Mobiliojo ryšio operatoriai vis dar nepastebi bazinio tinklo saugumo | VanillaPlus


Naujienos, kad T-Mobile JAV leido įsilaužti į 37 mln. savo klientų asmeninius duomenis, jau savaime kelia nerimą. Tačiau iš pažiūros atsainus požiūris į įsilaužimą iš įmonės galbūt kelia didesnį nerimą, teigia verslo technologijų žurnalistas. Antonijus Savvas.

Praėjusį ketvirtadienį įmonė atskleidė, kad tiria duomenų pažeidimą, pirmą kartą nustačiusi kenkėjišką veiklą sausio 5 d. Ji pastebėjo, kad „blogas veikėjas“ gavo duomenis per vieną API (programų programavimo sąsają) be leidimo.

Ji teigia, kad pranešime, pateiktame su JAV vertybinių popierių ir biržos komisijakad pažeidimas buvo „užfiksuotas per vieną dieną“ ir kad nebuvo pažeisti jokie neskelbtini duomenys, pvz., klientų finansinė informacija.

Nesąžiningas reikalavimas

Mano kuklia nuomone, taip pat ir šios temos ekspertų nuomone, tai gana nesąžininga.

Manoma, kad duomenų nutekėjimas iš tikrųjų prasidėjo 2022 m. lapkričio 25 d. arba maždaug 2022 m. lapkričio 25 d., pripažįsta operatorius, ir apėmė „pagrindinės klientų informacijos“, pvz., vardų, gimimo datų, atsiskaitymo adresų, el. pašto adresų ir telefono numerių, vagystę.

„Nebuvo gauta jokios informacijos apie paveiktus klientus, kurie keltų pavojų klientų sąskaitų ar finansų saugumui“, – tvirtina „T-Mobile“.

Ech… kaltininkai dabar turi visus duomenis, kurių jiems reikia, kad galėtų pabandyti įvykdyti galimą sukčiavimą prieš klientus!

„Iki šiol padarėme didelę pažangą, o mūsų klientų duomenų apsauga tebėra pagrindinis prioritetas. Mes ir toliau daug investuosime, kad sustiprintume savo kibernetinio saugumo programą“, – priduria „T-Mobile“. Nebloga mintis.

Ankstesnė nelaimė

Ši duomenų nelaimė įvyko po to, kai „T-Mobile“ patyrė 2021 m. rugpjūčio mėn., kai nukentėjo 50 mln. klientų, įskaitant jų socialinio draudimo numerių vagystes. Jei vagys, įsitraukę į naujausią ataką, galėtų sujungti ankstesnio įsilaužimo informaciją, tai galbūt būtų atviras sezonas daugiau nei ketvirtadaliui JAV gyventojų.

Chrisas Deverillas, JK direktorius Oranžinė kibernetinė gynyba, apie išpuolį sakoma: „API saugumo svarba auga, kai programų saugumas patenka į įmonės darbotvarkę, atsižvelgiant į skaitmeninės transformacijos, debesų diegimo ir „DevOps“ metodų augimą. „T-Mobile“ pažeidimas įrodo, kodėl.

Jis sako: „Nors naujos skaitmeninės platformos ir programos kuriamos siekiant padidinti efektyvumą, geriau palaikyti klientus ir kurti verslo vertę, jos neapsieina be rizikos. Tiesą sakant, viena didžiausių kovų, susijusių su naujomis programomis, yra saugumas. Yra priemonių, kurias įmonės gali įdiegti, kad apsaugotų API, pvz., autentifikavimo sistemas, išplėstinę paiešką ir žiniatinklio programų užkardas.

Gėda

generalinis direktorius „Endor Labs“.Varunas Badhwaras, kurio įmonė daugiausia dėmesio skiria atvirojo kodo programinės įrangos ir tiekimo grandinių apsaugai, priduria: „Gaila, bet, deja, įprasta šioje naujausioje „T-Mobile“ serijoje, yra tai, kiek mes vis dar nežinome.

