რა უნდა ქნან ორგანიზაციებმა რომელთათვისაც კიბერ უსაფრთხოება მნიშნელოვანია (ნაწ. 2)

Posted on by

წაიკითხეთ სტატიის პირველი ნაწილი.

ბუნებრივად იბადება კითხვა: თუ ჯანმრთელობის შესახებ ინფორმაცია მართლაც ასეთი ღირებულია, რატომ მუშაობენ ჰაკერები სხვა სფეროებზეც?

ყველა კიბერ კრიმინალი არ არის გამოცდილი პროფესიონალი და იმის მოპოვებას ცდილობს,  რაზეც ხელი მიუწვდება თავისი ცოდნით. პროფესიონალი ჰაკერები კი სხვა ინფორმაციას ეტანებიან დიდი მოცულობის, მაღალი შემოსავლის და სხვა რთულ ან/და იდეოლოგიურ შეტევებში გამოყენების შესაძლებლობის გამო. ეს ინფორმაცია შეიძლება გამოყენებულ იქნას სოციალური ინჟინერიის შეტევებისთვის, ცნობადი პიროვნებების დოსიეს შესაქმნელად, კონკრეტულ პირთა საიდენტიფიკაციო მონაცემების ქურდობისთვის, კორპორაციული ბრენდის სანდოობის გასანადგურებლად და სხვა.

ყველა ტიპისა და ზომის ბიზნესმა უნდა დაადგინოს ჰაკერებისთვის მიმზიდველი რა ტიპის ინფორმაცია გააჩნიათ. ასევე განსაზღვროს, თუ რა ინფორმაციის გაჟონვა იქნება მაქსიმალური ზიანის მომტანი როგორც კომპანიისთვის, ისე თანამშრომლებისა და კლიენტებისთვის. მნიშვნელოვანი ინფორმაციისა და მისი ადგილსამყოფელის ცოდნის შემდეგ, ორგანიზაციას საშუალება ექნება სწორად მართოს რისკები კიბერ უსაფრთხოების პროგრამების თავიანთ საჭიროებებზე მორგების გზით.

კვლევამ ასევე დაადგინა, რომ შეტევების ღირებულებაზე მაქსიმალური გავლენა აქვს თანამშრომელთა სწავლებასა და მომზადებას კიბერ უსაფრთხოების ძირითად საკითხებში. საუბარია არა მხოლოდ უსაფრთხოებისა და IT დეპარტამენტის სპეციალისტების, არამედ რიგითი თანამშრომლების მომზადებაზე.

ნასწავლის შემოწმება შიდა ორგანიზაციული გამოცდის ჩატარების მეშვეობით საშუალებას იძლევა დადგინდეს, რამდენად კარგად დაიმახსოვრა პერსონალმა კონკრეტული საკითხი, თუმცა ეს საკმარისი არ არის. შემოწმების საინტერესო და შედეგიანი გზა არის შეტევების წარმოება საკუთარი თანამშრომლების წინააღმდეგ მთელი წლის განმავლობაში გარკვეული პერიოდულობით. მაგალითად, ფიშინგ მეილებზე ყურადღების გამახვილების მიზნით, თქვენ შეგიძლიათ მოახდინოთ შეტევის ინსცენირება და კონკრეტულ პიროვნებას გაუგზავნოთ მეილი: „გამარჯობა. როგორც კომპანიამ იცის, შვებულებაში თქვენ საზღვაო კურორტზე მიემგზავრებით. გთხოვთ, ინფორმაციის დასადასტურებლად დააჭიროთ აქ.“ თუ თქვენი თანამშრომელი მართლა დააჭერს ბმულს, შესაძლებელია ამოვარდეს მესიჯი შეტყობინებით: „თქვენ გახდით ფიშინგ შეტევის მსხვერპლი. მიაქციეთ ყურადღება მეილის header-ს და გამომგზავნს, ასევე მიღებულ ინფორმაციას. თუ ლოგიკურად, მსგავსი შინაარსის მეილის მიღება ორგანიზაციისგან ეჭვს იწვევს, დაუყოვნებლივ მიმართეთ IT დეპარტამენტს“.

ჩვენ გვინდა მოგიყვეთ, თუ როგორ დაკარგა ბრიტანულმა ფინანსურმა ფონდმა 1.2 მილიონი დოლარი უფროსის უყურადღებობის მიზეზით:

  • დაახლოებით ორი წლის წინ, Fortelus Capital Management LLP-ს ფინანსური ოფიცერი პარასკევ საღამოს სახლში წასასვლელად ემზადებოდა, როდესაც მის ტელეფონზე ზარი გაისმა. უცხო პიროვნება ამბობდა, რომ ლონდონში ბაზირებული ჰეჯ ფონდების ბანკ Coutts-დან იყო და მათ ანგარიშზე არსებული თაღლითური აქტივობის შესახებ ატყობინებდა. დააკვირდით დროს: ზარი პარასკევ საღამოს 6 საათზე განხორციელდა, როდესაც Fortelus-ის CFO თომას მესტონი გადაღლილი იყო და ერთი სული ჰქონდა სახლში დროზე წასულიყო. წასვლის წინ მიღებულმა ზარმა ძალიან გააღიზიანა და დამრეკავის მალე მოშორების მიზნით, დაუფიქრებლად დაეთანხმა მოთხოვნას 15 საეჭვო გადარიცხვაზე უსაფრთხოების სისტემაში დაეგენერირებინა საჭირო კოდები და გაეგზავნა ზარის ავტორისთვის. ორშაბათს დაბრუნებულმა უფროსმა ფინანსურმა ოფიცერმა კი აღმოაჩინა, რომ ბანკის ანგარიშიდან 742,668 გირვანქა სტერლინგი (1.2 მილიონი დოლარი) უკვალოდ გამქრალიყო.

