Elektronika.lt
 2021 m. balandžio 13 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Balandžio 12 d. 20:12
Energetinių tyrimų instituto vadovas: pirmasis elektros rinkos liberalizavimo etapas buvo sėkmingas (1)
Balandžio 12 d. 18:25
Sukūrė neapgaunamą bekontaktį alkotesterį mobilioms darbo vietoms
Balandžio 12 d. 16:46
Darbuotojai bus stebimi kompiuterio kameromis: tikrins, ar jie nevalgo, nesinaudoja telefonais
Balandžio 12 d. 14:16
Motociklų sezonas prasidėjo: ką svarbu žinoti?
Balandžio 12 d. 12:22
Ką veikia 21 amžiaus inžinieriai?
Balandžio 12 d. 08:19
Radiacinis fonas Lietuvoje: kas tai ir kaip matuojama?
Balandžio 11 d. 15:13
Praktiniai patarimai, kaip patiems sustiprinti namų interneto ryšį
Balandžio 11 d. 09:49
Kaina prieš saugumą: kokią IT įrangą turėtų pirkti viešasis sektorius? (2)
Balandžio 10 d. 15:23
Paaiškėjo, kiek lietuviai yra linkę išleisti vaiko telefonui
Balandžio 10 d. 09:14
A. Daniūnas: „Turime rengti žmones, kurie kurs Lietuvos ateitį“
FS19 Mods
FS19 Courseplay, FS19 Maps, FS19 Seasons
GTA 5 Mods
GTA 5 Cheats, GTA 5 vehicle mods, GTA 5 Map mods
FS 19 Tractors
Farming Simulator 19 Mods, FS 19 Maps, FS 19 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
Install MC Mods
Minecraft Dungeons Mods, Minecraft Dungeons Skins, Minecraft Dungeons Maps
FS19 Combines
Farming Simulator 19 Mods, FS19 Trucks, FS 19 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LS19 Mods
Fs19 modhub, fs19 maps, FS19 Seasons
FS19 Mapy
Farming Simulator 19 mody, FS19 Tractor, FS19 Truck
MSFS2020 Liveries
Flight Simulator 2020 Mods, MSFS2020 Scener, MSFS2020 Airports
Sims 4 Mods
Sims 4 cheats, Sims 4 money cheat, Sims 4 careers
Lastenvaunut
Turvaistuin, Matkarattaat, Lasten vaatteet
Paskola internetu
Vartojimo paskola, paskola automobiliui, paskola būsto remontui
„TFBank“ paskolos
Vartojimo paskola, auto paskola, paskolos refinansavimas
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams

Publikuota: 2021-02-27 12:21
Tematika: Kompiuteriai, IT
Skirta: Profesionalams
Inf. šaltinis: Pranešimas spaudai

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas. Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Beveik 800 000. Tiek įvairių sistemų ir paslaugų vartotojų duomenų buvo nutekinta vos per savaitę. Drįstu spėti, kad tai – tik ledkalnio viršūnė, ir apie pavogtus asmeninius duomenis išgirsime dar ne kartą. Vienintelis būdas užkirsti kelią piktavališkiems ketinimams ir tinkamai saugoti įmonėms patikėtus klientų duomenis yra atsakyti į klausimą: „Ar sistema, kurios paskirtis yra saugoti asmens duomenis ir kitą jautrią informaciją, yra tam pritaikyta?“.

Senos ir neprižiūrėtos sistemos – lengvas grobis programišiams
Asociatyvi „Pixabay“ nuotr.

Nemažai įmonių naudoja prieš kelis metus sukurtas, tačiau technologiškai jau pasenusias sistemas (angl. „legacy systems“). Jos turi būti nedelsiant modernizuojamos dėl kelių priežasčių – pasensta naudojamos technologijos, pamirštama laiku įdiegti reikiamus operacinių sistemų ar saugumo ir naudojamų bibliotekų atnaujinimus ir galiausiai, laikui bėgant sistema nebeatitinka šiuo metu esančių saugumo ir patikimumo standartų bei Asmens duomenų apsaugos įstatymo reikalavimų. Tokios sistemos, norint jas naudoti toliau, turi būti perdaromos, modernizuojant dalį sistemos komponentų ar perprogramuojant visą sistemos kodą, taip pat galėtų būti įvertinta galimybė išnaudoti Viešųjų debesų (angl. „Public Cloud“) teikiamas galimybes ir privalumus.

