Nekoč so lahko organizacije, ki niso bile naklonjene tveganju, močno omejile zmožnost svojih poslovnih uporabnikov, da naredijo drage napake. Z omejenim tehničnim znanjem, strogimi dovoljenji in pomanjkanjem vetra je najslabša stvar, ki jo poslovni uporabnik lahko naredi, prenos zlonamerne programske opreme ali pade na lažno predstavljanje. Ti dnevi so zdaj minili.
Dandanes vsaka večja platforma programske opreme kot storitve (SaaS) je priložena z zmožnostmi avtomatizacije in gradnje aplikacij, ki so zasnovane za poslovne uporabnike in jih tržijo neposredno. Platforme SaaS, kot so Microsoft 365, Salesforce in ServiceNow, so vdelane platforme brez kode/nizko kodo v svoje obstoječe ponudbe in jih dajo neposredno v roke poslovnih uporabnikov, ne da bi zahtevali odobritev podjetja. Zmogljivosti, ki so bile nekoč na voljo samo IT in razvojnim ekipam, so zdaj na voljo v celotni organizaciji.
Power Platform, Microsoftova platforma z nizko kodo, je vgrajena v Office 365 in je odličen primer zaradi Microsoftove močne opore v podjetju in stopnje, v kateri jo sprejemajo poslovni uporabniki. Morda podjetja, ne da bi se tega zavedala, dajejo moč na ravni razvijalcev v roke več ljudem kot kdaj koli prej, z veliko manj varnosti ali tehnične podkovanosti. Kaj bi lahko šlo narobe?
Pravzaprav precej. Oglejmo si nekaj primerov iz resničnega sveta iz mojih izkušenj. Podatki so bili anonimizirani, poslovni procesi pa so bili izpuščeni.
1. situacija: nov prodajalec? Samo naredi
Ekipa za pomoč strankam v multinacionalnem maloprodajnem podjetju je želela svoje podatke o strankah obogatiti z vpogledi v potrošnike. Zlasti so upali, da bodo našli več informacij o novih strankah, da bi jim lahko bolje služili, tudi med njihovim začetnim nakupom. Ekipa za pomoč strankam se je odločila za prodajalca, s katerim želi sodelovati. Prodajalec je zahteval, da se mu pošljejo podatki za obogatitev, ki bi jih njihove storitve nato potegnile nazaj.
Običajno tu nastopi IT. IT bi moral zgraditi nekakšno integracijo, da bi podatke dobil in od prodajalca. Očitno bi morala biti vključena tudi ekipa za varnost IT, da bi zagotovili, da je temu prodajalcu mogoče zaupati podatke o strankah in odobriti nakup. Ključno vlogo bi imela tudi javna naročila in pravo. V tem primeru pa so stvari šle v drugo smer.
Ta skupina za pomoč uporabnikom je bila strokovnjaki Microsoft Power Platform. Namesto da bi čakali na vire ali odobritev, so šli naprej in sami zgradili integracijo: zbiranje podatkov o strankah s strežnikov SQL v proizvodnji, posredovanje vseh na strežnik FTP, ki ga je zagotovil prodajalec, in pridobivanje obogatenih podatkov nazaj s strežnika FTP na podatkovno bazo proizvodnje. Celoten postopek se je samodejno izvedel vsakič, ko je bila v bazo podatkov dodana nova stranka. Vse to je bilo narejeno prek vmesnikov povleci in spusti, ki so gostovali v Office 365, in z uporabo njihovih osebnih računov. Licenca je bila plačana iz lastnega žepa, kar je preprečilo naročanje.
Predstavljajte si presenečenje CISO, ko so odkrili kup poslovnih avtomatizacij, ki podatke o strankah prenašajo na trdo kodiran naslov IP na AWS. Ker gre za stranko samo Azure, je to dvignilo velikansko rdečo zastavo. Poleg tega so bili podatki poslani in prejeti z nevarno povezavo FTP, kar je povzročilo tveganje za varnost in skladnost. Ko je varnostna ekipa to ugotovila prek namenskega varnostnega orodja, so se podatki premikali v organizacijo in iz nje skoraj eno leto.
Situacija 2: Ohh, ali je narobe zbirati kreditne kartice?
