Ekspertai pastebi, kad daugelis kibernetinį saugumą mistifikuoja kaip labai sudėtingą ir technologinį objektą, tačiau iš tiesų silpnoji kibernetinio saugumo dalis yra žmogus.
Naujienų portalo Lrytas organizuotoje konferencijos „Saugumo kodas“ diskusijoje IT specialistai papasakojo, kokias taktikas dažniausiai naudoja kibernetiniai sukčiai, kiek lietuviai joms yra atsparūs ir ką turėtų daryti įmonės, kad save apsaugotų.
Kaip suprantama problema?
Rugsėjo mėnesį atlikta įmonių finansų vadovų apklausa parodė, kad net 51 proc. finansų vadovų svarbiausiomis grėsmėmis laiko geopolitines gresmes, ir tik 15 proc. iš jų įvardijo kibernetinio saugumo grėsmes.
Diskusijos metu „Telia Lietuva“ technologijų vadovas Andrius Šemeškevičius stebėjosi tokiu mažu procentu ir svarstė, kad gal iš tiesų apklausa atlikta gerokai seniau.
„Kai kalbame apie kibernetinį saugumą, tai turime kalbėti taip, kaip ir apie žmogaus sveikatą – ja reikia rūpintis. Taip, kaip kalbame ir apie jūsų turto saugumą – ar apdraustas, užrakintas butas ar namas, ar automobilis.
Kibernetinis saugumas, mano nuomone, yra pagrindinis dalykas, nuo kurio viskas toliau prasideda. Jūs neturėsite verslo, jeigu tas verslas nėra visiškai fizinis, kaip, pavyzdžiui, kirpykla – jeigu bent kiek turite prisilietimą prie technologijų, tai jūs tiesiog vieną dieną jo nebeturėsite, jei nesirūpinsite kibernetiniu saugumu“, – įsitikinęs A.Šemeškevičius.
Visgi, ekspertas pastebėjo, kad skirtingo pobūdžio įstaigos Lietuvoje į kibernetinį saugumą žiūri labai skirtingai – valstybinis sektorius į jį žiūri ganėtinai pro pirštus, tuo metu finansinis sektorius, bankai, elektroninis verslas stipriai investuoja į kibernetinį saugumą.
„Daug įstaigų į tai žiūri labai rimtai, dalis įstaigų, ir, deja, valstybinis sektorius, kai kada žiūri aplaidžiai.
Turėjome tokių situacijų, kai skambini atsakingam žmogui į ministeriją X, informuoji, kad per mūsų tinklus matome, kaip pas juos vyksta tam tikri negeri srautai, kad greičiausiai yra vagiama informacija, o jis sako, kad jis šiuo metu užsiėmęs, pjauna žolę, ir pasako, kad kai baigs pjauti žolę, paskambins IT, kad jie pažiūrėtų.
O mes matome, kad iš jų yra pumpuojama informacija. Tai kartais parodo tą supratimą ar nesupratimą, kas vyksta“, – kalbėjo A.Šemeškevičius.
Savo ruožtu NFQ verslo vystymo vadovas Tadas Četkauskas diskusijos metu įvardijo, kiek iš tiesų kainuoja kibernetinis saugumas – skaičiuojama, kad Europa per mėnesį dėl kibernetinio saugumo atakų patiria milijardus nuostolių.
„Ne pats skaičius šiandien yra esmė. Esmė, kad milijardai nuostolių yra patiriami dėl duomenų vagysčių, nes sustabdoma verslo veikla, neteikiamos paslaugos, sustoja gamyba.
O iš kitos pusės, į tą sumą įtraukiami ir pinigai, kuriuos reikia sumokėti už išpirkas. Akivaizdu, kad Europa su savo direktyvomis sako, kad šito toleruoti nebegalima“, – kalbėjo T.Četkauskas.
Tuo metu KTU Informacinių technologijų departamento direktorius Arvydas Žiliukas diskusijos metu kalbėjo, kad kiekvienas finansų vadovas, apklaustas apklausoje, greičiausiai skirtingai supranta, kas iš tiesų yra kibernetinis saugumas, todėl galimai ir apklausos rezultatai nėra visiškai objektyviai apčiuopiami.
Tačiau problema, anot jo, iš tiesų yra labai rimta, ir iš esmės priklauso nuo visuomenės brandos ir vertinimo.
„Du dalykai: brandos klausimas, kaip mes, kaip žmonija, tai gerai suprantame. Ir kitas dalykas – vertės. Net ne pinigus skaičiuojant, bet kaip mes sutariame, kas kibernetiniame saugume yra vertė. Dažnai nėra to tikslaus identifikavimo“, – pastebėjo A.Žiliukas.
Visgi, A.Žiliukas pripažino, kad IT sektorius yra labai jauna profesija, ir dėl savo jaunimo vis dar neturi tradicijų, kultūros ir suvokimo, kada, kaip ir nuo ko pradėti.
„Neretai įmonėse vyrauja nuomonė, kad tuo gali pasirūpinti tas pats, kuris kompiuterį aptarnauja, o jeigu dar ir kiemą pašluoja, tai viskas gerai, palikime jam tas funkcijas.
Norėčiau pažiūrėti, kai asmenine sveikata rūpintųsi tas pats žmogus, kokie būtų rezultatai“, – kalbėjo A.Žiliukas.
