respublika.lt

Kibernetinis pavojus - mažai matomas, bet realusnuotraukos (5)

2020 rugpjūčio mėn. 03 d. 12:36:47
Vidmantas MISEVIČIUS

Apie tai, kokie pavojai slypi vis plačiau pasaulį apimančiame virtualiame tinkle ir kaip būtų galima nuo jų apsisaugoti, kalbamės su kibernetinio saugumo ekspertu Augustinu Daukšu iš „NRD Cyber Security“, įmonės kurios viena pagrindinių veiklų – kurti ir vertinti nacionalinius bei organizacinius kibernetinio saugumo operacijų centrus visame pasaulyje.

×
nuotr. 5 nuotr.
Vis dažniau į dideles korporacijas programišiai braunasi per namų vartotojus ar mažesnes partnerių įmones. EPA-Eltos nuotr.


- Sakykite, ką turėtų žinoti interneto vartotojai?

- Visų pirma, reikia vertinti rizikas, kibernetinio saugumo lygis turi jas atitikti. Jeigu organizacijos darosi rizikų vertinimą, įprastam interneto naudotojui turėtų pakakti ir elementaraus sąmoningumo. Ką aš turiu savo kompiuteryje ar debesyje? Ką galiu prarasti ir ką prieš mane gali panaudoti? Ar man baisus tik duomenų praradimas, ar ir konfidencialumas? Ar realu, jog mane nulaužus namie, gali nukentėti ir mano darbovietė? Šie ir panašūs klausimai turėtų padėti suprasti, kokio lygio saugumą žmogus turi užsitikrinti. 

Žinoma, kibernetinių atakų tipų yra pačių įvairiausių. Paprasčiausiai suvokiami – interneto platybėse masiškai egzistuojantys žalingi kodai (virusai), kurių tikslas – oportunistiškai taikytis į kiekybę ir surinkti informaciją iš kuo daugiau žmonių. Arba elementarūs pinigų išviliojimo būdai, kuriant netikras internetines parduotuves ar siunčiant elektroninius laiškus, ant kurių vis dar užkimba daugybė žmonių.

Kalbant apie tikslines atakas - jeigu asmuo yra dirbantis, jis turi suprasti, jog saugumu tiek ofise, tiek namuose turi rūpintis ne tik dėl savęs, bet ir dėl savo darbovietės bei jos partnerių. Pastaraisiais metais, kibernetinių incidentų, vykdomų naudojantis žmonių neapdairumu stipriai daugėja. Kai piktadarių tikslas yra konkreti organizacija, jie dažnai taiko atvirųjų šaltinių žvalgybą, siekiant surinkti informaciją apie organizacijos darbuotojus ir pradėti ataką nuo silpniausios grandies. Ko gero, kibernetiniai nusikaltėliai dažnai tai vertina kaip lengvesnį ir mažiau rizikingą kelią, nei brautis iš išorės išnaudojant organizacijos turimų resursų pažeidžiamumais. Būna ir tokių atvejų, kai galutinis tikslas yra didžiulės korporacijos resursai, bet atakos pradedamos taikantis į kelis eilinius darbuotojus iš korporacijos partnerių.

Todėl rūpintis savo kibernetiniu saugumu privalome visi – ne tik valstybinės institucijos ar korporacijos, bet ir mažos įmonės bei eiliniai šalies piliečiai. Priešingu atveju susidaro pilkoji zona, kuria, anksčiau ar vėliau, tikrai bus pasinaudota. Deja, realybė ir statistika rodo, jog smulkus ir vidutinis verslas į kibernetinį saugumą nelinkęs investuoti, nors daugumos įmonių vadovai nori, kad trečiosios šalys atitiktų IT saugos standartus. Vadinasi, supratimas apie rizikas yra, bet pradėti reiktų nuo savęs. 

-Bet juk yra slaptažodžiai, antivirusai..

- Kalbant apie slaptažodžius, pasaulis vieningai eina prie nuomonės, jog tai nebėra tai, kas užtikrina saugų prisijungimą. Pavyzdžiui, 2016 metais buvo paviešinta, jog Facebook įkūrėjo Marko Cukerbergo naudojamas ir piktavalių grupuotės nutekintas slaptažodis buvo „dadada“. Naudojant automatizuotas programėles, atspėti tokio ilgio slaptažodį neužtruktų nė sekundės. Taip, jei slaptažodį sudarys įvairūs 20 simbolių – taip lengvai jo neatspėsi. Bet yra ir tokios priemonės kaip „keylogger“, kurie fiksuoja klaviatūros paspaudimus, tokiais atvejais – slaptažodžio sudėtingumas ir ilgis nebedaro jokio skirtumo. Viską apsunkina ir tai, jog dažnas žmogus naudoja tokius pačius ar panašios logikos slaptažodžius tiek namuose, tiek darbe. Todėl, pagrindinis patarimas būtų visur, kur tik įmanoma (el. paštas, socialiniai tinklai, debesija, CRM, DVS ir kt.), naudoti dvigubą autentifikaciją. Tokiu atveju, paskyros vardo ir slaptažodžio žinojimo neužteks. Taip pat, kur įmanoma, nustatyti nesėkmingų prisijungimų limitą.

