Apie tai „Žinių radijo“ laidoje „Atspari visuomenė“ diskutavo kibernetinio saugumo ekspertas Marius Pareščius, dr. Šarūnas Grigaliūnas ir „Baltimax“ kibernetinio saugumo inžinierius, „ESET“ specialistas Lukas Apynis.
Penktadienio incidentas
Penktadienio įvykiai atskleidė, kaip lengvai vienas neištestuotas programinis atnaujinimas gali sutrikdyti pasaulinius verslo ir valstybinius procesus.
„Kažkas padarė klaidą, o po to visas pasaulis atsiklaupė ant kelių, – trumpai situaciją apibūdino M. Pareščius. – Galutiniam vartotojui tai atrodė tarsi nedidelis košmaras – avialinijos sustojo, kompanijų darbas sustojo. Žmonės sėdėjo, ilsėjosi ir laukė, kol kažkas pasitaisys.
Kibernetinio saugumo ekspertas paaiškino, kad tokia situacija susiklostė, nes įdiegus atnaujinimą, serveriai pradėjo veikti netinkamai, dėl to kompiuteriai išsijungė ir sustojo kai kurių įmonių veikla.
„Jeigu tai būtų serveriai, kurie aptarnauja, pavyzdžiui, greitosios medicinos pagalbos automobilius, šviesoforus, vandens tiekimą, maisto tiekimą – viskas tiesiog išsijungtų ir neveiktų“, – apie tai, kokias pasekmes gali turėti tokio tipo klaidos, kalbėjo M. Pareščius. Jis pridūrė, kad taip galėtų nutikti ir energetikos sektoriuje.
Sektorių pasirengimas
Š. Grigaliūnas pažymėjo, kad daugelis aviakompanijų ir kitų sektorių įmonių nebuvo pasiruošę tokiems incidentams, nes neturėjo tinkamo veiklos tęstinumo plano.
Jis teigė, kad šios situacijos parodė, jog daugelis priemonių yra „tik popieriuje“, o tai, anot eksperto, yra „didžiulė problema ir Lietuvoje“.
L. Apynis pritarė, sakydamas, jog „verslo tęstinumo planas yra puikus išbandymas organizacijoms. Jei jos neturi tokio plano – kai įvyksta sutrikimas, tai ir pasimato.“
„Planą visi turi, tik tas planas yra niekinis – neturime priemonių, neturime žmonių ir neturime net bandymų tą planą vykdyti. Reikia kurti naują planą, kuris padėtų įgyvendinti turimą“, – kitus ekspertus papildė M. Pareščius.
Patirtų nuostolių kompensacija
Kalbėdamas apie įmonių klientų patirtą žalą, M. Pareščius pabrėžė, kad tokie nuostoliai visada yra kompensuojami, svarbu tik reikalauti.
„Patirti nuostoliai pirmiausia yra atlyginami pagal tai, kas yra parašyta pirkimo-pardavimo sąlygose. Šiuo atveju, jei pirkai aviacijos bilietą – atsakys aviacijos bendrovė, arba bendrovė, apdraudusi aviacijos bendrovę. Arba pagal bendrąsias taisykles Europoje ar JAV“, – teigė kibernetinio saugumo ekspertas.
Tačiau jis pabrėžė, kad tai „nėra pritaikyta mūsų ekonomikai Lietuvoje“.
„Dėl neveikiančios „eSveikatos“ – niekas neatsakys, dėl neveikiančių šviesoforų – niekas neatsakys, dėl to, kad kažkoks geležinkelis sustojo – nebuvo pervežtas krovinys ar žmonės – turbūt irgi niekas neatsakys“, – teigė M. Pareščius.
Įstatymo pataisa
Laidos dalyviai atkreipė dėmesį į naują kibernetinio saugumo įstatymo pataisą ir įmonių atsakomybės svarbą.
Š. Grigaliūnas teigė, kad duomenys yra turtas ir jį reikia vertinti tinkamai.
„Daugelis ir organizacijų, ir vadovų dar neįvertina turto tinkamai, todėl neįvertina ir rizikų“, – teigė ekspertas, tačiau jis pabrėžė, kad spalio 17 d. Lietuvoje įsigalios kibernetinio saugumo įstatymo pataisa, kuri įpareigos reaguoti į incidentus laiku – priešingu atvejų lauks didelės baudos.
L. Apynis pridūrė, kad įstatymo pataisa įpareigos įmonių vadovus imtis veiksmų.
„Yra įvairių vadovų ir kai kurie nesupranta duomenų vertės ir galvoja, kad apčiuopiami fiziniai dalykai yra svarbu, o kas kibernetiniame pasaulyje – ne. Dabar įstatymai juos skatina kažko imtis, nes už tai galima nubausti“, – dėstė kibernetinio saugumo inžinierius.
Tačiau L. Apynis pažymėjo, kad svarbu, jog kažkas iš išorės audituotų organizacijas, ar jos tikrai laikosi įstatymo.
„Esame matę, kaip kai kurie klientai nusiperka saugumo arba duomenų nutekėjimo apsaugos sprendimą, pagal įstatymą turi varnelę užsidėję, bet jo neįsidiegia netgi pusę metų. Tai svarbu, kad ne vien būtų įstatymai, bet kad ir jų vykdymą patikrintų“, – aiškino jis.
