Bazinės kibernetinio saugumo rekomendacijos dirbantiems nuotoliniu būdu

Kovo 16 d. visoje Lietuvoje įsigaliojus karantinui, gyventojams buvo rekomenduota dirbti nuotoliniu būdu, o į savo darbo vietas vykti turėtų tik tie asmenys, kurie tokios galimybės neturi. Nacionalinis kibernetinio saugumo centras paruošė bazinių kibernetinio saugumo rekomendacijų rinkinį, kuriuo turėtų vadovautis įmonių vadovai ir IT sistemų administratoriai, suteikę teisę savo darbuotojams dirbti iš namų, o taip pat ir darbuotojai, dirbantys nuotoliniu būdu.

ORGANIZACIJŲ VADOVAMS IR IT SPECIALISTAMS

1. Organizuoti darbą nuotoliniu būdu pagal principą „būtina žinoti“. Darbas nuotoliniu būdu kelia informacijos konfidencialumo pažeidimo rizikas. Dėl šios priežasties nuotoliniu būdu dirbantiems asmenims turėtų būti suteikiama tik tokia prieiga prie informacijos ir (ar) informacinių sistemų, kiek ji yra reikalinga darbuotojų funkcijoms atlikti. Rekomenduojama organizacijų vadovams  ar atsakingiems asmenims dokumentuoti prie kokios informacijos prieigą turi nuotoliniu būdu dirbantys asmenys.

2. Komunikacijų šifravimas. Organizacijos įrenginiai prie informacinių išteklių turėtų jungtis tik saugiu būdu. Ši tikslą galima pasiekti užtikrinant, kad darbuotojai iš namų jungtųsi tik iš žinomų įrenginių, naudojant adekvačias kriptografines priemones:

  • organizacijos vidiniams ištekliams ir informacinėms sistemoms pasiekti – VPN,
  • autentifikavimas naršyklėje pasiekiamose informacinėse sistemose vykdomas https būdu TLS protokolu (ne senesniu kaip 1.2 versijos),
  • elektroninio pašto prieiga pasiekiama tik iš žinomų IP adresų, autentifikuojantis keliais būdais (pvz., pirminė prieiga su išduotu sertifikatu, o kitame etape – prisijungimo vardas ir unikalus slaptažodis).

3. Organizacijos įrenginių nuotolinę prieigą organizuoti pagal principą „kas neleidžiama, tas draudžiama“. Esant galimybei rekomenduojama leisti prisijungti tik žinomiems įrenginiams ir (arba) iš žinomų IP adresų. VPN prieigoje blokuoti visus kreipinius, kurių nėra leistinų IP adresų sąraše. Jungiantis per WEB aplikacijas naudoti unikalius, organizacijos suformuotus User Agent identifikatorius.

4. Informacijos šifravimas. Informacija įrenginiuose turi būti šifruojama, rekomenduojama — kietojo disko lygmenyje (pvz. naudojant Microsoft Bitlocker funkcionalumą).

5. Darbo stočių administratoriaus teisių ribojimas. Tarnybiniuose įrenginiuose rekomenduojama naudotojams nesuteikti administratoriaus prieigos teisių.

6. Kelių faktorių autentifikavimas, saugūs slaptažodžiai. Prieiga prie darbo stoties turi būti apribota naudojant unikalius prisijungimo duomenis. Jungiantis prie organizacijos informacinės sistemos rekomenduojama naudoti kelių faktorių autentifikavimą.

7. Apriboti išorinį prisijungimą. Apriboti išorinio prisijungimo galimybes atvirais RDP ir SSH protokolais.

8. Nuotoliniu būdu dirbantiems asmenims skirti organizacijos paruoštus kompiuterius.

NUOTOLINIU BŪDU DIRBANTIEMS ASMENIMS

1. Belaidžio tinklo prieigos kontrolė. Pasikeiskite belaidžio tinklo prieigos slaptažodžius į saugius. Nenaudokite numatytojo (angl. default) prieigos prie maršrutizatoriaus slaptažodžio (prisijungimo duomenys prie maršrutizatoriaus pateikiamos įrenginio instrukcijoje). Dažnu atveju numatytasis prisijungimo vardas ir slaptažodis sutampa ir yra admin. Taip pat patikrinkite ar yra aktyvuotas belaidžio tinklo šifravimas (naudokite WPA3 šifravimą, o jeigu įrenginys tokio nepalaiko, tuomet naudokite WPA2). Patikrinkite, ar pakeistas pradinis tinklo pavadinimas (SSID), jeigu ne – pasikeiskite.

