Daug kas mano, jog yra per maži, kad keltų susidomėjimą rimtiems hakeriams. Realybė yra visiškai kitokia.
Hakeriai ne visada ieško konkrečios įmonės. Dažnai jie tiesiog skenuoja internetą ir laukia, kol kažkur pasirodys lengvas įėjimas. Senas servisas, silpnas slaptažodis, atvira administravimo panelė ar blogai sutvarkytos prieigos.
Jeigu turite klientų duomenų, sąskaitų, užsakymų, prisijungimų ar veikiančią sistemą, jau turite ką prarasti. Klausimas ne ar esate įdomūs. Klausimas ar jus lengva pasiekti.
CityBee duomenų nutekėjimas
Nors CityBee Lietuvoje yra gerai žinomas prekės ženklas, tarptautiniu mastu jis nėra plačiai atpažįstamas. Vis dėlto šis seniai įvykęs duomenų nutekėjimas gerai parodo, kad kartais užtenka vienos silpnos techninės vietos. Jei ji pasiekiama, pamiršta arba ilgą laiką netikrinama, įmonės dydis ir žinomumas tampa antraeiliu dalyku.
Buvo paviešinti daugiau nei 110 tūkst. vartotojų duomenų, o incidentas baigėsi didele bauda. Nutekėjo vardai, pavardės, el. pašto adresai, telefono numeriai, asmens kodai, vairuotojo pažymėjimų informacija ir kiti jautrūs įrašai. Incidentas įvyko dėl netinkamai apsaugotos duomenų bazės atsarginės kopijos.
Skaitmeninėje erdvėje niekas nėra per mažas ar per didelis, kad būtų saugus. Saugumo spragos dažniausiai aptinkamos visiškai atsitiktinai, atliekant masines automatizuotas paieškas, o ne vykdant asmeninį kerštą. Tačiau tokio atsitiktinumo pasekmės įmonei visada būna labai tikslingos, finansiškai skausmingos ir teisiškai baudžiamos.
Kodėl mažesnės įmonės dažnai tampa lengvu taikiniu?
Mažesnėse komandose saugumas dažnai lieka antraeiliu prioritetu. Sprendimai priimami greitai, fokusas būna į verslo vystymą ir augimą, bet ne visada į saugumą.
Pasenusi programinė įranga turi žinomų spragų. Jas lengva rasti ir patikrinti automatizuotai.
Vienas silpnas ar pakartotinai naudojamas slaptažodis gali tapti pirmu įėjimu. Ypač jei nėra papildomos autentifikacijos. Hakeriai labai mėgsta įsilaužinėti spėliodami lengvus slaptažodžius.
Augant komandai, paskyros ir rolės dažnai lieka netvarkingos. Buvę darbuotojai, seni tiekėjai ar per plačios teisės didina riziką.
Skubūs release'ai padeda augti, bet palieka aklųjų zonų. Dažniausiai nukenčia autorizacija, verslo logika ir duomenų apsauga.
Kartais hakeriams įdomi ne pati įmonė, o jos ryšiai. Silpna mažesnio tiekėjo vieta gali tapti keliu į didesnį klientą.
Dažniausi mitai, kurie kainuoja brangiai.
Hakeriams nereikia žinomo prekės ženklo. Užtenka sistemos, kurią lengva pasiekti ir išnaudoti.
Vertingi gali būti klientų kontaktai, sutartys, sąskaitos, prieigos, užsakymai ar vidinė komunikacija.
Antivirusas nepatikrina verslo logikos, API autorizacijos, debesijos konfigūracijų ar kodo klaidų.
Paprasta svetainė gali turėti formas, administravimo panelę, įskiepius, serverį ar integracijas.
IT priežiūra ir saugumo testavimas nėra tas pats. Tiekėjas gali prižiūrėti veikimą, bet netikrinti atakos scenarijų.
Kada nebeverta laukti
Auditui reikia aiškaus vaizdo. Geriau rasti problemas patiems, o ne tada, kai jų klausia klientas ar auditorius.
Didesni klientai dažnai klausia apie saugumą. Ataskaita padeda kalbėti faktais, o ne pažadais.
Jeigu saugote asmens, mokėjimų, sutarčių ar verslo duomenis, incidento kaina greitai tampa didesnė už patikrą.
Naujos rolės, API, mokėjimai, failai ar integracijos sukuria naujus atakos kelius.
Pirmas vertinimas dažnai parodo bazines problemas. Jas sutvarkius, rizika sumažėja greičiau.
Nežinote, nuo ko pradėti?
Per 30 min. pokalbį padėsime suprasti, ar jums svarbiau pradėti nuo aplikacijos, kodo, tinklo ar bendros saugumo peržiūros.