Sistemos, sukurtos prieš BDAR, dažnai neatitinka BDAR reikalavimų

Asmeniniai duomenys neretai vadinami naujuoju auksu, todėl jų praradimas gali turėti skaudžių pasekmių. Tinkamai tvarkant duomenis netgi ir duomenų nutekėjimo atveju potenciali žala tiek vartotojams, tiek disponuojančiai duomenimis organizacijai, gali būti mažesnė. Viena didžiausių klaidų tvarkant asmens duomenis yra taikyti įprastas duomenų tvarkymo procedūras ir principus– tam kelią ir bando užkirsti Asmens duomenų apsaugos įstatymas (BDAR).

Nuo 2016 m. įsigaliojus BDAR, įmonės, kaupiančios asmens duomenis, privalo užtikrinti tinkamą jų apsaugą, neatskleisti šių duomenų trečiosioms šalims ir naudoti asmens duomenis tik tiems tikslams, kuriems asmuo suteikė leidimą. Visi asmens duomenys turėtų būti šifruojami ir pseudonimizuojami (angl. „pseudonymisation“). Prie tokių duomenų prieiga turėtų būti suteikiama tik tiems žmonės, kuriems ją būtina turėti, o sistemą ir jų infrastruktūrą privalu nuolatos audituoti. Tam, kad įmonės turima sistema galėtų užtikrinti visų šių reikalavimų laikymąsi, ji turi atitikti ir technologinius, ir saugumo reikalavimus.

Ypatingai svarbu įsivertinti BDAR atitikimą jeigu disponuojama sistema buvo pradėta kurti dar prieš BDAR įsigaliojimą, kadangi ją projektuojant, apie griežtus asmeninių duomenų apsaugos techninius reikalavimus galėjo būti ir nepagalvota. Natūralu, seniau sukurtos IT sistemos skyrė mažiau dėmesio asmens duomenų apsaugai, todėl būtina įvertinti ar esamos apsaugos priemonės užtikrina tinkamą šių duomenų apsaugą tiek kasdienėje įmonės veikloje, tiek nesankcionuotos prieigos atveju.

Viešasis debesis negali tapti viešu praeinamuoju kiemu

Po BDAR įsigaliojimo pastebiu tendenciją, kad įmonės ieško greitų būdų spręsti sistemų problemas, todėl renkasi perkelti jas į Viešuosius debesis. Ten esančios paslaugos suteikia galimybę modernizuoti programinę įrangą ir kartu gauti visas IT paslaugas, tarp jų ir duomenų apsaugai reikalingas priemones, vienoje vietoje. Migruojate į viešąjį debesį, nes jis saugus ir nereikia rūpintis duomenų ar sistemų saugumu? Tai mitas, kurį reikėtų pamiršti. Viešojo debesies paslaugų tiekėjas užtikrina fizinę duomenų centrų saugą bei suteikia aibę priemonių kuriamos informacinės sistemos saugumui užtikrinti. Tačiau tinkamas šių apsaugos priemonių parinkimas, projektavimas ir konfigūravimas išlieka jūsų pareiga. Jei nebus sukurta visa duomenų apsaugos sistema ir įjungti saugikliai, tai Viešas debesis bus tarsi viešas kiemas, į kurį gali patekti kas nori. Tai – didelė klaida. Pavyzdžiui, jeigu Viešajame debesyje pasirenkamos infrastruktūros paslaugos, tokios kaip Virtualūs serveriai, reikia nepamiršti, kad Operacinės sistemos (Windows ar Linux) priežiūra, saugumas ir konfigūravimas lieka įmonės IT specialistų rankose. Visiškai nesvarbu ar sistema įdiegta į Jūsų įmonės serverį ar Viešajame debesyje esantį serverį, reguliarūs atnaujinimai ir antivirusinių priemonių naudojimas yra būtini, kad programišiai neišnaudotų naujai atsiradusių saugumo spragų (angl. „Zero-Day Vulnerabilities“).

Atsisakant įmonės fizinės infrastruktūros ir nusprendus migruoti į Viešąjį debesį, dažna daroma klaida yra migruoti sistemas tokias, kokios jos yra dabar ir daryti tik minimalius pakeitimus (angl. „lift-and-shift“). Prieš imantis šio veiksmo būtina investuoti laiko ir pastangų suprantant kokias paslaugas teikia pasirinkto Viešojo debesies tiekėjas ir kaip jo teikiamos paslaugos atitinka įmonės migruojamos ar kuriamos sistemos komponentus. Pastaruoju metu žiniasklaidoje nuskambėję duomenų paviešinimo atvejai įvyksta dėl to, kad projektuojant sistemą neįvertinami nefunkciniai reikalavimai, tarp kurių informacijos saugos reikalavimai yra vieni svarbiausių, ir šių reikalavimų įgyvendinimas pamirštamas tinkamai ištestuoti.

