Pastarosiomis dienomis nerimstant programišių atakoms prieš valstybinio sektoriaus įmones, kibernetinio saugumo profesionalai įvardijo pagrindinę problemą – tokioms atakoms nesame pilnai pasiruošę. Ir tai nėra žinių ar finansų trūkumas, tikriausiai, tikėjimas savo sėkme arba dar blogiau – priešininko nuvertinimas.
Kibernetinis šnipinėjimas – ne tik filmuose
Jungtinių Tautų Tarptautinė telekomunikacijų sąjunga (ITU) 2021 m. paskelbė tarptautinio kibernetinio saugumo indekso (KSI) rezultatus, pagal kuriuos Lietuva, surinkusi 97,3 balo, tarp pasaulio valstybių užėmė šeštą, o Europos valstybių sąraše – ketvirtą vietą. Aukščiausią balą Lietuva gavo už teisinio reglamentavimo ir kibernetinio saugumo pajėgumų plėtojimą. Geras ženklas, nes 2021-ieji pasižymėjo ypatinga įtampa informacinėje aplinkoje, tačiau tuomet dar nežinojome, kad priešakyje – karas. Ir mūšio lauke Ukrainoje, ir internetinėje erdvėje.
Pernai, palyginti su 2020 m., labiausiai daugėjo kibernetinių nusikaltimų (duomenų apie informacinių sistemų pažeidžiamumą ieškojimas ir (ar) elektroninių duomenų grobimas) – nuo 3 iki 34 atvejų. Tačiau pirmus tris 2022 m. mėnesius Nacionalinis kibernetinio saugumo centras fiksavo gerokai daugiau kibernetinių incidentų nei tuo pačiu metu 2021 m. Įvairių kibernetinių atakų sulaukta 1020 kartų, o prasidėjus karui Ukrainoje, tokių incidentų buvo trečdaliu daugiau nei įprastai. Ir nieko nuostabaus, nes, kaip skelbia Krašto apsaugos ministerija, Lietuvos žvalgybos duomenys rodo, kad priešiškų valstybių (ypač Rusijos) koordinuojamos programišių grupuotės jau ne vienerius metus bando Lietuvos institucijų ir organizacijų informacinių sistemų saugumą, o po išreikšto palaikymo Ukrainai šios atakos tiesiog padažnėjo ir buvo tikslingos.
Rusija nesnaudžia ir kitose šalyse – „Microsoft“ duomenimis, nuo 2020 m. liepos mėn. iki 2021 m. liepos mėn. ši didžioji kaimynė buvo atsakinga už 58 proc. visų fiksuotų valstybių remiamų kibernetinių atakų. Pagrindiniais Rusijos kibernetinių pajėgumų taikiniais laikomos JAV, Ukraina ir NATO šalys Europoje. Taigi, ir Lietuva.
Pastaraisiais metais padažnėjo atvejų, kai slaptos šnipinėjimo grupuotės įvykdo operacijas, kad perimti duomenys galėtų būti paviešinti ir panaudoti destruktyviems veiksmams. Pavyzdžiui, Rusijos programišiai į perimtą informaciją įterpia melagingus duomenis ir taip sukompromituoja asmenį ar organizaciją, kad šie, neva, veikia Rusijos naudai. Tačiau nereikia nuvertinti ir snaudžiančio drakono – nuosekliai didindama kibernetinio šnipinėjimo mastą, savo pajėgumus prieš Lietuvą praėjusiais metais vis aktyviau naudojo ir Kinija.
Jeigu ne valstybiniams, tai žemiškesniems tikslams
Tačiau ne tik didieji žaidėjai programišių rankomis sprendžia savo uždavinius, kibernetinio saugumo spragomis naudojamasi ir kur kas žemiškesniems tikslams – sukčių banko sąskaitoms papildyti. Per pandemiją visiems dirbant iš namų, saugumo spragos dar labiau išryškėjo, nes išaugusiais pirmyn-atgal internete keliaujančiais asmens duomenų srautais ir skylėta įmonių kibernetine apsauga suskubo pasinaudoti įvairaus plauko programišiai. IBM duomenys rodo, kad suvaržymų metu apie 60 proc. organizacijų savo jautrius duomenis perkėlė į debesį (angl. cloud) (Statistikos departamento duomenimis, Lietuvoje šią paslaugą pirko apie 34 proc. įmonių), tačiau neatliko namų darbų ir nepasirūpino šios informacijos saugumu. Todėl duomenų vagystės ir šantažas šia nutekinta informacija padažnėjo.
