2023 онд үүлэн аюулгүй байдлын аюул
Бид 2023 оныг даван туулахын тулд танай байгууллагад нөлөөлж болох үүлэн аюулгүй байдлын томоохон аюул заналхийллийг мэдэх нь чухал юм. 2023 онд үүлний аюулгүй байдлын аюул заналхийлэл улам бүр хөгжиж, улам боловсронгуй болно.
2023 онд анхаарах зүйлсийн жагсаалтыг энд оруулав.
1. Дэд бүтцээ хатууруулах
Үүлний дэд бүтцээ хамгаалах хамгийн сайн арга замуудын нэг бол түүнийг халдлагаас хамгаалах явдал юм. Энэ нь таны серверүүд болон бусад чухал бүрэлдэхүүн хэсгүүдийг зөв тохируулж, шинэчлэгдсэн эсэхийг шалгах явдал юм.
Өнөөдөр үүлэн аюулгүй байдлын олон аюул нь хуучирсан програм хангамжийн эмзэг байдлыг ашигладаг тул үйлдлийн системээ хатууруулах нь чухал юм. Жишээлбэл, 2017 онд WannaCry ransomware халдлага нь Windows үйлдлийн системд засвар хийгдээгүй алдааг ашигласан.
2021 онд ransomware халдлага 20%-иар өссөн байна. Илүү олон компани үүлэн систем рүү шилжихийн хэрээр эдгээр төрлийн халдлагаас хамгаалахын тулд дэд бүтцээ бэхжүүлэх нь чухал юм.
Дэд бүтцээ хатууруулах нь олон нийтлэг халдлагыг багасгахад тусална, үүнд:
- DDoS халдлага
– SQL тарилгын халдлага
– Сайт хоорондын скрипт (XSS) халдлага
DDoS халдлага гэж юу вэ?
DDoS халдлага нь ачаалал ихтэй сервер эсвэл сүлжээг хэт ачаалах зорилгоор илгээдэг кибер халдлага юм. DDoS халдлага нь маш их саад учруулж, вэбсайт эсвэл үйлчилгээг хэрэглэгчдэд ашиглах боломжгүй болгож болзошгүй.
DDos халдлагын статистик:
– 2018 онд DDoS халдлага 300 онтой харьцуулахад 2017 хувиар өссөн байна.
– DDoS халдлагын дундаж зардал 2.5 сая доллар.
SQL Injection Attack гэж юу вэ?
SQL injection халдлагууд нь өгөгдлийн санд хортой SQL код оруулахын тулд програмын кодын сул талуудыг ашигладаг кибер халдлагын нэг төрөл юм. Энэ кодыг дараа нь эмзэг өгөгдөлд хандах эсвэл мэдээллийн санг хянахад ашиглаж болно.
SQL injection халдлага нь вэб дээрх хамгийн түгээмэл халдлагын нэг юм. Үнэн хэрэгтээ эдгээр нь маш түгээмэл байдаг тул Нээлттэй Вэб Програмын Аюулгүй байдлын Төсөл (OWASP) тэдгээрийг вэб програмын аюулгүй байдлын 10 эрсдэлийн нэгээр жагсаасан байна.
SQL Injection Attack Statistics:
– 2017 онд SQL шахалтын халдлагууд нь 4,000 орчим мэдээллийн зөрчлийг хариуцсан.
– SQL тарилгын халдлагын дундаж зардал 1.6 сая доллар.
Сайт хоорондын скрипт (XSS) гэж юу вэ?
Cross-site scripting (XSS) нь вэб хуудсанд хортой код оруулахтай холбоотой кибер халдлагын нэг төрөл юм. Дараа нь энэ кодыг энэ хуудсанд зочилсон сэжиггүй хэрэглэгчид ажиллуулж, улмаар тэдний компьютерийг эвдэхэд хүргэдэг.
XSS халдлага нь маш түгээмэл бөгөөд нууц үг, зээлийн картын дугаар зэрэг нууц мэдээллийг хулгайлахад ашиглагддаг. Тэд мөн хохирогчийн компьютерт хортой програм суулгах эсвэл хортой вэб сайт руу шилжүүлэхэд ашиглаж болно.
Сайт хоорондын скрипт (XSS) статистик:
– 2017 онд XSS халдлагууд нь 3,000 орчим мэдээллийн зөрчлийг хариуцсан.
– XSS халдлагын дундаж зардал 1.8 сая доллар.
2. Үүлний аюулгүй байдлын аюул
Үүлний аюулгүй байдлын хэд хэдэн аюул заналхийлж байгаа тул та мэдэж байх хэрэгтэй. Эдгээрт Үйлчилгээнээс татгалзах (DoS) халдлага, мэдээллийн зөрчил, тэр ч байтугай хорлонтой инсайдерууд орно.
