ინფორმაციული უსაფრთხოების ოფიცრების fail-ები

Posted on by

დღე არ გავა რომელიმე ჰაკერული შეტევის შესახებ არ გავიგოთ ან მილიონიანი ბაზის გაჟონვის შესახებ არ გავრცელდეს ინფორმაცია. ამის მიზეზი უამრავია და პირველ რიგში ეს ჰაკერული შეტევებისა და მათი შეტევის მეთოდების სწრაფი განვითარება. ამის გარდა, მნიშვნელოვანია:

  • ინფორმაციული უსაფრთხოების როლი, რომელსაც ბევრი კომპანია ჯერ კიდევ ვერ აცნობიერებს.
  • მხოლოდ ტექნოლოგიებსა და ინფრასტრუქტურაზე ზედმეტი იმედების დამყარება.
  • თანამშრომელთა ცოდნისა და გამოცდილების არასრული ან არასწორი გამოყენება.
  • თავდაცვის მეთოდების განვითარება ბევრად ნელია ვიდრე შეტევის მეთოდების განვითარების ტემპი.

ყველა მიზეზის ჩამოთვალა შორს წაგვიყვანს, მთავარი კი ისაა, რომ ინფორმაციული უსაფრთხოების დაცვა თანამედროვეობის ერთ-ერთი უდიდესი გამოწვევაა. ამდენად,  მსოფლიოში ინფორმაციული უსაფრთხოების ძლიერ სპეციალისტებზე დიდი მოთხოვნაა, რასაც თანდათანობით ქართული კომპანიებიც აცნობიერებენ.

ქართულ სივრცეში ერთ-ერთ ინფორმაციულ საიტზე სავარაუდო ჰაკერული შეტევისა და ინფორმაციის სრული განადგურების ფონზე, ფრიად საინტერესოა კვლევების ამერიკული კომპანია Gartner-ის ტექნოლოგიური რისკებისა და კიბერუსაფრთხოების კვლევების მთავარი სპეციალისტის – პოლ პროქტორის მიერ მოძიებული რამდენიმე პრაქტიკული შემთხვევა, ასე ვთქვათ fail, რომელიც ბევრ კომპანიას ახასიათებს.

ეფექტური dashboard-ები თუ უბრალოდ თვალწარმტაცი გრაფიკა

პოლი კლიენტებს ეხმარება ეფექტური dashboard-ების შექმნაში, სადაც რისკისა და უსაფრთხოების მაჩვენებლები მჭიდროდ არის დაკავშირებული კორპორატიულ მიზნებთან. მაგრამ სანამ პოლი ჩაერთვება საქმეში, კომპანიას ხომ უკვე აქვს რაღაც dashboard-ები რომლითაც მანამდე ხელმძღვანელობდნენ და სწორედ აქ არის ხოლმე ჩავარდნა.

მათი უმრავლესობა შეიცავს უბრალოდ თვალწარმტაც გრაფიკულ მაჩვენებლებს და ისეთ ვითომ ღრმა შინაარსის მქონე განმარტებებს როგორიცაა: „შეტევის დონე იზრდება ყოველ სამ თვეში“. ისეთი შთაბეჭდილება რჩება, რომ ეს dashboard-ები შექმნილია რომელიმე მაღალანაზღაურებადი კონსულტანტის მიერ, რომელიც წიგნში ამოკითხულ ფორმულას მიჰყვებოდა მხოლოდ.

ჰოდა, როდესაც პოლი კითხულობს IT აღმასრულებლებისა და დირექტორთა საბჭოს რა გადაწყვეტილებების მიღებას უწყობენ ხელს კონკრეტულად ეს მაჩვენებლები, ავტორები ჩუმდებიან და „ჰმმმ“-ს ამბობენ ხოლმე.

ამ ფეილის თავიდან აცილება შეიძლება, თუ ავტორები ზუსტად გაარკვევენ რა გადაწყვეტილებების მიღება უწევს პრაქტიკულად მათ სამიზნე აუდიტორიას (დირექტორთა საბჭო, აღმასრულებელები და ა.შ.) და რა კავშირშია ეს გადაწყვეტილებები IT-სთან და ოპერაციულ რისკებთან.

სისუსტეების (vulnerability) რაოდენობების რეპორტინგი გადამოწმების გარეშე

ეს ფეილი ერთ-ერთი საუკეთესოა ჟანრში. ერთი კომპანიის CISO-მ (ინფორმაციული უსაფრთხოების აღმასრულებელი ოფიცერი) გადაწყვიტა სკანერიდან მიღებული მოწყვლადობების რაოდენობა გადამოწმების გარეშე პირდაპირ გაეგზავნა დირექტორთა საბჭოსთვის.

ეს გადაწყვეტილება მიღებული იყო გამჭვირვალობის ეგიდით და ამ მიზნით სკანირების დროს სკანირების პროფილი და კატეგორიები მითითებული არ ყოფილა.

სკანირების შედეგად ამ პატარა კომპანიამ აღმოაჩინა, რომ აქვს 70,000 მოწყვლადობა და ბუნებრივია დირექტორთა საბჭოს რეაქცია მოკლე და კონკრეტული იყო: „დაუყოვნებლივ დაიყვანეთ მოწყვლადობების რაოდენობა ნულზე!“.