Kaip išnaudoti Viešojo debesies funkcionalumus saugumui užtikrinti?

Vartotojo sąsaja neretai tampa pirminiu kenkėjiškų atakų taikiniu, bandant išnaudoti visas įmanomas spragas. BDAR kontekste svarbu ne tik apsaugoti kaupiamus jautrius vartotojų duomenis, tačiau ir užtikrinti, kad tie patys jautrūs duomenys, vedami į sistemą nebūtų perimami juos siunčiant tarp sistemos komponentų ar perduodant į susijusias sistemas, todėl įprastai jautrūs duomenys apsaugomi juos užšifruojant saugiais, tam skirtais šifravimo algoritmais. Programišiai dažnai taikosi įsilaužti į sistemą ir vartotojų paskyras bandydami atspėti jų prisijungimo vardus ir slaptažodžius, todėl būtina nepamiršti pasirinkti papildomų priemonių, tokių kaip slaptažodžių sudėtingumo politikos, nesėkmingų prisijungimų kiekio per tam tikrą laiko tarpą kontrolės ir anomalių reiškinių stebėjimo ir kontrolės, kuri leistų pastebėti, kad vartotojas per trumpą laiko tarpą bando prisijungti iš skirtingų geografinių lokacijų ir pan. Tokias priemones Viešajame debesyje ne retai galima naudoti visiškai nemokamai, tačiau įmonės pamiršta išnaudoti visas užsakytų paslaugų galimybes.

Duomenų bazės – antras dažniausiai pasitaikantis programišių taikinys. Nesvarbu ar renkamasi naudoti duomenų bazes kaip platformą (angl. „PaaS“) ar kaip paslaugą (angl. „SaaS“), jos turi būti atitinkamai konfigūruojamos ir prižiūrimos. Duomenų bazių izoliavimas nuo kitų sistemos komponentų naudojant viešųjų debesų tinklo segmentus ir ugniasienės komponentus yra sistemos kūrėjų atsakomybėje, todėl teisinga sistemos architektūra atlieka labai svarbų vaidmenį šiame uždavinyje. Teisingai atskyrus kuriamos sistemos komponentus, Viešajame debesyje galima užtikrinti, kad tinklo segmentuose bus atidaromi tik būtini prievadai (angl. „Ports“), o duomenys perduodami saugiai, kai kiekvienas sistemos komponentas, prieš perduodamas arba prašydamas duomenų turi autentifikuotis su jam skirtu raktu (angl. „Access key“). Papildomą apsaugos sluoksnį įneša teisingai sukonfigūruotos Viešojo debesies politikos (angl. „Policies“), kurių pagalba galima kontroliuoti visas sistemines ir vartotojų prieigas, stebėti jautrius įvykius, tokius kaip bandymus įsilaužti ar kitaip paveikti sistemą ir viską kontroliuoti su automatizavimo įrankiais, kurių pagalba galima automatizuoti sistemos atsaką į tam tikrus veiksmus ar anomalijas, o atsakingi sistemos priežiūros asmenys nedelsiant gaus apie tai pranešimus ir galės atlikti intervenciją. Šias apsaugos priemones suteikia Viešojo debesies pakete esančios paslaugos, tačiau jos nėra automatinės – jas reikia tinkamai pasirinkti ir panaudoti. BDAR kontekste reikia nepamiršti, kad asmens duomenys turi būti apsaugoti ne tik kasdienėje IT sistemos veikloje, bet ir įvykus saugumo incidentams, todėl duomenų bazėje saugomus asmens duomenis rekomenduotina šifruoti. Tokių apsaugos priemonių projektavimu ir diegimu turėtų pasirūpinti sistemą kuriantys IT specialistai.

Duomenų kopijos reikalauja tokios pačios priežiūros kaip pati sistema ar jos duomenų bazė. Svarbu turėti veikiančias atsargines duomenų kopijas, nenumatytiems programinės įrangos gedimų atvejams, tačiau taip pat labai svarbu duomenų kopijas apsaugoti jas šifruojant ir talpinant tik ribotą prieigą turinčiose viešojo debesies paslaugose, ar apsaugotame vidiniame įmonės tinkle. Jeigu duomenų kopijos naudojamos programinės įrangos kūrimo ar vystymo tikslais, būtina užtikrinti, kad šie duomenys būtų nuasmeninti.

