Kaj je kršitev varnosti podatkov?

Če želimo razumeti, kako pride do kršitev varnosti podatkov, moramo gledati onkraj enega samega dogodka. Večina kršitev varnosti je rezultat verige ranljivosti, napak ali spregledanih tveganj, ki jih lahko zlonamerni akterji izkoristijo.

Kibernetski napadalci običajno pridobijo dostop tako, da poiščejo najlažjo vstopno točko, pogosto prek vrzeli v ljudeh ali procesih, in ne zgolj prek tehničnih slabosti. Pogosti primeri so:

• Lažno predstavljanje in socialni inženiring. Lažno predstavljanje je še vedno ena najpogostejših vstopnih točk. Zlonamerni akterji se izdajajo za zaupanja vredne entitete – na primer ekipe IT ali dobavitelje – da bi uporabnike pretentali, da jim posredujejo poverilnice ali odobrijo zahteve za dostop. Podobne taktike, kot je glasovno lažno predstavljanje, za isti cilj uporabljajo telefonske klice.
• Ogrožene poverilnice. Šibka ali ponovno uporabljena gesla še vedno predstavljajo veliko tveganje. Brez robustnih nadzorov preverjanja pristnosti, kot je večkratno preverjanje pristnosti, lahko kibernetski napadalci pridobijo dostop, ne da bi sprožili takojšnje alarme.
• Neodpravljene ranljivosti. Zastareli sistemi in programska oprema lahko razkrijejo znane ranljivosti. Zlonamerni akterji aktivno pregledujejo te slabosti in jih izkoriščajo za vstop.
• Napačno konfigurirane storitve. Okolja v oblaku uvajajo tveganje, ko so shramba ali storitve nepravilno konfigurirane. Podatkovne shrambe, ki so javno dostopne, so pogost vir kršitev varnosti.
• Izpostavljenost prek tretjih oseb. Dobavitelji in partnerji imajo pogosto dostop do internih sistemov in skupnih platform, kot so orodja za upravljanje odnosov s strankami (CRM). Če je njihovo stanje varnosti šibkejše, lahko postanejo posredna vstopna točka.
• Dejanja notranjih uporabnikov. Niso vse kršitve varnosti zunanje. Zaposleni ali pogodbeni sodelavci lahko nenamerno razkrijejo podatke, v nekaterih primerih pa lahko delujejo zlonamerno.

Večina kibernetskih napadalcev se premišljeno premika skozi zaporedje stopenj, ki so zasnovane tako, da povečajo učinek in hkrati preprečijo zaznavanje. Med temi so:

• Raziskovanje in izvidništvo – zlonamerni akterji zbirajo informacije o sistemih, uporabnikih in morebitnih ranljivostih, da prepoznajo dragocene tarče.

• Začetni dostop – kibernetski napadalci pridobijo vstop prek ogroženih poverilnic, lažnega predstavljanja ali drugih ranljivosti.

• Vztrajnost – vzpostavijo načine za ohranjanje dostopa skozi čas, tudi če nameravana tarča odkrije začetne vstopne točke.

• Lateralno premikanje – iz enega samega ogroženega računa zlonamerni akterji poskušajo razširiti dostop na različne sisteme, pri čemer pogosto ciljajo na privilegirane račune, ko je to mogoče.

• Nepooblaščeno filtriranje podatkov – občutljivi podatki se zberejo in prenesejo iz okolja, včasih v majhnih količinah, da se izognejo zaznavanju.

• Monetizacija ali izsiljevanje – ukradeni podatki se lahko prodajo, javno razkrijejo ali uporabijo v shemah izsiljevalske programske opreme ali izsiljevanja.

Življenjski cikel kršitve varnosti podatkov poudarja, zakaj sta robusten nadzor identitete in zgodnje zaznavanje ključna za omejevanje škode.

Organizacije se soočajo z več različnimi vrstami kršitev varnosti podatkov, pri čemer ima vsaka svoja tveganja in strategije za ublažitev. Čeprav se te kategorije pogosto prekrivajo, pomaga, da jih ekipe razumejo kot posamezne dogodke, da lahko določijo prednostne naloge za kibernetsko obrambo.

Zunanji kibernetski napadalci uporabljajo tehnike, kot so zlonamerna programska oprema, izsiljevalska programska oprema ali polnjenje poverilnic, da pridobijo dostop. Pri napadih s polnjenjem poverilnic zlonamerni akterji uporabljajo ukradene kombinacije uporabniških imen in gesel, da poskušajo dostopati do več računov. Ti kibernetski napadi so pogosto avtomatizirani in ciljajo na pogosto pojavljajoče se ranljivosti.

Notranje kršitve varnosti so lahko zlonamerne ali nenamerne. Zaposleni lahko na primer namerno izvleče podatke za osebno korist ali pa nenamerno razkrije občutljive informacije zaradi nepravilno konfiguriranih nastavitev skupne rabe ali zaradi socialnega inženiringa.

