Anksčiau šį mėnesį „WannaCry“ išpirkos ataka užkrėtė daugiau nei 300 000 „Windows“ kompiuterių visame pasaulyje. Didelė išpirkos programos reikalavo, kad užkrėstos įmonės ir asmenys sumokėtų 300 USD, kad galėtų atrakinti kiekvieną aparatą, taip pat duomenis, saugomus jų įrenginiuose. Nors „WannaCry“ buvo greitai sunaikinta, yra didesnių, baisesnių ir nežinomų grėsmių, kurios gali padaryti didžiulę žalą jūsų verslui.
Tikriausiai perskaitėte dešimtis straipsnių apie tai, kaip galite apsaugoti savo verslą ir save, ir tikriausiai įtraukėte į galinių parametrų apsaugos programinės įrangos pagalbą, kad jūsų įmonė būtų saugi. Bet ar žinojai, kad net patys neįsivaizduojamiausi į jūsų tinklą įtaisai gali leisti įsilaužėliams padaryti didžiulę žalą jūsų verslui?
Kalbėjau su Yossi Appleboum, „Sepio Systems“ generaliniu direktoriumi, apie tai, ką reikia žinoti apie didelio masto išpuolius finansinių paslaugų pramonėje, ką mažos finansinių paslaugų įmonės turi padaryti, kad liktų pasiruošusios, ir kodėl tokios periferinės priemonės kaip pelės ir klaviatūros galėtų būti didele grėsme jūsų verslui.
PCMag: Koks yra blogiausias košmaro scenarijus, kai kažkas ar kokia nors grupė įsilaužta į finansų įstaigą?
Yossi Appleboum (YA): Bet kokio laiko duomenys yra pažeisti. Tai yra košmariškas scenarijus, ypač kai tai susiję su finansinėmis institucijomis. Jei prarandama suinteresuotosios šalies patentuotos finansinės informacijos kontrolė, kyla pavojus duomenų vientisumui ir potencialiam suinteresuotų asmenų, turinčių pinigų žaidimą, pragyvenimui, remiantis prielaida, kad jų duomenys visada bus saugūs. Dar svarbiau, kad finansiniu požiūriu šios informacijos nutekėjimas kelia grėsmę svarbiausiems organizacijos patikėtiniams - praeities, dabarties ir ateities santykiams.
Duomenų nutekėjimas yra ypač baisus, nes dažnai nėra iš karto aiškių pažeidimo apimties ir susijusios rizikos rodiklių. Tai gali būti tiek maža, kiek vienos sąskaitos įrašų vagystė ir platesnė duomenų bazių, kuriose saugomas didžiulis asmens duomenų kiekis, vagystė, pavyzdžiui, duomenų pažeidimas Panamos advokatų kontoroje, kurioje buvo nutekinta daugiau nei 11 milijonų nuosavybės teise priklausančių dokumentų.
Finansinių institucijų vyriausieji informacijos saugumo pareigūnai (CISO) žino apie duomenų nutekėjimo pavojų ir visada pateiks prioritetą savo begaliniame kibernetinių grėsmių sąraše. Pasaulinės finansų institucijos išleidžia šimtus milijonų dolerių per metus kurdamos daugiasluoksnes duomenų praradimo prevencijos (DLP) sistemas. Nedaugelis CISO sugeba sukurti nesulaužomas sistemas, apsaugančias nuo net labiausiai paplitusių kibernetinių išpuolių. Kitoje lygties pusėje blogi veikėjai iškelia atakų sudėtingumą, panaudodami nutekėjusius vyriausybės kibernetinius ginklus prieš civilius taikinius, tokius kaip bankai.
Nusikaltėliai komerciniams tikslams naudoja strateginius kibernetinius ginklus, įskaitant manipuliuojamą kasdienę techninę įrangą, pavyzdžiui, klaviatūras ir kitus žmogaus sąsajos įrenginius (HID). Problema ta, kad šios kibernetinės atakos priemonės gali egzistuoti sistemose, kurių visiškai nepastebi esamos kibernetinės gynybos priemonės. Tai turbūt pati baisiausia ir pavojingiausia duomenų šnipinėjimo forma: neaptinkami prietaisai, kurie iš radaro gauna informaciją.
