Elektronika.lt
 2024 m. kovo 28 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Kovo 28 d. 20:32
„Elektrum Lietuva“ į elektromobilių įkrovimo tinklo plėtrą šiemet investuos 9 mln. eurų
Kovo 28 d. 17:25
NASA „BurstCube“ palydovas paleistas tirti galingiausius sprogimus kosmose
Kovo 28 d. 14:50
„Logitech“ pristato „Signature Slim“ klaviatūrą ir darbo bei gyvenimo derinį prie rašomojo stalo
Kovo 28 d. 11:17
Kaip atrodys mokslai, studijos ir darbas DI eroje: pagrindiniai parodos „Karjera & studijos Lietuvoje“ akcentai
Kovo 28 d. 08:52
Jungikliai pagaminti iš atliekų – naujovė tvariems namams
Kovo 27 d. 20:30
Saulės elektrinė – daugiabučio balkone: ar tai įmanoma Lietuvoje? (1)
Kovo 27 d. 18:19
4 išmanūs sprendimai, leidžiantys efektyviai taupyti elektrą
Kovo 27 d. 16:36
Ekspertė apie dirbtinį intelektą ir darbuotojų produktyvumą: „Svarbu suprasti, jog nėra vieno stebuklingo įrankio, kuris išspręstų visas problemas“
Kovo 27 d. 14:14
„Philips Monitors“ E1 serija turės tris naujus daugiafunkcinius modelius, skirtus hibridiniam ir nuotoliniam darbui
Kovo 27 d. 12:43
Reikalavimas elektrifikuoti penktadalį stovėjimo vietų glumina verslą: nukentės galutiniai vartotojai
FS 22 Tractors
Farming Simulator 19 Mods, FS 22 Maps, FS22 Mods
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS22 Trucks
VAT calculator
VAT number check, What is VAT, How much is VAT
Paskola internetu
Vartojimo paskola, paskola automobiliui, paskola būsto remontui
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS22 Mods
FS22 Harvesters, FS22 Tractors Mods, FS22 Maps Mods
FS22 Mods
FS22 Maps,
FS22 Harvesters,
FS22 Tractors
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
Sims 4 Mods
Sims 4 CC Clothes,
Sims 4 Hair CC,
Sims 4 Skill Cheat
Optic sight
Binoculars for hunting elk,
Best compact binoculars,
Riflescope hunting
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams

Publikuota: 2021-02-27 12:21
Tematika: Kompiuteriai, IT
Skirta: Profesionalams
Inf. šaltinis: Pranešimas spaudai

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas. Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Beveik 800 000. Tiek įvairių sistemų ir paslaugų vartotojų duomenų buvo nutekinta vos per savaitę. Drįstu spėti, kad tai – tik ledkalnio viršūnė, ir apie pavogtus asmeninius duomenis išgirsime dar ne kartą. Vienintelis būdas užkirsti kelią piktavališkiems ketinimams ir tinkamai saugoti įmonėms patikėtus klientų duomenis yra atsakyti į klausimą: „Ar sistema, kurios paskirtis yra saugoti asmens duomenis ir kitą jautrią informaciją, yra tam pritaikyta?“.

Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams
Asociatyvi „Pixabay“ nuotr.

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas (angl. „legacy systems“). Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų bei Asmens duomenų apsaugos įstatymo reikalavimų. Tokios sistemos, norint jas naudoti toliau, turi būti perdaromos, modernizuojant dalį sistemos komponentų ar perprogramuojant visą sistemos kodą, taip pat galėtų būti įvertinta galimybė išnaudoti Viešųjų debesų (angl. „Public Cloud“) teikiamas galimybes ir privalumus.

