Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams  

Vitalis Kavaliauskas, “Baltic Amadeus” technologijų direktorius

Komentaras žiniasklaidai

Beveik 800 000. Tiek įvairių sistemų ir paslaugų vartotojų duomenų buvo nutekinta vos per savaitę. Drįstu spėti, kad tai – tik ledkalnio viršūnė, ir apie pavogtus asmeninius duomenis išgirsime dar ne kartą. Vienintelis būdas užkirsti kelią piktavališkiems ketinimams ir tinkamai saugoti įmonėms patikėtus klientų duomenis yra atsakyti į klausimą: „Ar sistema, kurios paskirtis yra saugoti asmens duomenis ir kitą jautrią informaciją, yra tam pritaikyta?“. 

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas (angl. „legacy systems“). Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų bei Asmens duomenų apsaugos įstatymo reikalavimų. Tokios sistemos, norint jas naudoti toliau, turi būti perdaromos, modernizuojant dalį sistemos komponentų ar perprogramuojant visą sistemos kodą, taip pat galėtų būti įvertinta galimybė išnaudoti Viešųjų debesų (angl. „Public Cloud“) teikiamas galimybes ir privalumus. 

Sistemos, sukurtos prieš BDAR, dažnai neatitinka BDAR reikalavimų 

Asmeniniai duomenys neretai vadinami naujuoju auksu, todėl jų praradimas gali turėti skaudžių pasekmių. Tinkamai tvarkant duomenis netgi ir duomenų nutekėjimo atveju potenciali žala tiek vartotojams, tiek disponuojančiai duomenimis organizacijai, gali būti mažesnė. Viena didžiausių klaidų tvarkant asmens duomenis yra taikyti įprastas duomenų tvarkymo procedūras ir principus– tam kelią ir bando užkirsti Asmens duomenų apsaugos įstatymas (BDAR). 

Nuo 2016 m. įsigaliojus BDAR, įmonės, kaupiančios asmens duomenis, privalo užtikrinti tinkamą jų apsaugą, neatskleisti šių duomenų trečiosioms šalims ir naudoti asmens duomenis tik tiems tikslams, kuriems asmuo suteikė leidimą. Visi asmens duomenys turėtų būti šifruojami ir pseudonimizuojami (angl. “pseudonymisation”). Prie tokių duomenų prieiga turėtų būti suteikiama tik tiems žmonės, kuriems ją būtina turėti, o sistemą ir jų infrastruktūrą privalu nuolatos audituoti. Tam, kad įmonės turima sistema galėtų užtikrinti visų šių reikalavimų laikymąsi, ji turi atitikti ir technologinius, ir saugumo reikalavimus. 

Ypatingai svarbu įsivertinti BDAR atitikimą jeigu disponuojama sistema buvo pradėta kurti dar prieš BDAR įsigaliojimą, kadangi ją projektuojant, apie griežtus asmeninių duomenų apsaugos techninius reikalavimus galėjo būti ir nepagalvota. Natūralu, seniau sukurtos IT sistemos skyrė mažiau dėmesio asmens duomenų apsaugai, todėl būtina įvertinti ar esamos apsaugos priemonės užtikrina tinkamą šių duomenų apsaugą tiek kasdienėje įmonės veikloje, tiek nesankcionuotos prieigos atveju. 

Viešasis debesis negali tapti viešu praeinamuoju kiemu 

Po BDAR įsigaliojimo pastebiu tendenciją, kad įmonės ieško greitų būdų spręsti sistemų problemas, todėl renkasi perkelti jas į Viešuosius debesis. Ten esančios paslaugos suteikia galimybę modernizuoti programinę įrangą ir kartu gauti visas IT paslaugas, tarp jų ir duomenų apsaugai reikalingas priemones, vienoje vietoje. Migruojate į viešąjį debesį, nes jis saugus ir nereikia rūpintis duomenų ar sistemų saugumu? Tai mitas, kurį reikėtų pamiršti. Viešojo debesies paslaugų tiekėjas užtikrina fizinę duomenų centrų saugą bei suteikia aibę priemonių kuriamos informacinės sistemos saugumui užtikrinti. Tačiau tinkamas šių apsaugos priemonių parinkimas, projektavimas ir konfigūravimas išlieka jūsų pareiga. Jei nebus sukurta visa duomenų apsaugos sistema ir įjungti saugikliai, tai Viešas debesis bus tarsi viešas kiemas, į kurį gali patekti kas nori. Tai – didelė klaida. Pavyzdžiui, jeigu Viešajame debesyje pasirenkamos infrastruktūros paslaugos, tokios kaip Virtualūs serveriai, reikia nepamiršti, kad Operacinės sistemos (Windows ar Linux) priežiūra, saugumas ir konfigūravimas lieka  įmonės IT specialistų rankose. Visiškai nesvarbu ar sistema įdiegta į Jūsų įmonės serverį ar Viešajame debesyje esantį serverį, reguliarūs atnaujinimai ir antivirusinių priemonių naudojimas yra būtini, kad programišiai neišnaudotų naujai atsiradusių saugumo spragų (angl. „Zero-Day Vulnerabilities”). 