Neįmanoma „atsikratyti pupelių“, kai jos bus išsipylusios. Kai duomenys nutekėja, jų atgaline data apsaugoti negalima. Todėl duomenų valdytojai ir CISO turi išlikti budrūs ir daryti viską, kas įmanoma, kad visi vektoriai būtų sandariai uždaryti, įskaitant visus galimus sistemos prieigos taškus.
PCMag: Kalbant apie tai, kas jau nutiko, kas yra blogiausias finansinių paslaugų pažeidimas, kurį šalis matė, ir kaip tai atsitiko?
YA: „Blogiausia“ priklausys nuo to, kieno klausiate. Žvelgiant iš finansų įstaigos, galvojama apie tokius svarbius pažeidimus kaip 2014 m. „JPMorgan Chase“ pažeidimai, kai kibernetinė ataka paveikė net 76 milijonus namų ūkių ir 7 milijonus mažų įmonių iš didelio jos suinteresuotųjų šalių tinklo.
Tačiau, žiūrint iš individualaus kliento perspektyvos, blogiausias pažeidimas yra tas, kuris visam laikui pakeitė jo ar jos gyvenimą ir finansinio saugumo jausmą. Tai yra vienas iš svarbiausių dalykų, kuriuos reikia atsiminti: nepakankama apsauga nuo kibernetinių užpuolikų gali negrįžtamai sugriauti žmonių, kurie priklauso nuo jūsų, saugoti jų duomenis, gyvenimą, taip pat visos institucijos pasitikėjimą ir reputaciją.
Taip pat pažymėtina, kad daugelis finansinių pažeidimų, kuriuos matėme, yra vakarykštės krizės. Be abejo, daugelis kompromituojančių kibernetinių atakų tam tikros formos kenkėjiškomis programomis naudojosi norėdami pasiekti ir išgauti informaciją iš tinklo. Bet bendras visų plačiai viešinamų pažeidimų vardiklis yra tas, kad kažkas juos atrado. Neapsaugoti nutekėjimai, kurie šiuo metu gali būti aktyviai renkami duomenys, yra didžiausia grėsmė duomenų saugumui.
Vienas iš mūsų klientų, tarptautinis bankas, rado nedidelį prie tinklo prijungtą aparatūros įrenginį, paslėptą po stalu. Šis įrenginys buvo prijungtas prie tinklo; tačiau kibernetinio saugumo komanda to negalėjo pamatyti. Nei vienas iš esamų įrankių to nejuto ir neaptiko, bet vis dėlto jis buvo siunčiamas į tolimą vietą per korinį ryšį. Nežinomas laikotarpis buvo pažeistas nežinomas duomenų kiekis ir rūšis ir niekas apie juos nežinojo. Šiandien, praėjus vieneriems metams po šio šokiruojančio atradimo, apsaugos pareigūnai dar beveik nieko nežino apie tai, kas pasodino įrenginį ir kiek duomenų buvo paimta.
Kitas puikus atakos vektorius bus vaiduoklių aparatūros įrenginiai. Štai kodėl uoliai stengiamės aptikti ir sušvelninti šias atakas.
PCMag: Kokios turėtų būti mažesnių finansinių paslaugų bendrovių grėsmės, įėjimo taškų ir bendrų klaidų priežastys?
YA: Mažesnėms finansų įstaigoms daugeliu atvejų kyla didesnis pavojus nei didelėms. Daugeliu atvejų jie neturi didelės saugumo komandos ir jų kibernetinio saugumo sistemos nėra tokios modernios. Kai kuriais atvejais mes matėme mažų finansinių paslaugų įmones, kurios savo skaitmeniniam turtui apsaugoti naudoja penkerių metų senumo užkardą ir trejų metų senumo antivirusinę programinę įrangą. Ši įmonė valdė didžiausių asmeninių sąskaitų JAV investicijas.