Үйлчилгээнээс татгалзах (DoS) халдлага хэрхэн ажилладаг вэ?
DoS халдлага нь халдагчид систем эсвэл сүлжээг урсгалаар дүүргэх замаар ашиглах боломжгүй болгохыг эрмэлздэг кибер халдлагын нэг төрөл юм. Эдгээр халдлага нь маш их саад учруулж болзошгүй бөгөөд санхүүгийн ихээхэн хохирол учруулж болзошгүй юм.
Үйлчилгээнээс татгалзсан халдлагын статистик
– 2019 онд нийт 34,000 DoS халдлага болсон.
– DoS халдлагын дундаж зардал 2.5 сая доллар.
– DoS халдлага хэд хоног, хэдэн долоо хоног үргэлжилж болно.
Мэдээллийн зөрчил хэрхэн гардаг вэ?
Мэдээллийн зөрчил нь нууц болон нууц мэдээлэлд зөвшөөрөлгүйгээр нэвтэрсэн тохиолдолд үүсдэг. Энэ нь хакердах, нийгмийн инженерчлэл, тэр ч байтугай бие махбодийн хулгай зэрэг олон янзын аргаар тохиолдож болно.
Өгөгдлийн зөрчлийн статистик
– 2019 онд нийт 3,813 мэдээлэл зөрчсөн тохиолдол гарсан.
– Мэдээллийн зөрчлийн дундаж зардал 3.92 сая доллар.
– Мэдээллийн зөрчлийг илрүүлэх дундаж хугацаа 201 хоног байна.
Хортой инсайдерууд хэрхэн халддаг вэ?
Хорлонтой инсайдерууд нь компанийн мэдээлэлд нэвтрэх эрхээ зориудаар урвуулан ашигласан ажилтан эсвэл гэрээлэгч юм. Энэ нь санхүүгийн ашиг хонжоо, өшөө авалт, эсвэл зүгээр л хохирол учруулахыг хүссэн зэрэг олон шалтгааны улмаас тохиолдож болно.
Дотоод аюулын статистик
– 2019 онд мэдээллийн зөрчлийн 43 хувийг хорлонтой инсайдерууд хариуцсан байна.
– Дотоод халдлагын дундаж зардал 8.76 сая доллар.
– Дотоод халдлагыг илрүүлэх дундаж хугацаа 190 хоног байна.
3. Та дэд бүтцээ хэрхэн хатууруулах вэ?
Аюулгүй байдлыг бэхжүүлэх нь таны дэд бүтцийг халдлагад илүү тэсвэртэй болгох үйл явц юм. Үүнд аюулгүй байдлын хяналтыг хэрэгжүүлэх, галт хана байрлуулах, шифрлэлт ашиглах зэрэг зүйлс багтаж болно.
Та аюулгүй байдлын хяналтыг хэрхэн хэрэгжүүлэх вэ?
Дэд бүтцээ бэхжүүлэхийн тулд хэд хэдэн аюулгүй байдлын хяналтуудыг хэрэгжүүлж болно. Үүнд галт хана, хандалтын хяналтын жагсаалт (ACL), халдлагыг илрүүлэх систем (IDS), шифрлэлт зэрэг зүйлс орно.
Хандалтын хяналтын жагсаалтыг хэрхэн үүсгэх вэ:
- Хамгаалах шаардлагатай нөөцийг тодорхойлох.
- Эдгээр нөөцөд хандах ёстой хэрэглэгчид болон бүлгүүдийг тодорхойл.
- Хэрэглэгч болон бүлэг бүрийн зөвшөөрлийн жагсаалтыг үүсгэ.
- Өөрийн сүлжээний төхөөрөмж дээр ACL-ийг хэрэгжүүлээрэй.
Халдлага илрүүлэх систем гэж юу вэ?
Халдлага илрүүлэх систем (IDS) нь таны сүлжээнд байгаа хортой үйлдлийг илрүүлж, хариу үйлдэл үзүүлэхэд зориулагдсан. Эдгээрийг оролдлого хийх халдлага, өгөгдөл зөрчих, бүр дотоод аюул заналхийллийг тодорхойлоход ашиглаж болно.
Та халдлага илрүүлэх системийг хэрхэн хэрэгжүүлэх вэ?
- Өөрийн хэрэгцээнд тохирсон IDS-ийг сонго.
- IDS-ийг сүлжээндээ байрлуул.
- Хортой үйл ажиллагааг илрүүлэхийн тулд IDS-г тохируулна уу.