Naprave, kot so prenosniki, zunanji pogoni ali celo natisnjeni dokumenti, se lahko izgubijo ali ukradejo. Če niso ustrezno zavarovane, lahko razkrijejo občutljive podatke zunaj nadzora organizacije.

Ko organizacije uvajajo storitve v oblaku, lahko napačno konfigurirano shranjevanje ali dovoljenja omogočijo javni dostop do podatkov. Te težave je pogosto težko zaznati brez stalnega spremljanja.

Organizacije se vse bolj zanašajo na partnerje in dobavitelje. Kršitev varnosti, ki vpliva na tretjo osebo, lahko razkrije podatke v skupni rabi tudi, če sistemi organizacije ostanejo varni.

Ogroženost poverilnic – zaradi lažnega predstavljanja, ponovne uporabe gesel ali napadov s preizkušanjem velikega števila možnosti – je eden najpogostejših vzrokov kršitev varnosti na osnovi identitete, saj kibernetskim napadalcem omogoča dostop do sistemov in podatkov z veljavnimi poverilnicami.

Kršitev varnosti podatkov ima lahko daljnosežne posledice, ki presegajo takojšnje tehnično popravljanje/posodabljanje. Za številne organizacije največji vpliv ni sama kršitev varnosti, ampak posledični učinki, ki sledijo.

Stroški kršitve varnosti podatkov vključujejo več plasti odzivanja in obnovitve. Ko kršitev varnosti povzroči uhajanje podatkov, morajo organizacije raziskati dogodek, zajeziti grožnjo, obvestiti prizadete osebe in pogosto zagotoviti storitve za popravljanje/posodabljanje, kot je spremljanje kreditne sposobnosti.

Na operativni ravni lahko kršitve varnosti motijo poslovne procese, zavlečejo projekte in preusmerijo sredstva stran od strateških prioritet.

Organizacije morajo izpolnjevati tudi zahteve, povezane s skladnostjo s predpisi, ki se razlikujejo glede na regijo in panogo, vključno s strogimi časovnimi roki za poročanje o kršitvah varnosti in vodenjem evidenc dejavnosti obdelave podatkov ter zemljevidov podatkov.

Pogosta regulativna ogrodja so:

• Splošna uredba o varstvu podatkov (GDPR) zahteva pravočasno obvestilo o kršitvi varnosti in stroge prakse ravnanja s podatki.
• Kalifornijski zakon o varstvu zasebnosti potrošnikov (CCPA)/California Privacy Rights Act (CPRA) se osredotoča na pravice potrošnikov do zasebnosti in preglednost.
• Health Insurance Portability and Accountability Act (HIPAA) ureja varovanje zdravstvenih informacij.
• Standardi varnosti podatkov industrije plačilnih kartic (PCI DSS) veljajo za varnost podatkov plačilnih kartic.

Neizpolnjevanje zahtev lahko privede do glob, pravnih postopkov in večjega nadzor s strani regulatorjev.

Poleg finančnih in pravnih posledic lahko kršitve varnosti omajejo zaupanje. Stranke, partnerji in zainteresirane skupine lahko izgubijo zaupanje v sposobnost organizacije za zaščito občutljivih informacij – zlasti kadar tveganja, kot so senčni podatki, napadi na osnovi identitete ali notranje grožnje, povečajo obseg in vpliv kršitve varnosti. Ta vpliv je pogosto težko količinsko opredeliti, vendar je lahko sčasoma velik.

Tudi če so vzpostavljeni robustni preventivni ukrepi, morajo organizacije predvidevati, da lahko pride do kršitev varnosti. Sposobnost hitrega zaznavanja in odzivanja je ključna za zmanjšanje vpliva.

Sodobno zaznavanje temelji na povezovanju signalov med sistemi, uporabniki in podatki, vključno s/z:

• Spremljanjem dejavnosti s platformami za upravljanje varnostnih informacij in dogodkov (SIEM) ter avtomatiziran odziv varnostne orkestracije (SOAR).
• Uporabo telemetričnih podatkov končne točke in identitete za zaznavanje anomalij.
• Uporabo pravilnikov o preprečitvi izgube podatkov (DLP) za prepoznavanje nenavadnega premikanja podatkov.

Te zmogljivosti so pogosto del širše strategije varnosti IT, ki združuje več orodij in virov podatkov.

Učinkovit načrt odziva na dogodek pomaga zagotoviti, da lahko varnostne ekipe ukrepajo hitro in dosledno.

Ključne komponente so med drugim:

• Jasno opredeljene vloge in poti za posredovanje na višjo raven
• Vnaprej pripravljeni priročniki za pogoste scenarije
• Poteki dela za pravne zadeve in skladnost s predpisi
• Komunikacijski načrti za interne ekipe, stranke in zunanje zainteresirane skupine

Ko je kršitev varnosti ugotovljena, je treba takoj ukrepati, da se omeji njeno širjenje.

