
- Saugumo auditus
- Automatinį ir rankinį testavimą
- Incidentų prevenciją ir ataskaitas
- Apsaugos integravimą pagal geriausią praktiką
Susisiekite – padėsime apsaugoti tai, kas jūsų verslui svarbiausia.