Prielaida, kad mažos finansinės įstaigos rizika lygi mažesnei, yra visiškai priešinga. Rizikos draudimo fondas, valdantis kelis milijardus dolerių, paprastai yra labai maža įmonė. Šeimos įstaiga, tvarkanti dideles asmenines pinigines sąskaitas, taip pat nedidelė, kaip ir Panamos advokatų kontoroje, kuri laikė aukšto rango pasaulio lyderių finansines paslaptis. Visi minėti principai buvo pažeisti ir dauguma jų labai ilgai nežinojo apie pažeidimą; kai kurie vis dar to nežino.
Šių mažesnių įmonių vadovai daugeliu atvejų nesupranta rizikingos veiklos, galimos žalos jų įmonėms ir, svarbiausia, galimos žalos klientams. Daugelis kompanijų mano, kad jų geriausi programinės įrangos gynybos sprendimai gali užtikrinti vandeniui nelaidų sistemos antspaudą stebėdami realiu laiku ir numatydami analizę. Tai gali būti tiesa iš programinės įrangos pusės, tačiau to, ko tipinė CISO gali nepripažinti, yra tai, kad blogas veikėjas nutiesė kanalizaciją tiesiai į aparatinės įrangos infrastruktūrą, kur duomenys buvo kaupiami metų metus. Bet kuris duomenų tvarkytojas ar kibernetinio saugumo profesionalas jums pasakys, kad svarbiausia pradėti saugoti nuo pažeidžiamumų yra suprasti esamą infrastruktūrą. Tai reiškia, kad turite tvirtai suvaldyti tai, kas prijungta prie jūsų tinklo.
Svarbiausia atsiminti, kad bet koks kelias į duomenis yra potenciali atsakomybė. Nesvarbu, kokio dydžio finansinių paslaugų įmonė, imdamiesi būtinų atsargumo priemonių ir inventorizuodami sistemoje esančius įrenginius, galite padėti apriboti jūsų ekspoziciją, kad jūsų duomenys būtų saugūs.
PCMag: Paprastai nesiejate klaviatūrų, pelių ir kitų išorinių įrenginių kaip tokio tipo atakų įėjimo taškų. Kodėl mums turėtų rūpėti tokio tipo įrenginiai?
YA: Pagalvokite apie tai: Ar galite savo įmonės kompiuteryje įdiegti programinę įrangą, kurią atsisiųsdavote iš interneto? Tikriausiai ne. Bet ar galite atsinešti klaviatūrą iš išorės į savo biurą ir prijungti? Tikriausiai taip.
Žmonės teisingai mano, kad nežinoma programinė įranga yra rizika. Štai kodėl yra daug saugos priemonių, leidžiančių stebėti ir užkirsti kelią programinės įrangos diegimui įmonės kompiuteryje kitiems, išskyrus IT personalą. Bet dėl tam tikrų priežasčių aparatūros įrenginiai nėra laikomi tuo pačiu standartu.
Kibernetinės atakos, kilusios iš programinės įrangos, daugeliu atvejų yra apribotos esamomis kibernetinės gynybos priemonėmis, tai reiškia, kad visos priemonės nuo galutinio taško apsaugos komplekto iki perimetro saugumo ir teismo ekspertizės įrankiai yra pritaikyti aptikti įėjimo tašką ir jį blokuoti. Tačiau viena klaviatūra gali padaryti daugiau žalos nei dauguma kenkėjiškų programų pasaulyje, ilgesnį laiką išsausindama duomenis.
Įsivaizduokite, kad jūsų organizacijos IT specialistas siunčia el. Laišką visai įmonei, sakydamas, kad organizacija rytoj gaus visiškai naujas klaviatūras. Koks procentas jūsų darbuotojų kitą dieną matytų naują klaviatūrą ant savo stalo ir jį įkištų? 20 procentų? 50 procentų? 100 procentų? Atsakymas yra tas, kad jis artimas šimtui procentų, nei kas nors nori prisipažinti. Įdiegti vieną iš šių įrenginių, kuriais buvo manipuliuota išgauti informaciją, užtruktų tik vienas asmuo, kad būtų pakenkta visai sistemai.
