Zināšanas ir spēks. Un dati – jaunais zelts!
Dati daudzējādā ziņā ir līdzīgi zeltam. Datus var izmantot atkārtoti jaunu zināšanu radīšanai, zeltu – pārkausēt un pārvērst jaunās vērtslietās. Zelta vērtība pieaug, ja tas tiek pārvērsts juvelierizstrādājumos, un arī datiem ir augstāka vērtība, ja tie tiek sakārtoti vizuāli pievilcīgā un skaidrā pārskatā. Un gluži tāpat kā zelta uzglabāšanai nepieciešams ieviest drošības pasākumus, atvēlot tam finansiālos resursus, arī datu uzglabāšana prasa pastāvīgus ieguldījumus drošībā. Tomēr ir viena atšķirība – dati arvien tiek radīti jauni.
2020. gadā katrs Zemes iedzīvotājs radīja vidēji 1.7 MB datu sekundē. Tas ir 143 GB datu dienā, kas ir ekvivalents apmēram 7 stundas garas filmas pārraidīšanai 4K izšķirtspējā (zip formātā). Datu apjoma straujais pieaugums notiek tāpēc, ka lielākā daļa jaunradītā satura ir audiovizuāls. Videoformātā uzskaites mērķiem tiek ierakstīts liels skaits Teams sanāksmju. Jaunās automašīnas reģistrē braucienus, veicot mākslīgā intelekta apmācību. Lietotnes straumē filmas un mūziku, nodrošinot operatīvu ātrumu mūsu ierīcēs. Viedtālruņi ļauj mums jebkurā brīdī uzņemt augstas izšķirtspējas fotoattēlus un videoklipus. Videonovērošanas kameras uzrauga un ieraksta katru soli, ko speram publiskās vietās. Arī katra kustība, ko veicam tīmeklī, tiek reģistrēta, lai attiecīgās programmas atlasītu mums piemērotākās reklāmas. Un tie ir tikai daži piemēri.
Mākoņpakalpojumi uzliek atbildību uzņēmumiem
Agrāk cilvēki glabāja datus savos datoros. Tagad visi dokumenti, fotogrāfijas un video tiek uzglabāti mākoņkrātuvēs, kas attiecīgi uzliek lielāku atbildību pakalpojumu sniedzējiem. Ja uzņēmums nodrošina darbiniekiem mūsdienīgu darba vidi, atbildība par visu datu uzglabāšanu un aizsardzību gulstas uz darba devēja pleciem. Tam nepieciešama arvien sarežģītāka IT arhitektūra.
Pandēmijas laikā daudziem uzņēmumiem bija jāadaptē jauni darba veikšanas formāti un metodes. Lai to ērtāk īstenotu, praksē tika ieviestas jaunas, iepriekš nezināmas lietotnes. Uzņēmumiem, kam līdz tam trūka attālinātā darba pieredzes, radās grūtības sekot līdzi datiem, to izmantošanai un aizsardzībai. Kad kontrole pār digitālajiem pakalpojumiem un procesiem tika zaudēta, kļuva ļoti sarežģīti to atgūt. Daļā no jaunieviestajām lietotnēm netika pievērsta pietiekama uzmanība drošībai un centralizētai datu un ierīču pārvaldībai. Tagad uzņēmumi saskaras ar situāciju, kurā darbinieki ir pieraduši pie ierastajām lietotnēm, un pārliecināt viņus par nepieciešamajām ieradumu izmaiņām ir izaicinoši. Turklāt apmācības par jaunām lietotnēm prasa ievērojumus laika un enerģijas resursus.
Lietotāju konti ir pakļauti kiberdraudiem
Mākoņpakalpojumu infrastruktūrā dati ir pieejami no jebkuras vietas – gan darbā, gan mājās. Vienīgais, kas nepieciešams piekļuvei – lietotājvārds un parole. Ērtības labad darbinieki mēdz izmantot vienu un to pašu lietotājvārdu un paroli visos izmantotajos tiešsaistes pakalpojumos. Tāpēc, izkrāpjot pieejas datus vienam no pakalpojumiem, kibernoziedzniekiem ir pavisam vienkārši uzbrukt arī citiem uzņēmumā izmantotajiem pakalpojumiem un programmām.
Lai šo risku pārvaldītu, tiek izmantota vienreizēja pierakstīšanās (SSO) un daudzpakāpju autentifikācija (MFA).