Sistemos, sukurtos prieš BDAR, dažnai neatitinka BDAR reikalavimų

Asmeniniai duomenys neretai vadinami naujuoju auksu, todėl jų praradimas gali turėti skaudžių pasekmių. Tinkamai tvarkant duomenis netgi ir duomenų nutekėjimo atveju potenciali žala tiek vartotojams, tiek disponuojančiai duomenimis organizacijai, gali būti mažesnė. Viena didžiausių klaidų tvarkant asmens duomenis yra taikyti įprastas duomenų tvarkymo procedūras ir principus– tam kelią ir bando užkirsti Asmens duomenų apsaugos įstatymas (BDAR).

Nuo 2016 m. įsigaliojus BDAR, įmonės, kaupiančios asmens duomenis, privalo užtikrinti tinkamą jų apsaugą, neatskleisti šių duomenų trečiosioms šalims ir naudoti asmens duomenis tik tiems tikslams, kuriems asmuo suteikė leidimą. Visi asmens duomenys turėtų būti šifruojami ir pseudonimizuojami (angl. „pseudonymisation“). Prie tokių duomenų prieiga turėtų būti suteikiama tik tiems žmonės, kuriems ją būtina turėti, o sistemą ir jų infrastruktūrą privalu nuolatos audituoti. Tam, kad įmonės turima sistema galėtų užtikrinti visų šių reikalavimų laikymąsi, ji turi atitikti ir technologinius, ir saugumo reikalavimus.

Ypatingai svarbu įsivertinti BDAR atitikimą jeigu disponuojama sistema buvo pradėta kurti dar prieš BDAR įsigaliojimą, kadangi ją projektuojant, apie griežtus asmeninių duomenų apsaugos techninius reikalavimus galėjo būti ir nepagalvota. Natūralu, seniau sukurtos IT sistemos skyrė mažiau dėmesio asmens duomenų apsaugai, todėl būtina įvertinti ar esamos apsaugos priemonės užtikrina tinkamą šių duomenų apsaugą tiek kasdienėje įmonės veikloje, tiek nesankcionuotos prieigos atveju.

Viešasis debesis negali tapti viešu praeinamuoju kiemu

Po BDAR įsigaliojimo pastebiu tendenciją, kad įmonės ieško greitų būdų spręsti sistemų problemas, todėl renkasi perkelti jas į Viešuosius debesis. Ten esančios paslaugos suteikia galimybę modernizuoti programinę įrangą ir kartu gauti visas IT paslaugas, tarp jų ir duomenų apsaugai reikalingas priemones, vienoje vietoje. Migruojate į viešąjį debesį, nes jis saugus ir nereikia rūpintis duomenų ar sistemų saugumu? Tai mitas, kurį reikėtų pamiršti. Viešojo debesies paslaugų tiekėjas užtikrina fizinę duomenų centrų saugą bei suteikia aibę priemonių kuriamos informacinės sistemos saugumui užtikrinti. Tačiau tinkamas šių apsaugos priemonių parinkimas, projektavimas ir konfigūravimas išlieka jūsų pareiga. Jei nebus sukurta visa duomenų apsaugos sistema ir įjungti saugikliai, tai Viešas debesis bus tarsi viešas kiemas, į kurį gali patekti kas nori. Tai – didelė klaida. Pavyzdžiui, jeigu Viešajame debesyje pasirenkamos infrastruktūros paslaugos, tokios kaip Virtualūs serveriai, reikia nepamiršti, kad Operacinės sistemos (Windows ar Linux) priežiūra, saugumas ir konfigūravimas lieka įmonės IT specialistų rankose. Visiškai nesvarbu ar sistema įdiegta į Jūsų įmonės serverį ar Viešajame debesyje esantį serverį, reguliarūs atnaujinimai ir antivirusinių priemonių naudojimas yra būtini, kad programišiai neišnaudotų naujai atsiradusių saugumo spragų (angl. „Zero-Day Vulnerabilities“).