- IDS-ийн үүсгэсэн сэрэмжлүүлэгт хариу өгөх.
Галт хана гэж юу вэ?
Галт хана нь дүрэм журмын дагуу урсгалыг шүүдэг сүлжээний хамгаалалтын төхөөрөмж юм. Галт хана нь таны дэд бүтцийг бэхжүүлэхэд ашиглагдах аюулгүй байдлын хяналтын нэг төрөл юм. Тэдгээрийг газар дээр нь, үүлэн дээр болон үйлчилгээ гэх мэт олон янзын аргаар байрлуулж болно. Галт хана нь орж ирж буй урсгал, гарах урсгал эсвэл хоёуланг нь хаахад ашиглаж болно.
Байшингийн галт хана гэж юу вэ?
Байшингийн галт хана нь таны дотоод сүлжээнд байрлуулсан галт хананы нэг төрөл юм. Байшингийн галт ханыг ихэвчлэн жижиг, дунд бизнесийг хамгаалахад ашигладаг.
Cloud Firewall гэж юу вэ?
Үүлэн галт хана нь үүлэн дотор байрлуулсан галт хананы нэг төрөл юм. Үүлэн галт ханыг ихэвчлэн томоохон аж ахуйн нэгжүүдийг хамгаалахад ашигладаг.
Cloud Firewall-ийн ашиг тус юу вэ?
Cloud Firewall нь хэд хэдэн давуу талыг санал болгодог бөгөөд үүнд:
– Аюулгүй байдлыг сайжруулсан
– Сүлжээний үйл ажиллагааны харагдах байдал нэмэгдсэн
- Нарийн төвөгтэй байдлыг багасгасан
– Томоохон байгууллагуудын зардал бага
Үйлчилгээний хувьд галт хана гэж юу вэ?
Галт хана нь үйлчилгээ (FaaS) нь үүлд суурилсан галт хананы нэг төрөл юм. FaaS үйлчилгээ үзүүлэгчид үүлэн дээр байрлуулж болох галт ханыг санал болгодог. Энэ төрлийн үйлчилгээг ихэвчлэн жижиг, дунд бизнес эрхлэгчид ашигладаг. Хэрэв та том эсвэл нарийн төвөгтэй сүлжээтэй бол галт ханыг үйлчилгээ болгон ашиглах ёсгүй.
FaaS-ийн ашиг тус
FaaS нь хэд хэдэн давуу талыг санал болгодог бөгөөд үүнд:
- Нарийн төвөгтэй байдлыг багасгасан
- Уян хатан байдал нэмэгдсэн
– Төлбөр тооцооны үнийн загвар
Та галт ханыг үйлчилгээ болгон хэрхэн хэрэгжүүлэх вэ?
- FaaS үйлчилгээ үзүүлэгчийг сонгоно уу.
- Галт ханыг үүлэн дээр байрлуул.
- Галт ханыг өөрийн хэрэгцээнд нийцүүлэн тохируулна уу.
Уламжлалт галт хананаас өөр хувилбар бий юу?
Тиймээ, уламжлалт галт ханын хэд хэдэн хувилбарууд байдаг. Үүнд дараагийн үеийн галт хана (NGFW), вэб програмын галт хана (WAF), API гарцууд орно.
Дараагийн үеийн галт хана гэж юу вэ?
Дараагийн үеийн галт хана (NGFW) нь уламжлалт галт ханатай харьцуулахад сайжруулсан гүйцэтгэл, боломжуудыг санал болгодог галт хананы нэг төрөл юм. NGFW нь ихэвчлэн хэрэглээний түвшний шүүлтүүр, халдлагаас урьдчилан сэргийлэх, контент шүүх гэх мэт зүйлсийг санал болгодог.
Хэрэглээний түвшний шүүлтүүр ашиглаж байгаа програм дээр тулгуурлан замын хөдөлгөөнийг хянах боломжийг танд олгоно. Жишээлбэл, та HTTP урсгалыг зөвшөөрөх боловч бусад бүх урсгалыг хааж болно.
Халдлагаас урьдчилан сэргийлэх халдлагыг тохиолдохоос нь өмнө илрүүлж, урьдчилан сэргийлэх боломжийг танд олгоно.
Агуулгын шүүлтүүр нь сүлжээндээ ямар төрлийн контент руу хандаж болохыг хянах боломжийг танд олгоно. Та хортой вэб сайт, порно, мөрийтэй тоглоомын сайт зэрэг зүйлсийг хаахын тулд контент шүүлтүүрийг ашиглаж болно.
Вэб програмын галт хана гэж юу вэ?
