როგორ შეუძლიათ ცენტრალური და ადგილობრივი ხელისუფლების ორგანოებს დაიცვან მონაცემები




ცენტრალური და ადგილობრივი ხელისუფლების ორგანოები ყოველთვის იდგნენ მონაცემთა უსაფრთხოების გამოწვევის წინაშე. სამთავრობო ინფრასტრუქტურაში არებული მოძველებული სისტემების გარდა, სირთულეებს ემატება ისიც, რომ ბევრი სამთავრობო უწყება ეყრდნობა მესამე მხარის კონტრაქტორებს სერვისებისა და გადაწყვეტილებების განსახორციელებლად. მოქალაქეთა პირად მონაცემებთან დაკავშირებული დარღვევების ზრდის გამო, კონტრაქტორებისადმი ნდობა, ბოლო რამდენიმე წლის განმავლობაში, მზარდი ყურადღების ქვეშ ექცევა.

გიზიარებთ Progress-ის ელექტრონული წიგნის თარგმანს, რომელშიც განხილულია, თუ რატომ არიან ქალაქის თუ მთავრობის კონტრაქტორები კიბერკრიმინალებისთვის მარტივი სამიზნე და რომლიდანაც შეიტყობთ მეტს საკითხებზე:


• რატომ არის ჰაკერების საყვარელი სამიზნე სახელმწიფო და ადგილობრივი თვითმმართველობის ორგანოების IT ინფრასტრუქტურა


• დაბალდანახარჯიანი რჩევები სახელმწიფოსა და ადგილობრივი მთავრობების უსაფრთხოების გასაუმჯობესებლად


• როგორ გაამწვავა COVID-19 პანდემიამ მონაცემთა უსაფრთხოების პრობლემები


• ბარიერები, რომელთაც სახელმწიფო და ადგილობრივი IT გუნდები აწყდებიან მონაცემთა უსაფრთხოების თვალსაზრისით


• რატომაა ფაილების გადაცემის პროტოკოლი (FTP) მოძველებული ტექნოლოგია მონაცემთა უსაფრთხოებისთვის

• როგორ შეუძლია MFT-ს (Managed File Transfer) ძველი FTP სერვერების ჩანაცვლება


2015 წელს მიჩიგანის უნივერსიტეტის მიერ გამოქვეყნებულმა კვლევამ აჩვენა, რომ 13,8 მილიონი FTP სერვერია დაკავშირებული ინტერნეტთან. მათგან 1.1 მილიონი ანონიმურია (პაროლს არ საჭიროებს), ხოლო 600 მილიონი ფაილი ღიადაა გამოაშკარავებული ინტერნეტში.


კიბერ კრიმინალების ფავორიტი სამიზნეები


სახელმწიფოსა და ქალაქების IT ინფრასტრუქტურები დიდი ხანია სამიზნეებს წარმოადგენს ორი ძირითადი მიზეზის გამო: ისინი ინახავენ მოქალაქეების შესახებ პირად ინფორმაციას, რომელსაც კიბერკრიმილანები პირადობის მოპარვისა და ფინანსური თაღლითობისთვის იყენებენ; და, უმეტეს შემთხვევაში, IT ინფრანსტრუქტურა არაა დაცული, შესაბამისად, ადვილად ხელმისაწვდომია კიბერკრიმინალებისთვის.


მმართველობითი ორგანოების დიდი ნაწილი დაუცველი რჩება იმ მიზეზით, რომ IT ბიუჯეტები არაა საკმარისი, საჭირო რაოდენობის ფული არ რჩება ტექნოლოგიებში, პროცესებში, გამოცდილებასა და რესურსებში ინვესტირებისთვის.


შედეგად, ბევრი ცენტრალური და ადგილობრივი ხელისუფლების IT ინფრასტრუქტურა მუშაობს მოძველებული ტექნოლოგიით, რომელიც ვერ უძლებს დღევანდელ ,,დახვეწილ“ კიბერშეტევებს.


6 დაბალდანახარჯიანი რჩევა, რომელიცდაეხმარება ცენტრალურდა ადგილობრივ ხელისუფლებას უსაფრთხოების გაუმჯობესებაში


არსებობს შედარებით დაბალბიუჯეტური ზომები, რომლებიც შეიძლება მმართველობითი ორგანოების IT გუნდებმა მიიღონ:


1. პასუხისმგებელი პირის დანიშვნა - საჭიროა მინიმუმ ერთი კადრი, რომელიც პასუხისმგებელი იქნება კიბერუსაფრთხოებაზე და საჭირო ბიუჯეტისა და რესურსების განსაზღვრაზე. მაშინაც კი, თუ მოქმედების არეალი საკმაოდ ვიწროა, მაინც იარსებებს თანამშრომელი, რომელიც მუდმივად იფიქრებს არსებული რესურსებიდან მაქსიმალური სარგებლის მიღებაზე.