Vienreizēja pierakstīšanās (Single Sign-On jeb SSO) ir sistēma, kurā uzņēmums izmanto centralizētu lietotāju piekļuves tiesību sistēmu, piemēram, Active Directory vai Entra ID, lai vienotā veidā pārraudzītu piekļuvi visiem datoriem, serveriem un pakalpojumu lietotājiem. Katrs jaunais pakalpojums tiek pievienots sistēmai, ļaujot darbiniekiem izmantot vienotu kontu visam. Lai gan varētu šķist, ka tad nākas pielietot nedrošo pieslēgšanās veidu, visās lietotnēs izmantojot vienu un to pašu lietotājvārdu un paroli, šajā gadījumā tas darbojas citādāk. Kā tad norisinās piekļuve? SSO risinājumā tiešsaistes pakalpojumu sniedzēji savās datubāzēs paroles neuzglabā. Kad darbinieks vēlas pieslēgties konkrētas programmas vai pakalpojuma lietošanai, tas tiek sasaistīts ar uzņēmuma centralizēto lietotāju tiesību sistēmu. Kad sistēma identificē personu, tā pārbauda konta datu autentiskumu un piešķir piekļuvi. Neskatoties uz to, ka visi pakalpojumi tiek izmantoti ar vienotu lietotājvārdu un paroli, darbinieka identifikācija notiek caur uzņēmuma centralizēti kontrolēto sistēmu un katram pakalpojumam atsevišķi. Tas sniedz papildu drošības līmeni, nodrošinot, ka atsevišķi pakalpojumi neuzglabā lietotāju paroles savā pusē.
Daudzfaktoru autentifikācija (Multi-factor authentication jeb MFA) dod spēcīgāku aizsardzību, lietotājam pieprasot vairāk kā tikai lietotājvārdu un paroli. Iedomājies, ka Tava digitālā īpašuma durvīm ir dubultā atslēga. Šai autentifikācijas metodei nepieciešama citas ierīces izmantošana, kas kibernoziedzniekiem nav tik viegli pieejama un pieprasa papildus informācijas ieguvi. Piemēram, pat ja hakeris iegūst Tavu lietotājvārdu un paroli no kādas apdraudētas lietotnes, viņam ir sarežģīti piekļūt Tavam viedtālrunim, kurš saņem drošības kodu SMS formātā.
Tāpēc mūsdienās, ar pastāvošo augsto kiberuzbrukumu risku, ir ļoti ieteicams izmantot daudzfaktoru autentifikāciju, lai nenotiktu tūlītēja nesankcionēta piekļuve, tiklīdz tiek nopludināts lietotājvārds un parole. Uzņēmuma dati visefektīvāk tiek aizsargāti, izmantojot abas metodes – daudzfaktoru autentifikāciju un vienreizējo pierakstīšanos. Šādā gadījumā ir vieglāk preventīvi novērst uzbrukumu. Savukārt, ja uzbrukums jau noticis – operatīvi slēgt apdraudēto kontu no centralizētas vietas.
Tikai centralizēta pārvaldība spēj nodrošināt nepieciešamo operativitāti
Mākoņpakalpojumu laikmetā ir ļoti svarīgi centralizēt ne tikai lietotāju kontus, bet arī citus kiberdrošības pakalpojumus, piemēram, datu piekļuves pārvaldību, reģistrus un rezerves kopijas. Šāda centralizēta pieeja ir būtiska efektīvai kiberdrošības stratēģijai, ilgtermiņā nodrošinot visaptverošu priekšstatu.
Saskaņā ar uzņēmumu Blumira un IBM 2021. gadā veikto aptauju, tipiska kibernegadījuma dzīves cikls ilgst 287 dienas, patērējot 212 dienas problēmas identificēšanai un 75 dienas draudu ierobežošanai un novēršanai. Diemžēl bieži vien kiberuzbrukumu sekas kļūst pamanāmas tikai tad, kad nodarītais kaitējums jau ir acīmredzams. Paļaušanās uz reģistriem, kas tiek lokāli uzglabāti ierīcēs, turklāt uz pārāk īsu termiņu, ir nepietiekama, turklāt apdraudētu ierīču reģistri var būt kompromitēti. Tādējādi vispraktiskākais risinājums visaptverošai kiberdrošībai ir ieviest centralizēto reģistru un satura dublēšanu, kur dati tiek uzglabāti vismaz 365 dienas.