Вэб програмын галт хана (WAF) нь вэб программыг халдлагаас хамгаалах зориулалттай галт хананы нэг төрөл юм. WAF нь ихэвчлэн халдлага илрүүлэх, хэрэглээний түвшний шүүлтүүр, контент шүүх зэрэг функцуудыг санал болгодог.
API гарц гэж юу вэ?
API гарц нь API-г халдлагаас хамгаалах зориулалттай галт хананы нэг төрөл юм. API гарцууд нь ихэвчлэн баталгаажуулалт, зөвшөөрөл, хурдны хязгаарлалт зэрэг функцуудыг санал болгодог.
Authentication Энэ нь зөвхөн эрх бүхий хэрэглэгчид API-д хандах боломжтой тул аюулгүй байдлын чухал функц юм.
Зөвшөөрөл Энэ нь зөвхөн эрх бүхий хэрэглэгчид тодорхой үйлдлийг гүйцэтгэх боломжтой тул аюулгүй байдлын чухал функц юм.
Үнийн хязгаарлалт Энэ нь үйлчилгээг үгүйсгэх халдлагаас урьдчилан сэргийлэхэд тусалдаг тул аюулгүй байдлын чухал функц юм.
Та шифрлэлтийг хэрхэн ашигладаг вэ?
Шифрлэлт нь таны дэд бүтцийг бэхжүүлэхэд ашиглаж болох аюулгүй байдлын арга хэмжээ юм. Энэ нь өгөгдлийг зөвхөн эрх бүхий хэрэглэгчид уншиж болох хэлбэр болгон хувиргах явдал юм.
Шифрлэлтийн аргууд нь:
- Тэгш хэмт түлхүүрийн шифрлэлт
– Тэгш хэмт бус түлхүүрийн шифрлэлт
– Нийтийн түлхүүрийн шифрлэлт
Тэгш хэмт түлхүүрийн шифрлэлт нь өгөгдлийг шифрлэх, тайлахад ижил түлхүүр ашигладаг шифрлэлтийн төрөл юм.
Тэгш бус түлхүүрийн шифрлэлт нь өгөгдлийг шифрлэх, тайлахад өөр өөр түлхүүрүүдийг ашигладаг шифрлэлтийн төрөл юм.
Нийтийн түлхүүрийн шифрлэлт Энэ нь түлхүүрийг хүн бүрт ашиглах боломжтой болгодог шифрлэлтийн төрөл юм.
4. Үүлэн зах зээлээс хатуурсан дэд бүтцийг хэрхэн ашиглах вэ
Дэд бүтцээ бэхжүүлэх хамгийн сайн аргуудын нэг бол AWS зэрэг үйлчилгээ үзүүлэгчээс хатууруулсан дэд бүтцийг худалдаж авах явдал юм. Энэ төрлийн дэд бүтэц нь халдлагад илүү тэсвэртэй байхаар бүтээгдсэн бөгөөд аюулгүй байдлын шаардлагыг хангахад тань туслах болно. Гэсэн хэдий ч AWS дээрх бүх тохиолдлууд тэнцүү бүтээгддэггүй. AWS нь хатуурсан зургууд шиг халдлагад тэсвэртэй биш, хатуураагүй зургуудыг санал болгодог. AMI нь халдлагад илүү тэсвэртэй эсэхийг тодорхойлох хамгийн сайн аргуудын нэг бол хамгийн сүүлийн үеийн аюулгүй байдлын функцуудтай байхын тулд хувилбар нь шинэчлэгдсэн эсэхийг шалгах явдал юм.
Хатуу дэд бүтцийг худалдаж авах нь өөрийн дэд бүтцийг хатууруулах үйл явцыг даван туулахаас хамаагүй хялбар юм. Дэд бүтцээ бэхжүүлэхэд шаардлагатай багаж хэрэгсэл, нөөцөд хөрөнгө оруулалт хийх шаардлагагүй тул энэ нь илүү хэмнэлттэй байж болно.
Хатуу дэд бүтцийг худалдаж авахдаа аюулгүй байдлын өргөн хүрээний хяналтыг санал болгодог үйлчилгээ үзүүлэгчийг хайх хэрэгтэй. Энэ нь бүх төрлийн халдлагын эсрэг дэд бүтцээ бэхжүүлэх хамгийн сайн боломжийг танд олгоно.
