„Syntricks“ įkūrėjas, kibernetinio saugumo ekspertas Vytautas Paulikas, atlikęs šimtus įsilaužimų testų įvairių įmonių informacinėse sistemose, pateikia griežtą išvadą: „Visos įmonės kažkuriuo metu tampa rimtai pažeidžiamos iš vidaus arba iš išorės, o tada tik laiko klausimas, kada įvyks įsilaužimas bei kas jį atliks – etiškasis (baltasis) hakeris ar kibernetinis nusikaltėlis. Tai reiškia, kad nė viena įmonė nėra visiškai apsaugota nuo kibernetinių atakų, todėl būtina reguliariai atlikti įsilaužimų testus.“
„Baltimax“ kibernetinio saugumo inžinieriaus ir ESET specialisto Luko Apynio praktikoje greičiausias kritinės spragos atradimas ir jos praktinis patikrinimas užtruko mažiau nei 30 minučių. „Žvelgiant iš kliento pusės, tai buvo sėkmės reikalas, kad niekas iš išorės nebuvo radęs šios kritinės duomenų bazės spragos. Išnaudojus tokią spragą nuotoliniu būdu galima gauti prieigą prie duomenų bazės su svarbiais duomenimis“, – atskleidžia ekspertas ir pastebi, kad prieš pradedant įsilaužimo testavimus įmonėse, klientai dažnai dėl to nerimauja. „Tai suprantama – įmonės baiminasi, kad šie testai gali atskleisti rimtų saugumo spragų. Tačiau IT specialistai puikiai žino, jog šis procesas yra būtinas norint užtikrinti organizacijos kibernetinį saugumą, – akcentuoja ekspertas. – Įsilaužimo testų rezultatai ne tik padeda apsisaugoti nuo realių grėsmių, bet ir leidžia identifikuoti bei sustiprinti silpnąsias vietas, taip užtikrinant efektyvesnę apsaugą.“
Per pastaruosius metus kibernetinis saugumas tapo esminiu veiksniu bet kokio dydžio organizacijoje. Lietuva kiekvienais metais kyla aukščiau kibernetinio saugumo atsparumo reitinguose, tai rodo šalies pastangas šioje srityje. Suprantama, kad tarp gausybės sprendimų ir paslaugų nėra lengva rasti tiesiausią ir patikimiausią kelią į saugesnę IT infrastruktūrą, todėl įmonių ir IT skyrių vadovai, IT specialistai bei inžinieriai kviečiami į jau dešimtą kartą Vilniuje vyksiančią konferenciją ESET Security Day. V.Paulikas ir L.Apynis – vieni iš konferencijos pranešėjų, kurie atsakys į daugelį šiandienai aktualių klausimų kibernetinio saugumo tema.
Įsilaužimų testavimas: kas tai ir kokia nauda?
Pagrindinis įsilaužimų testavimo tikslas yra iš anksto nustatyti ir pašalinti silpnąsias vietas, kurios galėtų tapti tiksliniu kibernetinių nusikaltėlių taikiniu. Šį darbą atlieka IT specialistai, dar vadinami „baltaisiais hakeriais“. Jie naudoja visas savo žinias ir įgūdžius, kad įsilaužtų į įmonės sistemas taip, kaip tai darytų kibernetiniai nusikaltėliai, bet jų tikslas yra ne žala, o apsauga. Ši praktika vis labiau populiarėja Lietuvoje, nes įmonės supranta, kad tik nuolat tikrindamos savo saugumo lygį, jos gali išlikti atsparios grėsmėms nuolat besikeičiant.
Atliekant įsilaužimo testą, kibernetinio saugumo specialistai padeda įmonėms įvertinti jų svetainės, mobiliosios ar darbalaukio programos arba tinklo infrastruktūros segmento (vidinio ir/ar išorinio) saugumą. Tam naudojami automatiniai ir rankiniai testai, kurių metu ieškoma viešai žinomų ir nežinomų pažeidžiamumų. Po audito įmonėms pateikiama išsami ataskaita, kurioje išvardijamos nustatytos problemos, būdai joms patikrinti ir galimi sprendimo žingsniai.