Atsisakant įmonės fizinės infrastruktūros ir nusprendus migruoti į Viešąjį debesį, dažna daroma klaida yra migruoti sistemas tokias, kokios jos yra dabar ir daryti tik minimalius pakeitimus (angl. „lift-and-shift“). Prieš imantis šio veiksmo būtina investuoti laiko ir pastangų suprantant kokias paslaugas teikia pasirinkto Viešojo debesies tiekėjas ir kaip jo teikiamos paslaugos atitinka įmonės migruojamos ar kuriamos sistemos komponentus. Pastaruoju metu žiniasklaidoje nuskambėję duomenų paviešinimo atvejai įvyksta dėl to, kad projektuojant sistemą neįvertinami nefunkciniai reikalavimai, tarp kurių informacijos saugos reikalavimai yra vieni svarbiausių, ir šių reikalavimų įgyvendinimas pamirštamas tinkamai ištestuoti.

Kaip išnaudoti Viešojo debesies funkcionalumus saugumui užtikrinti?

Vartotojo sąsaja neretai tampa pirminiu kenkėjiškų atakų taikiniu, bandant išnaudoti visas įmanomas spragas. BDAR kontekste svarbu ne tik apsaugoti kaupiamus jautrius vartotojų duomenis, tačiau ir užtikrinti, kad tie patys jautrūs duomenys, vedami į sistemą nebūtų perimami juos siunčiant tarp sistemos komponentų ar perduodant į susijusias sistemas, todėl įprastai jautrūs duomenys apsaugomi juos užšifruojant saugiais, tam skirtais šifravimo algoritmais. Programišiai dažnai taikosi įsilaužti į sistemą ir vartotojų paskyras bandydami atspėti jų prisijungimo vardus ir slaptažodžius, todėl būtina nepamiršti pasirinkti papildomų priemonių, tokių kaip slaptažodžių sudėtingumo politikos, nesėkmingų prisijungimų kiekio per tam tikrą laiko tarpą kontrolės ir anomalių reiškinių stebėjimo ir kontrolės, kuri leistų pastebėti, kad vartotojas per trumpą laiko tarpą bando prisijungti iš skirtingų geografinių lokacijų ir pan. Tokias priemones Viešajame debesyje ne retai galima naudoti visiškai nemokamai, tačiau įmonės pamiršta išnaudoti visas užsakytų paslaugų galimybes.

Duomenų bazės – antras dažniausiai pasitaikantis programišių taikinys. Nesvarbu ar renkamasi naudoti duomenų bazes kaip platformą (angl. „PaaS“) ar kaip paslaugą (angl. „SaaS“), jos turi būti atitinkamai konfigūruojamos ir prižiūrimos. Duomenų bazių izoliavimas nuo kitų sistemos komponentų naudojant viešųjų debesų tinklo segmentus ir ugniasienės komponentus yra sistemos kūrėjų atsakomybėje, todėl teisinga sistemos architektūra atlieka labai svarbų vaidmenį šiame uždavinyje. Teisingai atskyrus kuriamos sistemos komponentus, Viešajame debesyje galima užtikrinti, kad tinklo segmentuose bus atidaromi tik būtini prievadai (angl. „Ports“), o duomenys perduodami saugiai, kai kiekvienas sistemos komponentas, prieš perduodamas arba prašydamas duomenų turi autentifikuotis su jam skirtu raktu (angl. „Access key“). Papildomą apsaugos sluoksnį įneša teisingai sukonfigūruotos Viešojo debesies politikos (angl. „Policies“), kurių pagalba galima kontroliuoti visas sistemines ir vartotojų prieigas, stebėti jautrius įvykius, tokius kaip bandymus įsilaužti ar kitaip paveikti sistemą ir viską kontroliuoti su automatizavimo įrankiais, kurių pagalba galima automatizuoti sistemos atsaką į tam tikrus veiksmus ar anomalijas, o atsakingi sistemos priežiūros asmenys nedelsiant gaus apie tai pranešimus ir galės atlikti intervenciją. Šias apsaugos priemones suteikia Viešojo debesies pakete esančios paslaugos, tačiau jos nėra automatinės – jas reikia tinkamai pasirinkti ir panaudoti. BDAR kontekste reikia nepamiršti, kad asmens duomenys turi būti apsaugoti ne tik kasdienėje IT sistemos veikloje, bet ir įvykus saugumo incidentams, todėl duomenų bazėje saugomus asmens duomenis rekomenduotina šifruoti. Tokių apsaugos priemonių projektavimu ir diegimu turėtų pasirūpinti sistemą kuriantys IT specialistai.