Хатуу дэд бүтцийг худалдан авахын илүү давуу талууд:
- Аюулгүй байдлыг нэмэгдүүлсэн
- Дагаж мөрдөх байдал сайжирсан
- Зардал багассан
- Энгийн байдал нэмэгдсэн
Таны үүлэн дэд бүтцийн энгийн байдлыг нэмэгдүүлэх нь маш дутуу үнэлэгдсэн! Нэр хүндтэй үйлдвэрлэгчийн хатуужуулсан дэд бүтцийн хувьд тохиромжтой зүйл бол аюулгүй байдлын одоогийн стандартад нийцүүлэн байнга шинэчлэгдэж байх явдал юм.
Хуучирсан үүлэн дэд бүтэц халдлагад илүү өртөмтгий байдаг. Ийм учраас дэд бүтцээ шинэчилж байх нь чухал.
Хуучирсан програм хангамж нь өнөөдөр байгууллагуудад тулгарч буй аюулгүй байдлын хамгийн том аюулуудын нэг юм. Хатуу дэд бүтцийг худалдаж авснаар та энэ асуудлаас бүрэн зайлсхийх боломжтой.
Өөрийн дэд бүтцээ хатууруулахдаа аюулгүй байдалд учирч болзошгүй бүх аюулыг анхаарч үзэх нь чухал юм. Энэ нь хэцүү ажил байж болох ч хатууруулах хүчин чармайлт үр дүнтэй байх ёстой.
5. Аюулгүй байдлын нийцэл
Дэд бүтцээ чангатгах нь аюулгүй байдлын шаардлагыг хангахад тусална. Учир нь олон дагаж мөрдөх стандартууд нь таны өгөгдөл болон системийг халдлагаас хамгаалах арга хэмжээ авахыг шаарддаг.
Үүлний аюулгүй байдлын хамгийн том аюул заналхийллийг мэдсэнээр та байгууллагаа тэдгээрээс хамгаалах арга хэмжээ авч болно. Дэд бүтцээ чангатгаж, аюулгүй байдлын функцуудыг ашигласнаар халдагчид таны системд халдахыг илүү хэцүү болгож чадна.
Аюулгүй байдлын журмаа удирдан чиглүүлж, дэд бүтцээ чангатгахын тулд CIS-ийн жишиг үзүүлэлтүүдийг ашигласнаар та дагаж мөрдөх байр сууриа бэхжүүлж чадна. Та мөн автоматжуулалтыг ашиглан системээ хатууруулж, нийцтэй байлгахад туслах боломжтой.
2022 онд ямар төрлийн аюулгүй байдлын дүрмийг дагаж мөрдөх ёстой вэ?
- GDPR
- PCI DSS
- HIPAA
- SOX
- HITRUST
GDPR-ийг хэрхэн дагаж мөрдөх вэ
Мэдээллийг хамгаалах ерөнхий журам (GDPR) нь хувийн мэдээллийг хэрхэн цуглуулах, ашиглах, хамгаалах ёстойг зохицуулдаг зохицуулалтын багц юм. ЕХ-ны иргэдийн хувийн мэдээллийг цуглуулах, ашиглах, хадгалах байгууллагууд GDPR-ийг дагаж мөрдөх ёстой.
GDPR-д нийцсэн хэвээр байхын тулд дэд бүтцээ бэхжүүлж, ЕХ-ны иргэдийн хувийн мэдээллийг хамгаалах арга хэмжээ авах хэрэгтэй. Үүнд өгөгдлийг шифрлэх, галт хана байрлуулах, хандалтын хяналтын жагсаалтыг ашиглах гэх мэт зүйлс орно.
GDPR дагаж мөрдөх статистик:
GDPR-ийн зарим статистикийг энд харуулав.
– GDPR хэрэгжиж эхэлснээс хойш байгууллагуудын 92 хувь нь хувийн мэдээллийг цуглуулах, ашиглах аргадаа өөрчлөлт оруулсан
– Байгууллагуудын 61 хувь нь GDPR-ийг дагаж мөрдөхөд хэцүү байсан гэж хариулсан
– GDPR хэрэгжиж эхэлснээс хойш байгууллагуудын 58 хувь нь мэдээллийн зөрчилтэй тулгарсан
Бэрхшээлтэй байгаа хэдий ч байгууллагууд GDPR-ийг дагаж мөрдөх арга хэмжээ авах нь чухал юм. Үүнд тэдний дэд бүтцийг хатууруулах, ЕХ-ны иргэдийн хувийн мэдээллийг хамгаалах зэрэг багтана.
GDPR-д нийцсэн хэвээр байхын тулд дэд бүтцээ бэхжүүлж, ЕХ-ны иргэдийн хувийн мэдээллийг хамгаалах арга хэмжээ авах хэрэгтэй. Үүнд өгөгдлийг шифрлэх, галт хана байрлуулах, хандалтын хяналтын жагсаалтыг ашиглах гэх мэт зүйлс орно.