2. Nesaugūs įrenginiai. Įsitikinkite ar prie jūsų belaidžio tinklo nėra prijungtų nesaugių įrenginių, pvz. daiktų interneto įrenginių, tokių kaip IP kameros, televizoriai ir pan. Jeigu nesate įsitikinęs, kad toks įrenginys atitinka ES šalyse keliamus saugumo reikalavimus – atjunkite jį nuo namų tinklo.

3. Failų bendrinimas. Dirbant nuotoliniu būdu iš asmeninio kompiuterio – išjunkite failų bendrinimą (jeigu tokį esate įgalinęs).

4. Saugi programinė įranga. Nuotoliniu būdu prie organizacijos informacinių išteklių junkitės naudodamiesi tik legalią operacinę sistemą ir kitą programinę įrangą. Išdiekite P2P programinę įrangą, leidžiančią atsiųsti failus ar vykdyti vaizdinio turinio transliacijas (Torrent, BiTorrent, Ace Stream, Soda player ir pan.).

5. Saugumo priemonių naudojimas. Naudokite legalią antivirusinę programinę įrangą, rekomenduojama su papildomu funkcionalumu – ugniasiene, elektroninio pašto apsauga ir pan. Periodiškai atlikite kompiuterio skenavimus dėl kenkėjiškos programinės įrangos.

6. Administratoriaus prieiga. Nuotoliniu būdu rekomenduojama dirbti naudojant naudotojo paskyrą, kuriai nebūtų suteiktos administratoriaus prieigos teisės, leidžiančios įdiegti papildomą programinę įrangą.

7. Duomenų šifravimas. Šifruokite duomenis kietojo disko lygmenyje, pvz. jeigu jūsų operacinė sistema palaiko Microsoft Bitlocker funkcionalumą, pasinaudokite juo.

8. Socialinė inžinerija. Nesilankykite su darbu nesusijusiose interneto svetainėse, atidžiai vertinkite nuorodas elektroniniuose laiškuose. Nuolat tikrinkite siunčiamos informacijos patikimumą, nepriiminėkite skubotų sprendimų.

9. Pasitikrinkite savo IP adresą. Įsitikinkite ar jūsų įrenginys nebuvo užfiksuotas dalyvaujant kenkėjiškoje veikloje. Tą padaryti galite NKSC svetainėje – https://www.nksc.lt/tikrinti.html

10. Programinės įrangos atnaujinimas. Įsitikinkite, ar jūsų kompiuteryje ir į tinklą prijungtuose įrenginiuose naudojama programinė įranga yra naujausios versijos, ar įdiegti programinės įrangos atnaujinimai (jeigu ne – atsisiųskite ir įdiekite).

11. Kelių faktorių autentifikavimas, saugūs slaptažodžiai. Jungiantis prie organizacijos informacinės sistemos rekomenduojama naudoti kelių faktorių autentifikavimą bei papildomai naudoti kompiuterio slaptažodį (saugų slaptažodį turėtų sudaryti ne mažiau 8 simbolių, naudojant didžiąsias ir mažąsias raides, skaičius ir specialiuosius simbolius).

12. Perduodamą informaciją apsaugoti slaptažodžiais. Rekomenduojama perduodamą ar į trečiųjų šalių resursus keliamą jautrią informaciją (pvz. naudojantis debesijos paslaugomis) apsaugoti slaptažodžiais, kurie būtų perduodami kitais būdais, pvz. SMS žinutėmis.

NKSC atkreipia dėmesį, kad darbui nuotoliniu būdu galioja tokios pat saugumo taisyklės kaip ir įprastine tvarka. Esminis skirtumas – atsakomybė už informacijos saugumą didžiąja dalimi atitenka nuotoliniu būdu dirbančiam asmeniui.

 

Šaltinis: https://www.nksc.lt/naujienos/bazines_kibernetinio_saugumo_rekomendacijos_dirban.htm

Continue Reading

Valstybinė duomenų apsaugos inspekcija parengė rekomendaciją „Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu“

Lietuvoje įvedus karantiną dėl COVID-19 plitimo, darbdaviams kilo didelių iššūkių užtikrinant veiklos tęstinumą ir organizuojant nuotolinį darbą. Jie susiduria su klausimais dėl nuotolinio darbo organizavimo būdų, formų, darbuotojams paskirtų užduočių vykdymo kontrolės, efektyvaus darbo užtikrinimo priemonių. Atkreipiame dėmesį, kad ši, nors ir išskirtinė, situacija nepašalina darbdavio pareigos nuotolinio darbo organizavimo metu užtikrinti ir tinkamą savo darbuotojų asmens duomenų apsaugą. Valstybinė duomenų apsaugos inspekcija, matydama, su kokiais iššūkiais susiduria darbdaviai ir reaguodama į padidėjusias gaunamų paklausimų šia tema apimtis, parengė rekomendaciją dėl darbuotojų asmens duomenų tvarkymo, organizuojant darbą nuotoliniu būdu. Rekomendacija „Darbuotojų asmens duomenų tvarkymas, organizuojant darbą nuotoliniu būdu“>>

