20 ცხოვრებისეული გაკვეთილი კიბერუსაფრთხოებაში

Posted on by

კიბერუსაფრთხოება ინტერნეტ ტექნოლოგიების მუდმივად ცვალებადი სფეროა. პრაქტიკაში გამოცდილი შეცდომები, ხშირად მთლიანად ცვლის კონკრეტული საკითხისადმი მიდგომას. შეცდომებისგან დაზღვევის მოტივით, ამ სტატიაში ჩვენ გვინდა წარმოგიდგინოთ მსოფლიოს წამყვანი კიბერ სპეციალისტების მიერ პრაქტიკაში გამოცდილი ცხოვრებისეული გაკვეთილები:

  1. კიბერუსაფრთხოება არ უნდა უშლიდეს ხელს თანამშრომლებს მათი საქმიანობის შესრულებაში. უსაფრთხოების სპეციალისტი ისე უნდა ადგენდეს წესებს, რომ სისტემაც უსაფრთხოდ ჰქონდეს და თანამშრომლების საქმიანობასაც უწყობდეს ხელს.
  2. იმუშავეთ ადამიანებთან. ტექნოლოგიები იმდენად განვითარდა, რომ ზოგჯერ მმართველები IT დეპარტამენტის არსებობის საჭიროებას ეჭვქვეშ აყენებენ და თანამშრომელთა ნაწილს ათავისუფლებენ. მაღალტექნოლოგიური სისტემების ქონა რა თქმა უნდა საჭიროა, მაგრამ თუ ნამდვილად გინდათ თქვენი ინფორმაცია უსაფრთხოდ იყოს იმუშავეთ ადამიანებთან და სრულად ნუ ენდობით ტექნიკას.
  3. სანამ უსაფრთხოების ზომებს მიიღებდეთ, დარწმუნდით რომ რისკებს კარგად იცნობთ. ერთი შეხედვით მარტივი მოთხოვნა, მაგალითად მთლიანი სისტემის შიფრაცია, შეიძლება აზრიანი ჩანდეს, მაგრამ თუ სისტემაში ხარვეზია, დიდი შანსია საჭირო მონაცემები სამუდამოდ დაიკარგოს. ამ მოთხოვნის შესრულებამდე აუცილებლად უნდა ჩატარდეს ინფორმაციული უსაფრთხოების რისკების შეფასება.
  4. მუდმივად შეახსენეთ უსაფრთხოების საბაზო წესები თანამშრომლებს. უმარტივეს საკითხებზე ლაპარაკსაც კი არასოდეს მოერიდოთ, თუნდაც მიგაჩნდეთ, რომ საღი აზრის გამო შეუძლებელია ასეთი შეცდომის დაშვება. ვერც კი წარმოიდგენთ, რამდენად მარტივად შეიძლება დაავიწყდეს რიგით თანამშრომელს უსაფრთხოების ელემენტარული წესები.
  5. მონაცემთა უსაფრთხოება იწყება თანამშრომლებით. არანაირი აზრი არ აქვს რომელ ფაიერვოლს ან შეღწევის დადგენის სისტემას იყენებთ, თუკი თქვენს თანამშრომლებს არ ესმით მონაცემთა გასაიდუმლოებისა და დაცვის მნიშვნელობა. თქვენს ორგანიზაციაში არავინ იფრთხილებს თუ მათ არ აუხსნით მონაცემთა უსაფრთხოების, გასაიდუმლოების წესების და ინტელექტუალური საკუთრების დაცვის მნიშვნელობას და მათი დარღვევით გამოწვეული ზიანის მოცულობას.
  6. შეცდომები ყველას მოსდის. უსაფრთხოებაში შეცდომის დაშვება გარდაუვალია, ამიტომ არავის ენდოთ, მათ შორის არც საკუთარ თავს. შეამოწმეთ, გადაამოწმეთ და კიდევ ერთხელ შეამოწმეთ – ეს მეთოდი მინიმუმამდე დაიყვანს შეცდომის დაშვების ალბათობას.
  7. პატივისცემა მოიპოვება პრობლემების გადაჭრით. თქვენი ნამდვილი დაფასება მხოლოდ მაშინ მოხდება, როდესაც უსაფრთხოების გარღვევას (ჰაკერულ შეტევას) წარმატებით გაართმევთ თავს.
  8. იფიქრე როგორც შემტევმა. კარგი უსაფრთხოება არასდროს ემყარება მხოლოდ მოწყობილობებს – ადამიანური ცოდნა და გამოცდილება ყველაზე მნიშვნელოვანია. „საუკეთესო პრაქტიკისთვის“ მიყოლა საკმარისი არ არის, აუცილებელია თქვენი თავი ჰაკერის ადგილზე დააყენოთ და სცადოთ თქვენს სისტემაში სისუსტეების აღმოჩენა.
  9. დაარეზერვეთ (backup) თქვენი მონაცემები მონაცემთა წყაროსგან მოშორებულ ადგილზე. იქნება მომენტები, როდესაც არ იმუშავებს პრევენცია, შეღწევის დადგენა, მონაცემთა ცენტრს გაუჩნდება პრობლემები, DdoS გაანადგურებს თქვენს კავშირს, აუდიტორი იპოვის შეცდომას და ჰაკერი მოიპარავს გარკვეულ ინფორმაციას. ეს გარდაუვალია, მაგრამ თქვენ გექნებათ რეზერვი რომ აღადგინოთ სისტემა და განაგრძოთ მუშაობა.