Хэрхэн PCI DSS-тэй нийцтэй байх вэ
Төлбөрийн картын салбарын мэдээллийн аюулгүй байдлын стандарт (PCI DSS) нь зээлийн картын мэдээллийг хэрхэн цуглуулах, ашиглах, хамгаалах талаар удирдамжийн багц юм. Зээлийн картын төлбөрийг боловсруулдаг байгууллагууд PCI DSS-ийг дагаж мөрдөх ёстой.
PCI DSS-д нийцсэн хэвээр байхын тулд та дэд бүтцээ бэхжүүлж, зээлийн картын мэдээллийг хамгаалах арга хэмжээ авах хэрэгтэй. Үүнд өгөгдлийг шифрлэх, галт хана байрлуулах, хандалтын хяналтын жагсаалтыг ашиглах гэх мэт зүйлс орно.
PCI DSS дээрх статистик
PCI DSS дээрх статистик:
– PCI DSS-ийг нэвтрүүлснээс хойш байгууллагуудын 83% нь зээлийн картын төлбөрийг боловсруулах арга барилдаа өөрчлөлт оруулсан байна.
– Байгууллагуудын 61 хувь нь PCI DSS-ийг дагаж мөрдөхөд хэцүү байсан гэж хариулсан
– PCI DSS-ийг нэвтрүүлснээс хойш байгууллагуудын 58% нь мэдээллийн зөрчилтэй тулгарсан
Байгууллагууд PCI DSS-ийг дагаж мөрдөх арга хэмжээ авах нь чухал юм. Үүнд тэдний дэд бүтцийг хатууруулах, зээлийн картын мэдээллийг хамгаалах зэрэг багтана.
Хэрхэн HIPAA-д нийцсэн байх вэ
Эрүүл мэндийн даатгалын зөөвөрлөлт ба хариуцлагын тухай хууль (HIPAA) нь хувийн эрүүл мэндийн мэдээллийг хэрхэн цуглуулах, ашиглах, хамгаалах талаар зохицуулсан зохицуулалтын багц юм. Өвчтөнүүдийн хувийн эрүүл мэндийн мэдээллийг цуглуулах, ашиглах, хадгалах байгууллагууд HIPAA-г дагаж мөрдөх ёстой.
HIPAA-д нийцсэн хэвээр байхын тулд та дэд бүтцээ бэхжүүлж, өвчтөнүүдийн хувийн эрүүл мэндийн мэдээллийг хамгаалах арга хэмжээ авах хэрэгтэй. Үүнд өгөгдлийг шифрлэх, галт хана байрлуулах, хандалтын хяналтын жагсаалтыг ашиглах гэх мэт зүйлс орно.
HIPAA-ийн статистик
HIPAA-н статистик:
– HIPAA нэвтрүүлснээс хойш байгууллагуудын 91% нь хувийн эрүүл мэндийн мэдээлэл цуглуулах, ашиглах арга барилдаа өөрчлөлт оруулсан
– Байгууллагуудын 63 хувь нь HIPAA-г дагаж мөрдөхөд хэцүү байсан гэж хариулсан
– HIPAA нэвтрүүлсэнээс хойш байгууллагуудын 60% нь мэдээллийн зөрчилтэй тулгарсан
Байгууллагууд HIPAA-г дагаж мөрдөх арга хэмжээ авах нь чухал юм. Үүнд тэдний дэд бүтцийг бэхжүүлэх, өвчтөнүүдийн хувийн эрүүл мэндийн мэдээллийг хамгаалах зэрэг багтана.
Хэрхэн SOX-д нийцсэн байх вэ
Sarbanes-Oxley Act (SOX) нь санхүүгийн мэдээллийг хэрхэн цуглуулах, ашиглах, хамгаалах талаар зохицуулсан зохицуулалтын багц юм. Санхүүгийн мэдээллийг цуглуулах, ашиглах, хадгалах байгууллагууд SOX-ийг дагаж мөрдөх ёстой.
SOX-д нийцсэн хэвээр байхын тулд та дэд бүтцээ бэхжүүлж, санхүүгийн мэдээллээ хамгаалах арга хэмжээ авах хэрэгтэй. Үүнд өгөгдлийг шифрлэх, галт хана байрлуулах, хандалтын хяналтын жагсаалтыг ашиглах гэх мэт зүйлс орно.
