Kibernetinių incidentų ir vagysčių internete mastai kasmet auga, nes vis dar neturime tinkamų saugumo internete įpročių ir pernelyg mažai naudojame saugumo technologijas, pastebi ekspertas Patrickas Jonesas iš Skirtųjų vardų ir numerių interneto korporacijos (angl. Internet Corporation For Assigned Names And Numbers – ICANN).
Pasak Kauno technologijos universitete (KTU) viešėjusio eksperto iš JAV, vartotojai dažnai patys savo noru atskleidžia prisijungimo duomenis ir slaptažodžius nesuvokdami, kad lankosi nusikaltėlių suklastotose interneto svetainėse su vos viena raide besiskiriančiu ir į prekių ženklą labai panašiu domeno vardu. Atskirti, kas yra tikra šiame melagienų ir suklastotų tapatybių socialiniuose tinkluose amžiuje tampa tikru iššūkiu, su kuriuo susiduria IT saugumo specialistai, narpliodami į programišių tinklus patekusių aukų istorijas.
P. Jonesas sutiko pasidalinti įžvalgomis apie didžiausius saugumo internete iššūkius.
– Kokios aktualiausios kibernetinio saugumo problemos, apie kurias diskutuojama visame pasaulyje?
– Mokymų KTU metu kalbėjau apie DDoS (angl. Distributed Denial-of-Service) paslaugų atakas, kurios itin dažnos, taip vadinamų kenkėjiškų kompiuterių tinklų (angl. Bootnet) naudojimą, taip pat prastai apsaugotų ir sukonfigūruotų vartotojų įrenginių (stebėjimo kamerų bei kitų daiktų interneto įrenginių) internete naudojimą, kurie apsunkina tinklų veiklą ir sumažina jų saugumą.
ICANN ir kitos interneto organizacijos teikia rekomendacijas dėl apsisaugojimo nuo dažniausių domeno vardų sistemos (angl. Domain Name System, DNS) užklausų falsifikavimo būdų nukreipiant domenų vardus į netikras interneto svetaines. Su DNS falsifikavimu ir panašių domenų vardų naudojimu netikroms interneto svetainėmis ar el. parduotuvėmis kurti susijusių nusikaltimų skaičius auga visame pasaulyje. Manau, šiuo metu tai aktualiausios saugumo problemos, apie kurias diskutuojama visame pasaulyje.
– Galbūt kibernetinis saugumas yra pernelyg išpūsta tema, o grėsmės kur kas mažesnės nei gąsdinama?
– Žvelgdami iš ICANN organizacijos perspektyvos, scenoje matome skirtingus aktorius, kurie siekia pasitelkti DNS savo tikslams ir naudai pasiekti. Dalis aktorių, vogdami informaciją, siekia gauti tokius duomenis, kurie pasitarnautų jų verslui. Tokią informaciją galima parduoti ar panaudoti intelektinės nuosavybės vagystėms, finansiniams duomenų pasisavinimui. Žinių laidose girdime daugybę istorijų apie programišių nutekintus vartotojų duomenis ir net išpuolius prieš finansines institucijas.
– Kokius su domenų naudojimu ir DNS susijusius kibernetinius nusikaltimus pastebite dažniausiai?
– Kriminalinės gaujos stengiasi sukurti panašius domenų vardus, klaidinti ir nukreipti lankytojus į netikras interneto svetaines ar parduotuves. Taip jos siekia gauti finansinę ar asmeninę informaciją. Tokie netikri puslapiai atrodo kaip oficialios svetainės, dažnai sukuriami labai panašūs domenų vardai, kai skiriasi vos viena raidė, arba naudojamos diakritinės nacionalinių kalbų raidės. Tuomet atskirti tikrą parduotuvę nuo suklastotos itin sunku. Paprastai tokių netikrų puslapių lankytojai nukreipiami į nusikaltėlių svetaines su specialia programine įranga, kuri leidžia pavogti mokėjimo kortelių, bankų sąskaitų, elektroninės bankininkystės bei kitus svarbius duomenis.
– Ar dėl padidėjusių asmens duomenų apsaugos reikalavimų (BDAR) apribotas domenų turėtojų asmens duomenų skelbimas netrukdo tirti kibernetinių nusikaltimų? O galbūt kaip tik tai neleidžia programišiams lengvai sužinoti asmens elektroninio pašto, kuris naudojamas prisijungiant prie daugelio sistemų?
– Nuolat girdime saugumo specialistų įspėjimus nenaudoti tų pačių slaptažodžių registruojantis prie paskyrų internete. Šiai problemai spręsti kuriami nauji vartotojų autentifikavimo mechanizmai, autentifikuojant vartotojus, kai prisijungimui neužtenka vien tik elektroninio pašto ir slaptažodžio, o asmeniniai elektroninio pašto adresai ir kiti duomenys viešai nebepublikuojami dėl asmens duomenų apsaugos reikalavimų ir kibernetinio saugumo priežasčių. Gerai, kad šia kryptimi judama, ir asmens duomenys saugomi.
