Author Archive

ESET perspėja – „Zoom“ programa šnipinėja vartotojų kompiuterius ir siunčia duomenis į „Facebook“

Lietuvoje pratęsus karantino laikotarpį, gyventojai ir toliau aktyviai naudojasi programomis, kurios suteikia nuotolinę prieigą prie įmonės tinklų, padeda organizuoti ar dalyvauti virtualiuose susitikimuose. Didelio dėmesio COVID-19 metu sulaukė programinė įranga „Zoom“, naudojama organizuoti susitikimus, pamokas ir netgi vaizdo skambučius laisvalaikio metu. Tačiau, nepaisant programos populiarumo, „Zoom“ pastarosiomis dienomis žiniasklaidoje vis dažniau minima kaip itin daug saugumo spragų turintis sprendimas. „ESET Lietuva“ kibernetinio saugumo specialistai įspėja, jog neįprastai aukšta šios programos apkrova parodė iki šiol neatskleistas kibernetinio saugumo grėsmes.

NEMOKAMA ESET INTERNET SECURITY 90 DIENŲ LICENCIJA

„Zoom“ programos kūrėjai sulaukia kritikos ne tik iš saugumo ekspertų, tačiau ir iš kitų organizacijų. Didžiosios Britanijos vyriausybės Krašto apsaugos ministerija dar kovo mėnesio 27 dieną uždraudė savo darbuotojams naudoti šią programinę įrangą. Programoje aptiktos saugumo spragos taip pat sulaukė ir JAV nusikaltimų tyrimų ir žvalgybos tarnybos federalinio tyrimų biuro (FTB) (angl. Federal Bureau of Investigation, FBI) dėmesio.

Reaguojant į pasirodžiusią kritiką, „Zoom“ programinę įrangą valdančios ir kuriančios įmonės vadovas Eric S. Yuan pateikė viešą atsiprašymą. Pranešta, kad nuo balandžio mėnesio pradžios 90 dienų laikotarpiui yra apribojamos „Zoom“ programos funkcijos, siekiant išpręsti atsiradusias kibernetinio saugumo spragas.

Informacinių technologijų saugumo kompanijos „ESET Lietuva“ IT inžinierius Ramūnas Liubertas teigia, kad renkantis bet kokią programinę įrangą, skirtą kompiuteriui ar mobiliajam įrenginiui, būtina atidžiai patikrinti, kokių prieigų prašo diegiama programa – “Neretai programos prašo leidimo prieiti prie asmeninės informacijos ir jį patvirtinus programos kūrėjui suteikiama teisė, pvz., patekti į jūsų nuotraukų albumą. Talpiuose telefonuose yra saugomos šimtai ar net keli tūkstančiai nuotraukų, o jose galima atrasti įvairiausio „gėrio“: nuo atvirų nuotraukų iki kadaise nufotografuotos bankinės kortelės ar slaptažodžių sąrašo. Sutikime, tuo tikrai nenorėtume dalintis su trečiosiomis šalimis”.

– kalbėjo IT inžinierius R. Liubertas.

„ESET Lietuva“ kibernetinio saugumo specialistai įvardina penkias pagrindines „Zoom“ programos saugumo spragas:

1. Remiantis „Vice“ portalo duomenimis, „Zoom“ privatumo politikoje nebuvo įvardinta, kad „iOS“ pritaikyta programos versija siunčia duomenis apie vartotojų elgesį į „Facebook“ net ir tuomet, kai prisijungęs asmuo neturi „Facebook“ paskyros. „Zoom“ kompanija atsižvelgė į šią kritiką ir pašalino „Facebook“ programinės įrangos paketą iš savo gaminio, skirto „iOS“ vartotojams. „Zoom“ kompanijai iškeltas ieškinys pradėtas nagrinėti JAV Kalifornijos valstijoje.

2. „Zoom“ kompanija yra paskelbusi, kad jų programinė įranga geba šifruoti garso bei vaizdo pokalbius tarp pašnekovų, kad jie taptų neperskaitomi tretiesiems asmenims. Tačiau remiantis „The Intercept“ atliktu tyrimu, atskleista, kad „Zoom“ tokios funkcijos nepalaiko. „Zoom“ kompanijos atstovai atsiprašė dėl netinkamos informacijos ir patikslino, kad programoje yra naudojamas transporto lygmens saugumo (angl. Transport Layer Security – TLS) protokolas, tačiau jis neužtikrina, kad vartotojų komunikacijos duomenys būtų neprieinami „Zoom“ kompanijai.