Dabar mes žinome, kad daugelis priemonių, naudojamų įsiskverbti ir nulaužti pasaulinius finansinius centrus, iš tikrųjų buvo pavogtos iš vyriausybių prototipų tautose visame pasaulyje. Pavyzdžiui, klaviatūros, kurias iš pradžių sukūrė JAV nacionalinio saugumo agentūra (NSA) klavišų stebėjimui ir duomenų rinkimui iš tinklų per prijungto kompiuterio USB prievadą, dabar naudoja kenkėjiški įsilaužėliai, kad gautų duomenis šantažui ir išpirkos programų išpuoliams.
Be to, populiarėjant įžūliams įsilaužimo įrankiams, parduodamiems tamsiajame žiniatinklyje, pažangiausias kenkėjiškų duomenų rinkimo technologijas per kelias dienas gali patekti į įsilaužėlių rankas, o valdžios institucijos neturi aiškaus būdo sekti prietaisų pirkėjas, pardavėjas arba vieta. Tai reiškia, kad moderniausi, neaptinkami duomenų rinkimo prietaisai dabar gali egzistuoti nesuskaičiuojamose duomenų sistemose, CISO apie juos net nežinodami.
Šie prietaisai yra palyginami su parazitinėmis klaidomis, tokiomis kaip erkės ar utėlės. Atrodo, kad jie yra įprasti ir nekenksmingi, kai plūduriuoja jūsų bendroje aplinkoje. Tačiau juos sunku suvokti, kai jie įdiegia save į jūsų sistemą ir gali ten nepastebimai egzistuoti ilgą laiką. Be to, jie yra pagrindinė atsakomybė ir gali padaryti negrįžtamą žalą duomenims ir jūsų suinteresuotosioms šalims.
„PCMag“: Neatsižvelgdami į jūsų paslaugas konkrečiai, kaip įmonės gali užtikrinti savo saugumą, ypač jei savo darbą daro labai priklausomos nuo prijungtų įrenginių?
YA: Yra daugybė elementų, kurių negalima valdyti. Kaip jau aptariau, beveik neįmanoma sustabdyti tamsiosios interneto beribės skaitmeninės rinkos. Dėl pirkėjų ir pardavėjų anonimiškumo laisvai parduodama aparatūros įranga kelia precedento neturintį iššūkį išlikti susipažinusiam su įsilaužimo grėsmėmis, kurios veikia sistemas iš išorės.
Tačiau duomenų valdytojai privalo kontroliuoti įsilaužimo grėsmes, kylančias iš techninės įrangos. Tai prasideda supratimu apie visus aparatūros įrenginius, kurie sąveikauja su jūsų sistema. Tradiciškai organizacijų technologijos pareigūnai nustato, kad jie turi X skaičių galinių taškų, kurie jungiasi su Y serverių ir išorinių įrenginių skaičiumi. Šiuolaikiniame kibernetinės gynybos karo zonoje labai svarbu, kad jie eitų giliau, į periferinį lygmenį.
Tinklo laidai, siunčiantys informaciją tarp dviejų įrenginių, turėtų būti visiškai tikrinami tarp visų dviejų kraštų per visus jungties taškus. Yra prietaisų, kurie gali perimti duomenis šiuose taškuose ir išfiltruoti juos į tolimą vietą, jų neatpažindami.
Norint išgelbėti sistemas nuo šių turto prievartavimų, sunkiųjų prietaisų tinklus reikia sutvarkyti naudojant smulkių dantų šukas. CISO turi padaryti viską, ką gali, kad užtikrintų savo sistemos prietaisų vientisumą. Geriausias būdas apsisaugoti nuo kibernetinės aparatinės įrangos grėsmių yra įsitikinimas, kad jūsų įrenginiai yra tikrai jūsų, o ne piktybiškai užmaskuota aparatūra.
Pradėkite nuo sąmoningumo. Neignoruokite galimo šių nekaltai atrodančių aparatūros įrenginių pavojaus. Grėsmė yra reali ir aktuali mums visiems.