Organizacije običajno sprejmejo naslednje ukrepe:

• Izoliranje prizadetih sistemov ali identitet.
• Preklic dostopa in zamenjava poverilnic.
• Ohranitev dokazov za raziskavo.

Po zajezitvi se ekipe osredotočijo na obnovitev sistemov in zmanjšanje tveganja ponovitve. Obnovitev pogosto vključuje:

• Obnovitev poslovanja iz čistih varnostnih kopij.
• Potrditev celovitosti sistema in nadzorov dostopa.
• Prepoznavanje vrzeli in okrepitev obrambe.
• Izboljšanje odzivnih prizadevanj z rednim preskušanjem.

Za preprečitev kršitve varnosti podatkov organizacije potrebujejo proaktiven, večslojen pristop, ki obravnava identiteto, podatke, infrastrukturo in vedenje ljudi. Priporočamo vam, da uporabite te najboljše varnostne prakse:

• Uvedite model Ničelno zaupanje: Ničelno zaupanje temelji na načelu »nikoli ne zaupaj, vedno preveri«. To pomeni neprekinjeno potrjevanje zahtev za dostop, uveljavljanje minimalnih pravic in predpostavljanje, da lahko do kršitve varnosti pride kadar koli.
• Okrepite varnost identitete: identiteta je pogosto glavni vektor napada. Organizacije morajo uveljavljati večkratno preverjanje pristnosti, spremljati tveganje identitete, omejiti prednostni dostop in redno menjavati skrivnosti, da zmanjšajo izpostavljenost.
• Zaščitite podatke z upravljanjem: podatke je treba razvrstiti glede na občutljivost, pri čemer morajo biti vzpostavljeni ukrepi za preprečevanje nepooblaščenega dostopa ali skupne rabe. Rešitve, usklajene z upravljanjem stanja varnosti podatkov (DSPM), pomagajo organizacijam razumeti, kje so občutljivi podatki shranjeni in kako se uporabljajo.
• Zaščitite okolja v oblaku: uvedba oblaka prinaša nova tveganja. Rešitve, kot so upravljanje stanja varnosti v oblaku (CSPM), platforme za zaščito dela v oblaku (CWPP) in platforme za zaščito izvornih aplikacij v oblaku (CNAPP), pomagajo prepoznati napačne konfiguracije in ranljivosti, preden jih je mogoče izkoristiti.
• Upravljajte ranljivosti in zmanjšajte tarčo napada: redno nameščanje popravkov in upravljanje ranljivosti pomagata odpraviti znane slabosti, preden jih je mogoče izkoristiti.
• Zmanjšajte človeško tveganje: zaposleni ostajajo ključna obrambna linija. Redno usposabljanje pomaga uporabnikom prepoznati tehnike socialnega inženiringa – kot sta lažno predstavljanje ali glasovno lažno predstavljanje – in se izogniti pogostim napakam, ki vodijo do kršitev varnosti.
• Zmanjšajte tveganje tretjih oseb: dobavitelje in partnerje je treba redno ocenjevati, da izpolnjujejo varnostne zahteve in ne povzročajo dodatne izpostavljenosti.
• Pripravite se na dogodke: tudi močna obramba lahko odpove. Organizacije morajo redno testirati načrte odziva na dogodek s simulacijami in praktičnimi vajami, da zagotovijo pripravljenost.

Za obvladovanje tveganja kršitve varnosti podatkov ni dovolj le zaščititi podatke. Potrebna sta usklajena vidljivost in nadzor za identiteto, podatke, končne točke, okolja v oblaku in varnostne rešitve. Varnostne rešitve Microsoft so zasnovane tako, da delujejo skupaj in podpirajo ta pristop.

Med ključnimi področji rešitve so:

• Zaščita identitete–Microsoft Entra pomaga zaščititi pred napadi na osnovi poverilnic z večkratnim preverjanjem pristnosti, pogojnim dostopom in zaznavanjem tveganj pri identitetah.
• Varnost in upravljanje podatkov – Microsoft Purview je zasnovan tako, da organizacijam pomaga razvrščati, zaščititi in upravljati občutljive podatke skozi njihov celotni življenjski cikel.
• Zaščita pred grožnjami – Microsoft Defender zagotavlja razširjeno odzivanje in zaznavanje v končnih točkah, e-pošti in aplikacijah v oblaku.
• Stanje varnosti v oblaku–Microsoft Defender for Cloud pomaga zavarovati delovne obremenitve v oblaku in prepoznati napačne konfiguracije z zmogljivostmi CSPM in CNAPP.
• Varnostni postopki–Microsoft Sentinel podpira napredno zaznavanje groženj, raziskovanje in avtomatiziran odziv.