Atsisakant įmonės fizinės infrastruktūros ir nusprendus migruoti į Viešąjį debesį, dažna daroma klaida yra migruoti sistemas tokias, kokios jos yra dabar ir daryti tik minimalius pakeitimus (angl. „lift-and-shift”). Prieš imantis šio veiksmo būtina investuoti laiko ir pastangų suprantant kokias paslaugas teikia pasirinkto Viešojo debesies tiekėjas ir kaip jo teikiamos paslaugos atitinka įmonės migruojamos ar kuriamos sistemos komponentus. Pastaruoju metu žiniasklaidoje nuskambėję duomenų paviešinimo atvejai įvyksta dėl to, kad projektuojant sistemą neįvertinami nefunkciniai reikalavimai, tarp kurių informacijos saugos reikalavimai yra vieni svarbiausių, ir šių reikalavimų įgyvendinimas pamirštamas tinkamai ištestuoti. 

Kaip išnaudoti Viešojo debesies funkcionalumus saugumui užtikrinti? 

Vartotojo sąsaja neretai tampa pirminiu kenkėjiškų atakų taikiniu, bandant išnaudoti visas įmanomas spragas. BDAR kontekste svarbu ne tik apsaugoti kaupiamus jautrius vartotojų duomenis, tačiau ir užtikrinti, kad tie patys jautrūs duomenys, vedami į sistemą nebūtų perimami juos siunčiant tarp sistemos komponentų ar perduodant į susijusias sistemas, todėl įprastai jautrūs duomenys apsaugomi juos užšifruojant saugiais, tam skirtais šifravimo algoritmais. Programišiai dažnai taikosi įsilaužti į sistemą ir vartotojų paskyras bandydami atspėti jų prisijungimo vardus ir slaptažodžius, todėl būtina nepamiršti pasirinkti papildomų priemonių, tokių kaip slaptažodžių sudėtingumo politikos, nesėkmingų prisijungimų kiekio per tam tikrą laiko tarpą kontrolės ir anomalių reiškinių stebėjimo ir kontrolės, kuri leistų pastebėti, kad vartotojas per trumpą laiko tarpą bando prisijungti iš skirtingų geografinių lokacijų ir pan. Tokias priemones Viešajame debesyje ne retai galima naudoti visiškai nemokamai, tačiau įmonės pamiršta išnaudoti visas užsakytų paslaugų galimybes. 

Duomenų bazės –  antras dažniausiai pasitaikantis programišių taikinys. Nesvarbu ar renkamasi naudoti duomenų bazes kaip platformą (angl. „PaaS“) ar kaip paslaugą (angl. „SaaS“), jos turi būti atitinkamai konfigūruojamos ir prižiūrimos. Duomenų bazių izoliavimas nuo kitų sistemos komponentų naudojant viešųjų debesų tinklo segmentus ir ugniasienės komponentus yra sistemos kūrėjų atsakomybėje, todėl teisinga sistemos architektūra atlieka labai svarbų vaidmenį šiame uždavinyje. Teisingai atskyrus kuriamos sistemos komponentus, Viešajame debesyje galima užtikrinti, kad tinklo segmentuose bus atidaromi tik būtini prievadai (angl. „Ports”), o duomenys perduodami saugiai, kai kiekvienas sistemos komponentas, prieš perduodamas arba prašydamas duomenų turi autentifikuotis su jam skirtu raktu (angl. „Access key”). Papildomą apsaugos sluoksnį įneša teisingai sukonfigūruotos Viešojo debesies politikos (angl. „Policies”), kurių pagalba galima kontroliuoti visas sistemines ir vartotojų prieigas, stebėti jautrius įvykius, tokius kaip bandymus įsilaužti ar kitaip paveikti sistemą ir viską kontroliuoti su automatizavimo įrankiais, kurių pagalba galima automatizuoti sistemos atsaką į tam tikrus veiksmus ar anomalijas, o atsakingi sistemos priežiūros asmenys nedelsiant gaus apie tai pranešimus ir galės atlikti intervenciją. Šias apsaugos priemones suteikia Viešojo debesies pakete esančios paslaugos, tačiau jos nėra automatinės – jas  reikia tinkamai  pasirinkti ir panaudoti. BDAR kontekste reikia nepamiršti, kad asmens duomenys turi būti apsaugoti ne tik kasdienėje IT sistemos veikloje, bet ir įvykus saugumo incidentams, todėl duomenų bazėje saugomus asmens duomenis rekomenduotina šifruoti. Tokių apsaugos priemonių projektavimu ir diegimu turėtų pasirūpinti sistemą kuriantys IT specialistai. 

