Facebook: Как минимизировать риск уязвимостей

Facebook: Как минимизировать риск уязвимостей
За последние несколько месяцев самая популярная социальная сеть в мире столкнулась с рядом проблем, связанных с защитой персональных данных. В июле этого года Офис комиссара по делам информации (ICO) в Великобритании наложил штраф в размере 500 000 фунтов стерлингов на Facebook за его участие в деле с Cambridge Analytica. Это был максимально возможный штраф, учитывая, что инцидент произошел до вступления в силу нового европейского законодательства по защите персональных данных (GDPR).

Теперь интернет-гиганта потряс новый скандал с защитой данных. В прошлую пятницу, как объяснил Вице-президент по управлению продуктом Гай Розен, почти 50 миллионов аккаунтов подверглись атаке, которая произошла 25 сентября. Атака стала возможной благодаря уязвимости в функции загрузки видео, которая также повлияла и на функцию “View as” («Посмотреть как посетитель страницы»), которая позволяет людям проверять, как выглядит их профиль для других пользователей. Данная уязвимость позволила бы злоумышленникам красть токены доступа пользователей – своего рода ключи, которые позволяют пользователям не вводить свои пароли каждый раз, когда они подключаются к сайту. Теоретически, благодаря этим токенам злоумышленник мог бы получить доступ к любому стороннему приложению, использующему Facebook для авторизации.

Первая реакция Facebook на атаку
Facebook отреагировал на атаку оперативно: они уведомили об атаке Комиссию по защите данных (Data Protection Commission, DPC) в Ирландии, где расположена европейская штаб-квартира компании. Согласно правилам GDPR, компания обязана сообщить о нарушении данных в течение 72 часов после обнаружения. Однако DPC заявила , что требуется дополнительная информация об атаке, например, количество пострадавших европейских пользователей и риск, с которым они столкнулись, для выполнения собственного расследования.

Поскольку инцидент случился после вступления в силу GDPR, то соцсеть могла столкнуться со штрафом в размере 4% от своего валового годового оборота за прошедший финансовый год, который у Facebook составляет порядка 1,63 миллиарда долларов США (1,4 миллиарда евро). Но эта экономическая санкция – не единственное последствие: мы можем также добавить ущерб для репутации компании - еще один ключевой аспект такого рода инцидента. Многие пользователи потеряют доверие к компании в результате нарушения данных, а эта потеря доверия может обернуться потерей клиентов и доходов.

Персональные данные – «топливо» для компаний
Нет сомнений в том, что персональная информация – это сила, и она приносит деньги. Компании могут различными способами обрабатывать и использовать эти данные, но это приносит прибыль. Бизнес такого рода очень прост: мы передаем информацию в обмен на сервис. Но сервис оплачивается нашими персональными данными. И организации несут ответственность за заботу о нашей безопасности, когда дело доходит до возможных кибер-преступлений, чья цель состоит в том, чтобы скомпрометировать нашу конфиденциальность в результате фишинга, кражи цифровой личности (регистрационные данные) или эксплуатации незакрытых уязвимостей, как было в случае с этим последним инцидентом.

Учитывая все вышесказанное, кажется, что теперь легче, чем когда-либо ранее, стать жертвой кибер-атаки. Хотя в определенной степени это и верно, но верно также и то, что системы предотвращения, обнаружения, реагирования и восстановления становятся все более и более эффективными. Сочетание решений и сервисов для оптимизации защиты (как в случае с Panda Adaptive Defense), сокращает поверхность атаки и минимизирует влияние этих угроз.

Принимая во внимание тот факт, что количество задокументированных сбоев и уязвимостей  теперь достигает 20000 случаев, что на 38% больше, чем пять лет назад , первое, что приходит на ум, - это необходимые ограничения поверхности атаки. В случае с технологическим гигантом, таким как Facebook, это может показаться несбыточной мечтой. Но обеспечение безопасности конфиденциальной информации и ее защита от кражи или похищения (даже при огромных объемах, как в случае с 50 миллионами профилей Facebook), возможны благодаря таким решениям, как Panda Patch Management – новый модуль в Adaptive Defense, который упрощает процессы управления патчами и обновлениями в операционной системе и сотнях сторонних приложений.

Более того, Panda Patch Management помогает компаниям соответствовать принципу подотчетности. Многие регламенты, такие как GDPR, HIPAA и PCI, заставляют организации предпринимать соответствующие технические и организационные меры для обеспечения надлежащей защиты конфиденциальных данных, находящихся под их управлением и контролем, что было в случае с Facebook. Благодаря обновлениям в реальном времени, данный модуль предоставляет компаниям видимость статуса «здоровья» конечных устройств с точки зрения рассматриваемых уязвимостей и требуемых обновлений систем, позволяя компаниям опережать эксплойты, использующие данные уязвимости.

Как защитить вашу компанию
  • Хакеры используют уязвимости в необновленных программах. Поэтому регулярно обновляйте Ваше ПО и устройства.
  • Наличие автоматического решения по обнаружению уязвимостей снижает вероятность нарушения безопасности на 20%.
  • Полностью контролируйте персональные данные, что позволит вам избежать штрафов и ущерба репутации компании.
  • Способность эффективно и быстро составлять подробные отчеты с информацией об инциденте подобного рода (как, когда, где, сколько…) очень важна для облегчения работы по защите данных. Модуль Panda Data Control позволяет вам обнаруживать, проверять и контролировать неструктурированные персональные данные на конечных устройствах в вашей компании.
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
Нарушение данных Facebook GDPR управление патчами patch management уязвимости
Alt text
«Опасное будущее» наступает очень быстро, поэтому мы решили еженедельно мониторить поток новостей. Cмотрите обзор на нашем Youtube канале.  

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.