Taip pat diskutuojama dėl vartotojų asmens duomenų perdavimo trečiosioms šalims – kas gali gauti duomenis apie domenų vardų turėtojus: prekių ženklų turėtojai, prekių ženklų apsaugos konsultantai, teisininkai, policija ir t.t. Deja, bet kol kas sutarimo pasiekti nepavyksta.
– KTU vykdo magistrantūros studijų programą „Informacijos ir informacinių technologijų sauga“. Kaip vertinate šios studijų programos perspektyvas ir programuotojų su kibernetinio saugumo technologijų žiniomis poreikį rinkoje?
– Tokių specialistų paklausa, ypač JAV, yra labai didelė. Europoje, Azijoje IT saugumo inžinierių poreikis taip pat auga. Ypatingai trūksta patyrusių specialistų, kurie galėtų atlaikyti programišių atakas, diegti saugumo sprendimus ir prevenciškai nuo jų apsaugoti. Tokių specialistų rinka plečiasi, ir tai, kad KTU turi tokią studijų programą, yra gera žinia Lietuvai.
– Ar kiekviena įmonė šiandien privalo turėti IT saugumo specialistą?
– Didelės įmonės, kurių IT sistemos sudėtingos ir kritiškai svarbios verslo, gamybos procesams užtikrinti, paprastai turi IT padalinius ir juose dirbančias IT saugumo komandas. Net ir mažesnis bei smulkus verslas turi rūpintis sistemų saugumu, todėl žinios ir kompetencija šioje srityje yra labai svarbios.
– Kokius patarimus galite duoti interneto naršytojams ir interneto svetainių bei el. parduotuvių kūrėjams, kad internete visi jaustųsi saugesni?
– Vartotojams labiausiai, manyčiau, reikėtų pasirūpinti prisijungimo, vartotojų autentifikavimo duomenų ir slaptažodžių apsauga. Prisijungimo duomenys prie interneto svetainės serverio turinio valdymo sistemos, domeno valdymo skydelio, el. pašto ar elektroninės bankininkystės turi būti kruopščiai saugomi ir jokiu būdu nepasikartoti. Dažniausia klaida – tų pačių slaptažodžių naudojimas skirtingose sistemose, tad visada to venkite. Jeigu vienoje sistemoje slaptažodis nutekės, taps pažeidžiamos visos kitos sistemos, kuriose tas pats slaptažodis buvo naudojamas – banko, el. pašto, debesų kompiuterijos paslaugos ir t.t. Jokiu būdu nespaudinėkite nuorodų elektroniniuose laiškuose, siūlančių prisijungti prie banko, pašto ar kitų svarbių sistemų. Labai dažnai tai būna spąstai nepatyrusiems vartotojams, kai sukčiautojai, naudodami labai panašius domenų vardus ir padirbtas svetaines, siekia išvilioti vartotojų prisijungimo duomenis.
Pasitikėjimą el. parduotuve labai padidina geros reputacijos trečiųjų šalių, pavyzdžiui, „PayPal“, mokėjimo įskiepių naudojimas, kuomet vartotojai reikiamus duomenis mokėjimui atlikti suveda didelio saugumo mokėjimo platformų svetainėse. Tai – gerosios saugumo praktikos sprendimas, didinantis vartotojų pasitikėjimą el. parduotuve.
Kad lietuviškas internetas būtų saugesnis
Už .lt domenų vardų registro paslaugų teikimą ir .lt domeno vardų sistemos (DNS) nepertraukiamą veikimą atsakingas .lt domeną administruojantis KTU Interneto paslaugų centras DOMREG.
Centro Klientų aptarnavimo skyriaus vadovo Tomo Mackaus teigimu, DOMREG bendradarbiauja su kibernetinius nusikaltimus tiriančiais teisėsaugos atstovais ir taip prisideda prie kovos su domenų registravimu nusikalstamais tikslais bei interneto saugumo didinimo.
„Domenų užsakovams patariame patiems registruoti visus su veikla susijusius panašius domenus, nelaukti, kol tuo pasinaudos nusikaltėliai. Jeigu prekės ženkle yra savitųjų lietuviškų raidžių – ą, č, ę, ė, į, š, ų, ū, ž, – patariame patikrinti abu domeno variantus – „šveplą“ su lotyniškomis, o kitą variantą – su savitomis lietuviškomis raidėmis. Jeigu jie laisvi – registruokite abu“, – pataria T. Mackus.
Pasak eksperto, domenų su savitomis lietuviškomis raidėmis registravimas leis Lietuvos vartotojams patogiau pasiekti svetainę, o nusikaltėliams ir konkurentams – apsunkins kelią pasisavinti ar kopijuoti svetainės adresą bei prekių ženklą.