Duomenų kopijos reikalauja tokios pačios priežiūros kaip pati sistema ar jos duomenų bazė. Svarbu turėti veikiančias atsargines duomenų kopijas, nenumatytiems programinės įrangos gedimų atvejams, tačiau taip pat labai svarbu duomenų kopijas apsaugoti jas šifruojant ir talpinant tik ribotą prieigą turinčiose viešojo debesies paslaugose, ar apsaugotame vidiniame įmonės tinkle. Jeigu duomenų kopijos naudojamos programinės įrangos kūrimo ar vystymo tikslais, būtina užtikrinti, kad šie duomenys būtų nuasmeninti. 

„Etiško įsilaužėlio“ darbas – parodyti silpnąsias sistemos dalis 

Norint kokybiškai ištestuoti sistemą bei nustatyti sistemos saugumo būklę turi būti naudojami tiek specializuoti komerciniai įrankiai, tiek vykdomi skirtingi saugumo testavimo tipai, pavyzdžiui programinės įrangos kodo analizė. Dar vienas saugumo testavimo tipas – jau sukurtos sistemos testavimas „juodos dėžės“ principu, kai apie sistemą nežinoma nieko, o „įsilaužti“ bandoma iš išorinio vartotojo, užpuoliko, perspektyvos. Taip pat negalima nuginčyti kito saugumo testavimo tipo – rankinio saugumo testavimo –  naudos,  kai didelę patirtį turintis „etiškas įsilaužėlis“ stengiasi ne tik identifikuoti pažeidžiamumus, bet ir nustatyti galimą riziką pažeidžiamumų išnaudojimo atveju. 

Viena iš didžiausių su saugumo testavimu susijusių problemų yra ta, jog tai reikalauja specifinių įgūdžių bei patirties, todėl ne kiekviena maža ar vidutinė organizacija pati gali atlikti saugumo testavimo darbus. Būtent todėl rekomenduojama kreiptis į saugumo profesionalus, užsiimančius tuo kiekvieną dieną bei turinčius pakankamai patirties identifikuoti labiausiai kritines sistemos vietas, taip pat naudojančius specializuotus, komercinius saugumo auditavimo įrankius. Savo srities specialistas, atlikęs įsilaužimo testavimą, galės pateikti tiek atrastus saugumo pažeidžiamumus, tiek paaiškinti jų riziką, bei galiausiai pateikti rekomendacijas ir instrukcijas kaip pažeidžiamumus reikėtų taisyti. 

Sistemos apsauga stipri tiek, kiek stipri jos silpniausia grandis  

Rūpinantis informacinės sistemos apsauga, būtinas kompleksiškas požiūris. Reikėtų nepamiršti atsakomybių už informacijos apsaugą įmonėje, apsaugos reikalavimų nustatymo, tinkamų priemonių parinkimo ir diegimo kuriant, vystant bei prižiūrint informacines sistemas. Tinkamai suprojektuota sistemos architektūra ir teisingai parinktų, įgyvendintų ir reguliariai audituojamų saugos priemonių visuma – tai saugikliai, kuriuos turi įsidėti kiekviena klientų asmens duomenis sauganti įmonė. 

„Baltic Amadeus“ – unikalius IT sprendimus kurianti ir skaitmenizacijos klausimais konsultuojanti bendrovė, kurioje dirba daugiau nei 200 kvalifikuotų profesionalų. Šiaurės Europos finansų, energetikos, telekomunikacijų, logistikos, laivininkystės ir kitų rinkų įmonėms „Baltic Amadeus“ kuria naujausiomis debesijos („Cloud“), dirbtinio intelekto (AI) ir daiktų interneto (IoT) platformų tendencijomis pagrįstus skaitmenizavimo sprendimus, siekdama užtikrinti geriausią patirtį savo klientams, naudotojams ir darbuotojams.   

Pranešimą paskelbė: Marija Dautartaitė, UAB „Fabula ir partneriai”