Opinion mbi sigurinë kibernetike (botimi i dytë)

2 maj 2024

Siguria e informacionit është para së gjithash parandalimi i incidenteve dhe jo lufta kundër pasojave të tyre.

Është e nevojshme të kryhen rregullisht trajnime për punonjësit, të sigurohet mbrojtje me cilësi të lartë kundër sulmeve nga jashtë, të përdoren mjete të specializuara për të shmangur rrjedhjet nga brenda.

Kostoja e këtyre masave për biznesin dhe organizatat shtetërore është më e ulët se dëmi i mundshëm, ku përfshihen edhe kosto të rënda reputacioni.

Zhvillimi i softuerëve

Problemet më të zakonshme në sigurinë e softuerëve janë:

  • mungesa e vëmendjes së zhvilluesve ndaj sigurisë
  • mungesa e vëmendjes së administratorëve ndaj sigurisë
  • implementimi i zgjidhjeve të dobëta
  • konfigurimet e gabuara të serverave të infrastrukturës

Një problem i njohur është ai i hyrjeve në sistem. Kudo që ofrohet qasje në sistem, duhet të aktivizohet vërtetimi (login) me shumë faktorë.

Por ky proces nuk mund të mjaftohet me kaq, në sisteme të në rëndësie më të madhe mund të aplikohet kontrolli i rreptë i aksesit. Çdo përdorues duhet të njihet me herën e fundit kur ka hyrë në sistem së bashku me adresën IP publike dhe një listë me hyrjet e fundit. Sistemi duhet të ketë algoritme që zbulojnë hyrjet e parregullta.

Me qëllim mbrojtjen e të dhënave në rrjetin e brendshëm (intranet) çdo bazë e të dhënave duhet të ketë të programuar një “mur zjarri” (firewall) që i përgjigjet asaj. Kjo do të shërbejë për të shmangur cënimin e bazës së të dhënave në rastet kur kompromentohet një kompjuter periferik i organizatës.

Për të mbajtur performancën në nivel të lartë, për të shfrytëzuar “të mira” nga sistemi operativ, ose për arsye të mirëmbajtjes, zhvilluesit zgjedhin t’i programojnë aplikacionet e tyre që të ekzekutojnë komanda OS në server.

Mirëpo me gjithë përpjekjet për t’i siguruar aplikacionet, nuk do të merret dot garanci e plotë sigurie. Prandaj, implementimi i modulit për ekzekutimin e komandave OS në aplikacionet ueb do ta konsideroja një kërcënim të një shkalle të lartë. Për fat të keq, këtë praktikë e ndoqa edhe unë deri në kohën që vendosa ta klasifikoj si rrezik.

Aplikacionet e ueb-it që cënohen nga sulmet kibernetike mund të shfrytëzohen nga keqbërësit për të sulmuar edhe serverat e infrastrukturës.

Në renë kompjuterike (cloud), është më e lehtë të mbash të dhënat dhe shërbimet. Por në të njëjtën kohë, rreziqet e përcaktimit të gabuar të të drejtave të aksesit janë më të mëdha. Shkaku më i zakonshëm i incidenteve në renë kompjuterike është konfigurimi i gabuar i aksesit. Për shkak të gabimeve të tilla, të gjitha të dhënat që ruhen atje mund të jenë të disponueshme për të gjithë botën.

Mënyrat hibride të sulmit dhe PSV

Fatkeqësisht, shpeshtia e sulmeve me natyra të ndryshme po i dëmtojnë më shumë kompanitë e po i detyrojnë specialistët të shpenëzojnë më tepër kohë për sigurinë.

Megjithëse janë zbuluar shumë metoda të sulmeve, mendoj se shkalla e sulmeve që synojnë mohimin e shërbimit (DDoS) dhe atyre me injeksione SQL do të mbetet e njëjtë, pasi ato janë më të thjeshtat dhe më të lehtat për t'u zbatuar

Në fakt, t’i bësh "anatominë" një sulmi kibernetik është bërë shumë e ndërlikuar, gjë që na lejon gjithnjë e më shumë të flasim jo për kërcënime të jashtme ose të brendshme, por edhe për diçka hibride. Këtu është fjala kur një punonjës bëhet vullnetarisht ose pa dashje një nga hallkat procesit të sulmit. Hakerët kanë shumë më tepër gjasa të bashkëpunojnë me stafin dhe të kryejnë injektime të mjeteve(aplikacione) të ndryshme apo të lirojnë rrugën duke ndryshuar konfigurimet në sisteme, të dhënat e të cilave duhet të merren.

Sulmuesit, nëpërmjet një mënyre "të besuar" (telefon ose email), mund të kontaktojnë njerëz nën maskën e punonjësit të brendshëm të kompanisë (për shembull në emër të mbështetjes teknike apo në emër të menaxherit të ri). Këtu ata shpresojnë të hyjnë nga largësia (remote) në kompjuterin e viktimës ose të marrin prej tij informacione të vlefshme si kredencialet, informacionet bankare, etj.