„Etiško įsilaužėlio“ darbas – parodyti silpnąsias sistemos dalis

Norint kokybiškai ištestuoti sistemą bei nustatyti sistemos saugumo būklę turi būti naudojami tiek specializuoti komerciniai įrankiai, tiek vykdomi skirtingi saugumo testavimo tipai, pavyzdžiui programinės įrangos kodo analizė. Dar vienas saugumo testavimo tipas – jau sukurtos sistemos testavimas „juodos dėžės“ principu, kai apie sistemą nežinoma nieko, o „įsilaužti“ bandoma iš išorinio vartotojo, užpuoliko, perspektyvos. Taip pat negalima nuginčyti kito saugumo testavimo tipo – rankinio saugumo testavimo – naudos, kai didelę patirtį turintis „etiškas įsilaužėlis“ stengiasi ne tik identifikuoti pažeidžiamumus, bet ir nustatyti galimą riziką pažeidžiamumų išnaudojimo atveju.

Viena iš didžiausių su saugumo testavimu susijusių problemų yra ta, jog tai reikalauja specifinių įgūdžių bei patirties, todėl ne kiekviena maža ar vidutinė organizacija pati gali atlikti saugumo testavimo darbus. Būtent todėl rekomenduojama kreiptis į saugumo profesionalus, užsiimančius tuo kiekvieną dieną bei turinčius pakankamai patirties identifikuoti labiausiai kritines sistemos vietas, taip pat naudojančius specializuotus, komercinius saugumo auditavimo įrankius. Savo srities specialistas, atlikęs įsilaužimo testavimą, galės pateikti tiek atrastus saugumo pažeidžiamumus, tiek paaiškinti jų riziką, bei galiausiai pateikti rekomendacijas ir instrukcijas kaip pažeidžiamumus reikėtų taisyti.

Sistemos apsauga stipri tiek, kiek stipri jos silpniausia grandis

Rūpinantis informacinės sistemos apsauga, būtinas kompleksiškas požiūris. Reikėtų nepamiršti atsakomybių už informacijos apsaugą įmonėje, apsaugos reikalavimų nustatymo, tinkamų priemonių parinkimo ir diegimo kuriant, vystant bei prižiūrint informacines sistemas. Tinkamai suprojektuota sistemos architektūra ir teisingai parinktų, įgyvendintų ir reguliariai audituojamų saugos priemonių visuma – tai saugikliai, kuriuos turi įsidėti kiekviena klientų asmens duomenis sauganti įmonė.

Vitalis Kavaliauskas, „Baltic Amadeus„ technologijų direktorius




Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

www.esaugumas.lt – apsaugok savo kompiuterį!

TMS ELECTRONICS
TMS ELECTRONICS

www.rslietuva.com – nemokamas elektronikos komponentų pristatymas

„Altegra“ – elektronikos projektavimas ir gamyba

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Mokslo festivalis „Erdvėlaivis Žemė

„Deinavos baldai“ — šeimos baldai

ENEBA's game store

Technologijos.lt

LTV.LT - lietuviškų tinklalapių vitrina

Lietuvos mokinių neformaliojo švietimo centras

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

MRO Supply


Reklama
‡ 1999–2021 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Farming Simulator 2017 Mods, FS 17 Mods
ls2017.com
„TV programa“ – tiksli
televizijos programa

www.tvprograma.lt
Lietuvos mokinių neformaliojo švietimo centras
www.lmnsc.lt
Ilgalaikiai kreditai, paskola už automobilį, kreditų skaičiuoklė
www.mokilizingas.lt
Lietuvių kalba informacinėse technologijose
www.likit.lt
Mokslo festivalis „Erdvėlaivis žemė“
MoksloFestivalis.lt
Mokslo ir technologijų pasaulis – naujienos ir straipsniai
www.technologijos.lt
Farming Simulator 2019 Mods, FS19 Tractors, FS19 Maps
farmingsimulator19mods.fr
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
LTV.LT – geriausių lietuviškų tinklalapių katalogas
www.ltv.lt/technologijos/
FS19 Mods, FS17 Mods, FS15 Mods
www.farming2015mods.com
Mokslo populiarinimo projektas „Mokslas verslui ir visuomenei“
www.mokslasplius.lt
Reklama


Reklama