„Konkreti įsilaužimo testavimo nauda priklauso nuo motyvacijos jį atlikti. Jei testavimas atliekamas dėl teisinio reguliavimo, įsilaužimų testavimo ataskaita padeda įrodyti atitiktį įstatymams. Jei motyvacija kyla iš vidinio noro suprasti verslo rizikas, testavimas leidžia identifikuoti spragas ir laiku jas pašalinti. Po IT incidento atliktas testavimas pagerina pasiruošimą ateities atakoms. Bet kuriuo atveju, turint įsilaužimo testavimo ataskaitą, įmonė gali jaustis saugiau, o kilus incidentui – lengviau įrodyti, kad buvo imtasi prevencinių priemonių, kas gali sumažinti taikomas nuobaudas“, – aiškina V.Paulikas.
„Baltimax“ kibernetinio saugumo inžinierius ir ESET specialistas L.Apynis pastebi, kad įmonių atstovai neretai baiminasi, jog jų naudojamų sistemų testavimo metu gali kilti problemų, pavyzdžiui, sistemos gali sulėtėti arba netgi „nulūžti“. Nors tokie atvejai yra reti, jis akcentuoja, kad dėl šios priežasties testavimai paprastai atliekami ne darbo metu, siekiant išvengti trikdžių įprastoje veikloje.
Kam įsilaužimų testavimas ypatingai aktualus?
Įmonėms, kurių veikla priklauso nuo skaitmeninių sistemų, IT saugumas yra neatsiejama jų veiklos dalis. Net jei įmonė naudoja tik keletą kompiuterių, jos sklandi veikla priklauso nuo stabilaus ir saugaus IT sistemų veikimo. Kaip sako kibernetinio saugumo ekspertas V.Paulikas, net jei įmonių atstovams gali pasirodyti, jog programišiams „nėra ką nulaužti“, visgi visiems reikėtų įsivertinti ir netiesiogines IT saugumo rizikas. „Jos gali kilti per susijusias organizacijas ar tiekimo grandines, nuo kurių priklauso verslo stabilumas“, – aiškina ekspertas.
Šias rizikas siekiama sumažinti Europos Sąjungos TIS2 direktyva, kuri skatina įmones atkreipti dėmesį į kritinės infrastruktūros ir tiekimo grandinių saugumą. „Įmonėms svarbu ne tik apsaugoti savo sistemas, bet ir pasiteirauti verslo partnerių ar susietų organizacijų, kaip jos valdo IT saugumo rizikas bei, esant poreikiui, paprašyti įrodymų, tokių kaip IT sistemų įsilaužimo testavimo ataskaitos, – sako kibernetinio saugumo žinovas. – Tokie veiksmai padeda įmonėms užtikrinti, kad jų veikla yra apsaugota nuo galimų kibernetinių grėsmių ne tik tiesiogiai, bet ir per susijusias šalis.“
Ko Lietuvos įmonės gali pasimokyti iš kitų valstybių, kas turėtų būti įvardyta įsilaužimų ataskaitoje ir kuo ji gali padėti įmonei, į šiuos ir kitus klausimas V.Paulikas išsamiai atsakys kibernetinio saugumo konferencijoje.
Jau visai netrukus – rugsėjo 5 dieną – vyks 10-ojo ESET Security Day konferencija, skirta įmonių ir IT vadovams, IT specialistams bei inžinieriams, siekiantiems išsamiau suprasti kibernetinio saugumo sprendimus ir jų veikimą.
Vilniuje, parodų ir kongresų centre LITEXPO kibernetinio saugumo renginio metu bus nagrinėjamos svarbiausios šių dienų kibernetinio saugumo temos, įskaitant TIS2 direktyvos reikšmę, dirbtinio intelekto panaudojimo galimybes saugumo srityje, realių kibernetinių incidentų analizę bei socialinės inžinerijos ir simuliacijų svarbą žmogiškojo faktoriaus saugumui. Konferencija suteiks galimybę susipažinti su naujausiomis įžvalgomis, pasidalinti praktine patirtimi ir įgyti žinių, padėsiančių užtikrinti IT infrastruktūros saugumą bei efektyvumą.
Bilietai į konferenciją: https://tickets.paysera.com/lt-LT/event/eset-security-day-2024