„Bendrovė apie tai sužinojo tik sausio 5 d., bet kitu atveju įsibrovėlis duomenis galėjo pradėti gauti lapkričio 25 d. Tikra gėda ta, kad „T-Mobile“ nutekėjusius duomenis priskyrė „pagrindinei klientų informacijai“. Atrodo, kad jie nori, kad padėkotume jiems už tai, kad neatskleidė socialinio draudimo numerių, kurie jau buvo pažeisti per ankstesnius pažeidimus.

„Turėdami visą šią informaciją, užpuolikai gali pradėti įvairias tikslines atakas ir bandyti klastoti, perimti SMS ir pan. Norėčiau, kad įmonės nepablogintų mūsų asmeninės informacijos jautrumo.

Pašalinkite silosus

„Šios atakos vyks tol, kol organizacijos neįsipareis sumažinti ir galiausiai panaikinti duomenų kaupiklius ir kopijavimo pagrindu sukurtą duomenų integravimą, kad būtų sukurtas kontrolės pagrindas“, – sako Danas DeMersas, duomenų valdymo įmonės generalinis direktorius. Cinchy.

„Dabartinė slaptų klientų duomenų fragmentavimo praktika duomenų bazėse, duomenų saugyklose, skaičiuoklėse ir programose verčia juos plačiai ir neribotai kopijuoti naudojant procesą, vadinamą „duomenų integravimu“, – sako jis. “To rezultatas yra tai, kad jis eksponentiškai padidina atakos paviršių, kurį blogi veikėjai gali išnaudoti.”

„Žinoma, duomenų saugumui nėra jokios naudos, tačiau norint sukurti veiksmingą duomenų apsaugą, būtina sutvarkyti mūsų kolektyvinius namus, siekiant panaikinti silosus ir kopijas.

„Praktiškai kalbame apie esminį poslinkį, kai „C-suite“ vadovai, duomenų architektai ir programų kūrėjai pradeda atsieti duomenis nuo programų ir kitų talpyklų, sukurti „nulinės kopijos integracijos“ duomenų ekosistemas, kad padėtų pasiekti kontrolę, “, – sako DeMersas.

Didelės baudos

„T-Mobile“ atveju galbūt didelė bauda gali padėti sutelkti C-Suite dėmesį į šį klausimą, ypač dėl to, kad reguliavimo ir atitikties režimas visame pasaulyje netampa lengvesnis CSP (ryšių paslaugų teikėjams).

Jums tereikia pažvelgti į naujausias taisykles, nustatytas Europos Komisija apie daiktų interneto (IoT) sistemos apsaugą, kad tai pamatytumėte.

Komisijos Kibernetinio atsparumo įstatymas (CRA) skirtas spręsti duomenų saugumo problemas, susijusias su įrenginiais ir sistemomis su tinklo jungtimis, nuo spausdintuvų ir maršrutizatorių iki išmaniųjų buitinių prietaisų ir pramoninių valdymo sistemų.

Antonijus Savvas

Norėdami priversti gamintojus, platintojus ir importuotojus imtis daugiau apsauginių veiksmų, jiems gresia didelės nuobaudos, jei aptinkami įrenginių saugos pažeidžiamumai ir apie juos tinkamai nepranešama ir jie neuždaromi.

„Spaudimas pramonei nepaprastai auga“, – sako Janas Wendenburgas, kibernetinio saugumo įmonės generalinis direktorius VIENAS RAKTAS. „Finansinės baudos nukentėjusiems gamintojams ir platintojams yra griežtos: iki 15 mln. EUR arba 2,5 % pasaulinių metinių pajamų per praėjusius fiskalinius metus [the equivalent larger fine applies].

Sertifikavimo paslaugų teikėjų tiekėjai dabar turi pasiruošti atlikti pasirengimo kibernetiniam atsparumui vertinimą, jei nori neleisti galvos ant kapojimo bloko.

Autorius yra pasaulinis laisvai samdomas verslo technologijų žurnalistas Antony Savvas.

Komentuokite šį straipsnį žemiau arba per Twitter: @VanillaPlus ARBA @jcvplus