Reikia akcentuoti ir tai, jog galbūt ne visų, bet daugelio iš mūsų slaptažodžiai, nebūtinai naujausi, pastaraisiais metais buvo nutekinti. Žinau, jog mano paties anksčiau naudotas slaptažodis tikrai buvo nutekintas. Yra tokie puslapiai kaip https://haveibeenpwned.com, kuriuose tai galima pasitikrinti. Slaptažodžius sėkmingai surenka įvairios, su reklamomis ar el. laiškais ateinančios, kenkėjiškos programėlės. Arba tikslinės atakos prieš socialinius tinklus. Kreditinių kortelių duomenys vagiami taikantis į populiariausias internetines parduotuves arba kuriant jų dublikatus, netikras svetaines. Vėliau ši informacija naudojama įvairiai: vagiami pinigai, reikalaujamos išpirkos, grasinama paviešinti konfidencialius duomenis ir pan. Beje, tikrai rekomenduočiau išpirkos nemokėti. Visų pirma, tai yra skatinamoji priemonė, antra – dažnai sumokėjus išpirką duomenys vis tiek nėra atgaunami.

Antivirusinės programos, ugniasienė ir panašios bazinės saugos priemonės yra puikūs įrankiai apsisaugoti nuo masinių brukalų, galima jas traktuoti kaip filtrus. Tačiau kalbant apie sudėtingesnes, tikslines atakas jų nepakanka. Jau nekalbant apie sprendimų gamintojus iš šalių, kurios yra nedraugiškos Lietuvai. Vėlgi, priemonės turi atitikti rizikas, o ne darbuotojų skaičių, apyvartą ar vien tik IT skyriaus poziciją. Dažnai girdime, jog „mes maži ir niekam neįdomūs“. Kartais keleto darbuotojų įmonė valdo ir tvarko žymiai jautresnius duomenis nei didelė organizacija, todėl ir saugos standartai turi būti aukštesni.

- Kur visa pavogta informacija naudojama?

- Dažnai girdime apie masiškai „išlaužtus“ ir nutekintus žmonių duomenis, paskyras. Atakos prieš socialinius tinklus, viešbučius, oro linijas ir pan. Pavyzdžiui, per nesenai įvykdytą kibernetinę ataką prieš bendrovę „EasyJet“, užpuolikai gavo priėjimą prie 9 mln. jos klientų duomenų, taip pat buvo pavogti daugiau kaip 2000 kreditinių kortelių duomenys. Galbūt tokios korporacijos mums atrodo tolimos, bet su kiek iš jų mes, kaip vartotojai ar partneriai, esame susiję? Dažniausiai, nutekinti duomenys keliauja į „juodojo interneto“ (angl. darknet) platybes, yra pardavinėjami. Tuose pačiuose kanaluose yra užsakomos kibernetinės atakos, kiti nusikaltimai. Apskritai, dėl kibernetinio saugumo pažeidimų patiriama žala pasaulyje siekia maždaug 6 trilijonus eurų kasmet. Tačiau mano nuomone, svarbus ne tiek pats skaičius, kiek pastovus jo augimas. 

- Nejau negalima susekti pinigų gavėjų?

- Toks klausimas kyla dažnai, ypač po to, kai iš įmonės yra išviliojami pinigai suklastojant sąskaitas arba apgaunant finansininkus, vadovus. Tačiau ne viskas taip paprasta. Kibernetiniai nusikaltėliai moka slėpti savo lokacijas, naudoja daug tarpinių darbo vietų, šešėlinių sąskaitų, arba nusikaltimus daro užvaldžius kitų žmonių paskyras. Nusikaltėlį ar pinigų srautus susekti yra praktiškai neįmanoma, ypač jei finansinės operacijos yra daromos „Bitcoin“ valiuta.

- Yra „standartinės“ puolimo schemos?

- Dažniausias siekis – iš to uždirbti. Nors kartais tikslai yra kitokie – suklastoti informaciją, sutrikdyti veiklą. Standartinės kryptys yra dvi: arba ataka vystoma per žmogų, arba per technologinį pažeidžiamumą, kurį galima išnaudoti įsilaužimui. Abiejose kryptyse slypi begalė scenarijų, tik pirmu atveju jos daugiau socialinės, antru – technologinės.

Taip pat programišiai linkę naudotis chaosu. Tarkim, projekto uždarymo laikotarpiu, kai įmonė gauna daug sąskaitų, daug el. laiškų. Su vienu iš jų ateina kenkėjiška programa, arba sąskaita yra suklastojama. Tas pats COVID-19 sukeltas karantinas privertė daugelį žmonių dirbti nuotoliniu būdu, padaugėjo laiškų, chaoso. Nors užkrėstų el. laiškų žmonės sulaukia ir bet kuriuo kitu metu. Kibernetiniai nusikaltėliai irgi yra žmonės, gudrumo jiems tikrai netrūksta. Jiems nėra sunku sugalvoti scenarijų, ypač kai yra nusitaikoma į konkrečią organizaciją. Pavyzdžiui, iš socialinių tinklų sužinoma, jog vienas iš darbuotojų laisvalaikiu žaidžia tenisą. Kokia tikimybė, jog tas darbuotojas atsidarys laišką, su pakvietimu į teniso turnyrą, kuriame slypi žalingas kodas (virusas) arba registracijoje reikia atskleisti savo slaptažodį? Šiai dienai – labai didelė.

