Чему малый и средний бизнес может научиться из показаний осведомителя в Твиттере

• 13 сентября бывший глава службы безопасности Twitter Пейтер Затко выступил перед Конгрессом в качестве разоблачителя обвинений в нескольких нарушениях безопасности в компании.
• Предполагаемые сбои в системе безопасности Twitter включали неправильное обращение с пользовательскими данными, отсутствие средств контроля доступа для защиты данных, введение в заблуждение FTC и потенциальное разрешение иностранным правительствам использовать платформу для распространения дезинформации.
• Обвинения в адрес Twitter остаются бездоказательными, но они серьезны и преподносят малым и средним предприятиям много уроков относительно того, какие шаги должен предпринять бизнес, чтобы избежать потенциально катастрофических кибератак.
• Эта статья предназначена для руководителей компаний и ИТ-специалистов, которые хотят знать, какие шаги они могут предпринять для улучшения мер кибербезопасности своей компании.

Бывший глава службы безопасности Twitter, ставший правительственным разоблачителем, Пейтер Затко в сентябре дал показания в Судебном комитете Сената о многочисленных нарушениях безопасности, нормативных требований и конфиденциальности в гиганте социальных сетей. Показания Затко были даны после того, как комитет вызвал его в суд после того, как в августе он публично раскрыл предполагаемую слабую безопасность в Твиттере. Среди обвинений Затко были нарушения компанией многочисленных законов и правил, в том числе неправильное обращение с личными данными пользователей.

Хотя утверждения Затко не были доказаны, они представляют собой предостерегающий урок безопасности для малого и среднего бизнеса. Проблемы с конфиденциальностью, обработка информации о пользователях и уязвимости в системе безопасности будут становиться все более насущными по мере того, как все больше штатов США и других стран принимают более строгие правила конфиденциальности данных. Имея это в виду, мы составили следующую статью, в которой рассказывается о предполагаемых сбоях Twitter, о том, что SMB могут извлечь из этого, и какие шаги SMB могут предпринять для повышения своей безопасности сейчас.

Каковы были предполагаемые сбои безопасности Twitter?

Затко заявил о ряде сбоев и проблем с безопасностью в Twitter, от неправильного обращения с личными данными клиентов до утверждений о том, что иностранные шпионы и манипуляторы могут воспользоваться потенциальными дырами в безопасности компании.

Эти обвинения остаются бездоказательными, и генеральный директор Twitter распространил внутреннее письмо заявив, что утверждения Затко «пронизаны несоответствиями». По сообщениям, Twitter также заявил, что уволил Затко за «неэффективное руководство и плохую работу». Кроме того, по сообщениям Wall Street Journal, компания выплатила ему 7 миллионов долларов в рамках мирового соглашения, которое включало NDA в июне 2022 года.

Независимо от обоснованности обвинений, малый и средний бизнес может извлечь ряд важных уроков безопасности из драмы, разыгравшейся сегодня между Затко и Twitter. Следующие предполагаемые сбои являются важными моментами, о которых должны помнить все группы ИТ и безопасности малого и среднего бизнеса.

Неправильное обращение с пользовательскими данными

По словам Затко, у Twitter было несколько проблем с правильной обработкой и удалением пользовательских данных. Утверждается, что Twitter не удалял пользовательские данные должным образом после того, как пользователи удалили свои учетные записи. Кроме того, Twitter не смог учесть такие пользовательские данные после удаления учетной записи, и Затко заявил, что компания ввела в заблуждение Федеральную торговую комиссию (FTC) относительно пользовательских данных, когда ее спросили.

Затко также утверждал, что Twitter неправильно обрабатывал активные пользовательские данные и не соблюдал постановление о согласии от 2011 года, которое FTC и Twitter достигли после того, как FTC ранее обнаружила, что Twitter не может защитить пользовательские данные. По словам Затко, Twitter использовал номера телефонов и/или адреса электронной почты, предоставленные пользователями, только в целях безопасности и защиты для целевой рекламы. Кроме того, Затко утверждал, что компания понимала цель только 20% пользовательских данных, которые она собирала, и что у компании не было полного понимания того, какие пользовательские данные она собирала и почему.