3. Programoje taip pat aptikti saugumo pažeidimai leido ne tik prieiti prie „Windows“ operacinės sistemos vartotojų prisijungimo slaptažodžių, tačiau ir perimti įrenginio darbą, atlikti veiksmus įrenginyje savininkui to netgi nežinant. Dar du pažeidimai atskleidė, kad „Zoom“ naudojant su „MacOS“ operacine sistema, kompiuteris tapdavo pažeidžiamas piktavaliams ir programišiams.

4. „Zoom“ turima funkcija, pavadinimu „dalyvių sekimas“ (angl. attendee tracking) leisdavo nuotolinio susitikimo organizatoriui stebėti, ar susirinkę dalyviai iš tiesų yra sutelkę dėmesį į transliaciją, kuomet organizatorius dalijasi savo ekranu. JAV nusikaltimų tyrimų ir žvalgybos tarnybos pranešė apie nusikalstamus veiksmus, žiniasklaidoje vadinamus skambiu pavadinimu „Zoom bombardavimas“ (angl. Zoom-bombing), kuomet piktavaliai programišiai įsilauždavo į privačius vaizdo skambučius, kurie vykdavo pamokų metu ir rodydavo netinkamus vaizdus bei turinį.

Aukščiau išvardintos saugumo spragos jau paveikė didelį kiekį nieko neįtariančių vartotojų, kadangi per pastaruosius tris mėnesius, ypač karantino laikotarpiu, „Zoom“ programos kasdieninis naudojimas išaugo nuo 10 iki 200 milijonų naudotojų.

„ESET Lietuva“ kibernetinio saugumo specialistai pateikia 5 patarimus, į ką atkreipti dėmesį renkantis nuotolinio bendravimo programas:

1. Nuotolinius susitikimus apsaugokite slaptažodžiu: apsaugant savo vaizdo skambučius su slaptažodžiu, išvengsite nepageidaujamų prisijungimų. Taip pat rekomenduojama naudoti „Zoom“ programoje esančia laukimo (angl. „Waiting Room”) funkciją.

2. Ekranu dalintis leiskite tik organizatoriui: virtualūs susirinkimai reikalauja taisyklių taip pat kaip ir įmonės biure planuojami susitikimai. Nustatykite aiškias taisykles ir ekrane rodyti pristatymus bei dalintis ekranu leiskite tik organizatoriui.

3. Naudokite tik naujausią „Zoom“ programinės įrangos versiją: norintiems ir toliau naudotis „Zoom“ programine įranga, patariama įsidiegti naujausią jos versiją, kurioje jau yra ištaisyta dauguma saugumo spragų.

4. Nesidalinkite skambučių nuoroda socialinėje medijoje: venkite dalintis privataus susitikimo nuoroda socialinėje erdvėje, kadangi galite sulaukti nepageidaujamų asmenų, kurie bandys jungtis prie privataus skambučio.

5. Naudokite vaizdo skambučio ID, o ne nuorodą: dėl išaugusio „Zoom“ naudojimo padaugėjo šia programa bandančių pasinaudoti domenų, skirtų užkrėsti jūsų įrenginius kenkėjiškomis programomis. Patariama nesinaudoti URL nuorodomis, o į vaizdo skambučius dalyvius kviesti siunčiant skambučio ID.

„Situacija pasaulyje keičiasi itin greitai. Šių dienų įvykiai lėmė, kad internete praleidžiame didžiąją dalį savo laiko. Tačiau virtuali erdvė yra kupina pavojų: į el. pašto dėžutę nuolatos įkrenta laiškai iš nežinomų siuntėjų, ypač nedrąsu atidaryti prisegtus įtartinus failus, vargina nuolatinis „spamas“, „Phishing“ atakos, kompiuteriai yra bandomi įtraukti į „Botnet“ tinklus, užkrėstos interneto svetainės bando įrašyti “sausainėlius”, įvairiausius įskiepius. Kaip nuo viso to apsaugoti savo kompiuterį? ESET Lietuva komandai rūpi kiekvienas tautietis ir siūlome karantino laikotarpiu nemokamai įsidiegti ESET antivirusinę programą su specialia 90 dienų apsaugos licencija. Naršydami internete nepraraskime savo budrumo” – kalbėjo IT inžinierius R. Liubertas.