ადამიანი ორგანიზაციაში ყველაზე სუსტი რგოლია – მნიშვნელოვანი კიბერ შეტევების აბსოლუტური უმრავლესობა სწორედ იმ თანამშრომლების მიზეზით აღწევს წარმატებას, რომელთაც სისტემაზე საკმაო წვდომა გააჩნიათ. თანამშრომლის მხოლოდ ერთი არასწორი დასკვნა საკმარისია უსაფრთხოების მაღალი დონის მქონე კომპანიაც კი მსხვერპლად აქციოს.

თქვენი რიგითი თანამშრომლის მიერ შეტევის ამოცნობისა და მათზე სწორი რეაგირების უნარი არსებით განსხვავებას შექმნის რეალური შეტევების დროს. გასათვალისწინებელია ისიც, რომ ორგანიზაციის ზედა რგოლი (აღმასრულებლები და დირექტორები) ხშირად უფრო ნაკლებად ერკვევა შეტევის ამოცნობის საკითხებში, რადგან ფიქრობენ რომ ეს მათ არ შეეხება და არ სჭირდებათ ამის ცოდნა, რის გამოც არც თუ იშვიათად ხდებიან კიბერ კრიმინალთა მსხვერპლი. მათ კომპიუტერებზე არსებული წვდომის მაღალი უფლებებისა და სტრატეგიული ინფორმაციის გამო კი კომპანია მეტად ზარალდება. გახსოვდეთ, კიბერ უსაფრთხოების ცნობიერების ამაღლების კურსები ორგანიზაციაში უნდა გაიაროს ყველამ!

IBM-ის კვლევის თანახმად, უსაფრთხოების საუკეთესო პრაქტიკები ასე გამოიყურება:

  • ორგანიზაციას უნდა ჰქონდეს ანალიზისა და ინფორმაციის მოპოვების თანამედროვე ხელსაწყოები (software + hardware).
  • სათანადო ცოდნისა და გამოცდილების მქონე, კიბერ ინციდენტებზე რეაგირების ჯგუფი, რომელთაც დამუშავებული ექნებათ კონკრეტულ შეტევებზე რეაგირების გეგმა. ასევე ისიც, თუ ვინ რა უნდა გააკეთოს, მაგალითად: გიორგი და ლაშა შეტევას შეაჩერებენ, ნათია პრესასთან ითანამშრომლებს, მარიამი კი სამართალდამცავ ორგანოებს დაუკავშირდება და ა.შ.
  • შიფრაციის გამოყენება აუცილებელია – შეიძლება შემტევმა მიიღოს იუზერნეიმი, ან პაროლი, ანდაც პირადი ნომერი, მაგრამ თუ ჯანმრთელობის შესახებ მონაცემები კარგად არის დაშიფრული, შემტევს რეალურად ექნება 1$ დოლარის ღირებულების ინფორმაცია 50$-ის მაგივრად.
  • თანამშრომელთა კიბერუსაფრთხოების შესახებ ცნობიერების ამაღლების კურსების ჩატარება პერიოდულად. ამის გარეშე ორგანიზაცია ფაქტობრივად ღიაა შეტევებისთვის.
  • თანამშრომლობა ორგანიზაციის სხვადასხვა ჯგუფებს შორის – მათ უნდა შეეძლოთ ერთმანეთთან კარგი კომუნიკაცია. როდესაც მაგალითად, შეტევის მომენტში უსაფრთხოების სპეციალისტი მივა მარკეტინგის განყოფილებაში და ეტყვის: „კლიენტებისთვის დროებით უნდა დაიხუროს ესა და ეს სერვისი“. ისინი იკითხავენ რატომ? კიბერ სპეციალისტს უნდა გააჩნდეს მოკლე, მაგრამ ამომწურავი პასუხი, რომელსაც დაეთანხმება მარკეტინგის მენეჯერი. ამას არსებითი მნიშვნელობა ექნება დროის მოგების საკითხში.
  • და ბოლოს ყურადღება უნდა მიექცეს, თუ ვის რომელ სენსიტიურ ინფორმაციაზე მიუწვდება ხელი. თანამშრომლის კომპანიიდან წასვლის ან პოზიციის შეცვლის შემთხვევაში დაუყოვნებლივ უნდა მოხდეს შესაბამისი წვდომის უფლებების ჩამორთმევა და ანგარიშის დაბლოკვა ან გაუქმება.

თანამედროვე შეტევები წინასწარ, კარგად არის დაგეგმილი, კიბერ კრიმინალური დაჯგუფებების ორგანიზებულობის დონე კი სერიოზული კომპანიისას უტოლდება – კიბერ კრიმინალი არის ბიზნესი. სწორედ ამიტომ, ორგანიზაციებმა სათანადოდ უნდა შეაფასონ შემტევთა უნარები და შესაბამის დონეზე უნდა მოემზადონ თავადაც. ნებისმიერი ორგანიზაცია გახდება ჰაკერული შეტევის სამიზნე!