Течът в НАП и уроците от него
Потенциално най-големия теч на персонални данни в историята на България е реалност. Една от над 100 електронни услуги на Национална агенция за приходите беше компрометирана, което докара до приключването на персонални данни за милиони физически и юридически лица.
Тук няма да разясняваме какви и какъв брой са данните, източени от Национална агенция за приходите, по какъв начин тъкмо е компрометирана услугата или други механически параметри. Ще приказваме за това какви може да са следствията от теча и какви са поуките, които би трябвало да си извадим от случилото се. Обикновено главните аргументи за сходни пробиви са композиция от човешки и механически фактори. В случая най-вероятно става въпрос за уязвима система, която не е била тествана и следена с нужното внимание. Например, липсва информация дали случаят е засечен от Security Operation Center към Министерство на финансите.
Ефектите за засегнатите жители и компании
Течът е реалност, а с него идва и следствието, че ваши персонални данни може да циркулират свободно из интернет. Но защо може да бъде употребена тази информация – или другояче казано, от какво да се пазите?
Насочени офанзиви против вас : Освен, че се появявате на радара на киберпрестъпници, те знаят доста повече за вас. Знаят имената ви, вероятно и приходите ви и могат да преценяват по какъв начин и с какво да ви изнудват. Подлагайте на подозрение всяко известие, което получавате, и в което се желае потвърждаване на данни или опасност. Компрометиране на сметки : Хакерите могат да се опитат да употребяват евентуално откраднатите данни за опити за достъп до профили в уеб сайтове на засегнатите консуматори, да разрушават пароли за обществени медии и други Препродажба на персонални данни: Информацията може да бъде препродадена и в следствие – с нея да бъде злоупотребено. Кражба на online или offline идентичност: Онлайн и офлайн нарушители могат да се показват за вас пред разнообразни институции, като злоупотребяват с наличната информация. Трудно ще бъде изтеглен заем на ваше име, само че може да има доста други последствия. Например, да бъде поискана „ спомагателна информация “ от атакуващи, които да се възползват от наличната информация. Затова, следете кой е действителния адресант на писмото (реалния имейл), а не просто кое е името му.
Какво може да извършите?
Независимо дали сте частна или държавна организация, първото, което би трябвало да извършите, е да вземете киберсигурността си насериозно. По данни на Национален статистически институт, под 20% от българските предприятия имат тактика за отбрана на информацията си. А информацията е контракти, предложения, интелектуална благосъстоятелност, данни на чиновници и така нататък На процедура информацията, това е бизнесът ви. Предвид смисъла на информацията за една организация, киберпрестъпниците стават все по-креативни, когато става въпрос за заобикалянето на отбраната ви.
За да гарантирате базовата си сигурност, ви предлагаме да приемете систематичен метод към отбраната на основни активи и информация. ИТ сигурността е развой, който включва механически, административни, човешки фактори и процеси. Само съществуването на механически средства за отбрана е незадоволително изискване – те би трябвало да бъдат конфигурирани, поддържани, ъпдейтвани, ръководени и следени от хора с съответни знания и опит.
Всяка държавна електронна услуга би трябвало да се управлява и тества от експерти с приет опит през целият ѝ витален цикъл - планиране, правене, издание и експлоатиране. Недостигът на човешки запас може най-удачно да се компенсира благодарение на бизнеса с потвърдени пълномощия от действителната процедура на изпълнителите на всяка една система.
Тук няма да разясняваме какви и какъв брой са данните, източени от Национална агенция за приходите, по какъв начин тъкмо е компрометирана услугата или други механически параметри. Ще приказваме за това какви може да са следствията от теча и какви са поуките, които би трябвало да си извадим от случилото се. Обикновено главните аргументи за сходни пробиви са композиция от човешки и механически фактори. В случая най-вероятно става въпрос за уязвима система, която не е била тествана и следена с нужното внимание. Например, липсва информация дали случаят е засечен от Security Operation Center към Министерство на финансите.
Ефектите за засегнатите жители и компании
Течът е реалност, а с него идва и следствието, че ваши персонални данни може да циркулират свободно из интернет. Но защо може да бъде употребена тази информация – или другояче казано, от какво да се пазите?
Насочени офанзиви против вас : Освен, че се появявате на радара на киберпрестъпници, те знаят доста повече за вас. Знаят имената ви, вероятно и приходите ви и могат да преценяват по какъв начин и с какво да ви изнудват. Подлагайте на подозрение всяко известие, което получавате, и в което се желае потвърждаване на данни или опасност. Компрометиране на сметки : Хакерите могат да се опитат да употребяват евентуално откраднатите данни за опити за достъп до профили в уеб сайтове на засегнатите консуматори, да разрушават пароли за обществени медии и други Препродажба на персонални данни: Информацията може да бъде препродадена и в следствие – с нея да бъде злоупотребено. Кражба на online или offline идентичност: Онлайн и офлайн нарушители могат да се показват за вас пред разнообразни институции, като злоупотребяват с наличната информация. Трудно ще бъде изтеглен заем на ваше име, само че може да има доста други последствия. Например, да бъде поискана „ спомагателна информация “ от атакуващи, които да се възползват от наличната информация. Затова, следете кой е действителния адресант на писмото (реалния имейл), а не просто кое е името му.
Какво може да извършите?
Независимо дали сте частна или държавна организация, първото, което би трябвало да извършите, е да вземете киберсигурността си насериозно. По данни на Национален статистически институт, под 20% от българските предприятия имат тактика за отбрана на информацията си. А информацията е контракти, предложения, интелектуална благосъстоятелност, данни на чиновници и така нататък На процедура информацията, това е бизнесът ви. Предвид смисъла на информацията за една организация, киберпрестъпниците стават все по-креативни, когато става въпрос за заобикалянето на отбраната ви.
За да гарантирате базовата си сигурност, ви предлагаме да приемете систематичен метод към отбраната на основни активи и информация. ИТ сигурността е развой, който включва механически, административни, човешки фактори и процеси. Само съществуването на механически средства за отбрана е незадоволително изискване – те би трябвало да бъдат конфигурирани, поддържани, ъпдейтвани, ръководени и следени от хора с съответни знания и опит.
Всяка държавна електронна услуга би трябвало да се управлява и тества от експерти с приет опит през целият ѝ витален цикъл - планиране, правене, издание и експлоатиране. Недостигът на човешки запас може най-удачно да се компенсира благодарение на бизнеса с потвърдени пълномощия от действителната процедура на изпълнителите на всяка една система.
Източник: manager.bg
КОМЕНТАРИ