SOX-ийн статистик
SOX-ийн статистик:
– SOX нэвтрүүлснээс хойш байгууллагуудын 94% нь санхүүгийн мэдээлэл цуглуулах, ашиглах арга барилдаа өөрчлөлт оруулсан
– Байгууллагуудын 65 хувь нь SOX-ийг дагаж мөрдөхөд хэцүү байсан гэж хариулсан
– SOX нэвтрүүлсэнээс хойш байгууллагуудын 61% нь мэдээллийн зөрчилтэй тулгарсан
Байгууллагууд SOX-ийг дагаж мөрдөх арга хэмжээ авах нь чухал юм. Үүнд тэдний дэд бүтцийг хатууруулах, санхүүгийн мэдээллийг хамгаалах зэрэг орно.
HITRUST гэрчилгээг хэрхэн авах вэ
HITRUST-ийн гэрчилгээ авах нь олон үе шаттай үйл явц бөгөөд өөрийн үнэлгээг бөглөж, бие даасан үнэлгээ хийлгэж, дараа нь HITRUST-ээр баталгаажуулдаг.
Өөрийгөө үнэлэх нь үйл явцын эхний алхам бөгөөд байгууллагын баталгаажуулалтад бэлэн байгаа эсэхийг тодорхойлоход ашигладаг. Энэхүү үнэлгээнд байгууллагын аюулгүй байдлын хөтөлбөр, баримт бичгийг шалгах, үндсэн ажилтнуудтай газар дээр нь хийсэн ярилцлага зэрэг багтана.
Өөрийгөө үнэлж дууссаны дараа бие даасан үнэлгээчин байгууллагын аюулгүй байдлын хөтөлбөрийн талаар илүү гүнзгийрүүлсэн үнэлгээ хийнэ. Энэхүү үнэлгээнд тухайн байгууллагын аюулгүй байдлын хяналтыг шалгахаас гадна тэдгээр хяналтын үр дүнтэй эсэхийг шалгахын тулд газар дээр нь туршилт хийх зэрэг орно.
Бие даасан үнэлгээч байгууллагын аюулгүй байдлын хөтөлбөр нь HITRUST CSF-ийн бүх шаардлагыг хангаж байгаа эсэхийг шалгасны дараа тухайн байгууллагыг HITRUST-ээр баталгаажуулна. HITRUST CSF-ийн гэрчилгээтэй байгууллагууд HITRUST лацыг ашиглан нууц мэдээллийг хамгаалах амлалтаа харуулах боломжтой.
HITRUST-ийн статистик:
- 2019 оны 2,700-р сарын байдлаар HITRUST CSF-ийн гэрчилгээтэй XNUMX гаруй байгууллага байна.
- Эрүүл мэндийн салбар нь 1,000 гаруй байгууллагатай хамгийн олон гэрчилгээтэй байгууллага юм.
- Санхүү, даатгалын салбар нь 500 гаруй гэрчилгээтэй байгууллагатай хоёрдугаарт ордог.
- Гуравдугаарт жижиглэн худалдааны салбар ордог бөгөөд 400 гаруй гэрчилгээтэй байгууллага байдаг.
Аюулгүй байдлын талаарх мэдлэг олгох сургалт нь аюулгүй байдлыг дагаж мөрдөхөд тусалдаг уу?
Тийм ээ, аюулгүй байдлын талаархи мэдлэг сургалт нь дагаж мөрдөхөд тусална. Учир нь олон дагаж мөрдөх стандартууд нь таны өгөгдөл болон системийг халдлагаас хамгаалах арга хэмжээ авахыг шаарддаг. -ын аюулыг ухамсарлах замаар кибер халдлагууд, та тэднээс байгууллагаа хамгаалах арга хэмжээ авч болно.
Байгууллагадаа аюулгүй байдлын мэдлэг олгох сургалтыг хэрэгжүүлэх зарим арга замууд юу вэ?
Танай байгууллагад аюулгүй байдлын мэдлэг олгох сургалтыг хэрэгжүүлэх олон арга бий. Нэг арга бол аюулгүй байдлын мэдлэг олгох сургалтыг санал болгодог гуравдагч талын үйлчилгээ үзүүлэгчийг ашиглах явдал юм. Өөр нэг арга бол аюулгүй байдлын мэдлэг олгох сургалтын хөтөлбөрөө боловсруулах явдал юм.
Энэ нь ойлгомжтой байж болох ч програмын аюулгүй байдлын шилдэг туршлагыг хөгжүүлэгчиддээ сургах нь эхлэх хамгийн сайн газруудын нэг юм. Тэд програмыг хэрхэн зөв кодлох, дизайн хийх, турших талаар мэддэг эсэхийг шалгаарай. Энэ нь таны аппликешн дэх эмзэг байдлын тоог багасгахад тусална. Appsec сургалт нь төслүүдийг дуусгах хурдыг нэмэгдүүлэх болно.