2. დოკუმენტირება და გაზომვა - IT უსაფრთხოების პრობლემებზე პასუხები ზოგჯერ თავს იჩენს, უბრალოდ, ყოველი აპარატურული და პროგრამული უზრუნველყოფის სიის შედგენით და შემდეგ უსაფრთხოების ინციდენტების დოკუმენტირებით. შესაძლოა, სათანადო პატერნის არჩევამ დიდი საკითხების მოგვარებას გაუხსნას გზა.


3. გამარტივება - რაც უფრო რთულია IT ინფრასტრუქტურა, მით უფრო რთულია მისი დაცვა. IT გარემოს გამარტივება აადვილებს უსაფრთხოების უფრო ძლიერი მდგომარეობის შექმნას და მის შენარჩუნებას კიბერშეტევების ახალი მეთოდების განვითარებასთან ერთად. გამარტივებული გარემო შესაძლოა, უფრო ნაკლებიც კი დაგიჯდეთ - შესაბამისად, მეტი ბიუჯეტი გამოთავისუფლდება უსაფრთხოებისთვის!


4. კოლეგებთან კომუნიკაცია - ესაუბრეთ კოლეგებს IT სფეროდან სხვა სახელმწიფოებიდან და ქალაქებიდან. ვინაიდან, თქვენ მსგავს პრობლემებს აწყდებით, მათ გადასაჭრელად, შესაძლოა, მსგავსი გადაწყვეტილებებიც მიგიღიათ. ამ გადაწყვეტილებებისანალიზი და განხილვა საინტერესო იქნება. ნებისმიერ შემთხვევაში, თქვენ გექნებათ დიდი ცოდნა, რომელიც სარგებლის მომტანი იქნება ერთმანეთისთვის.


5. თანამშრომლებთან კომუნიკაცია - საბოლოო მომხმარებლებმა ბევრი რამ იციან იმის შესახებ, თუ რა ხდება თქვენს ქსელში და ისინი შესაძლოა, რისკების იდენტიფიცირებაში დაგეხმარონ. ხშირად, სწორედ მათი მეშვეობით ხდება მრავალი კიბერშეტევა, როგორიცაა მავნე ბმულებზე და დანართებზე გადასვლა მათგან დახმარების მიღება და მათთვის სწავლება, თუ რა არ უნდა გააკეთონ, მიგიყვანთ უსაფრთხოების გასაუმჯობესებამდე.


6. საუკეთესო პრაქტიკის გაზიარება - ინტერნეტში ბევრი რესურსია უსაფრთხოების საუკეთესო პრაქტიკის შესახებ, რომელიც უფასოდაა ხელმისაწვდომი. დასაწყებად იდეალურიაNIST სტანდარტი. თქვენ შეიძლება, ასევე, თქვენი მესამე მხარის პარტნიორების მიერ გამოყენებულ წესებსა და პროცესებს დაესესხოთ. მათაც ისევე სურთ, თავიანთ IT ეკოსისტემებს ძლიერი პოციზიები ეკავოთ, როგორც თქვენ.


თუ თქვენ ხართ ცენტრალური ან ადგილობრივი ხელისუფლების IT გუნდში, თქვენ ყველა სხვა სახელმწიფო და ადგილობრივ ხელისუფლებასთან ერთად იმყოფებით უზარმაზარ ასპარეზზე: ჰაკერებს ასარჩევად ბევრი სამიზნე ჰყავთ და ისინი მოძებნიან სამთავრობო უწყებებს უსაფრთხოების ყველაზე სუსტი მდგომარეობით - თუ თქვენი დაცულობა ცოტათი უფრო ძლიერია სხვებთან შედარებით, შეგიძლიათ, აიცილოთ კიდეც თავიდან კიბერშეტევები.


ახალირეალობა სახელმწიფოდაადგილობრივიმთავრობების IT გუნდებისთვის


მას შემდეგ, რაც კორონავირუსის გავრცელების შესაჩერებლად კარანტინი და შეზღუდვები დაწესდა, მსოფლიოში IT მიმართულებით ახალი პასუხისმგებლობები გაჩნდა.