Неправильное обращение с пользовательскими данными является нарушением законов о конфиденциальности данных, таких как Общий регламент ЕС о конфиденциальности данных (GDPR) или Калифорнийский закон о конфиденциальности потребителей (CCPA). Кроме того, он подвергает пользователей воздействию злоумышленников, которые могут попытаться неправомерно использовать их личную информацию различными способами, от запуска мошенничества до продажи личных данных в даркнете.

Отсутствие контроля доступа

Затко утверждал, что в Twitter не было средств контроля доступа для защиты пользовательских данных и конфиденциальных систем прямого эфира. По словам Затко, у Twitter также не было среды разработки и тестирования, а это означает, что любые изменения в системах реального производства немедленно приведут к изменениям в коммерческом сервисе. По словам Затко, примерно половина из 10 000 штатных сотрудников Twitter имела доступ к данным или производственным системам. Затко также утверждал, что в Твиттере не было системы для регистрации того, кто зашел в производственную среду или что они могли сделать.

Если это правда, это будет означать, что многие люди могли получить доступ к личным данным пользователя без причины и без ведома кого-либо. По словам Затко, эти данные содержали такую ​​информацию, как IP-адрес пользователя, адрес электронной почты, место, откуда, по мнению Twitter, пользователь подключался к сервису, и многое другое.

Аппаратные уязвимости

По словам Затко, более половины серверов Twitter работают на устаревшем программном обеспечении. Он сказал, что многие из этих серверов не могут выполнять базовые рекомендации по обеспечению безопасности, такие как поддержка шифрования данных или обновления безопасности поставщиков. Если это правда, это потенциально могло сделать системы нестабильными, а также открыть их для возможных взломов.

Отсутствие безопасности конечного пользователя

Затко утверждал, что более 30% компьютеров сотрудников были отключены с программным обеспечением и обновлениями безопасности; Он свидетельствовал, что на многих из этих устройств также были отключены другие функции безопасности, такие как системные брандмауэры. По словам Затко, Twitter также не мог активно отслеживать, что сотрудники делали на своих устройствах или какое программное обеспечение они устанавливали.

По словам Затко, у Twitter также не было решений для управления мобильными устройствами (MDM) для телефонов сотрудников, несмотря на то, что тысячи этих устройств имели доступ к основным системам компании.

Twitter якобы столкнулся с рядом технических сбоев и сбоев в обеспечении конфиденциальности, кульминацией которых стала потенциальная нестабильность системы и широко распространенный доступ сотрудников внутри компании к конфиденциальным данным и производственной среде. Затко также заявил, что у Twitter не было никаких систем для регистрации доступа сотрудников к таким конфиденциальным данным.

Чему могут научить малые и средние предприятия заявления о безопасности Twitter?

Утверждения Затко о проблемах с безопасностью в Twitter остаются бездоказательными. Тем не менее, они помогают осветить многие критические области безопасности, о которых малые и средние предприятия должны знать в своих собственных средах.

Установите соответствующие привилегии

Один из главных уроков, которые малые и средние предприятия должны извлечь из этих слушаний, — это важность поддержания строгого контроля доступа. Слабые меры контроля доступа являются одной из основных причин взломов ИТ. В большинстве случаев хакеры могут получить доступ к привилегированным данным из-за того, что компании плохо защищают свою среду и свои учетные записи, а также доверяют слишком большому количеству людей слишком большой доступ.

В худших случаях неправильный контроль доступа может привести к крупномасштабным утечкам данных, угрозе репутации бизнеса, простою системы и потенциальным финансовым потерям и судебным искам.

Соответственно, предприятия должны внедрить принцип наименьших привилегий. Этот принцип гласит, что любому приложению или пользователю должно быть предоставлено наименьшее количество привилегий, необходимых для выполнения их работы, и что эти привилегии также должны предоставляться на как можно более короткий период.