Та мөн нийгмийн инженерчлэл гэх мэт зүйлсийн талаар сургалт явуулах хэрэгтэй фишинг дайралт. Эдгээр нь халдагчид систем болон өгөгдөлд хандах нийтлэг арга юм. Эдгээр халдлагыг мэдсэнээр танай ажилтнууд өөрсдийгөө болон танай байгууллагыг хамгаалах арга хэмжээ авах боломжтой.
Аюулгүй байдлын талаарх мэдлэг олгох сургалтыг нэвтрүүлэх нь ажилтнууддаа өгөгдөл болон системээ халдлагаас хэрхэн хамгаалах талаар сургахад тусалдаг тул дагаж мөрдөхөд тусална.
Фишинг симуляцийн серверийг үүлэн дотор байрлуул
Аюулгүй байдлын мэдлэг олгох сургалтын үр дүнг шалгах нэг арга бол фишинг симуляцийн серверийг үүлэн дээр байрлуулах явдал юм. Ингэснээр та ажилчиддаа дууриамал фишинг имэйл илгээж, тэд хэрхэн хариу үйлдэл үзүүлэхийг харах боломжтой болно.
Хэрэв таны ажилчид хуурамч фишинг халдлагад өртөж байгааг олж мэдвэл та илүү их сургалт явуулах хэрэгтэй гэдгийг мэдэж байгаа. Энэ нь таны байгууллагыг жинхэнэ фишинг халдлагын эсрэг хатууруулахад тусална.
Үүлэн дэх харилцааны бүх аргыг аюулгүй болго
Клоуд дахь аюулгүй байдлыг сайжруулах өөр нэг арга бол харилцааны бүх аргыг хамгаалах явдал юм. Үүнд имэйл, шуурхай мессеж, файл хуваалцах гэх мэт зүйлс орно.
Мэдээллийг шифрлэх, тоон гарын үсэг ашиглах, галт хана байрлуулах зэрэг эдгээр харилцаа холбоог хамгаалах олон арга бий. Эдгээр алхмуудыг хийснээр та өгөгдөл болон системээ халдлагаас хамгаалахад тусалж чадна.
Харилцаа холбоо бүхий аливаа үүлний жишээг ашиглахад хатууруулах ёстой.
Аюулгүй байдлын мэдлэг олгох сургалтыг гуравдагч этгээд ашиглахын давуу тал:
– Сургалтын хөтөлбөр боловсруулах, хүргэх ажлыг аутсорсинг хийх боломжтой.
– Үйлчилгээ үзүүлэгч нь танай байгууллагад хамгийн сайн сургалтын хөтөлбөр боловсруулж, хүргэж чадах мэргэжилтнүүдийн багтай байх болно.
– Үйлчилгээ үзүүлэгч нь хамгийн сүүлийн үеийн нийцлийн шаардлагуудыг шинэчилж байх болно.
Аюулгүй байдлын мэдлэг олгох сургалтанд гуравдагч этгээдийг ашиглахын сул талууд:
– Гуравдагч этгээдийг ашиглах зардал өндөр байж болно.
– Сургалтын хөтөлбөрийг хэрхэн ашиглах талаар ажилчдаа сургах хэрэгтэй болно.
– Үйлчилгээ үзүүлэгч нь танай байгууллагын онцлог хэрэгцээнд нийцүүлэн сургалтын хөтөлбөрийг өөрчлөх боломжгүй байж магадгүй.
Аюулгүй байдлын талаарх мэдлэг олгох сургалтын хөтөлбөрөө хөгжүүлэхийн давуу талууд:
– Та байгууллагынхаа онцлог хэрэгцээнд нийцүүлэн сургалтын хөтөлбөрөө өөрчлөх боломжтой.
– Сургалтын хөтөлбөрийг боловсруулж, хүргэх зардал нь гуравдагч талын үйлчилгээ үзүүлэгчийг ашиглахаас бага байх болно.
– Сургалтын хөтөлбөрийн агуулгыг илүү хянах боломжтой болно.
Аюулгүй байдлын талаархи мэдлэг олгох сургалтын хөтөлбөрийг өөрөө хөгжүүлэх сул талууд:
– Сургалтын хөтөлбөрийг боловсруулж, хүргэхэд цаг хугацаа, нөөц шаардлагатай.
– Сургалтын хөтөлбөр боловсруулж, хүргэж чадах боловсон хүчний мэргэжилтнүүдтэй байх шаардлагатай.
– Хөтөлбөр нь хамгийн сүүлийн үеийн шаардлагад нийцэхгүй байж магадгүй.