Continue Reading

Bazinės kibernetinio saugumo rekomendacijos dirbantiems nuotoliniu būdu

Kovo 16 d. visoje Lietuvoje įsigaliojus karantinui, gyventojams buvo rekomenduota dirbti nuotoliniu būdu, o į savo darbo vietas vykti turėtų tik tie asmenys, kurie tokios galimybės neturi. Nacionalinis kibernetinio saugumo centras paruošė bazinių kibernetinio saugumo rekomendacijų rinkinį, kuriuo turėtų vadovautis įmonių vadovai ir IT sistemų administratoriai, suteikę teisę savo darbuotojams dirbti iš namų, o taip pat ir darbuotojai, dirbantys nuotoliniu būdu.

ORGANIZACIJŲ VADOVAMS IR IT SPECIALISTAMS

1. Organizuoti darbą nuotoliniu būdu pagal principą „būtina žinoti“. Darbas nuotoliniu būdu kelia informacijos konfidencialumo pažeidimo rizikas. Dėl šios priežasties nuotoliniu būdu dirbantiems asmenims turėtų būti suteikiama tik tokia prieiga prie informacijos ir (ar) informacinių sistemų, kiek ji yra reikalinga darbuotojų funkcijoms atlikti. Rekomenduojama organizacijų vadovams  ar atsakingiems asmenims dokumentuoti prie kokios informacijos prieigą turi nuotoliniu būdu dirbantys asmenys.

2. Komunikacijų šifravimas. Organizacijos įrenginiai prie informacinių išteklių turėtų jungtis tik saugiu būdu. Ši tikslą galima pasiekti užtikrinant, kad darbuotojai iš namų jungtųsi tik iš žinomų įrenginių, naudojant adekvačias kriptografines priemones:

  • organizacijos vidiniams ištekliams ir informacinėms sistemoms pasiekti – VPN,
  • autentifikavimas naršyklėje pasiekiamose informacinėse sistemose vykdomas https būdu TLS protokolu (ne senesniu kaip 1.2 versijos),
  • elektroninio pašto prieiga pasiekiama tik iš žinomų IP adresų, autentifikuojantis keliais būdais (pvz., pirminė prieiga su išduotu sertifikatu, o kitame etape – prisijungimo vardas ir unikalus slaptažodis).

3. Organizacijos įrenginių nuotolinę prieigą organizuoti pagal principą „kas neleidžiama, tas draudžiama“. Esant galimybei rekomenduojama leisti prisijungti tik žinomiems įrenginiams ir (arba) iš žinomų IP adresų. VPN prieigoje blokuoti visus kreipinius, kurių nėra leistinų IP adresų sąraše. Jungiantis per WEB aplikacijas naudoti unikalius, organizacijos suformuotus User Agent identifikatorius.

4. Informacijos šifravimas. Informacija įrenginiuose turi būti šifruojama, rekomenduojama — kietojo disko lygmenyje (pvz. naudojant Microsoft Bitlocker funkcionalumą).

5. Darbo stočių administratoriaus teisių ribojimas. Tarnybiniuose įrenginiuose rekomenduojama naudotojams nesuteikti administratoriaus prieigos teisių.

6. Kelių faktorių autentifikavimas, saugūs slaptažodžiai. Prieiga prie darbo stoties turi būti apribota naudojant unikalius prisijungimo duomenis. Jungiantis prie organizacijos informacinės sistemos rekomenduojama naudoti kelių faktorių autentifikavimą.

7. Apriboti išorinį prisijungimą. Apriboti išorinio prisijungimo galimybes atvirais RDP ir SSH protokolais.

8. Nuotoliniu būdu dirbantiems asmenims skirti organizacijos paruoštus kompiuterius.

NUOTOLINIU BŪDU DIRBANTIEMS ASMENIMS

1. Belaidžio tinklo prieigos kontrolė. Pasikeiskite belaidžio tinklo prieigos slaptažodžius į saugius. Nenaudokite numatytojo (angl. default) prieigos prie maršrutizatoriaus slaptažodžio (prisijungimo duomenys prie maršrutizatoriaus pateikiamos įrenginio instrukcijoje). Dažnu atveju numatytasis prisijungimo vardas ir slaptažodis sutampa ir yra admin. Taip pat patikrinkite ar yra aktyvuotas belaidžio tinklo šifravimas (naudokite WPA3 šifravimą, o jeigu įrenginys tokio nepalaiko, tuomet naudokite WPA2). Patikrinkite, ar pakeistas pradinis tinklo pavadinimas (SSID), jeigu ne – pasikeiskite.

2. Nesaugūs įrenginiai. Įsitikinkite ar prie jūsų belaidžio tinklo nėra prijungtų nesaugių įrenginių, pvz. daiktų interneto įrenginių, tokių kaip IP kameros, televizoriai ir pan. Jeigu nesate įsitikinęs, kad toks įrenginys atitinka ES šalyse keliamus saugumo reikalavimus – atjunkite jį nuo namų tinklo.