Kadrovska ekipa pri velikem prodajalcu informacijske tehnologije se je pripravljala na enkratno letno kampanjo »Podarim«, kjer zaposlene spodbujajo k donacijam svoji najljubši dobrodelni organizaciji, pri čemer se podjetje vključi tako, da izenači vsak dolar, ki ga prispevajo zaposleni. Lanska akcija je bila izjemno uspešna, zato so bila pričakovanja previsoka. Da bi spodbudil kampanjo in olajšal ročne postopke, je kreativni kadrovski uslužbenec uporabil Microsoftovo platformo Power Platform za ustvarjanje aplikacije, ki je olajšala celoten postopek. Za registracijo bi se zaposleni prijavil v aplikacijo s svojim poslovnim računom, vnesel svoj znesek donacije, izbral dobrodelno organizacijo in posredoval podatke o svoji kreditni kartici za plačilo.
Kampanja je bila izjemno uspešna, z rekordno udeležbo zaposlenih in malo fizičnega dela zaposlenih v kadrovski službi. Iz neznanega razloga pa varnostna ekipa ni bila zadovoljna s tem, kako so se stvari iztekle. Med registracijo v akciji je zaposleni iz varnostne ekipe ugotovil, da se kreditne kartice zbirajo v aplikaciji, ki ni bila videti, kot bi to morala početi. Po preiskavi so ugotovili, da so bili podatki o kreditni kartici dejansko neustrezno obravnavani. Podatki o kreditni kartici so bili shranjeni v privzetem okolju Power Platform, kar pomeni, da so bili na voljo celotnemu najemniku Azure AD, vključno z vsemi zaposlenimi, prodajalci in izvajalci. Poleg tega so bili shranjeni kot preprosta polja nizov z navadnim besedilom.
Na srečo je varnostna ekipa odkrila kršitev pri obdelavi podatkov, preden so jo opazili zlonamerni akterji – ali revizorji skladnosti. Baza podatkov je bila prečiščena, aplikacija pa je bila popravljena za ustrezno obdelavo finančnih informacij v skladu z uredbo.
Situacija 3: Zakaj preprosto ne morem uporabljati Gmaila?
Kot uporabnik nihče ne mara nadzora za preprečevanje izgube podatkov v podjetju. Tudi ko je potrebno, vnašajo nadležna trenja v vsakodnevne operacije. Zato so jih uporabniki vedno poskušali zaobiti. Večno vlečenje vrvi med kreativnimi poslovnimi uporabniki in varnostno ekipo je poslovna e-pošta. Sinhronizacija poslovne e-pošte z osebnim e-poštnim računom ali poslovnega koledarja z osebnim koledarjem: varnostne ekipe imajo rešitev za to. Vzpostavili so namreč varnost e-pošte in rešitve DLP, da blokirajo posredovanje e-pošte in zagotovijo upravljanje podatkov. To rešuje problem, kajne?
No, ne. Ponavljajoča se ugotovitev v velikih podjetjih in malih podjetjih ugotavlja, da uporabniki ustvarjajo avtomatizacije, ki obidejo nadzor e-pošte, da posredujejo svojo poslovno e-pošto in koledar svojim osebnim računom. Namesto posredovanja e-pošte kopirajo in lepijo podatke iz ene storitve v drugo. S prijavo v vsako storitev z ločeno identiteto in avtomatiziranjem postopka kopiranja in lepljenja brez kodiranja poslovni uporabniki z lahkoto zaobidejo varnostne kontrole – varnostnim ekipam pa to ni enostavno odkriti.
Skupnost Power Platform se je celo razvila predloge ki jih lahko vzame in uporablja vsak uporabnik Office 365.
Z veliko močjo prevzema veliko odgovornost
Opolnomočenje poslovnih uporabnikov je super. Poslovne smeri ne bi smele čakati na IT ali se boriti za razvojna sredstva. Vendar pa poslovnim uporabnikom ne moremo samo dati moči na ravni razvijalcev brez navodil ali zaščitnih ograj in pričakovati, da bo vse v redu.
Varnostne ekipe morajo poučiti poslovne uporabnike in jih seznaniti z njihovimi novimi odgovornostmi kot razvijalci aplikacij, tudi če so bile te aplikacije izdelane z uporabo »brez kode«. Varnostne ekipe bi morale vzpostaviti tudi zaščitne ograje in nadzor, da zagotovijo, da ko poslovni uporabniki naredijo napako, kot jo počnemo vsi, to ne bo povzročilo popolnega uhajanja podatkov ali incidentov revizije skladnosti.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