Një kërcënim të kësaj natyre e vura re në muajt e fundit të vitit të kaluar. Kërcënimi nuk vinte as nga jashtë dhe as nga brenda kompanisë, por nga "qielli". Fjala është për ISP (ofrues i internetit) Gjatë mbështetjes teknike në njërën prej kompanive, e pash të nevojshme lidhjen e shërbimit VPN për shkëmbimin e informacionit ndërmjet dy degëve të saj.
Mundësia e realizimit teknik ishte në dorë të ISP, ndaj lidha kontakt me mbështetjen e tyre teknike. Pasi u prezantova si punonjës i kompanisë - nuk jam punonjës i brendshëm-, i paraqita operatorit kërkesën time verbale. Si mjet verifikues operatori kërkoi emrin e plotë të kompanisë dhe NIPT -in e saj. Megjithëse nuk i dija saktësisht këto të dhëna, nuk u zura ngusht, faqja online e QKB-së më nxorri nga situata. Operatori plotësoi kërkesën time.
Mungesa e vëmendjes së operatorit hapi rrugën e kryerjes së këtij veprimi nga keqdashës që s’kanë lidhje bashkëpunimi me kompanitë e shënjestruara. Lidhja VPN mundëson qasjen në rrjetet e brendshme të kompanive.

Hartimi i PSV duke marrë parasysh edhe sigurinë , mund të jetë një mënyrë për të zgjidhur problemin.

Procedurat Standarde të Veprimit (PSV) në thelb janë një grup udhëzimesh e procedurash që kryhen në një proces rutinë pune, në mënyrë që punonjësit të mos veprojnë si mendojnë ata por ashtu si parashikohet në dokumentin PSV. Zbatimi i PSV prodhon rritjen e cilësisë së punës.

Një pjesë e kompanive private e shtetërore nuk e njohin PSV. Pjesa tjetër shfaqin interes, por ato hasin pengesa në hartimin cilësor të dokumentit dhe në zbatimin e tij. Vetëm një pjesë e vogël e organizatave, kryesisht ato në sistemin bankar, e vlerësojnë dhe e zbatojnë rigorozisht PSV -në.

“Phishing”

“Phishing” është një formë mashtrimi në të cilën një sulmues maskohet si një kompani ose person i besueshëm. Personat që nuk duan të vërejnë detajet e faqes, kujtojnë se ajo është faqja zyrtare, ndaj bien viktimë e saj dhe vendosin aty të dhënat e rëndësishme.

Një nga arsyet e rritjes së numrit të faqeve të phishing është zhvillimi i teknologjisë. Vitet e fundit janë zhvilluar mjete online që ju lejojnë të krijoni faqe interneti edhe pa pasur aftësi programimi.

Për shembull, kushdo që e njeh kompjuterin, edhe pa aftësi programimi mund të ndërtojë një faqe interneti e cila vizualisht mund të imitojë një faqe të njohur.

Kundërmasat

Një kundërmasë efektive ndaj mashtruesve mund të jetë konfirmimi i të dhënave të pasaportës së një individi që regjistron një emër domaini përmes ofruesit.

Për të mos rënë në kurthet e mashtruesve, rekomandohet vigjilenca kur vendosni të dhënat e rëndësishme (p.sh. kredencialet, info personale ose ato bankare).

  • Faqja nuk duhet të jetë një e vetme, por duhet të jetë e plotë, me lidhje që ridrejtohen në faqe të tjera brenda domeinit. Faqet “phishing” zakonisht janë një e vetme.
  • Adresa e faqes së rreme mund të jetë e zëvendësuar me shkronja, për shembull, "i" në vend të "l" ose anasjelltas.
  • Mungesa e ikonës së drynit në fillim të shiritit të adresave duhet të jetë gjithashtu shumë alarmante. Edhe në rastet kur ekziston ikona e drynit, aty keni mundësi që të merrni informacion mbi certifikatën dhe autoritetin lëshues.

Vendosja e të dhënave personale në një faqe ueb mund të kthehet më vonë në një problem për ju në sajë të keqpërdorimit të këtyre të dhënave që ju vendosni. Kur kryeni një porosi në dyqane online dhe shërbime të tjera, duhet të merrni një vendim nëse duhet t'i specifikoni të dhënat tuaja të plota e të sakta, apo duhet të vendosni të dhëna të rreme.
Unë kam zgjedhur mënyrën e parë, por me pak ndryshim: vendos informacion të saktë për veten në një masë që është e mjaftueshme sa për të kryer përpunimin nga uebfaqja ose për të përmbushur porosisë.