ჯერ კიდევ 2011 წელს, CDC-ს მიერ დატესტილი შესაძლო კატასტროფული შემთხვევები აპოკალიფსურ სცენარებსაც კი მოიცავდა. 2019 წლის ბოლოს, ჯონ ჰოპკინსის ბლუმბერგის საზოგადოებრივი ჯანდაცვის სკოლის მოხსენებამ დაასკვნა, რომ შეერთებული შტატები ყველაზე მეტად იყო მომზადებული, სხვა ქვეყნებთან შედარებით, ნებისმიერი ეპიდემიის დასაძლევად.

საჯარო ორგანოები, უმეტესწილად, ნელა იცვლებიან და, განსხვავებით კერძო დაწესებულებებისგან, არასაკმარისად იყვნენ მომზადებულნი იმ მოთხოვნების დასაკმაყოფილებლად, რომლებიც COVID-19 პანდემიამ დააკისრა.


თუ პანდემიამდე სახელმწიფო და ადგილობრივი მთავრობები ყოველთვის ასრულებდნენ თავიანთ მოვალეობებს შესაბამისი ოფისებიდან, ბოლო ათწლეულის განმავლობაში, გაჩნდა დისტანციურად მუშაობის საჭიროება და არამარტო - IT გუნდებს ბევრად მეტი საკითხი გაუჩნდათ განსახილველი და ბევრად უფრო მრავალფეროვანი პრობლემების წინაშეც აღმოჩნდნენ.


როგორ გაამწვავა COVID-19 პანდემიამ მონაცემთა უსაფრთხოების პრობლემები


ცენტრალური და ადგილობრივი ხელისუფლების IT გუნდები თავიდანვე არახელსაყრელ მდგომარეობაში აღმოჩნდნენ, რაც, ძირითადად, განპირობებული იყო:


• შეზღუდული, ტრადიციული საოფისე ინფრასტრუქტურით;


• დისტანციურად მუშაობის მცირე შესაძლებლობებით;


• ისეთი ღრუბლოვანი გადაწყვეტილებებით (cloud solutions), რომლებიც განსხვავდებოდა ფუნქციებისა და ლოკაციების მიხედვით.


მთავრობის ახალი გამოწვევები და ამოცანები მოიცავდა:


1. დისტანციური სამუშაო ძალის მობილიზებას;

2. ჯანდაცვისა და სამართალდამცავ ორგანოებში ფრონტის ხაზზე მომუშავე თანამშრომლების უსაფრთხოების დაცვასა და სწრაფი კომუნიკაციის უზრუნველყოფას;

3. მოქალაქეთათვის მომსახურების გაწევას ნებისმიერ პირობებში, შესაბამისი ინფორმაციების ხელმისაწვდომობის უზრუნველყოფასა და დაზარალებულთა ან რისკის ქვეშ მყოფთა შეკითხვებზე სწრაფ რეაგირებას;

4. მოსახლეობისთვის ინფორმაციის მუდმივ მიწოდებას ეპიდ ვითარების შესახებ;

5. სამთავრობო ინფრასტრუქტურებში აღმოცენებულ სისუსტეებთან ერთად მომრავლებულ კიბერ შეტევებთან გამკლავებას და მრავალ სხვას.


ბარიერები, რომელთაც სახელმწიფო და ადგილობრივი IT გუნდები აწყდებიან მონაცემთა უსაფრთხოების თვალსაზრისით


ეპიდემიის მიერ განპირობებული მკაცრი რეალობიდან გამომდინარე, IT განახლებები შეფერხდა რამდენიმე გზით, მათ შორისაა:


• თავდასხმების გაზრდილი რაოდენობა


ჰაკერებმა და თაღლითებმა ისარგებლეს სიტუაციით და მომრავლდა შემთხვევები, როდესაც მსხვერპლის მოსატყუებლად თავს აჩვენებდნენ, რომ ფლობდნენ PPE-ს (პერსონალური დამცავი მოწყობილობა). IT გუნდები კი, დადგნენ გამოწვევის წინაშე, რომ უნდა უზრუნველეყოთ დისტანციურად მომუშავე მუშაკების ადგილზე მუშაობის ტოლფასი სტანდარტი.


• მასშტაბურობა


სამთავრობო IT გუნდებმა უნდა უზრუნველყონ, რომ საჯარო სერვისები და ურთიერთქმედებები იყოს მასშტაბური, გაზრდილი ტრეფიკის მოთხოვნის დაძლევის უნარიანი.


• მომსახურების ხარისხი


სახლიდან მუშაობა დაკავშირებულია ხარისხობრივ მახასიათებლებთანაც - დისტანციურად მუშაობა რიგ პროცესებს ანელებს და ართულებს, ზოგჯერ შეუძლებელს და დაუცველსაც კი ხდის მონაცემთა ხელმისაწვდომობას.

ცხადია, ყველაფრის in-house გადაწყვეტა, ნებისმიერი IT გუნდისთვის რთული ამოცანაა.