3. Failų bendrinimas. Dirbant nuotoliniu būdu iš asmeninio kompiuterio – išjunkite failų bendrinimą (jeigu tokį esate įgalinęs).

4. Saugi programinė įranga. Nuotoliniu būdu prie organizacijos informacinių išteklių junkitės naudodamiesi tik legalią operacinę sistemą ir kitą programinę įrangą. Išdiekite P2P programinę įrangą, leidžiančią atsiųsti failus ar vykdyti vaizdinio turinio transliacijas (Torrent, BiTorrent, Ace Stream, Soda player ir pan.).

5. Saugumo priemonių naudojimas. Naudokite legalią antivirusinę programinę įrangą, rekomenduojama su papildomu funkcionalumu – ugniasiene, elektroninio pašto apsauga ir pan. Periodiškai atlikite kompiuterio skenavimus dėl kenkėjiškos programinės įrangos.

6. Administratoriaus prieiga. Nuotoliniu būdu rekomenduojama dirbti naudojant naudotojo paskyrą, kuriai nebūtų suteiktos administratoriaus prieigos teisės, leidžiančios įdiegti papildomą programinę įrangą.

7. Duomenų šifravimas. Šifruokite duomenis kietojo disko lygmenyje, pvz. jeigu jūsų operacinė sistema palaiko Microsoft Bitlocker funkcionalumą, pasinaudokite juo.

8. Socialinė inžinerija. Nesilankykite su darbu nesusijusiose interneto svetainėse, atidžiai vertinkite nuorodas elektroniniuose laiškuose. Nuolat tikrinkite siunčiamos informacijos patikimumą, nepriiminėkite skubotų sprendimų.

9. Pasitikrinkite savo IP adresą. Įsitikinkite ar jūsų įrenginys nebuvo užfiksuotas dalyvaujant kenkėjiškoje veikloje. Tą padaryti galite NKSC svetainėje – https://www.nksc.lt/tikrinti.html

10. Programinės įrangos atnaujinimas. Įsitikinkite, ar jūsų kompiuteryje ir į tinklą prijungtuose įrenginiuose naudojama programinė įranga yra naujausios versijos, ar įdiegti programinės įrangos atnaujinimai (jeigu ne – atsisiųskite ir įdiekite).

11. Kelių faktorių autentifikavimas, saugūs slaptažodžiai. Jungiantis prie organizacijos informacinės sistemos rekomenduojama naudoti kelių faktorių autentifikavimą bei papildomai naudoti kompiuterio slaptažodį (saugų slaptažodį turėtų sudaryti ne mažiau 8 simbolių, naudojant didžiąsias ir mažąsias raides, skaičius ir specialiuosius simbolius).

12. Perduodamą informaciją apsaugoti slaptažodžiais. Rekomenduojama perduodamą ar į trečiųjų šalių resursus keliamą jautrią informaciją (pvz. naudojantis debesijos paslaugomis) apsaugoti slaptažodžiais, kurie būtų perduodami kitais būdais, pvz. SMS žinutėmis.

NKSC atkreipia dėmesį, kad darbui nuotoliniu būdu galioja tokios pat saugumo taisyklės kaip ir įprastine tvarka. Esminis skirtumas – atsakomybė už informacijos saugumą didžiąja dalimi atitenka nuotoliniu būdu dirbančiam asmeniui.

 

Šaltinis: https://www.nksc.lt/naujienos/bazines_kibernetinio_saugumo_rekomendacijos_dirban.htm

Continue Reading

Valstybinė duomenų apsaugos inspekcija parengė rekomendaciją „Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu“

Lietuvoje įvedus karantiną dėl COVID-19 plitimo, darbdaviams kilo didelių iššūkių užtikrinant veiklos tęstinumą ir organizuojant nuotolinį darbą. Jie susiduria su klausimais dėl nuotolinio darbo organizavimo būdų, formų, darbuotojams paskirtų užduočių vykdymo kontrolės, efektyvaus darbo užtikrinimo priemonių. Atkreipiame dėmesį, kad ši, nors ir išskirtinė, situacija nepašalina darbdavio pareigos nuotolinio darbo organizavimo metu užtikrinti ir tinkamą savo darbuotojų asmens duomenų apsaugą. Valstybinė duomenų apsaugos inspekcija, matydama, su kokiais iššūkiais susiduria darbdaviai ir reaguodama į padidėjusias gaunamų paklausimų šia tema apimtis, parengė rekomendaciją dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu. Rekomendacija „Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu“>>

Continue Reading

Valstybinė duomenų apsaugos inspekcija parengė metodinę informaciją „Trys žingsniai dėl nuotolinio mokymo organizavimo“

Dabartinė situacija dėl COVID-19 pandemijos ir dėl jos Lietuvoje paskelbto karantino duomenų valdytojams kelia naujų iššūkių, pasirenkant ir taikant technologijas, siekiant užtikrinti veiklos tęstinumą ir tuo pačiu išlaikyti aukštus asmens duomenų apsaugos standartus.