Dar daugiau: savo kasmetinėje ataskaitoje „Duomenų pažeidimo kaina“ IBM nurodė, kad tipinis vienas duomenų pažeidimas organizacijoms pasaulyje pernai kainavo daugiau nei 4 mln. Eur ir tai yra 10 proc. daugiau nei 2020 m. Tokio tipo pažeidimų stebėjome ir Lietuvoje, kai dėl asmens duomenų nutekėjimo viešai teko aiškintis „CityBee“, Vilniaus kolegijos ir „Kilobaitas” vadovams. Sumenkusios reputacijos kaina ir finansinis nuostolis vienareikšmiški.
Valstybinių institucijų statistika rodo, kad dominuojantis sukčiavimo elektroninėje erdvėje būdas 2021 m. buvo telefoninis sukčiavimas (apgaulingi skambučiai ir apgaulingos SMS žinutės) – tai sudarė 70 proc. nuo visų sukčiavimų, investicinis sukčiavimas sudarė 17 proc., sukčiavimas panaudojant bendravimo programėles – 8 proc., sukčiavimas perimant susirašinėjimą elektroniniu paštu ir apgaulingi elektroniniai laiškai – 5 proc. Skaičiuojama, kad finansiniai sukčiai iš Lietuvos gyventojų ir įmonių 2021-aisiais išviliojo 10,2 milijono eurų – tai du kartus daugiau nei 2020-aisiais! Šių dienų terminais kalbant, už tą sumą buvo galima nupirkti du „Bayraktar“ kovinius dronus, tačiau dėl mūsų neatsargumo dabar šiais pinigais mėgaujasi sukčiai.
Ką daryti, kad jūsų verslas neužkibtų ant sukčių meškerės?
Pirmiausia – suprasti, kad viena silpniausių kibernetinio saugumo užtikrinimo grandžių yra ne turimos technologijos, bet needukuoti žmonės. Tai liudija ir statistika: Amerikos belaidžio tinklo operatoriaus „Verizon“ atlikto pažeistų duomenų tyrimo ataskaitos duomenimis, 85 proc. kibernetinių atakų įvyko dėl žmogiškosios klaidos – paspaudus užkrėstas nuorodas, netyčia ištrynus svarbius duomenis ar atskleidus slaptažodžius. Dėl silpnos kompiuterių, išmaniųjų įrenginių ir pan. apsaugos, jautrius duomenis sukčiai gali lengvai perimti ir pasinaudoti – tai antras pagal fiksuotų kibernetinių išpuolių skaičių nusikaltimo būdas, kai tuo metu daugiau nei pusė – net 53 proc. visų kibernetinių nusikaltimų – buvo susiję su Lietuvos interneto prieglobos (hostingo) teikėjų infrastruktūra.
Darbuotojus reikia edukuoti, nes 2021 m. kasdienį priėjimą prie interneto, o tuo pačiu – galimybę atverti saugumo spragą, Statistikos departamento duomenimis, turėjo 59 proc. visų dirbančių. Poreikis naudotis internetu auga visose srityse – gamybos, paslaugų įmonėse ir aptarnavimo sektoriuje, ir įmonės dydis tam įtakos neturi: pernai didelėse Lietuvos įmonėse internetu kasdien darbo reikalais naudojosi 57 proc., vidutinėse – 61 proc. ir mažose įmonėse – 60 proc. darbuotojų. Rizika, kad kažkuri jų paslys – didelė, todėl visi specialistai sutaria, kad per metus darbuotojams būtina organizuoti bent 10 kibernetinio saugumo mokymų.
Antra, būtina technologiškai maksimaliai apsaugoti didžiausią šio amžiaus turtą – duomenis. Tai galima atlikti diegiant darbuotojų identifikavimo technologijas, geriausia – dvigubą autentifikavimą (angl. Two-factor authentification). Ką tai reiškia? Darbuotojui norint prisijungti prie bet kurios darbinės duomenis saugančios sistemos, jis privalo patvirtinti savo tapatybę. Apsaugos lygiai gali skirtis priklausomai nuo saugomų duomenų svarbos: pvz., jungiantis prie laiškų dėžutės, pakanka suvesti tik prisijungimo vardą ir slaptažodį, o bandant pasiekti elektroninės bankininkystės paskyrą, jau reikalingas prisijungimo kodas, mobilusis parašas, asmens kodas ar kitos priemonės. Daugiau saugumo sluoksnių – daugiau saugumo, nes, net programišiui „nulaužus“ slaptažodį, su šia technologija prisijungti prie įmonės turimų duomenų jis negalės – antrame registracijos žingsnyje darbuotojas atmes neatpažintą bandymą prisijungti.
