„Galiausiai žinokime, kad mes galime būti pamiršti, mūsų duomenys gali būti ištrinti“, – naujienų portalo Lrytas konferencijoje „Saugumo kodas“ kalbėjo kibernetinio saugumo įmonės „NRD Cyber Security“ informacijos analizės ekspertė Rūta Jašinskienė.
Ji pridūrė, kad pasiekiančią informaciją reikia vertinti kritiškai, o su vaikais, tėvais, seneliais praverstų pakalbėti apie duomenų saugumą.
Kibernetiniai nusikaltėliai dažniausiai kėsinasi į valstybę su tikslu ją destabilizuoti. Kitas tikėtinas jų taikinys – organizacija, ir visiškai nesvarbu, ji didelė ar maža, kokios jos pajamos. Šiuo atveju dažnas tikslas – sugriauti įmonę, bet, kaip pažymėjo R.Jašinskienė, žymiai dažniau siekiama finansinės naudos, kai bandoma pavogti pinigus arba duomenis, kitą sykį už pastaruosius prašant išpirkos.
„Trečias taikinys – žmogus. Krizė gali prasidėti ir nuo jo, – konferencijoje „Saugumo kodas“ sakė ji ir papildė: – Blogiečiai virtualioje erdvėje pirmiausia siekia pinigų. Dažniausiai atakos vyksta finansiniame sektoriuje, nes gavęs pinigus gali greitai juos panaudoti.
Jei nepavyksta pasiekti pinigų, kėsinamasi į duomenis. Juos galima parduoti, už juos prašyti išpirkos ar panaudoti kitoms nusikalstamoms veikloms“.
Net du trečdaliai atakų prasideda nulaužus slaptažodį. Kitas labai jautrus ir svarbus elementas – tai piktavaliai darbuotojai, kurie turi priėjimą prie organizacijos duomenų, vidinių tinklų. Dažnai juos išnaudoja blogiečiai iš išorės.
Dar vienas faktorius – silpnas šifravimas arba jo nebuvimas, kai neteikiame svarbos savo virtualiam turtui.
„Jei patys to nesaugome, blogiečiams paliekame atviras duris. Beje, čia reikia paminėti ir netinkamą konfigūraciją ir pažeidžiamumus: jei organizacija rūpinasi savo infrastruktūra, paprastas žmogus turi rūpintis savo įrenginiais. Tad jei ateina pranešimas, kad pasirodė nauja operacinės sistemos versija, neignoruokite jo. Atnaujinimai dažniausiai daromi dėl to, nes ištaisomos saugos klaidos“, – akino R.Jašinskienė, atkreipusi dėmesį į dar vieną sukčių veiklos lauką – socialinę inžineriją arba phishingą.
„Sukčiai nesnaudžia ir darosi vis protingesni“, – pridūrė „NRD Cyber Security“ atstovė.
Kas gi slepiasi už atakų? Tikri žmonės, kuriems vis dažniau padeda dirbtinis intelektas. Tai gali būti įsilaužėliai, vadinamieji hakeriai, kurie turi specialių įgūdžių nulaužti tam tikras sistemas, neteisėtai prisijungti prie tinklų ir panašiai.
Atakas gali rengti ir kibernetiniai nusikaltėliai. Tai jau organizuotos grupuotės, kurios neturi gebėjimų pačios laužtis, išnaudoti pažeidžiamumus, bet turinčios pinigų pasamdyti įsilaužėlius. „Nusikaltėlių tikslas – pinigai. Tamsiajame internete nusipirkti paslaugą, pavyzdžiui, nulaužti el. pašto dėžutę, labai nebrangu ir paprasta“, – komentavo R.Jašinskienė.
Yra ir dar viena atakų rengėjų kategorija. Tai – haktyvistai, kurių tikslas – maištauti prieš tam tikras iniciatyvas. Paprastai sakant, tai žmonės, kurie nepritaria kažkuriam valstybės sprendimui ir siekia sutrikdyti konkrečią iniciatyvą.
