Неосъзнатият риск за бизнеса и ИТ решенията.
в контекста на работата от вкъщи преодкрита възможност в следствие на  COVID-19
3 август, 2021 by
Неосъзнатият риск за бизнеса и ИТ решенията.
Хрисков, Павел Хрисков

 Повечето компании бяха против хоум-офиса и с неохота пускаха свои служители да работят от вкъщи. Изключение правеха основно компании, които имат сериозен опит и са основно в ИТ индустрията, както и имат изградена ИТ инфраструктура, които позволяват безпроблемната работа от вкъщи и значително контролираната среда в която би възникнал риска за сигурността на информацията в компанията.

На този етап пандемията освен, че удари яростно неподготвеното население, се оказа и че хвана неподготвен и огромен процент от бизнеса да функционира в условия на такъв тип криза. Въпреки всичко, за да оцелее същият неподготвен бизнес, стана достатъчно гъвкав и започна да прилага решения и модели, които се използват от години в големия корпоративен сектор и най-вече от големите и водещи ИТ компании. Това може да се каже, че е добрата новина, защото малкия бизнес видя под натиск възможности, които са били години под носа му и са можели да му спестят доста други разходи, както и дори да наемат, задържат или мотивират ценни служители. Вече доста от тези компании обмислят дали има смисъл да поддържат толкова големи административни офиси, от колкото да плащат ИТ лицензи, които са много по-предвидими на пръв поглед от поддръжката на офиса.

Все повече собственици на бизнеси обмислят да намалят офис пространствата си в бек-офис среда и да се фокусират над запазването на фронт-офиси и зали за срещи. Това определено ще доведе до доста оптимизации и спестени средства.


До тук с добрите новини, нека обаче да разгледаме и рисковете в създалата се ситуация.
Големите компании, дори и да използват някои комерсиални решения, които и малкия бизнес, всъщност са инвестирали доста в специфичното интегриране на тези решения в тяхната добре защитена инфраструктура и реално тези решения са в пъти по-добре защитени, от колкото комерсиалните им версии за малкия бизнес. Инвестира се в служителите, като се обучават непрестанно как да оперират и да се държат в такава среда, както и има изключително много интегрирани решения за защити и сигурност, които предпазват на високо ниво информацията в компанията. 

Естествено повечето хора си казват, че това са големи фирми и имат какво да пазят, докато една малка компания няма кой знае какво толкова да пази и не представлява кой-знае колко голям интерес за лошите хакери. 
Дали обаче всъщност това е така? Опитът ми показва, че определено големите корпорации имат много повече атаки, от колкото малките компании, но те определено са подготвени за големи такива обеми, защото имат какво да пазят, но определено това не означава, че малките и уязвимите не са обект на същите атаки и реално не са атакувани. Много често дори не са разбрали за нещо, че се е случило или разбират много късно или просто информацията е била до сега не много добре структурирана, защото основно се е работило локално и офлайн в офиса, и дори да е имало някакви удари, те са били незначителни и смешни. Ако обаче погледнем ситуацията днес в момент, в който хората работят от вкъщи с ИТ решения от централизиран характер и всичко се синхронизира, за да има по добра и лесна съвместна работа в екипа. Тогава обаче, дори и един да бъде ударен има огромен шанс за сериозен удар над цялата организация и цялата информация в нея.

Може би това не изглежда да е чак такъв проблем, но дали не е, ако хванете ransomware, който криптира цялата ви документация и заключи всичко на сървъра ви и срещи любезното заплащане от 5000$ - 500 000$, ще ви бъде отключено бихте мислили така. 

Вече за 15$ може да се поръча флаш памет с готов и настроен файл, който да се разгърне и инфектира цяла система, да я заключи, да ви създаде портфейл в биткойни и да изпрати автоматично писмо към жертвата с искане за откуп… Това означава, че дори едно обикновено дете, може да се сдобие с такава заплаха и да създаде доста главоболия за бизнеса ви.

