Kui räägite inglise keelt, tunnete tõenäoliselt tavakasutuses sõna kompromiss. Täpsemalt, aktsepteerides midagi, mis pole mõne konkureeriva teguri tõttu päris see, mida te algselt soovisite. Konkureeriva teguri jaoks pole tegelikke piiranguid. Kulud on klassikaline näide, nagu ka aeg, pingutus, materjalipiirangud ja teiste inimeste nõudmised.
Küberturvalisuse maailmas kasutatakse ka sõna kompromiss. Täpne tähendus pole aga tegelikult sama. Kui silmi kissitate väga kõvasti, võite väita, et see on konkreetne juhtum, kuid see oleks natuke raske müüa. Turvakompromiss on andmetele või süsteemile volitamata juurdepääsu tagajärg. Kompromissi täpsed üksikasjad ja selle tõsidus võivad oluliselt erineda. Oluliste tegurite hulka kuuluvad rikutud andmete või süsteemi tundlikkus, ohu ulatus ja kestus ning ründaja toimingud.
Märkus. Eespool mainitud konkreetne juhtum oleks järgmine: soovitakse turvalist süsteemi, kuid nõustutakse, et see pole/ei olnud, kuna on tõestatud vastupidine. See on vähem tahtlik kompromiss ja rohkem sunnitud reaalsusest lähtuv ümberhindamine. Samuti ei võeta seda tavaliselt lihtsalt vastu, vaid tehakse jõupingutusi probleemi lahendamiseks.
Ohustatud andmed
Andmete ohustamiseks peab volitamata osapoolel neile olema juurdepääs. Enamikul juhtudel tähendab see seda, et volitamata osapool saab andmeid näha. Siiski on stsenaariume, kus andmeid võidakse pimesi muuta või kustutada, mis liigitatakse samuti rikutud andmeteks. Kompromiss võib mõjutada andmete konfidentsiaalsust või terviklikkust või potentsiaalselt mõlemat.
Kui andmed pole eriti tundlikud, ei pruugi see olla suur probleem. Tavaliselt on aga juurdepääsupiiranguga andmetele mingil põhjusel piiratud. Makse üksikasjad on klassikaline andmepunkt. Kui maksete üksikasjade konfidentsiaalsus on mõjutatud, võivad volitamata isikud neid rahalise kasu saamiseks kasutada. Näiteks võib salastatud andmetel olla riigi julgeoleku tagajärjed, kui need avaldatakse volitamata isikutele. Sarnasel viisil võib nende andmete muutmisel tekkida täiendavaid probleeme. eriti kui seda muudatust mõnda aega ei märgatud.
Kui andmed on rikutud, on kass kotist väljas. Juurdepääsumeetodit saab lahendada, kuid andmed on olemas. Teades, millistele andmetele juurde pääseti, võib tekkida edasine kahju piiramise menetlus. See võib olla eriti oluline, kui andmeid muudeti.
Ohustatud arvuti
Üldiselt, kui teie arvutis on viirus või mõni muu pahavara, on mõistlik lugeda, et arvuti on ohustatud. Olenevalt pahavarast võib ohustatud arvuti tähendada erinevaid asju. Lunavara võib teie andmed kustutada, kuid tavaliselt ei avalda see seda kellelegi. Enamik tänapäevaseid pahavara vorme üritab varastada tundlikke andmeid, näiteks paroole.
Märkus. Lunavara võib pakkuda head katet muule pahavarale, seega ei tohiks eeldada, et teie andmed pole avaldatud, kui lunavara teid mõjutab.
Teatud tüüpi pahavara võib olla eriti raske eemaldada. Üldiselt saab viirusetõrjetarkvara asjad selgeks teha, kuid võib-olla tuleb kõvaketas pühkida ja operatsioonisüsteem uuesti installida. Mõnel harvadel juhtudel ei pruugi isegi sellest piisata. Sellise kaliibriga pahavara arendavad aga tavaliselt ainult rahvusriigi tasandi ohus osalejad.
Ohustatud tarkvara
Kui tarkvara on rikutud, on kõik, mida see teeb ja on teinud, kahtlane. Kui tarkvara on ohustatud, tuleks seda käsitleda nii, nagu oleks tegemist puhtalt pahavaraga. Tavaliselt, kui mõni teie arvuti tarkvaraosa nakatub, saab selle viirusetõrjetarkvaraga lahendada. Kahjuks on hullemaid stsenaariume. Näiteks kui tarkvara arendaja satub ohtu, võib ta ohustatud tarkvara oma klientidele saata. Seda tuntakse tarneahela rünnakuna. Selline kompromiss hõlmab arendaja häkkimist mingil viisil. Siiski on võimalik, et arendajal on siseringi oht.
Märkus. Riistvara võib ohtu sattuda ka tarneahela rünnakute kaudu.
Suured efektid
Oluline on mõista, et turvaintsident ei pruugi piirduda tegelikult ohustatud süsteemi või andmetega. Algne kompromiss võib võimaldada täiendavaid turvaintsidente. Kõik ülaltoodud näited on seda mingil kujul näidanud. Ohustatud salastatud andmed võivad seada ohtu väliagentide elud ja nende hallatavad „varad”. Kui seda hoolikalt manipuleerida, võib see isegi viia valeandmete aktsepteerimiseni ja kahjustada muid toiminguid. Teie ohustatud arvutit võidakse kasutada ründevara levitamiseks, millega see on nakatunud. Sellel olevaid andmeid saab kasutada ka teie veebikontodele jne juurdepääsuks. Ohustatud tarkvara võib mõjutada kõiki tarkvara kasutajaid, kui mõjutatud tarkvara kasutatakse laialdaselt, sellel võib olla väga laiaulatuslik mõju.
Järeldus
Küberturvalisuse kompromiss viitab andmetele või süsteemile volitamata juurdepääsule, nende muutmisele või kustutamisele. Kuigi üksainus süsteem võib olla mõjutatud, tunneb mõju ka iga süsteem, mis selle süsteemiga integreerub, isegi kui see ise otseselt ei mõjutanud. Kompromiss ei pruugi põhjustada andmete rikkumist, kui andmeid müüakse/avaldatakse mustal turul. See võib olla lihtsalt juhuslik avalikustamine vastutavale, kuid volitamata isikule. Samuti võib olla mõistlik eeldada, et kogemata avalikuks muutunud andmed on ohustatud, isegi kui puuduvad tegelikud viited sellele, et keegi oleks neile juurde pääsenud.