Be to, jis įsitikinęs, kad įmonės mokosi tik iš savo klaidų – tik tada, kai patys susiduria su kibernetinėmis atakomis, atsiranda ir noras, ir priemonės, ir pinigai rūpintis saugumu.
Ką daro kibernetiniai nusikaltėliai?
Visgi, T.Četkauskas pabrėžė, kad daugeliu atveju kibernetinis saugumas yra mistifikuojamas kaip labai sudėtingas procesas, nors svarbiausią vaidmenį šiuo atveju vaidina patys žmonės.
„Jeigu nebūtų įvykusi pandemija, tai Lietuvos savivaldybių lygyje šiandien vis dar kalbėtume ne apie kibernetinį saugumą, o apie kompiuterinį raštingumą. Tada klausimas apskritai labai įdomiai pakimba.
Galiu pasakyti, kad šiandien top dešimtuke esančio Lietuvos miesto šviesoforai veikia programuotojo kompiuteryje“, – pasakojo T.Četkauskas.
Tai yra tas pats kompiuteris, kurį programuotojas nešasi į namus, su juo žaidžia žaidimus.
„Žinant šitą faktą pradedi abejoti, kad tai yra nebe vieno žmogaus problema, o apskritai savivaldos politikos problema. Bet akivaizdu, kad mes kibernetinį saugumą mistifikuojame kaip labai sudėtingą ir technologinį objektą.
Silpnoji kibernetinio saugumo dalis yra žmogus. Mes teikiame kibernetinio saugumo paslaugas, ir kai mes verslams, savivaldoms, valdžios institucijoms pasakome, kad tikrinsime ne tik jūsų technologijas, bet ir kalbėsime su jūsų darbuotojais, tai visiems kyla klausimas, o kodėl to reikia.
Nes silpnoji grandis yra jūsų darbuotojai, ir kokių tvarkų, taisyklių jie laikosi“, – pabrėžė T.Četkauskas.
A.Šemeškevičius antrino, kad įmonių vadovai toleruoja sąmoningai kvailą darbuotojų elgesį su kompiuteriais.
„Jie eina į visokias svetaines, spaudo bet ką, duoda vaikams žaisti, kiša visokias USB atmintinukes. Už tokį aplaidumą irgi turėtų būti tam tikros taisyklės ir nuobaudos įmonėje, kaip ir už aplaidumą išeinant neišjungus šviesų, neužrakinus durų“, – pastebėjo A.Šemeškevičius.
Tuo metu kibernetiniai nusikaltėliai, anot jo, bando visas metologijas – ir primityvų robotizuotą skandavimą, ir sudėtingesnes schemas, veikiančias ir per žmogaus psichologiją.
„Pirmiausiai jie turi įrankius, kurie masiškai skanuoja tinklus, bando parinkinėti slaptažodžius, jeigu kažkur įsijungia – tai toks lengvas skanavimas. Kai kažkas sako, kad aš niekam neįdomus, tai ir nusikaltėliui nesate įdomus, bet jis vis tiek pas jus laušis, o kai įsilauš, jis toliau vogs informaciją ir tada žiūrės, ar iš to galima verslą daryti, ar ne.
Toliau nusikaltėliai, aišku, taiko per žmones – siunčia fiktyvius elektroninius laiškus, patvirtinimus, sąskaitas, priedus, URL, kur suvedus atsidaro padirbtas portalas, pavyzdžiui, mokesčių inspekcijos, banko, jūsų įmonės intranetas“, – pasakojo ekspertas.
Tačiau pavojingiausiai dabar atrodo sukčių veikimas, kai jie pasinaudoja dirbtiniu intelektu.
„Jie perima kažkieno pašto dėžutę, jūs galite iš to žmogaus gauti tokį laišką, su tokiu geru kontekstu… Tarkime, mes su Kęstučiu esame pažįstami, esame susirašinėję, ir staiga man parašytum, o iš tiesų ne tu, o jau įsilaužėlis, praskanavęs visą mūsų susirašinėjimą, žinodamas kontekstą, surašytų kažką, kad Andriau, man iš tavęs reikia to ir ano, gal tu gali man atsiųst? Ko gero, pagalvočiau ir atsiųsčiau, o pasirodo, kad tavo pašto dėžutė jau perimta“, – pavyzdį pateikė A.Šemeškevičius.
A.Žiliukas taip pat atkreipė dėmesį statistiką – kad net 90 proc. incidentų įvyksta dėl žmogiškosios klaidos.
Ką reikia daryti?
Tad ką tuomet turėtų daryti įmonės, darbuotojai, kad apsisaugotų nuo kibernetinių grėsmių?
A.Šemeškevičius įsitikinęs, kad svarbiausia yra darbuotojų edukacija ir biudžetas techninėms priemonėms – įmonės privalo skirti dedikuotą biudžetą kibernetinio saugumo didinimui.
„Kalbu apie technines priemones, ir kad tas biudžetas būtų atskirtas nuo bendrų biudžeto dalybų“, – patarė jis.
Tuo metu T.Četkauskas patarė nemistifikuoti šios problemos.
„Nepadaryti jos nesuvokiamai sudėtingos. Iš esmės tai yra klausimas apie tai, kaip jūs elgiatės su savo turtu – savo reputaciniu turtu, piniginiu turtu, artimųjų turtu. Kokią higieną jūs palaikote“, – kalbėjo jis.