Duomenų kopijos reikalauja tokios pačios priežiūros kaip pati sistema ar jos duomenų bazė. Svarbu turėti veikiančias atsargines duomenų kopijas, nenumatytiems programinės įrangos gedimų atvejams, tačiau taip pat labai svarbu duomenų kopijas apsaugoti jas šifruojant ir talpinant tik ribotą prieigą turinčiose viešojo debesies paslaugose, ar apsaugotame vidiniame įmonės tinkle. Jeigu duomenų kopijos naudojamos programinės įrangos kūrimo ar vystymo tikslais, būtina užtikrinti, kad šie duomenys būtų nuasmeninti.

„Etiško įsilaužėlio“ darbas – parodyti silpnąsias sistemos dalis

Norint kokybiškai ištestuoti sistemą bei nustatyti sistemos saugumo būklę turi būti naudojami tiek specializuoti komerciniai įrankiai, tiek vykdomi skirtingi saugumo testavimo tipai, pavyzdžiui programinės įrangos kodo analizė. Dar vienas saugumo testavimo tipas – jau sukurtos sistemos testavimas „juodos dėžės“ principu, kai apie sistemą nežinoma nieko, o „įsilaužti“ bandoma iš išorinio vartotojo, užpuoliko, perspektyvos. Taip pat negalima nuginčyti kito saugumo testavimo tipo – rankinio saugumo testavimo – naudos, kai didelę patirtį turintis „etiškas įsilaužėlis“ stengiasi ne tik identifikuoti pažeidžiamumus, bet ir nustatyti galimą riziką pažeidžiamumų išnaudojimo atveju.

Viena iš didžiausių su saugumo testavimu susijusių problemų yra ta, jog tai reikalauja specifinių įgūdžių bei patirties, todėl ne kiekviena maža ar vidutinė organizacija pati gali atlikti saugumo testavimo darbus. Būtent todėl rekomenduojama kreiptis į saugumo profesionalus, užsiimančius tuo kiekvieną dieną bei turinčius pakankamai patirties identifikuoti labiausiai kritines sistemos vietas, taip pat naudojančius specializuotus, komercinius saugumo auditavimo įrankius. Savo srities specialistas, atlikęs įsilaužimo testavimą, galės pateikti tiek atrastus saugumo pažeidžiamumus, tiek paaiškinti jų riziką, bei galiausiai pateikti rekomendacijas ir instrukcijas kaip pažeidžiamumus reikėtų taisyti.

Sistemos apsauga stipri tiek, kiek stipri jos silpniausia grandis

Rūpinantis informacinės sistemos apsauga, būtinas kompleksiškas požiūris. Reikėtų nepamiršti atsakomybių už informacijos apsaugą įmonėje, apsaugos reikalavimų nustatymo, tinkamų priemonių parinkimo ir diegimo kuriant, vystant bei prižiūrint informacines sistemas. Tinkamai suprojektuota sistemos architektūra ir teisingai parinktų, įgyvendintų ir reguliariai audituojamų saugos priemonių visuma – tai saugikliai, kuriuos turi įsidėti kiekviena klientų asmens duomenis sauganti įmonė.

Vitalis Kavaliauskas, „Baltic Amadeus„ technologijų direktorius




Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

„Deinavos baldai“ — šeimos baldai


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
Farming Simulator 2019 Mods, FS22 Mods, FS22 Maps
farmingsimulator19mods.fr
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama