3 Октября, 2018

Facebook: Как минимизировать риск уязвимостей

Panda Security в России и СНГ
За последние несколько месяцев самая популярная социальная сеть в мире столкнулась с рядом проблем, связанных с защитой персональных данных. В июле этого года Офис комиссара по делам информации (ICO) в Великобритании наложил штраф в размере 500 000 фунтов стерлингов на Facebook за его участие в деле с Cambridge Analytica. Это был максимально возможный штраф, учитывая, что инцидент произошел до вступления в силу нового европейского законодательства по защите персональных данных (GDPR).

Теперь интернет-гиганта потряс новый скандал с защитой данных. В прошлую пятницу, как объяснил Вице-президент по управлению продуктом Гай Розен, почти 50 миллионов аккаунтов подверглись атаке, которая произошла 25 сентября. Атака стала возможной благодаря уязвимости в функции загрузки видео, которая также повлияла и на функцию “View as” («Посмотреть как посетитель страницы»), которая позволяет людям проверять, как выглядит их профиль для других пользователей. Данная уязвимость позволила бы злоумышленникам красть токены доступа пользователей – своего рода ключи, которые позволяют пользователям не вводить свои пароли каждый раз, когда они подключаются к сайту. Теоретически, благодаря этим токенам злоумышленник мог бы получить доступ к любому стороннему приложению, использующему Facebook для авторизации.

Первая реакция Facebook на атаку
Facebook отреагировал на атаку оперативно: они уведомили об атаке Комиссию по защите данных (Data Protection Commission, DPC) в Ирландии, где расположена европейская штаб-квартира компании. Согласно правилам GDPR, компания обязана сообщить о нарушении данных в течение 72 часов после обнаружения. Однако DPC заявила , что требуется дополнительная информация об атаке, например, количество пострадавших европейских пользователей и риск, с которым они столкнулись, для выполнения собственного расследования.

Поскольку инцидент случился после вступления в силу GDPR, то соцсеть могла столкнуться со штрафом в размере 4% от своего валового годового оборота за прошедший финансовый год, который у Facebook составляет порядка 1,63 миллиарда долларов США (1,4 миллиарда евро). Но эта экономическая санкция – не единственное последствие: мы можем также добавить ущерб для репутации компании - еще один ключевой аспект такого рода инцидента. Многие пользователи потеряют доверие к компании в результате нарушения данных, а эта потеря доверия может обернуться потерей клиентов и доходов.

Персональные данные – «топливо» для компаний
Нет сомнений в том, что персональная информация – это сила, и она приносит деньги. Компании могут различными способами обрабатывать и использовать эти данные, но это приносит прибыль. Бизнес такого рода очень прост: мы передаем информацию в обмен на сервис. Но сервис оплачивается нашими персональными данными. И организации несут ответственность за заботу о нашей безопасности, когда дело доходит до возможных кибер-преступлений, чья цель состоит в том, чтобы скомпрометировать нашу конфиденциальность в результате фишинга, кражи цифровой личности (регистрационные данные) или эксплуатации незакрытых уязвимостей, как было в случае с этим последним инцидентом.

Учитывая все вышесказанное, кажется, что теперь легче, чем когда-либо ранее, стать жертвой кибер-атаки. Хотя в определенной степени это и верно, но верно также и то, что системы предотвращения, обнаружения, реагирования и восстановления становятся все более и более эффективными. Сочетание решений и сервисов для оптимизации защиты (как в случае с Panda Adaptive Defense), сокращает поверхность атаки и минимизирует влияние этих угроз.

Принимая во внимание тот факт, что количество задокументированных сбоев и уязвимостей  теперь достигает 20000 случаев, что на 38% больше, чем пять лет назад , первое, что приходит на ум, - это необходимые ограничения поверхности атаки. В случае с технологическим гигантом, таким как Facebook, это может показаться несбыточной мечтой. Но обеспечение безопасности конфиденциальной информации и ее защита от кражи или похищения (даже при огромных объемах, как в случае с 50 миллионами профилей Facebook), возможны благодаря таким решениям, как Panda Patch Management – новый модуль в Adaptive Defense, который упрощает процессы управления патчами и обновлениями в операционной системе и сотнях сторонних приложений.

Более того, Panda Patch Management помогает компаниям соответствовать принципу подотчетности. Многие регламенты, такие как GDPR, HIPAA и PCI, заставляют организации предпринимать соответствующие технические и организационные меры для обеспечения надлежащей защиты конфиденциальных данных, находящихся под их управлением и контролем, что было в случае с Facebook. Благодаря обновлениям в реальном времени, данный модуль предоставляет компаниям видимость статуса «здоровья» конечных устройств с точки зрения рассматриваемых уязвимостей и требуемых обновлений систем, позволяя компаниям опережать эксплойты, использующие данные уязвимости.

Как защитить вашу компанию
  • Хакеры используют уязвимости в необновленных программах. Поэтому регулярно обновляйте Ваше ПО и устройства.
  • Наличие автоматического решения по обнаружению уязвимостей снижает вероятность нарушения безопасности на 20%.
  • Полностью контролируйте персональные данные, что позволит вам избежать штрафов и ущерба репутации компании.
  • Способность эффективно и быстро составлять подробные отчеты с информацией об инциденте подобного рода (как, когда, где, сколько…) очень важна для облегчения работы по защите данных. Модуль Panda Data Control позволяет вам обнаруживать, проверять и контролировать неструктурированные персональные данные на конечных устройствах в вашей компании.
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com