Continue Reading

Valstybinė duomenų apsaugos inspekcija parengė metodinę informaciją „Trys žingsniai dėl nuotolinio mokymo organizavimo“

Dabartinė situacija dėl COVID-19 pandemijos ir dėl jos Lietuvoje paskelbto karantino duomenų valdytojams kelia naujų iššūkių, pasirenkant ir taikant technologijas, siekiant užtikrinti veiklos tęstinumą ir tuo pačiu išlaikyti aukštus asmens duomenų apsaugos standartus.

Valstybinė duomenų apsaugos inspekcija, suprasdama ugdymo įstaigų sunkumus ir siekdama padėti ugdymo įstaigoms įvertinti, kas yra svarbu nuotolinio mokymo organizavimo metu, parengė metodinę informaciją – „Trys žingsniai dėl nuotolinio mokymo organizavimo“, kurioje aptarti trys pagrindiniai žingsniai, kurių siūloma imtis ugdymo įstaigoms:

1 žingsnis. Nustatyti ugdymo įstaigos darbuotojų vaidmenis ir atsakomybes;

2 žingsnis. Pasirinkti tinkamas nuotolinio mokymosi priemones;

3 žingsnis. Dokumentuoti nuotolinio mokymosi priemonių naudojimą.

Ši metodinė informacija išsiųsta visoms miestų ir rajonų savivaldybių administracijoms, taip pat Lietuvos Respublikos švietimo, mokslo ir sporto ministerijai.

Susipažinkite: Trys žingsniai dėl nuotolinio mokymosi organizavimo>> 

Šaltinis: https://vdai.lrv.lt/lt/news/view_item/id.112

Continue Reading

Suplanuoti 2020 m. asmens duomenų tvarkymo tikrinimai


Valstybinė duomenų apsaugos inspekcija, vykdydama asmens duomenų apsaugos priežiūros institucijos funkcijas, numatytas Bendrajame duomenų apsaugos reglamente, 2020 m. suplanavo prevencinius tikrinimus ne mažiau kaip 50 organizacijų. 2020 m. numatyta atlikti tikrinimus: Finansų sektoriuje dėl asmens duomenų apimties, teikiant mokėjimo inicijavimo paslaugas; Švietimo įstaigose dėl asmens duomenų, tvarkomų švietimo įstaigos nelankymo priežastims pagrįsti, apimties; Ministerijose ir joms pavaldžiose institucijose dėl informacinėse sistemose tvarkomų asmens duomenų apimties; Elektroninėse parduotuvėse dėl įgyvendinamų asmens duomenų saugumo priemonių tinkamumo, tvarkant asmens duomenis prekių ir paslaugų teikimo tikslu. Atlikdama prevencinius tikrinimus priežiūros institucija stengiasi susipažinti su realia asmens duomenų tvarkymo veikla, nustatyti kylančias rizikas ir padėti organizacijoms pasitaisyti. Šie tikrinimai aktualūs ne tik kiekvienai patikrintai organizacijai, tačiau ir kitiems sektoriaus atstovams, kurie galės susipažinti atliktų tikrinimų rezultatais ir jais remdamiesi peržiūrėti savo veiklą bei pasitaisyti. DĖMESIO! Tikrinamoms organizacijoms svarbu bendradarbiauti su priežiūros institucija – Valstybine duomenų apsaugos inspekcija. Atkreipiame dėmesį, kad kliudymas inspekcijos pareigūnams įgyvendinti jų veiklą reglamentuojančiuose įstatymuose jiems nustatytas teises ar atlikti jiems pavestas pareigas, šių pareigūnų teisėtų nurodymų ir reikalavimų nevykdymas ar netinkamas vykdymas, pavyzdžiui, pareigūnų neįleidimas į tikrinamas teritorijas, patalpas (išskyrus žmogaus būstą) ar kitus objektus, nepateikimas pareigūnams informacijos, duomenų ar dokumentų arba klaidingų ar tikrovės neatitinkančių informacijos ar duomenų pateikimas, atsisakymas paaiškinti ar suteikti duomenis, dokumentų nuslėpimas, vengimas atvykti ir duoti paaiškinimus ir kt., užtraukia administracinę atsakomybę, numatytą Lietuvos Respublikos administracinių nusižengimų kodekse. Be kita ko, inspekcijos nurodymo nesilaikymas arba prieigos galimybės nesuteikimas pažeidžiant BDAR 58 straipsnio 1 dalį, užtraukia atsakomybę, numatytą BDAR 83 straipsnio 5 dalies e punkte. Valstybinės duomenų apsaugos inspekcijos 2020 metų prevencinių patikrinimų planas>>