Valstybinė duomenų apsaugos inspekcija, suprasdama ugdymo įstaigų sunkumus ir siekdama padėti ugdymo įstaigoms įvertinti, kas yra svarbu nuotolinio mokymo organizavimo metu, parengė metodinę informaciją – „Trys žingsniai dėl nuotolinio mokymo organizavimo“, kurioje aptarti trys pagrindiniai žingsniai, kurių siūloma imtis ugdymo įstaigoms:

1 žingsnis. Nustatyti ugdymo įstaigos darbuotojų vaidmenis ir atsakomybes;

2 žingsnis. Pasirinkti tinkamas nuotolinio mokymosi priemones;

3 žingsnis. Dokumentuoti nuotolinio mokymosi priemonių naudojimą.

Ši metodinė informacija išsiųsta visoms miestų ir rajonų savivaldybių administracijoms, taip pat Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai.

Susipažinkite: Trys žingsniai dėl nuotolinio mokymosi organizavimo>> 

Šaltinis: https://vdai.lrv.lt/lt/news/view_item/id.112

Continue Reading

Suplanuoti 2020 m. asmens duomenų tvarkymo tikrinimai


Valstybinė duomenų apsaugos inspekcija, vykdydama asmens duomenų apsaugos priežiūros institucijos funkcijas, numatytas Bendrajame duomenų apsaugos reglamente, 2020 m. suplanavo prevencinius tikrinimus ne mažiau kaip 50 organizacijų. 2020 m. numatyta atlikti tikrinimus: Finansų sektoriuje dėl asmens duomenų apimties, teikiant mokėjimo inicijavimo paslaugas; Švietimo įstaigose dėl asmens duomenų, tvarkomų švietimo įstaigos nelankymo priežastims pagrįsti, apimties; Ministerijose ir joms pavaldžiose institucijose dėl informacinėse sistemose tvarkomų asmens duomenų apimties; Elektroninėse parduotuvėse dėl įgyvendinamų asmens duomenų saugumo priemonių tinkamumo, tvarkant asmens duomenis prekių ir paslaugų teikimo tikslu. Atlikdama prevencinius tikrinimus priežiūros institucija stengiasi susipažinti su realia asmens duomenų tvarkymo veikla, nustatyti kylančias rizikas ir padėti organizacijoms pasitaisyti. Šie tikrinimai aktualūs ne tik kiekvienai patikrintai organizacijai, tačiau ir kitiems sektoriaus atstovams, kurie galės susipažinti atliktų tikrinimų rezultatais ir jais remdamiesi peržiūrėti savo veiklą bei pasitaisyti. DĖMESIO! Tikrinamoms organizacijoms svarbu bendradarbiauti su priežiūros institucija – Valstybine duomenų apsaugos inspekcija. Atkreipiame dėmesį, kad kliudymas inspekcijos pareigūnams įgyvendinti jų veiklą reglamentuojančiuose įstatymuose jiems nustatytas teises ar atlikti jiems pavestas pareigas, šių pareigūnų teisėtų nurodymų ir reikalavimų nevykdymas ar netinkamas vykdymas, pavyzdžiui, pareigūnų neįleidimas į tikrinamas teritorijas, patalpas (išskyrus žmogaus būstą) ar kitus objektus, nepateikimas pareigūnams informacijos, duomenų ar dokumentų arba klaidingų ar tikrovės neatitinkančių informacijos ar duomenų pateikimas, atsisakymas paaiškinti ar suteikti duomenis, dokumentų nuslėpimas, vengimas atvykti ir duoti paaiškinimus ir kt., užtraukia administracinę atsakomybę, numatytą Lietuvos Respublikos administracinių nusižengimų kodekse. Be kita ko, inspekcijos nurodymo nesilaikymas arba prieigos galimybės nesuteikimas pažeidžiant BDAR 58 straipsnio 1 dalį, užtraukia atsakomybę, numatytą BDAR 83 straipsnio 5 dalies e punkte. Valstybinės duomenų apsaugos inspekcijos 2020 metų prevencinių patikrinimų planas>>

Continue Reading