ნებისმიერი კრიზისის პირობებში კერძო სექტორი უმნიშვნელოვანეს როლს ასრულებს სახელმწიფო საჭიროებების უზრუნველყოფაში. მაგალითად, პანდემიის პირობებში სახელმწიფო ორგანოების IT გუნდები მოქმედებდნენ მხოლოდ დადგენილი ინსტრუქციებისა და წინასწარგანსაზღვრული ბიუჯეტის პირობებში, რაც ნიშნავს იმას, რომ მათ უწევდათ უზარმაზარი ამოცანების დაუყოვნებლივ, საკუთარი ძალებით, განხორციელება. დროსთან ერთად, მოქნილობა, სისწრაფე და კიბერუსაფრთხოება საჭიროების სრულიად ახალ საფეხურზე დგება ცენტრალური და ადგილობრივი მთავრობებისთვის; დისტანციურად მუშაობის ეპოქაში მთავრობებს უწევთ IT ინფრასტრუქტურების შესაძლებლობების მაქსიმალურად მორგება ონლაინ პროცესებისთვის. ჰაკერებისთვის კი, ეს შესაძლებლობაა, სისტემების დაუცველობით და უსაფრთხოების მხრივ გაუმართაობით ბოროტად ისარგებლონ.


მონაცემთა მიმოცვლის დაცულობა სამთავრობო უწყებებისა და კონტრაქტორებისთვის


მონაცემთა მიმოცვლის დაცულობა ცენტრალური და ადგილობრივი მთავრობების უწყებებსა და კონტრაქტორებს შორის უფრო დ აუფრო აქტუალური საკითხი ხდება. მიუხედავად იმისა, რომ მონაცემთა მიმოცვლის პროტოკოლი (FTP) და FTP დაცულობა (FTPS) კონტროლირებად და დაცულ გზებად ითვლება, მაინც უფრო მეტად შეცდომებისკენ მიდრეკილნი, ე.წ. error-prone არიან, შედარებით MFT (Managed File Transfer) გადაწყვეტასთან.


FTP სერვერების დიდ რაოდენობას შედეგად მოჰყვება ე.წ. FTP Sprawl, რასაც შეუძლია გამოიწვიოს:


• Human Error - საბოლოო მომხმარებლებმა შესაძლოა, არასწორ ადრესატს გაუგზავნონ მნიშვნელოვანი/კონფიდენციალური მონაცემები


• ავტომატიზაციის ნაკლებობა


• Service Level Agreements (SLAs) – FTP და FTPS შესაძლოა პრობლემების მიზეზი გახნდნენ SLAs-თან დაკავშირებით, ვაინაიდან მონაცემები მიმოცვლის error-ებისას იკარგება, ნადგურდება ან არ აღწევს სამიზნემდე


• Maintenance - ზედმეტად ბევრი FTP სერვერი ნიშნავს IT-ის მიერ ენერგიის უსარგებლოდ ხარჯვას სკრიპტებისა და სერვერების შენახვისთვის


• მონაცემთა სიჭარბე - მნიშვნელოვანი მონაცემები შესაძლოა ერთზე მეტ სერვერზე აღმოჩნდნენ, რამაც გამოიწვიოს აშკარა პრობლემა IT გუნდებისთვის, რომლებსაც სჭირდებათ, იცოდნენ, სად ინახება მონაცემები და თვალი ადევნონ მათ მიმოცვლას.


ზემოაღნიშნული პრობლემების გათვალისწინებით FTP სერვერებს მნიშვნელოვანი პრობლემების გამოწვევა შეუძლიათ სამთავრობო უწყებებისა და კონტრაქტორებისთვის მონაცემთა მართვისა და დაცვის პროცესში.



თანამედროვე ხელსაწყო მონაცემთა მიმოცვლის უსაფრთხოების გაუმჯობესებისთვის




FTP ტექნოლოგია დღეს უკვე მოძველებულია. თანამედროვე ინსტრუმენტი, რომელიც სამთავრობო უწყებებს დაეხმარება უსაფრთხოების გაუმჯობესებაში გახლავთ MFT (Managed File Transfer), რომელსაც Progress გვთავაზობს - MOVEit. მთელ მსოფლიოში ორგანიზაციები იყენებენ MOVEit გადაწყვეტას მონაცემთა დაცვისა და დაშიფვრისათვის; სხვადასხვა სისტემებს, გუნდებსა თუ პარტნიორებს შორის თითოეული ფაილის მიმოცვლის ეფექტური კონტროლის, მართვის, ხილვადობისა და ავტომატიზაციისათვის.





47 views0 comments