Continue Reading

Įmonės atsakomybės neišvengs – Lietuvoje skirta ženkli bauda už Bendrojo duomenų apsaugos reglamento pažeidimus

Valstybinė duomenų apsaugos inspekcija už Bendrojo duomenų apsaugos reglamento pažeidimus skyrė administracinę baudą, siekiančią 61 500 eurų. Sankcijos UAB „MisterTango“ pritaikytos dėl minėto reglamento 5, 32 ir 33 straipsnių pažeidimų – dėl asmens duomenų saugumo pažeidimo mokėjimo iniciavimo paslaugų sistemoje, apie kurį, be kita ko, nebuvo pranešta priežiūros institucijai. Inspekcijos nuomone, pradėtos skirti baudos pagal Bendrąjį duomenų apsaugos reglamentą turėtų būti reikšmingas signalas ir kitoms įmonėms, tik deklaratyviai įgyvendinančioms šio teisės akto nuostatas. Valstybinė duomenų apsaugos inspekcija (Inspekcija) atliko tyrimą ir skyrė baudą, atsižvelgdama į gautą informaciją apie paviešintus bankų klientų asmens duomenis bei galimai įvykusį asmens duomenų saugumo pažeidimą UAB „MisterTango“. Tai įmonė, veikianti tarptautiniu mastu ir teikianti mokėjimo paslaugas tiek Lietuvos, tiek ir užsienio gyventojams bei įmonėms. Ji yra įsteigusi savo padalinį ir Latvijoje, paslaugas teikė ir kitose valstybėse. Lietuvos priežiūros institucija, pagal Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas derindama savo sprendimą su Latvijos asmens duomenų apsaugos priežiūros institucija, turėjo progą gauti kolegų patvirtinimą dėl padarytų išvadų teisingumo. Šis atvejis taip pat parodo, kad įmonės turėtų daugiau dėmesio skirti duomenų saugumo pažeidimų valdymui ir bendradarbiavimui su priežiūros institucija tyrimų metu. Inspekcija, atlikusi tyrimą, nustatė, kad įmonė pažeidė BDAR reikalavimus netinkamai tvarkydama asmens duomenis momentiniuose ekrano vaizduose (MEV), paviešindama asmens duomenis ir nepateikdama pranešimo apie asmens duomenų saugumo pažeidimą asmens duomenų apsaugos priežiūros institucijai.

Dėl netinkamo asmens duomenų tvarkymo.

Įvertinus tyrimo metu surinktą informaciją ir pateiktus paaiškinimus, nustatyta, kad UAB „MisterTango“ tvarko (prieina, renka) daugiau asmens duomenų, negu pati nurodo esant būtina mokėtojo inicijuotam mokėjimui įvykdyti. Inspekcijos nuomone, įgyvendinant asmens duomenų kiekio mažinimo principą, turėtų būti renkami tik mokėjimo atlikimui būtini tokie duomenys kaip mokėtojo vardas, pavardė, jei mokėtojas pageidauja, jo identifikavimo kodas, banko sąskaitos numeris, valiuta ir likutis, mokėjimo paskirtis / įmokos kodas. Tačiau be šių duomenų įmonė rinko ir tokius pertekliniais laikytinus duomenis, pavyzdžiui, neperžiūrėtų elektroninių sąskaitų pateikimo datos, siuntėjų pavadinimai bei sumos; neperskaitytų pranešimų pateikimo datos, temos ir dalis pranešimo teksto; turimų paskolų paskirtys, pobūdžiai, sumos; pensijų fondų pavadinimai, sukaupti vienetai, jų vertė, sukauptos sumos; kredito tipai (pvz., būsto), mokėtini likučiai, kitų mokėjimų sumos bei datos, išduotų mokėjimo kortelių numeriai ir jose esančios sumos. Be to, nustatyta, kad įmonė duomenis saugo ilgiau, negu pati yra nustačiusi bei nurodo esant reikalinga, t. y. tyrimo metu buvo pateikta duomenų dėl saugojimo 216 dienų, vietoje nustatytų 10 minučių. Pagal BDAR 5 straipsnį įmonė yra pati atsakinga, kad įgyvendintų atskaitomybės principą, t. y. laikytųsi BDAR reikalavimų ir sugebėtų tai įrodyti, tačiau tyrimo metu įmonė pakankamų įrodymų priežiūros institucijai nepateikė.