Çfarë mund të ofrojnë autoritetet

Institucionet shtetërore që kujdesen për sigurinë kibernetike mund të krijojnë forma raportimi për qytetarët dhe institucionet, në mënyrë që ata të kenë mundësi:

  • të regjistrojnë incidentet e ndodhura
  • të ankohen për faqet e dyshimta
  • të kërkojnë informacion nga autoriteti mbi sigurinë e faqeve të caktuara përpara se të ndërveprojnë.
  • të informohen mbi listat e bardha dhe të zeza të domeineve

Mosregjistrimi i incidenteve e bën të vështirë matjen e gjendjes së sigurisë kibernetike në vend. Bazuar në konstatimet e kolegëve dhe ankesave në rrugë jozyrtare mund të pohojmë se incidentet kanë një tendencë në rritje.

Mirëpo pjesa më e madhe e institucioneve private e publike nuk e kanë luksin për të formuar departamente TIK dhe sektorë të posaçëm për sigurinë. Nevoja për këshilla teknike në sigurinë kibernetike kthehet në një domosdoshmëri për to.

Në rast se institucionet që punojnë për të garantuar sigurinë kibernetike do të ofronin ndihmë teknike dhe juridike (në hartimin e dokumenteve për në gjykatë) falas për viktimat e sulmeve dhe për ato kompani që synojnë të rrisin sigurinë, kam bindjen se problemi i sigurisë gradualisht do ta humbiste urgjencën e tij.

Puna ime e përditshme në zhvillimin e softuerëve më shtyn të kërkoj mënyra të reja të mbrojtjes duke mos cënuar cilësinë e produktit ose shërbimit.

HackerOne është një kompani që përdor hakerët në modelin e saj të biznesit: ata kërkojnë dobësi dhe biznesi paguan për boshllëqet e sigurisë që gjejnë. Në këtë drejtim kjo kompani bashkëpunon me një sërë kompanish të mëdha ndërkombëtare si Twitter, Adobe, Yahoo!, LinkedIn, etj.

Pjesëmarrja në veprimtaritë e kërkimit të dobësive të softuerëve mund të jetë një praktikë e saktë dhe e dobishme, e cila i lejon zhvilluesit dhe kompanisë të identifikojnë në kohë dobësitë në mbrojtje dhe të rrisin ndjeshëm nivelin e sigurisë reale.

Vendosja e aplikacioneve nën shënjestër për qëllime testimi dhe përmirësimi është një praktikë që ka ngjallur interes kohët e fundit. Po për ta zhvilluar këtë praktikë kërkohen burime në infrastrukturë dhe në njerëz.

Agjencia Kombëtare e Shoqërisë së Informacionit (AKSHI) ka të përcaktuar në detyrat e saj hostimin e serverave privat virtual (VPS) që janë në pronësi të institucioneve publike. Kjo realizohet brenda një infrastrukture relativisht të madhe harduerike që menaxhon agjencia.

Rezervimi i një hapësire për krijimin e një poligoni kombëtar kibernetik mund të jetë një zgjidhje për këtë qëllim. Ndryshimi i legjislacionit mbi hostimin e VPS -ve, do t’i shërbejë edhe kompanive private të hostojnë VPS-të e tyre.

Pjesëmarrja e organizatave private e shtetërore në poligonin kombëtar kibernetik, do t’u lejojë atyre të integrojnë sistemet në një platformë të veçantë, ku studiues të ndryshëm do të kërkojnë dobësi në to.

Në gjykimin tim, ndjekja e modelit të HackerOne për “shpërblim për gabim” do të afronte studiuesit e dobësive të sistemeve.

Porositësit e softuerëve do të jenë më të ndërgjegjësuar në kuptimin se siguria është një proces i vazhdueshëm dhe jo një detyrë e rëndomtë në kurriz të zhvilluesve.

“Kutitë e zeza”

Vitin e kaluar përfundova zhvillimin e një mjeti monitorues, të cilin e vendosa në serverat e infrastrukturës. Duke qenë se pjesa dërrmuese e operacioneve të sistemit operativ janë të padukshme në kuptimin grafik, detyra kryesore e aplikacionit është të mbajë shënim për çdo veprim me interes për sigurinë. Algoritme të ndryshme u zhvilluan për të identifikuar anomali që në kuptim të parë mund të mos dallohen si të tilla.

Brenda një kohe të shkurtër sistemi u përball me incidente të sigurisë. U grumbulluan dhe analizuan informacionet e nevojshme me interes për ekipin e sigurisë dhe zhvillimit.

Mendoj se, një iniciativë e AKCESK (autoriteti zyrtar përgjegjës për sigurinë kibernetike) për zhvillimin e mjeteve të sigurisë me efekt para dhe prapa veprues do të angazhonte një numër më të madh burimesh njerëzore dhe financiare për të arritur qëllimet e sigurisë jo vetëm në mënyrë efektive, por edhe më efikase .

Tani për tani, duke gjykuar nga faqja zyrtare dhe profilet sociale të këtij institucioni, të dhënat e tyre mund të shërbejnë si aluzion për të kuptuar se kjo perspektivë është ende e zymtë. Por jo e pamundur.



Autori: Irdi Buzali

Specialist i pavarur i Teknologjisë së Informacionit dhe Komunikimit.