Kādi drošības pasākumi ir pietiekami?
Lai noskaidrotu, kuriem datiem ir nepieciešama aizsardzība un kā tos aizsargāt, uzņēmumam datus nepieciešams klasificēt. Ne visi dati ir vienlīdz svarīgi. Un ir jāpieliek pūles, lai aizsargātu svarīgāko datu sākotnējo struktūru un saglabātu to konfidencialitāti. Lai noteiktu datu nozīmīguma pakāpi, nepieciešams izvērtēt, cik bieži tie tiek izmantoti un kāda ir to lietošanas ietekme. Nākamais solis ir identificēt iespējamos datu riskus un izveidot procedūras un tehniskos risinājumus to aizsardzībai.
Uzņēmumi bieži nolemj, ka visi dati ir vienlīdz svarīgi, vai arī piemēro tiem vienādus drošības pasākumus. Ja uzņēmuma finansiālie resursi ļauj visu datu uzglabāšanai piemērot visaugstākos drošības pasākumus, informācijas drošības standarts ISO 27 001 to neaizliedz. Tomēr tas neatceļ pienākumu dot atbilstošos norādījumus darbiniekiem, kuri apstrādā informāciju, kas ietver komercnoslēpumus vai personas datus.
Komercnoslēpuma aizsardzības likumā komercnoslēpums ir definēts kā informācija, kas nozares speciālistiem nav plaši zināma, kurai ir komerciāla vērtība tās slepenības dēļ un kuras konfidencialitāte tiek aktīvi saglabāta, veicot saprātīgus pasākumus. Ja pret komercnoslēpumu izturas tāpat kā pret citiem datiem un ja speciālistam ir vienlīdzīga pieeja visai informācijai, komercnoslēpumu atšķirt no pārējiem datiem kļūst sarežģīti. Darbinieks, kam ikdienas darbā ir piekļuve visiem datiem, var neatpazīt, ka konkrētā informācija nedrīkst tapt publiskota. Lai no tā izvairītos, ir ļoti svarīgi komercnoslēpumu identificēt kā atsevišķu kategoriju, tādējādi novēršot netīšas izpaušanas iespēju, kā arī ļaunprātīgas izmantošanas draudus.
Eiropas Parlamenta un Padomes Regula par fizisku personu aizsardzību attiecībā uz personas datu apstrādi nosaka vēl stingrākus noteikumus par personas datu apstrādi. 39. un 81. punktā minēts, ka personas dati tiek apstrādāti tādā veidā, kas pieļauj personas identifikāciju tikai tik ilgi, līdz tiek sasniegts attiecīgās personas datu apstrādes mērķis. Šo prasību ievērošana ir iespējama tikai tad, ja personas dati tiek glabāti atsevišķi, un to pārvaldībai tiek piemērotas atšķirīgas juridiskās procedūras, salīdzinājumā ar citiem uzņēmuma datiem.
Kuras kiberaizsardzības prasības būtu jāpiemēro vispirms?
Šeit uzskaitīti svarīgākie praktiskie, tehniskie datu aizsardzības pasākumi, kas uzņēmumā jāpiemēro:
- datu šifrēšana gan uzglabāšanai, gan pārsūtīšanai;
- drošas rezerves kopijas glabāšana citā vietā;
- visa aprīkojuma centralizēta atjaunināšana;
- daudzpakāpju autentifikācijas (MFA) piemērošana lietotāju kontiem;
- vienreizējā pierakstīšanās (SSO) visos pakalpojumos;
- darbinieku kiberdrošības apmācība, kas māca atpazīt kiberdraudus un e-pastu pikšķerēšanas mēģinājumus.
Tiklīdz ir veiktas iepriekšminētās darbības, nākamie veicamie soļi ietver:
- tehnisko pasākumu piemērošanu datu noplūdes bloķēšanai;
- autorizētas piekļuves reģistrēšanu konfidenciāliem datiem;
- lietotāju un administratoru darbību reģistrēšanu;
- centralizētu visu reģistru pārvaldību visaptverošai pārraudzībai;
- darbības instrukciju dokumentāciju, lai spētu operatīvi reaģēt uz drošības incidentiem.
Iepriekšminētie ieteikumi ir pirmie soļi uzņēmuma datu aizsardzības nodrošināšanā un attīstībā. Katra uzņēmuma specifiskās aktivitātes un procesi ir atkarīgi no konkrētās nozares, datu svarīguma un to vērtības.