Kai įmonė praneša apie duomenų nutekėjimą, dažniausiai tai jau sena naujiena. Tikroji data – prieš mėnesį, kartais prieš metus. Duomenys seniai parduoti, panaudoti, išplatinti. Pranešimas – tik formalumas.
Ir dažniausiai nuteka ne tai, ko tikitės.
Slaptažodžiai – tik ledkalnio viršūnė
Taip, slaptažodžiai nuteka. Bet jie – mažiausia problema. Juos galima pakeisti per penkias minutes.
Tikroji vertė – tai, ko pakeisti negalite:
Asmens kodai. Vieninteliai, nekintantys visą gyvenimą. Nutekėjęs asmens kodas – atviros durys tapatybės vagystei, kreditams jūsų vardu, sutartims, kurių niekada nepasirašėte.
Medicininiai duomenys. Diagnozės, receptai, procedūros. Informacija, kuri gali paveikti karjerą, santykius, draudimą. Ir kuri lieka aktuali dešimtmečius.
Finansinė istorija. Ne kortelės numeris – jį pakeisti lengva. O įpročiai, pajamos, skolos, pirkimų istorija. Tai profilis, kuris leidžia jus pažinti geriau nei pažįstate save.
Biometriniai duomenys. Pirštų atspaudai, veido geometrija. Kai nuteka – nuteka visam laikui. Naujo veido neužsiauginsite.
Iš kur nuteka
Filmuose hakeriai įsilaužia per sudėtingas sistemas, kala klavišus tamsoje. Realybėje – viskas paprasčiau ir liūdniau.
Žmogiškos klaidos. Darbuotojas atsiunčia failą ne tam adresatui. Kitas palieka nešiojamą kompiuterį kavinėje. Trečias naudoja slaptažodį „123456″ – ir taip, 2024 metais tai vis dar populiariausias slaptažodis.
Pasenusi programinė įranga. Sistema, kuri nebuvo atnaujinta metus laiko, turi žinomų spragų. Įsilaužėliams nereikia nieko išradinėti – instrukcijos viešai prieinamos.
Trečiosios šalys. Jūsų duomenis turi ne tik jūs. Tiekėjai, partneriai, subrangovai. Jei jų sauga silpna – jūsų duomenys irgi pažeidžiami.
Vidinės grėsmės. Kartais nutekėjimas – ne įsilaužimas, o sąmoningas veiksmas. Nepasitenkinęs darbuotojas, finansiniai sunkumai, paprasčiausias godumas.
Mažos įmonės – dideli taikiniai
„Mes per maži, kad mus pultų” – dažniausia ir pavojingiausia iliuzija.
Didžiosios korporacijos turi saugumo komandas, biudžetus, sistemas. Įsilaužti sunku. Maža įmonė – lengvas taikinys: silpnesni slaptažodžiai, pasenę serveriai, jokios stebėsenos.
Be to, mažos įmonės dažnai turi prieigą prie didelių. Per tiekimo grandinę, per partnerystes. Įsilaužti į mažą – kartais reiškia įsilaužti į didelę.
Profesionalus kibernetinis saugumas nebėra prabanga didelėms korporacijoms. Tai būtinybė kiekvienam, kas turi klientų duomenis, finansinę informaciją ar tiesiog reputaciją, kurią norėtų išsaugoti.
Ženklai, kad kažkas negerai
Dauguma nutekėjimų aptinkami ne iškart. Bet yra signalų:
- Sistemoje – nežinomi prisijungimai, ypač neįprastu laiku ar iš neįprastų vietų
- Sulėtėjęs serverių darbas be aiškios priežasties
- Failai, kurie buvo pakeisti, nors niekas neprisimena, kad keitė
- Klientų skundai apie keistus laiškus „nuo jūsų”
- Darbuotojai gauna autentifikacijos užklausas, kurių neinicinavo
Problema – šiuos signalus kažkas turi matyti. Jei serveriai veikia „patys”, be priežiūros – signalai dingsta niekur.
Reguliari serverių priežiūra apima ne tik techninį veikimą, bet ir saugumo stebėseną. Anomalijos matomos tada, kai žinai, kas yra norma.
Kiek tai kainuoja
Ne įsilaužimas kainuoja daugiausiai. Kainuoja pasekmės.
Tiesioginės išlaidos: tyrimas, sistemos atstatymas, teisinės paslaugos, baudos pagal BDAR – nuo kelių tūkstančių iki milijonų eurų.
Netiesioginės išlaidos: prarasti klientai, sugadinta reputacija, sumažėjusios pajamos. Tyrimai rodo, kad trečdalis klientų negrįžta po duomenų nutekėjimo.
Laiko kaina: mėnesiai, kartais metai, kol situacija stabilizuojasi. Vadovų dėmesys, kuris galėjo būti skirtas augimui – skiriamas gaisrų gesinimui.
Ironiška, bet apsauga kainuoja mažiau nei pasekmės. Daug mažiau.
Ką daryti šiandien
Ne rytoj, ne kai „turėsime laiko” – šiandien.
Slaptažodžiai. Ar visi darbuotojai naudoja skirtingus, sudėtingus slaptažodžius? Ar yra dviejų faktorių autentifikacija?
Atnaujinimai. Ar visos sistemos atnaujintos? Ar kas nors už tai atsakingas?
Prieigos. Ar buvę darbuotojai vis dar turi prieigą? Ar dabartiniai turi tik tiek, kiek reikia darbui?
Atsarginės kopijos. Ar jos daromos? Ar jos veikia? Ar kas nors tai tikrino?
Planas. Jei nutekėjimas įvyktų rytoj – ar žinote, ką daryti? Kas skambina kam, kas ką rašo, kas kam praneša?
Realybė, kurios geriau nepatirti
Duomenų nutekėjimas – ne abstrakti grėsmė. Tai nutinka kasdien, įmonėms, kurios buvo tikros, kad „mums tai nenutiks”.
Geriausia apsauga – ne siena, o sisteminis požiūris. Žmonės, procesai, technologijos – viskas veikia kartu. Ir viskas turi būti prižiūrima nuolat, ne kartą per metus.
Kibernetinėje erdvėje nėra „saugu”. Yra tik „saugiau” – ir tai pasiekiama darbu, investicijomis ir nuolatiniu budrumu. Kaina už ramybę – visada mažesnė nei kaina už pražiūrėtą įsilaužimą.