Pritarimą įstatymo pataisai išsakė ir M. Pareščius: „Tai jau reikia daryti, nes mes tampame kibernetiniais ginklais.“
Ne pirmas kartas
„Tai tikrai ne pirmas atvejis rinkoje, turime daugybę pavyzdžių“, – apie penktadienį įvykusį incidentą sakė Š. Grigaliūnas.
„Problemos kartojasi“, – pritarė L. Apynis.
Ekspertai pateikė ir labai panašių situacijų pavyzdžių.
„Maždaug porą mėnesių atgal ta pati kompanija turėjo analogišką situaciją su „Linux“ operacinėmis sistemomis. Tarnybinių stočių, arba kitaip tariant serverių, administratoriai sukandę dantis atkentėjo šią situaciją. Taip, tarnybinės stotys turi didesnį prieinamumą, turi atstatymą, turi automatizacijas – tai atsukti atgal buvo lengviau“, – pasakojo Š. Grigaliūnas.
„Dabartinis „CrowdStrike“ vadovas prieš tai dirbo saugomo kompanijos „McAfee“ technologijų vadovų ir ten taip pat atsitiko tokia problema su „Windows XP“ kompiuteriais. Ta kompanija taip pat patyrė didžiulę žalą ir teko ją parduoti įmonei „Intel“, – prisiminė L. Apynis.
M. Pareščius pažymėjo, kad „atnaujinimai yra viena iš didžiausių kibernetinio saugumo skylių šiai dienai“. Jis prisiminė atvejį iš 2017 m., kai Ukrainą atakavo virusas „NotPetya“, kuris atėjo kaip programinės įrangos atnaujinimas.
„Buhalterių naudojamas programinis produktas, kuris yra skirtas deklaracijoms pildyti, vieną dieną gavo atnaujinimą – jis užšifravo visus buhalterijos duomenis“, – pasakojo M. Pareščius.
Didžiausias kibernetinės atakos scenarijus
Paklaustas apie tai, kokia didžiausia ir baisiausia kibernetinė ataka galėtų įvykti Lietuvoje, M. Pareščius pateikė atakos prieš elektromobilius scenarijų.
„Paimkime visus elektromobilius, kurie turi autonominį vairavimą, juos nulaužkime ir paleiskime pasivažinėti po Vilniaus miestą. Jie gali laikytis kelių eismo taisyklių, gali nesilaikyti. Jiems gali specialiai įsijungti šviesoforai žali. Visas Vilnius bus uždarytas. Tokiu atveju nieko nepadarysi“, – pasakojo kibernetinio saugumo ekspertas.
Kibernetinės saugos patarimai
Kalbėdami apie penktadienio incidentą, ekspertai sutarė, kad siekiant išvengti programinės įrangos atnaujinimų sukeltų sutrikimų, svarbu pirmiausia juos ištestuoti saugioje aplinkoje.
Tačiau apskritai jie pabrėžė, kad kibernetine sauga turi rūpintis ir organizacijos, ir valstybė, ir kiekvienas žmogus individualiai.
„Kai ateina naujas darbuotojas, kodėl mes jį apmokome priešgaisrinės, pirmosios pagalbos, tačiau neapmokome kibernetinio atsparumo? Tai turėtų tapti natūralus veiksmas kiekvienoje organizacijoje, įskaitant uždarąsias bendroves. Mes sumažintume netikėtumus“, – apie įmonių pareigą šviesti darbuotojus kalbėjo Š. Grigaliūnas.
Jis tai pat pažymėjo, kad „valstybinėje institucijoje nuo pajamų 10 proc. turi būti skirta informacijos apsaugai – jei šis procentas yra žemesnis, reiškia ta organizacija yra visiškai nesaugi ir jos rizika prarasti duomenis yra akivaizdi.“
Valstybės vaidmenį kibernetinėje saugoje pabrėžė ir M. Pareščius: „Valstybė turi pradėti investuoti pinigus į įvairias technologijas, į inovacijų kūrimą Lietuvoje ir jų diegimą bei į žmonių edukaciją.“
Kibernetinio saugumo ekspertas taip pat nurodė, kokių kibernetinės saugos priemonių galėtume imtis kiekvienas individualiai:
„Slaptažodžių politika: jei naudojatės krūva svetainių ir aplikacijų, kiekvienoje jų turite turėti skirtingą slaptažodį. Slaptažodžius reikia keisti kas pusmetį, jie turi būti sudaryti iš raidžių, skaičių ir spec. simbolių. Jų ilgis – nebe aštuoni simboliai, o dvylika. Slaptažodžių prisiminimui nebenaudokite popieriaus ir kažkokių algoritmų galvoje – tam yra programėlės.
Soc. tinkluose ir visuose kituose produktuose, kuriuose yra naudojami slaptažodžiai – įsijunkite dviejų ar daugiau faktorių autentifikaciją. Elkitės su socialiniais tinklais kaip su savo banko sąskaitą, nes tai gali kainuoti ir pinigų“, – patarė M. Pareščius.