Kalbant apie technologines spragas – nemokamos programos, neatnaujintos operacinės ar kitos sistemos jų turi begalę. Lietuvos namuose ar versle naudojamos vaizdo kameros ar maršrutizatoriai, dažniausiai, būna pagaminti Kinijoje, Taivane ar Rusijoje. Rinka yra užpildyta pigiais ir daugybę pažeidžiamumų turinčiais gaminiais. Ne paslaptis, jog labai norint, juos galima išnaudoti nuotoliniam prisijungimui ar renkant informaciją.

- Ar galima nuo to apsisaugoti?

- Tikrai taip, visų pirma – per visuotiną brandos kėlimą. Lietuva kaip šalis, pasauliniame kibernetinio saugumo kontekste yra aukštose pozicijose (pagal ITU Global Cybersecurity indeksą). Džiugina, jog organizacijos vis labiau kreipia dėmesį į valdomas rizikas. Tiesa, norėtųsi, jog sauga rūpintųsi ne tik IT skyrius, bet ir vadovybė. Jie, beje, kaip ir minėti IT žmonės bei finansininkai yra pagrindiniai piktavalių taikiniai, nes turi daugiausiai prieigų ir laisvių. Taip pat, norėtųsi, jog apie patirtus incidentus organizacijos kalbėtų drąsiau ir garsiau. Nėra šimtaprocentinės apsaugos, todėl apie tai kalbėti garsiai neturėtų būti gėda.

Norėčiau pabrėžti ir tai, jog didžiosios įmonės savo saugumui jau skiria nemažus pinigus, programišiai vis dažniau taikosi į smulkų ar vidutinį verslą. Kaip ir minėjau, IT saugoje nėra „mažo“ ar „didelio“. Visiems reikia įsivertinti savo rizikas, o tada galvoti apie taikomas priemones. Jos neturėtų būti brangesnės negu galima žala. Neramina, jog praeitais metais „Kurk Lietuvai" projekto atlikta apklausa parodė, jog 74 proc. Lietuvos smulkaus vidutinio verslo įmonių jaučiasi nepasiruošusios arba nežino, ar yra pasiruošusios atremti kibernetines atakas.

Patarimų būtų daug: nuolatos šviesti darbuotojus, vertinti technologinius pažeidžiamumus, darbuotojams nesuteikti perteklinių teisių prieiti prie informacijos, naudoti dvigubą autentifikaciją ir kitus sprendimus, nespaudinėti įtartinų nuorodų, kritiškai vertinti gaunamą informaciją. Pavyzdžiui, nusprendus apsipirkti internete – patikrinti ar internetinė parduotuvė saugi ir visi perduodami duomenys, įskaitant banko kortelės duomenis, yra šifruojami (šalia nuorodos, kairėje, turi būti spynos ženklas), taip pat – jei puslapis nėra populiarus, patikrinti jo reputaciją ir atsiliepimus internete.

Jei to reikalauja turimos rizikos, kibernetinės saugos klausimą vertinti kaip strateginį visos organizacijos, o ne IT skyriaus iššūkį. Vienos priemonės nėra. Veikti reikia kompleksiškai ir vieningai. Tik tuomet bus galima tikėtis teigiamų rezultatų.




Parašykite savo komentarą:
  Skaityti komentarus (5)
Respublika.lt pasilieka teisę pašalinti nekultūringus, keiksmažodžiais pagardintus, su tema nesusijusius, kito asmens vardu pasirašytus, įstatymus pažeidžiančius, šlamštą reklamuojančius ar nusikalsti kurstančius komentarus. Jei kurstysite smurtą, rasinę, tautinę, religinę ar kitokio pobūdžio neapykantą, žvirbliu išskridę jūsų žodžiai grįždami gali virsti toną sveriančiu jaučiu - specialiosioms Lietuvos tarnyboms pareikalavus suteiksime jūsų duomenis.

Respublika
rekomenduoja

Labiausiai
skaitomi
(per 72 val.)

Daugiausiai komentuoti
(per 72 val.)

Dienos klausimas

Ar skiepijatės nuo gripo?

balsuoti rezultatai

Apklausa

Ar jau žinote, už ką balsuosite Seimo rinkimuose?

balsuoti rezultatai
Šiandien Rytoj   Poryt

 

   

+10 +13 C

+12 +14 C

 

+13 +15 C

 +21 +23 C

+23 +26 C

 

+20 +23 C

0-3 m/s

0-4 m/s

 

0-5 m/s

       

Valiutų kursai

USD - 1.1787 PLN - 4.4837
RUB - 89.9825 CHF - 1.0761
GBP - 0.9161 NOK - 10.8840

Nuorodos