ვინაიდან სკანირების პროფილი არ იყო შერჩეული და თავად სკანირებაც ცუდად იყო მოწყობილი, შედეგები აჩვენებდა მოწყვლადობებს ისეთ აპლიკაციებზე, რომელიც ამ კომპანიას საერთოდ არ გააჩნდა და არასოდეს გამოუყენებია. ლოგიკურია, რომ ასეთ დროს მოწყვლადობების ნულზე დაყვანა შეუძლებელი იყო და ამ ყველაფრის ახსნა მოგვიანებით მოუწიათ დირექტორთა საბჭოსთვის.

დირექტორთა საბჭო ხშირად ნაკლებად ერკვევა ტექნოლოგიურ საკითხებში, თავად ტექნიკასა და ტერმინოლოგიაში, ამიტომ ინფორმაციული უსაფრთხოების ოფიცერს დიდი ჯაფა დაადგა საბჭოს წევრებისთვის გასაგებ ენაზე განემარტა, თუ რატომ აქვთ მათ ათასობით სისუსტე, რომელიც რეალურად არ აქვთ და რატომ ვერ აღმოფხვრიან ამ სისუსტეებს, რომელიც სკანერმა მაინც აჩვენა.

გაფრთხილების გარეშე ინფრასტრუქტურაზე შეტევა იმის დასამტკიცებლად, რომ „ის სუსტია“

ეს შემთხვევა არც ისე იშვიათია, როგორც შეიძლება ვინმეს ეგონოს. ერთ-ერთი კომპანიის უსაფრთხოების ოფიცრებმა, რომლებსაც არც ისე კარგი ურთიერთობა ჰქონდათ IT ოპერაციების განყოფილების თანამშრომლებთან, გადაწყვიტეს „ერთი-ორი რაღაც ეჩვენებინათ ნამდვილი უსაფრთხოების შესახებ“.

შედეგად ამ კომპანიის კრიტიკული ბიზნეს სერვისები გაითიშა სამუშაო საათების პერიოდში. ეს საკითხში ჩაუხედავი ადამიანისთვისაც კი ნათელია, რომ კრიტიკული ინციდენტია, რომელსაც ზედა დონის მენეჯმენტი აგვარებს ან კურირებს.

ამ ფეილის არიდება შეიძლება მკაცრი წესების დამყარებითა და სამუშაო ეთიკის გაუმჯობესებით. წესებში ყველასათვის გასაგებად უნდა ეწეროს, რომ არავინ! არასოდეს! არ შეიძლება გააკეთოს რაიმე ისეთი, რაც ბიზნეს ოპერაციებს რისკის ქვეშ დააყენებს.

ამის თქმა რომ არის საჭირო, ეს ცალკე ფეილია…

CEO, რომელსაც უნდა რომ უსაფრთხოების ოფიცერმა თანამშრომლები აგრესიული მეთოდებით აკონტროლოს უსაფრთხოების გაუმჯობესების მოტივით

ეს ბოლო რეალურად, არა ინფორმაციული უსაფრთხოების ოფიცრის, არამედ CEO-ს ჩავარდნაა.

ერთმა კორპორაციამ ერთ დღესაც გაიღვიძა და იფიქრა, ინფორმაციული უსაფრთხოება მნიშვნელოვანია ჩვენი კომპანიისთვისო. ამის გამომწვევი მიზეზი ბუნებრივია ჰაკერების სისტემაში შეღწევა და ინფორმაციის გაჟონვის შედეგად დაზარალებულებისთვის დიდი ოდენობით ჯარიმების გადახდა გახდა.

როდესაც ეს CEO ინფორმაციული უსაფრთხოების კანდიდატებს არჩევდა, პირდაპირ თქვა რომ ისეთი ვინმე უნდოდა, რომელიც „პანღურსაც ამოარტყამდა ზოგიერთს თუ საჭირო გახდებოდა“. აქ ხაზგასასმელია ის ფაქტი, რომ ინფორმაციული უსაფრთხოების ოფიცერი უნდა ყოფილიყო ვინმე ისეთი, რომელიც ინფორმაციული უსაფრთხოების მოტივით სხვა თანამშრომლებს დაჩაგრავდა.

აქ ფეილის დასანახად ჩვენს ლისტში მეორე და მესამე მაგალითებიდან შეგვიძლია ვიხელმძღვანელოთ და დავასკვნათ, რომ განკარგულებებით მმართველობა ინფორმაციული უსაფრთხოების სფეროში „არ მუშაობს“.

ზედა მენეჯმენტის მხრიდან საფორთი იმას სულაც არ ნიშნავს, რომ იაროს მენეჯერმა და ბრძანებები აძლიოს თანამშრომლებს იმაზე, თუ რისი გაკეთება შეუძლიათ და რისი გაკეთების უფლება არ აქვთ.

ამ ჩავარდნის თავიდან ასაცილებლად საჭიროა თანამედროვე, რისკებზე დაფუძნებული მიდგომა ინფორმაციული უსაფრთხოების მიმართ, რომელიც ორგანიზაციის უსაფრთხოების დაცვას და ბიზნეს ოპერაციების უწყვეტად შესრულების დაბალანსებას ერთდროულად ახორციელებს.

თქვენც ხომ არ გაქვთ რაიმე სახალისო ინფორმაციული უსაფრთხოების ფეილი კომენტარებში რომ გაგვიზიაროთ?