6 ključnih pitanja za sprečavanje curenja podataka
Ova pitanja omogućiće vam da koncept upravljanja rizicima primenite na sajber bezbednost i pomognete menadžmentu da sagleda rizik curenja podataka.
Ne prođe dan, a da se ne otkrije neki novi (veliki) slučaj curenja podataka. Najveći do sada poznati slučaj curenja podataka vezan je za Yahoo, gde je na kraju izašlo na videlo da su 2013. godine kompromitovani svi Yahoo nalozi, ukupno čak 3 milijarde.
Ljudi koji vode kompanije često nisu dovoljno upućeni u rizik i posledice koje curenje podataka može da izazove. Zbog toga se obično ne izdvaja dovoljno resursa za sprečavanje povreda bezbednosti podataka. Međutim, u saradnji sa sektorom zaduženim za bezbednost, menadžment kompanije može da promeni perspektivu i sagleda rizike odgovorom na sledećih 6 pitanja.
1. Sa kojim pretnjama se kompanija suočava?
Različite industrije i kompanije različitih veličina se suočavaju sa različitim pretnjama. Recimo, mala kompanija koja za državu proizvodi komponente za satelite može očekivati da će biti na meti hakerskog napada iza koga stoji neka druga država. Sa druge strane, kompanija koja se bavi trgovinom nekretninama verovatno najveću pažnju treba da obrati na to kako da spreči da zaposleni, slučajno ili namerno, ne izazovu curenje podataka.
Na nivou top menadžmenta, ovaj proces je sličan analizama u kojima se identifikuju opasnosti po prihod kompanije. Analiza uticaja kvaliteta procesa, radne snage, konkurencije i drugih faktora na prihod je slična kao diskusija o tome koje pretnje moraju da se uvrste u sveukupni program sajber bezbednosti kompanije.
2. Šta motiviše napadače?
Poželjno je diskutovati o tome koji motivi stoje iza određenih pretnji. Na primer, sajber kriminalci koji nemaju dodirnih tačaka sa kompanijom imaju potpuno drugačije motive od malicioznih insajdera kao što su nezadovoljni radnici. Motivi sajber kriminalaca su finansijske prirode i stoga će njihova meta biti podaci koje mogu da iskoriste da zarade. Maliciozni insajder će, s druge strane, verovatno ciljati informacije koje, kada se obelodane, mogu naneti najveću štetu kompaniji. Top menadžment mora da shvati zašto postoje različite pretnje kako bi počeli da razumeju koje informacije je potrebno pažljiivije zaštititi.
Do odgovora na ovo pitanje se može doći na sličan način na koji se dolazi do odgovora na pitanje koje su potencijalne pretnje plasmanu proizvoda. Na primer, ukoliko dođe do nezadovoljstva zaposlenih, menadžment analizira koji su njihovi zahtevi i zašto to traže. Isti je slučaj i sa potencijalnim napadačima - menadžment mora da razume šta oni žele, zašto to žele i koliko su napora spremni da ulože da bi to ostvarili.
3. Koje su posledice curenja podataka?
Curenje podataka i kršenje zakonskih propisa može mnogo koštati kompaniju. U taj trošak spadaju kazne, tužbe, narušena reputacija, gubitak konkurentske prednosti itd. Kao što smo u uvodu naveli, postoji dosta primera iz prakse kada je u pitanju curenje podataka koji mogu pomoći menadžmentu da shvati potencijalne troškove i posledice jednog takvog incidenta. Potrebno je razumeti koje su posledice različitih vrsta curenja podataka, od slučajnog neautorizovanog pristupa, preko delimične krađe podataka pa sve do incidenata velikih razmera.
4. Koja je verovatnoća da dođe do curenja podataka ili kršenja propisa?
U dovoljno dugačkom vremenskom periodu, verovatnoća da će doći do curenja podataka je 100%! Iako je važno imati u vidu ovu činjenicu, menadžment mora da razmišlja o preciznije određenim vremenskim okvirima koji se odnose na podatke koje treba zaštititi. Na primer, osetljive informacije o zaposlenima su aktuelne i važne u dosta dužem vremenskom periodu nego što su informacije o budućim zaradama.
U proceni verovatnoće događanja incidenata poput curenja podataka, menadžmentu kompanije mogu dosta pomoći nezavisne, javno dostupne analize prethodnih i budućih trendova na polju sajber bezbednosti koje objavljuju konsultanti koji se bave sajber bezbednošću i kompanije koje rade istraživanja.
5. Koliki je nivo rizika za našu kompaniju?
Uloga menadžmenta je da identifikuje i upravlja rizikom. Sajber bezbednosni rizik je proizvod mogućih razmera curenja podataka i njegove verovatnoće događanja. Menadžment mora da definiše prihvatljivi nivo rizika curenja podataka i kršenja propisa. Ukoliko je nivo rizika neprihvatljiv, kompanija mora da preduzme akcije da se on dovede u prihvatljive okvire. Sposobnost menadžmenta da proceni rizik direktno zavisi od sposobnosti da se razumeju pretnje, informacije, razmere i verovatnoće o kojima smo prethodno pisali.
Poželjno je da članovi upravnog odbora i ostatak menadžmenta barem jednom godišnje učestvuje u vežbi koja simulira delovanje kriznog menadžmenta u situaciji kada dođe do curenja podataka. Važno je da se eksperiment izvede što realnije moguće i da se prikaže sav stres, haos u poslovnim operacijama i troškovi koje curenje podataka izaziva kako bi bolje razumeli važnost edukacije o sajber bezbednosnim rizicima.
6. Kako da smanjimo rizik?
Rizik se smanjuje tako što se smanjuju potencijalne razmere i/ili verovatnoća događanja incidenta kao što je curenje podataka. Kompanije koje su na meti naprednih upornih pretnji – APT imaju dosta poteškoća da značajno smanje verovatnoću curenja podataka. Menadžment mora da shvati da osiguranje od sajber bezbednosnog incidenta ne smanjuje rizik tako da bi ga trebalo koristiti samo za pokriće rizika koje sajber bezbednosni program objektivno ne može da pokrije.
Pristup zasnovan na podacima
Kompanija može da smanji potencijalne razmere sajber bezbednosnog incidenta tako što će otežati krađu upotrebljivih (vrednih) informacija. U prošlosti su se bezbednosni timovi najviše fokusirali na to da maksimalno otežaju kompromitovanje servera i mreža. Međutim, taj pristup je iznova i iznova doživljavao poraz. U bližoj prošlosti, fokus je bio na detekciji kompromitovanja. To je u određenoj meri bilo od pomoći, ali i dalje nije uspelo da oteža napadačima da dođu do vrednih podataka.
Kako bi otežali posao napadačima, kompanije moraju da kriptuju podatke, da ih štite od neautorizovanog pristupa i da kontrolišu njihovo kretanje. Naravno, preduslov je da sajber bezbednosni tim zna gde se vredne informacije nalaze, jer ne možete sačuvati ono što ne znate da imate ili ono što ne možete da pronađete.
Izvor: helpnetsecurity.com