Пример за подобна ситуация беше компания, в която беше инфектирано  флаш устройство на служител, който използвай същата флашка да прекачва файлове от неговия компютър на счетоводителя си. Това беше довело до пълно криптиране на счетоводната и складова база за години назад, което със сигурност доведе до доста проблеми за адекватното опериране на бизнеса. Този безобиден пример, довежда една компания до ситуация на много проблеми, особено ако я поставим в момента на кризата, че има намалени обороти и допълнителни разходи за отключване на бизнеса си…

 Друг изключително голям и много пренебрегван риск всъщност от компаниите с B2C бизнес модели е боравенето с лични данни на техни клиенти. За съжаление връщам темата за ОРЗД или по-известен като GDPR и локалния ни закон за защита на личните данни (ЗЗЛД). Някак в началото имаше някаква паника и всички, които бяха сравнително отговорни пооправиха малко административните си процеси и мерки, както и реалните им технологични решения с които пазеха личните данни на клиентите си. За съжаление една голяма група микро и малки бизнеси обаче поеха риска, но е важно да отчетат, че с изнасяне на работата в домовете на служителите им, личните данни започват да се разнасят на различни локации от служителите им и контрола ще става все по-труден. Голяма част от тези предприятия смятат, че не боравят реално с някакви лични данни, но всъщност ето дефиницията и разбирането за лични данни според хората писали регламента:

„Лични данни“ означава всяка информация, свързана с “идентифицирано или идентифицируемо живо физическо лице. Отделни данни, които когато се съберат заедно могат да доведат до идентифициране на конкретно лице, също представляват лични данни.
Лични данни, които са били деидентифицирани, кодирани или ”псевдонимизирани”, но могат да бъдат използвани за повторно идентифициране на дадено лице, остават лични данни и попадат в приложното поле на ОРЗД .
Лични данни, които са станали “анонимни” по такъв начин, че лицето не е идентифицирано или вече не може да се идентифицира, вече не се считат за лични данни. За да бъдат данните действително анонимизирани, анонимността трябва да бъде необратима.

Това означава, че реално ако държите при вас телефон и имена на клиента в качеството му на физическо лице или имена и адрес и мейл, вие вече боравите с лични данни  обект на защитата на ОРЗД или по-известен още като GDPR, а ако поради някаква причина стане пробив, то тогава организациите ги грозят сериозни глоби, които могат да бъдат унищожителни за техния бизнес, особено ако става въпрос за физически лица не български граждани от ЕС и техните данни.

Само за пример мога да дам за България два случая с големи изтичания на данни от организации при които би трябвало да има сериозно ниво на пазене на личните данни, това са случаите с НАП и Банка ДСК, от където за тях последваха и сериозни глоби в милиони левове (с което се и отърваха леко), както и заведени съдебни искове срещу тях. Вече има случаи на Частни Съдебни Изпълнители, администратори на уеб сайтове и други видове организации, за които е имало налагане на глоби от страна на Комисията за защита на личните данни, поради неопазване или правилно боравене с лични данни на техни потребители, клиенти или ответници.

Всъщност въпреки, че една компания може да си позволи да пренебрегне този риск, реално глобите могат да бъдат доста големи и това и да доведе и до други проблеми и с доверието на клиентите към съответния бизнес.

В момента много от служителите са били ограничени в офисите си, дори и на мрежово ниво, и реално и да не са били достатъчно предпазливи на някакво ниво, мрежата е била предпазвана, с което е била предпазена организацията и другите служители. За съжаление, когато са вкъщи и са в тяхната мрежа, там контрол няма и ако не са достатъчно предпазливи и научени, на елементарна дигитална-хигиена то със сигурност нивото на заплаха за организацията се покачва експоненциално, само заради рискът от фишинг-атаки или инфектиране на мрежата от колеги с вируси, като начало. За съжаление само към април 2020 – в началото на пандемията има отчетен ръст с 600% на фишинг-атаките на лично и корпоративно ниво.

Препоръчваме да се изгради политика и обучение на служителите за работа като цяло с ИТ решения, мейли и безопасно ползване на мрежата, като би било полезно да се ползва VPN, ако се ползват ресурси на компанията, които не би трябвало да са публично достъпни, изисквания за настроени firewalls.

На второ място идва и казусът, с това че доста малки бизнеси пуснаха служителите си да работят от вкъщи с персонални устройства на служителите, които не са под административен контрол на организацията, с което още една бариера е вдигната пред злонамерените към организацията. Много често разбиването на личната парола на собственото устройство, се оказва че е и същата парола за много други приложения в корпоративната мрежа, което води до доста увеличен риск от уязвимост на корпоративната мрежа и самата организация.