Savo klientams visada sakau, kad, kaip nepažįstamiems neduodame raktų nuo savo namų ir neatidarome durų, pirma nepažiūrėję per durų akutę, taip ir prie įmonės sistemų, kuriose saugomi duomenys, turėtų būti galima jungtis saugiai. Pavyzdžiui, mūsų klientai naudojasi saugaus prisijungimo sprendimu, kuris leidžia vartotojų identifikavimui naudoti kvalifikuotus įrankius – mobilų parašą arba „Smart ID“. Kuo tai geriau nei įprasti slaptažodžiai? Kadangi mobilų parašą kasdien visi ir taip naudoja savo reikmėms, darbuotojams nebereikia prisiminti begalės skirtingų slaptažodžių (kurie dažniausiai yra lengvai „nulaužiami“), juos pamiršus – kaskart kurti naujus, saugoti slaptažodžių priminimus ar, didinant informacijos „nutekėjimo“ riziką, siuntinėti slaptažodžius elektroniniu paštu. Vartotojui jungiantis per vieną iš šių kvalifikuotų autentifikavimo įrankių, galima identifikuoti amžių, vardą ir pavardę, todėl įvykus duomenų nutekėjimui, lengviau atsekti, kas jungėsi paskutinis.
Kita, dar sąlyginai nauja priemonė rinkoje, kurią siūlome „Mark ID“ klientams – hibridinis tapatybės patvirtinimas, kurį naudoja įvairios finansų technologijų (FinTech), finansų institucijų, žaidimų pramonės, komercijos sektoriaus įmonės ir mokėjimų paslaugų teikėjai. Tai automatinis veido identifikavimas + kliento pažinimo (KYC) eksperto patvirtinimas + profesinės atsakomybės draudimas iš „Lloyd’s“. Viskas, ko tokiam patikrinimui reikia – prieigos prie interneto (o ją dauguma įmonių darbuotojų, kaip žinome, turi), išmaniojo įrenginio (kompiuterio su kamera, išmaniojo telefono ar planšetės) ir galiojančio asmens dokumento.
10 svarbiausių žingsnių, kuriuos būtina žinoti
Akivaizdu, kad nė vienas verslas nėra apsaugotas nuo kibernetinės rizikos, nepaisant verslo dydžio ir sektoriaus, kuriame jis veikia. Tačiau visos įmonės gali sumažinti kai kurias rizikas, imdamosi paprastų veiksmų, kad apsaugotų savo turimus duomenis ir reputaciją. Galėjome turėti dar du „Bayraktar“ dronus, dabar gavome gerą pamoką, kurią vertą išmokti ir ateityje nekartoti.
Tai tarsi 10 Dievo įsakymų įmonėms – svarbiausi ir būtini žinoti 10 kibernetinio saugumo veiksmų.
- Reguliariai kurkite atsargines pagrindinių sistemų ir duomenų kopijas, tačiau jas laikykite saugiai – ne įmonės svetainėje.
- Reguliariai atnaujinkite naudojamą operacinę sistemą ir programinę įrangą. Dar geriau – nustatykite jos automatinį atsinaujinimą.
- Įdiekite ir reguliariai atnaujinkite antivirusinę ir nuo kenkėjiškų programų saugančią programinę įrangą bei ugniasienę visuose savo įrenginiuose.
- Naudokite stiprius slaptažodžius (didžiųjų ir mažųjų raudžių, brūkšnių ir skaičių kombinaciją) ir reguliariai juos keiskite. Kad saugumas būtų maksimalus, ypač veiksminga naudoti dviejų veiksnių autentifikavimą – 2FA.
- Naudokite skirtingus slaptažodžius skirtingiems duomenims pasiekti arba apsvarstykite galimybę naudoti patikimą slaptažodžių valdymo įrankį. Dar geriau – įsidiekite galimybę savo klientams prisijungti prie savitarnos svetainių, o darbuotojams – prie vidinių įmonės sistemų saugesniu būdu nei slaptažodžiai – naudojantis „Smart ID“ arba mobiliu parašu.
- Rekomenduokite darbuotojams užšifruoti visus slaptus duomenis ir nesiųsti slaptažodžių ar kitų slaptų duomenų el. paštu nešifruotų.
- Siekdami apsisaugoti nuo sukčiavimo, edukuokite darbuotojus, kad šie nespaustų neaiškių nuorodų gautuose el. laiškuose, socialiniuose tinkluose ar kitose internetinėse svetainėse.
- Jeigu naudojate „Wi-Fi“ tinklą, įsitikinkite, kad jis yra užšifruotas (pvz., WPA2), ir reguliariai keiskite „Wi-Fi“ slaptažodį.
- Naudokite VPN (virtualus privatus tinklas), jei savo sistemas norite pasiekti per viešąjį „Wi-Fi“ arba nesaugų tinklą.
- Pasitikėkite partnerių siūlomais ir patikrintais įrankiais kibernetiniams saugumui užtikrinti.