  10. რაც ონლაინშია პრივატული აღარ არის. ყოველთვის როდესაც რაიმეს ინტერნეტ ქსელში ათავსებთ, მაშინაც კი თუ არავისთვის გაგიზიარებიათ (share), უნდა იგულისხმოთ რომ ეს მონაცემები პრივატული აღარ არის. არასდროს განათავსოთ მნიშვნელოვანი დოკუმენტები ონლაინში.
  11. საქმისა და უსაფრთხოების დაპირისპირებაში, საქმე ყოველთვის მართალია. როდესაც უსაფრთხოება ხელს უშლის კომპანიის დასახული მიზნის შესრულებას, შეცდომა უსაფრთხოებაშია და არა დასახულ მიზანში. კორპორაციებში ძირითადი მიზანი მოგების მიღებაა: არასდროს გადაუდგეთ ამ მიზანს წინ თქვენი უსაფრთხოებით.
  12. ბიზნესში მოგების არსებობისთვის საჭიროა რისკების დაბალანსება. აღმასრულებლის კითხვაზე: შეგვიძლია თუ არა ამის გაკეთება? თქვენი პასუხი არ უნდა იყოს უარყოფითი. თუ მოთხოვნილი საქმე უსაფრთხოების რისკებს შეიცავს უნდა მოხდეს მათი ანალიზი და თქვენი პასუხი იწყებოდეს სიტყვებით – „შესაძლებელია, თუკი“… ვიზამთ ამას, ამას და ამას.
  13. ჯერ ბიზნესი, მერე უსაფრთხოება. დაცვა სჭირდება მთავარს და არა პირიქით. თქვენ უნდა იცოდეთ რას იცავთ, სად არის ის რასაც იცავთ და რატომ სჭირდება მას დაცვა.
  14. გააცანით მომხმარებლებს უსაფრთხო პაროლის შექმნის წესები. პაროლი არ უნდა იყოს მარტივი სიტყვა, დაბადების თარიღი ან საყვარელი ფეხბურთის გუნდი. არავის გაუზიარონ პაროლი, არ თქვან ხმამაღლა და არ ჩაიწერონ ფურცელზე ან კომპიუტერში. პაროლი უნდა იყოს გრძელი და რთული.
  15. არ მისცეთ საკმარისზე მეტი უფლებები პროგრამისტს ან კონსულტანტს. არასდროს იცი რა მოხდება: პროგრამისტი შეიძლება ცუდად გახდეს, გაუჩინარდეს ან უბრალოდ წავიდეს პროექტიდან და თან გაიყოლოს კოდიც. სრული კონტროლის უფლება ვებ სერვერსა და ბაზაზე მხოლოდ თქვენ იქონიეთ.
  16. არ გადაამლაშოთ უსაფრთხოების ზომებში. ზედმეტი უსაფრთხოების პროგრამები ტვირთავს სისტემას და იწვევს ხარჯების უმიზეზოდ მატებას. გამოიყენეთ მხოლოდ ის რაც აუცილებელია: არც მეტი, არც ნაკლები.
  17. შემტევს სისტემის გატეხვა უფრო ძვირი უნდა დაუჯდეს, ვიდრე ამ სისტემის გატეხვით მიღებული მოგებაა. დაიცავით სისტემა სამართლებრივად, სისტემაში შეღწევა გახადეთ რაც შეიძლება რთული და დარწმუნდით, რომ დაცვა ისე გაქვთ მოწყობილი, შემტევმა ყოველთვის დატოვოს კვალი.
  18. ჩაიწერეთ რაც შეიძლება მეტი აქტივობა. იქონიეთ ლოგირების სისტემა და დალოგეთ ყველაფერი რაც შესაძლებელია. თუ დისკი გაგევსოთ, იყიდეთ ახალი და განაგრძეთ მონაცემების შენახვა. ჰაკერული შეტევის შემთხვევაში სპეციალისტებს ბევრად გაუადვილდებათ აღადგინონ შეტევის სურათი და გავიდნენ კვალზე.
  19. გაანადგურეთ ელექტრო მოწყობილობები სწორად. კომპიუტერების, ტელეფონების, კოპირების ხელსაწყოების და ა.შ მოწყობილობების ჩამოწერის შემდეგ, დარწმუნდით რომ მათზე ინფორმაცია წაშლილია სათანადო წესების დაცვით. თუ საჭიროა, ფიზიკურად გაანადგურეთ (დაწვით) ჩამოწერილი ტექნიკა.
  20. უსაფრთხოება ყველას ეხება. კომპანიაში ყველას უნდა ესმოდეს, რომ უსაფრთხოება ერთი პირის საქმე არ არის და ის ყველას ეხება. საუკეთესო წესები და პროცედურებიც კი ვერ დაგიცავთ, თუ არ მოაგვარებთ უსაფრთხოების ყველაზე დიდ პრობლემას – ადამიანს. ვერანაირი დაცვა და ჩამკეტი მოწყობილობა ვერ გიშველით თუ რომელიმე თანამშრომელი სისტემაში შეუშვებს ჰაკერს, თუნდაც გაუფრთხილებლობით. იქონიეთ პირადი პასუხისმგებლობის წესი ყველა თანამშრომლის მიმართ.