BDAR
gdpr

Valstybinė duomenų apsaugos inspekcija yra joje tvarkomų asmens duomenų valdytoja, kuri užtikrina, kad asmens duomenys Inspekcijoje būtų tvarkomi laikantis duomenų valdytojams taikomų asmens duomenų apsaugos reikalavimų.


2021 m. pranešimų apie asmens duomenų saugumo pažeidimus apžvalga

Data

2022 01 10

Įvertinimas
6
paz.jpg

 


2021 m., be kitų pranešimų, gauti net 9 pranešimai apie ADSP, kurių metu buvo nutekintos duomenų bazės

Vien per šiuos 9 ADSP, programišiai, taikydami SQL injekcijų (angl. SQL Injection), brutalios jėgos (angl. Brute Force), tinklo tarpininko (angl. Man in The Middle (MITM)) tipo atakas, nutekino net 993 570 abonentų arba fizinių asmenų duomenis.
 

Duomenų saugos valdymo spragos, dėl kurių įvyko minėti pažeidimai:

  • nevykdomas kompiuterių tinklų duomenų srautų monitoringas, nevykdomas įsilaužimų aptikimas ir prevencija;
  • nevaldomas veiklos tęstinumas;
  • netinkami serverio nustatymai ir taisyklės;
  • neapsaugoti komunikacijos kanalai, leidžiamas nešifruotų duomenų perdavimas;
  • pasenusios serverių operacinės sistemos;
  • nesegmentuoti kompiuteriniai tinklai;
  • nevykdoma prieigos kontrolė.
     

Organizacinės ir techninės saugumo priemonės, padėsiančios išvengti panašių pažeidimų:

  • išorinėms prieigoms prie IT resursų naudoti šifruotą komunikacijos kanalą, t. y. kriptografinius protokolus (pvz., TLS/SSL);
  • užtikrinti kritinių operacinių sistemos saugos atnaujinimų diegimą reguliariai ir nedelsiant;
  • įgyvendinti SQL užklausų ir tinklo srauto kontrolę, įdiegiant įsilaužimų aptikimo ir prevencijos įrankius (pvz., IDS (angl. Intrusion Detection System) / IPS (angl. Intrusion Prevention System), tinklo ugniasienę (angl. Network Firewall);
  • tinkamai sukonfigūruoti išorinėje komunikacijoje dalyvaujančius serverius ir kitą įrangą pagal gerąsias praktikas;
  • užtikrinti interneto svetainių saugą, pvz., įdiegiant žiniatinklio programų ugniasienę (angl. Web Application Firewall (WAF));
  • segmentuoti kompiuterinius tinklus tokiu būdu, kad asmens duomenys, kai tai įmanoma, nebūtu prieinami per išorinius komunikacijos kanalus;
  • įdiegti prieigos kontrolę pagal organizacijos saugumo politiką, taikant principą „būtina žinoti“;
  • parengti ir nuolatos testuoti veiklos tęstinumo planą.