Ақпараттық қауіпсіздік – компания абыройы

Нарықтағы ахуалды күшейту, тұтынушыларды тарту және олардың қажеттілігін қанағаттандыру, сәтті бәсекелестік және жаһандық мақсаттарға қол жеткізу, осының бәрі компания стратегиясының негізі.

Бүгінгі күнгі ақиқатты ескере отырып, ресурстың ақпараттық қауіпсіздігін қамтамасыз етудің жоқ болуы – бұл даму стратегиясынан шеттеумен тең. Өйткені, интернет-ресурстың қолжетімділігі мен қауіпсіздігі компанияның бәсекеге қабілеттілігі мен иммиджін қолдау көрсеткіштерінің бірі болып табылады.

Кейбір ірі компаниялардың штатында күн сайын локальдық желі мен серверлерге мониторинг жүргізетін ақпараттық қауіпсіздікке жауапты қызметкерлер бар, бірақ ftp клиенттің дұрыс бапталмауына байланысты есептік жазбаларда (серверлерде) зиянкестерге компанияның дерекқорына қолжетімділік алуға мүмкіндік беретін шарасыз қателер орын алады.

Мәселен, «KZ-CERT» қызметі дерекқоры жария етіліп, тарап кеткен сыртқы ұйымның интернет-ресурсын зерттеді.
«KZ-CERT» талдау барысында компания инфрақұрылымы тораптарының бірі болып табылатын сервердің кіші домені айқындалды.

Серверге есептік жазбасы бар ftp клиент арқылы қосылған кезде зиянкестің жазусыз оқу құқығымен серверде авторлану мүмкіндігі болған. Одан кейінгі зерттеу осы серверде «жұмыс істеген» кезде компания пайдаланушыларының есептік жазбалары (логин және пароль) қамтылған мақсатты сервердегі конфигурациялық файлдарды көшіру немесе оқу мүмкіндігі ашылғанын көрсетті.

Әрине, қауіпті ештеңе бола қойған жоқ, өйткені интернет-ресурстың жария етілгені туралы ақпарат жедел зерттелді, алайда аталған баптаулардың осалдығы мынадай проблемаларға әкеп соғуы ықтимал болды:

- Ransomware, шифрлаушы шабуылы;

- Бастапқы код немесе есептік жазба түріндегі деректердің жария етілуі;

- Коммерциялық тыңшылық.

Аталған компания вебсерверінің жүйедегі құқығының деңгейі жоғары болғанын назарға ала отырып, «KZ-CERT» қызметі осалдылықтарды жою жөнінде ұсынымдар берді, оның бірі қашықтықтан іске қосуды ажырату болды.

Осы материал сізге пайдалы болып, жүйе әкімшілері серверлерге қосымша аудит жүргізеді деген үміттеміз.