„Tikriausiai pats baisiausias ir sudėtingiausias atakuotojas – valstybės remiami veikėjai. Iš principo tai tie patys hakeriai, tik jie veikia nebe savarankiškai, o remiami valstybės. Tai reiškia, kad jų biudžetai neišmatuojami ir neišsemiami. Ir jie nebaudžiami – juk veikia su savo valstybės parama“, – kalbėjo pranešėja.
Tačiau ne visada incidentas kibernetinėje erdvėje kyla dėl tyčinės žmogaus veiklos.
„NRD Cyber Security“ Živilė Nečejauskaitė konferencijoje priminė šiais metais nutikusį incidentą, kai kibernetinio saugumo bendrovės „CrowdStrike“ atveju kibernetinio saugumo krizė kilo, nes buvo ne laiku ne vietoje išsiųstas ne visai patikrintas atnaujinimas.
„Krizė – tai situacija, kurioje esama labai daug neapibrėžtumo, kuri gali sukelti didžiulę žalą ir reikia imtis skubių priemonių jai išspręsti. Kibernetinio saugumo krizė ypatinga tuo, kad ji prasideda nuo kibernetinio saugumo įvykio. Dažnu atveju tai susiję su duomenų praradimu.
Kibernetinėms krizėm būdinga, kad esama daug nematomumo: nuo įsilaužimo iki jo aptikimo sistemose vidutiniškai praeina 90 dienų. Jei organizacija nebuvo pasidariusi daug užkardų, tenka sunkiai vargti aiškinantis, kas galėjo nutikti. Todėl būna keblu paaiškinti, kas nutiko, o tai gresia komunikacinėmis klaidomis, kurios gali eskaluoti įvykį iki krizinės situacijos“, – konferencijoje „Saugumo kodas“ aiškino Ž.Nečejauskaitė.
Kibernetiniame pasaulyje nėra izoliuoto veiksnio – vienoje organizacijoje nutikusi kibernetinė ataka gali paliesti visą sektorių, o jei palietė sektorių, ji gali nuraibuliuoti padariniais valstybės mastu.
„Viskas tarpusavyje susiję: valstybę kuria institucijos, kurios atsakingos už kibernetinį saugumą, jos kuria teisės aktus, kurie įgalina organizacijas rūpintis savo darbuotojais, infrastruktūra, o darbuotojai grįžę namo apie tai gali kalbėtis su aplinkiniais“, – aiškino Ž.Nečejauskaitė. R.Jašinskienė pridūrė, kad kibernetinis saugumas yra ekosistema, kurioje dalyvaujame, norime to ar ne. Pakanka turėti nors el. paštą, naršyti internete – jau būsite kibernetinės erdvės dalyvis.
Ekspertės teigimu, krizių išvengti neįmanoma – jų buvo ir bus. Tačiau valstybė yra identifikavusi kritinius sektorius, kurie gyvybiškai svarbūs mūsų gyvenime: energetika, nuotekos ir pan. Valstybė išleidžia teisės aktus, reikalavimus, kurių įmonė turi laikytis, kad būtų bent minimaliai saugi. R.Jašinskienė į juos žiūri kaip į palengvinimą: įmonei nebereikia galvoti, kaip apsisaugoti – valstybė pasako, ką reikia padaryti, kad būtum iš dalies saugus.
„Kiekviena organizacija turi rūpintis savo saugumu ir jei joje kiltų krizė, turėtų žinoti, kas jos viduje ką turi daryti, kas už ką atsakingas. Pasitaiko nemažai atvejų, kai organizacijos turi tokius planus, nes to reikalaujama, bet jų neišbando. Ir jei planas parašytas prieš penkerius metus, veikiausiai dalies jame minimų darbuotojų organizacijoje jau nebėra. Todėl ne veltui reikalaujama kartą per metus tokį planą išbandyti“, – praktinę svarbą akcentavo R.Jašinskienė.
O darbuotojus mokyti svarbu, nes saugus darbuotojas reiškia saugią organizaciją, saugi organizacija savo ruožtu – saugų darbuotoją. „NRD Cyber Security“ savo ruožtu kviečia organizacijas susiburti ir pasidalinti žiniomis apie įvykusius kibernetinius incidentus ir kaip juos sprendė. Gauti žinių galima ir Nacionalinio kibernetinio saugumo centro rengiamuose mokymuose, kurių būna nemokamų.