Препоръчваме да се изгради политика и обучение на служителите при работа от лични устройства, да се създадат правила за работа и защита на корпоративната среда и двуфакторна идентификация (2FA, като ползване на хардуерен ключ, изпращане на еднократни пароли с Google Authenticator или друг провайдър, SMS, Telegram, Signal или друго подобно решение ), както и изисквания за настроени firewalls и наличие на включени антивирусни програми, и включени ъпдейти за сигурността на операционната система, което води до изискване към лицензиран софтуер.

На трето място бих поставил и казусът с идентифициране с просто една парола, която много често не се и сменя и тя е такава от години, но това реално може да доведе до възползване както от стари служители, така и от някой, който я е прихванал.

Препоръчваме да се установи политика в организациите за паролите, примерно ниво и дължина на паролите минимум 8 знака – букви големи и малки, цифри и символи, както и паролите да се сменят на всеки 3 – 6  месеца и по възможност дву-факторна идентификация.

Друг казус е и това, че голяма част от комуникацията и файловете, които се разменят са в чист вид и не са криптирани, и това може да доведе до прихващане на чувствителни данни и информация, които могат да доведат до доста проблеми в последствие за организацията.

Препоръчваме да се използват решения за криптиране на връзката, комуникацията, да се внимава, кой е реалния подател, а именно да се гледат домейни и юзъри, дали са меродавни, както и да се правят все пак на някакво ниво имало ли е опити някой по някакъв начин да се логва дори и неуспешно и да се вземат мерки за осуетяване на евентуални бъдещи пробиви.




Като заключение на кратко бих искал да очертая, че популярния „хоум-офис“ и използването на решения за отдалечена работа, без направен предварителен анализ със специалист в сферата на ИТ и сигурност на информацията, може да доведе, до неприятни последици, като: 

  • Загуба на ценна информация заради крипто-вируси, които стават все по-разпространени;

  • Отбягването ви от страна на клиентите ви поради, това че сте заразени на ИТ ниво, по абсолютно същия начин, по-който биха ви отбягвали физически, ако знаят, че имате инфекциозно заболяване.

  • Деградация на доверието в бранда ви, което ще доведе до финансови последици за бизнеса в дългосрочен мащаб.

  • Налагане на глоби от институции или дори съдебни искове срещу компаниите от самите клиенти.


С цел запазване на някакво ниво на защита препоръчваме да се посъветвате с ИТ специалист или консултант по управление и структуриране на бизнес процесите, преди ползване на решения за дистанционна работа, особено при обработка на лични и чувствителни данни от ваши служители от вкъщи. Също е добре да вземете под внимание и имплементирате поне част от следните поведенчески и технологични мерки:

  • Потребителите да използват Операционната Система  без административни  права, с цел ограничаване на инсталирането на зловреден код;

  • Firewalls винаги активни;

  • Дву-факторна идентификация - 2FA (TOTP - Google Authentication, 2FU, SMS и други подобни услуги);

  • Криптиране - еncryption (на файлове, устройства и връзка);

  • VPN (виртуална, частна мрежа)

  • Избягване на ползване на лични устройства, върху които нямаме контрол или административни права.

  • Използване на лицензиран софтуер и операционни системи 

  • Активирани и актуални Антивирусни системи, дори и да са безплатни версии или вградени в Операционната система по-добре да са активирани, за хора които нямат добра дигитална култура.

  • Обучения

  • Спешността винаги да се поставя под съмнение

  • Проверка и бдителност за опити на измама чрез социално инженерство и фишинг атаки - гледайте подателя (домейна) и не забравяйте, че ако нещо е изключително спешно за някой, той няма да използва реално мейл или чат за комуникация с вас.

Комплексни IT решения, като RICE конфигурацията, могат да бъдат добро решение за малките бизнеси, защото са сравнително достъпни и предоставят голям процент от защитите на едно място и същевременно играят ролята на централизиран информационен оперативен портал за служителите и клиентите им. С подобен клас система колаборацията е сравнително улеснена, администрацията е централизирана и контролирана, както и има пълен поглед и контрол от страна на организацията, какво се случва с данните/файловете и кой е имал или се е опитал да има достъп до тях, а най-важното е че данните са на сигурно в офиса и не са разпилени навсякъде.

Неосъзнатият риск за бизнеса и ИТ решенията.
Хрисков, Павел Хрисков
3 август, 2021
Сподели този пост