Придерживайтесь лучших практик обработки данных

Компании также должны учесть в этих слушаниях важность надлежащего обращения с данными пользователей. Пользовательские данные должны храниться в зашифрованном виде в состоянии покоя — то есть, когда они находятся на сервере или на машине, — а также в пути — то есть, когда они перемещаются между машинами. Даже в зашифрованном виде пользовательские данные должны храниться в отдельной сети.

Пользовательские данные также должны быть защищены с помощью строгого контроля доступа, то есть только люди с особыми потребностями должны иметь доступ к данным. Все обращения к пользовательским данным также должны быть должным образом зарегистрированы.

Реализовать управление исправлениями

Компании всех размеров должны внедрить процесс управления исправлениями. Этот процесс помогает ИТ-специалистам и специалистам по безопасности быть в курсе обновлений безопасности и исправлений, выпущенных для программного и аппаратного обеспечения, используемого в сети. Надлежащий процесс управления исправлениями должен включать тестовую среду, в которой ИТ-команда может сначала развертывать исправления, чтобы убедиться, что они не ухудшают работу каких-либо важных бизнес-функций.

Процесс управления исправлениями также помогает ИТ-специалистам расставлять приоритеты для обновлений. ИТ-специалистам следует уделять особое внимание устранению критических уязвимостей, уязвимостей, которые в настоящее время используют хакеры, и уязвимостей в устройствах, которые могут хранить важные бизнес-данные, например, в серверах.

Переосмыслите безопасность конечных пользователей

Изменения в рабочей среде и распространение мобильных устройств усложнили для предприятий защиту устройств конечных пользователей. Не существует быстрых и простых решений для повышения безопасности конечных пользователей, и всегда существует риск человеческой ошибки, например, в случае случайной загрузки вредоносного ПО или попадания на фишинговое письмо. Однако в долгосрочной перспективе компании могут помочь повысить общую безопасность, перепроектировав свои сети для использования архитектуры с нулевым доверием и решений безопасности, таких как MDM.

Предполагаемые сбои в системе безопасности Twitter служат возможностью обучения для малого и среднего бизнеса. Малые и средние предприятия должны уделить внимание этим слушаниям важности шифрования конфиденциальных данных, наличия строгих политик и процедур контроля доступа, наличия процесса исправления и обновления всего программного и аппаратного обеспечения, а также обеспечения работы программ безопасности на всех устройствах сотрудников.

Шаги, которые малый и средний бизнес может предпринять, чтобы улучшить свою безопасность прямо сейчас

Создание полной программы безопасности требует времени, денег и опыта. Тем не менее, есть много шагов, которые малый и средний бизнес может предпринять, чтобы быстро усилить защиту данных клиентов и свою общую кибербезопасность. (Статья по теме: Как улучшить кибербезопасность вашего малого бизнеса за час)

Предприятия с выделенными ИТ-командами могут быстро улучшить свою безопасность, выполнив следующие действия:

• Обязательно используйте уникальные надежные пароли для каждой учетной записи.
• По возможности требуйте двухфакторную аутентификацию для всех учетных записей.
• Требовать использования менеджеров паролей, чтобы создавать и безопасно хранить пароли
• Используйте шифрование для защиты всех конфиденциальных данных пользователей и компании.

Предприятиям, не имеющим выделенных ИТ-команд, следует рассмотреть возможность найма поставщика управляемых услуг (MSP). MSP позволяют бизнесу передавать задачи ИТ и безопасности на аутсорсинг. Это может быть невероятно полезно для предприятий, у которых нет технологических ноу-хау или процессов для полной защиты своих сетей и пользовательских данных.

Когда дело доходит до безопасности, самый важный шаг, который может предпринять бизнес, — начать работу. Любая защита, которую может внедрить малый и средний бизнес, лучше, чем ничего. И, как показывают обвинения в адрес Twitter, лучшее время для того, чтобы начать улучшать кибербезопасность, — вчера.