Dėl asmens duomenų paviešinimo.

Tyrimo metu nustatyta, kad ne mažiau kaip 2 dienas (2018 m. liepos 9–10 d.) internete buvo prieinamas tinklalapis su UAB „MisterTango“ apdorotų mokėjimų sąrašu. Jame buvo matomi įvairių bankų įstaigų klientų atlikti mokėjimai per UAB „MisterTango“ mokėjimo iniciavimo paslaugų sistemą su tų klientų asmens duomenimis. Taip pat daugiau kaip 9 000 MEV su 12 skirtingų bankų, esančių skirtingose valstybėse, klientų mokėjimo sesijų detalių puslapiais. Be kita ko, nustatyta, kad įmonėje saugos užtikrinimą ir valdymą bei visos įmonės IT infrastruktūros (techninės ir programinės) valdymą, diegimą ir priežiūrą vykdė vienas darbuotojas. Vienas darbuotojas vykdė tarpusavyje konkuruojančias funkcijas. Taip nebuvo užtikrintas tinkamas neautorizuotų ar netyčinių modifikacijų galimybių minimizavimas ir tinkamos asmens duomenų apsaugos politikos įgyvendinimas. Taigi, UAB „MisterTango“ nepasirinko atitinkamų techninių ar organizacinių priemonių, kurios padėtų užtikrinti pavojų atitinkančio lygio saugumą, įskaitant apsaugą nuo neteisėto tvarkymo, atskleidimo, ir tuo pažeidė BDAR 5 ir 32 str.

Dėl pranešimo apie asmens duomenų saugumo pažeidimą nepateikimo.

Pagal BDAR toks incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga, yra duomenų saugumo pažeidimas. Inspekcijos nuomone, pirmiau minėtas incidentas, kai 2 dienas internete neautorizuotiems asmenims buvo sudaryta galimybė prieiti prie asmens duomenų, laikytinas tokiu duomenų saugumo pažeidimu, apie kurį privaloma pranešti priežiūros institucijai. Todėl UAB „MisterTango“ privalėjo nepagrįstai nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandoms nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai pranešti Inspekcijai. Apie šį pažeidimą nepranešdama priežiūros institucijai UAB „MisterTango“ pažeidė BDAR 33 str. Inspekcija, spręsdama dėl administracinės baudos dydžio, įvertino visas aplinkybes, reikšmingas taikant atsakomybę UAB „MisterTango“, pavyzdžiui, kad įmonė asmens duomenis tvarkė neskaidriai, didesne apimtimi ir ilgiau, negu tai yra būtina duomenų tvarkymo tikslui pasiekti, neteisėtą asmens duomenų tvarkymą atliko sistemingai, asmens duomenų saugumo pažeidimo metu neužtikrino asmens duomenų saugumo, priežiūros institucijai nepranešė apie įvykusį asmens duomenų saugumo pažeidimą, kuris turėjo poveikį asmens duomenims, pagal kuriuos buvo galima tiesiogiai nustatyti asmens tapatybę, be to, šie duomenys sudarė banko paslaptį ir buvo tvarkomi nešifruoti bei asmens duomenų saugumo pažeidimo metu buvo tvarkomi neužtikrinant prieigos kontrolės prie šių duomenų. Skiriant įmonei 61 500 eurų administracinę baudą taip pat atsižvelgta ir į įmonės metinę pasaulinę apyvartą. Šis Inspekcijos sprendimas yra neįsiteisėjęs ir gali būti skundžiamas teismui. Inspekcijos turimais duomenimis, reikšmingas baudas pagal BDAR jau yra skyrusi Prancūzija, Ispanija, Vokietija, Lenkija, Austrija, Bulgarija, Kipras, Malta.
Šaltinis: https://www.ada.lt/index.php?3723203706

Continue Reading

Patarimai-rekomendacijos CityBee klientams (galimiems nukentėjusiesiems)

Policija dalijasi bendrais ir aktualiais patarimais, ką daryti, norint apsaugoti savo asmens...

Skaityti toliau

Lietuvos banko rekomendacijos kredito davėjams

Lietuvos bankas, reaguodamas į nutekintų „CityBee“ duomenų atvejį, šiandien raštu kreipėsi...

Skaityti toliau

PATARIMAI, jeigu Jūsų paskyra buvo „nulaužta“

patarimai-jei-jusu-paskyra-buvo-nulauzta Loading Informuojame, kad dėl įmonės...

Skaityti toliau