Duomenų vagystės tapo įprastu reiškiniu internetinėje erdvėje. Tačiau programišiai taikosi ne vien tik į asmeninius kompiuterius – nacionalinės svarbos objektai taip pat domina kompiuterių specialistus.
Praėjusiais metais aptiktas „Stuxnet“ virusas, atakavęs ir sugadinęs įrenginius Irano branduolinėje jėgainėje. Visai šalia – Estijoje – 2007 m. iš rikiuotės buvo išvesti valstybiniai tinklapiai.
Kibernetinė erdvė tapo karinių konfliktų zona, kurioje gali atsidurti ir Lietuvos internetinė erdvė. Nors Vyriausybė ėmėsi pirmųjų žingsnių – patvirtino kibernetinio saugumo programą, tačiau vien to nepakanka. Specialistai teigia, kad galingos sistemos apsaugos tik tiek, kiek saugosis neatsakingiausias įmonės ar valstybinės įstaigos darbuotojas.
Spraga – žmogiškasis faktorius
Pasak specialistų, Lietuvoje techninio atsilikimo elektroninio saugumo sferoje nėra. Pavyzdžiui, elektroninės bankininkystės saugumas yra lyderiaujantis Šiaurės Europoje. O ir suvokimas, kad duomenys turi būti saugomi ne ką mažiau negu kitas turtas, taip pat didėja. Taigi, pagrindinė Lietuvos kibernetinio saugumo problema tampa žmogiškasis faktorius bei atsakomybės trūkumas.
Anonimu norėjęs likti IT specialistas, šiuo metu Danijoje dirbantis tiriamąjį darbą informatikos srityje, kalbėjo, kad tam tikros kurioziškos situacijos atsiranda dėl duomenų bazių administratorių klaidų. Prieš keletą metų Lietuvoje kilo skandalas, nes JAV ambasada turėjo priėjimą prie Sodros duomenų bazės, dėl ko ambasadoriai galėjo sužinoti kur kas daugiau informacijos apie norinčius vykti į JAV negu derėtų.
„Pasirodo, kad JAV ambasada buvo prašiusi kažkokių duomenų iš užsienio reikalų ministerijos ir viskas būtų buvę gerai, jeigu ne administratoriai, suteikę per dideles teises duomenų bazėje“, – aiškino IT specialistas. Jis spėjo, kad tokia situacija galėjo atsirasti dėl administratorių tingumo arba per didelio spaudimo viską daryti greitai, neatsižvelgiant į pasekmes.
IT specialistas pabrėžia, kad duomenų nutekėjimas arba sistemos užkrėtimas nebūtinai vyksta vien atakomis iš kitų kompiuterių – daugeliu atveju pakanka vien žmogiškojo faktoriaus.
„Teisingumo ministras Remigijus Šimašius stengiasi įdiegti vieno langelio aptarnavimo principą, kuris perkeltų biurokratinę naštą nuo piliečių ant informacinių sistemų, dėl to yra konsoliduojamos įvairios duomenų bazės, įvairios institucijos pradeda dalintis prieigomis. Galiausiai, žemiausios pakopos biurokratas turi prieigą prie visų piliečių darbingumo ir pajamų duomenų“, – aiškino IT specialistas. Pasak jo, tokiu atveju Lietuvoje nereikia net ir organizuotų puolimų, nes žemo rango valstybės tarnautojai gali susigundyti kyšiais ir žmonių informacijos saugumas tampa labai abejotinas.
Kaip vieną iš prevencijos būdų, kovojant su tokio tipo korupcija, galima įvesti registrą, kai kiekviena užklausa yra žymima duomenų bazėje ir tuomet kiekvienas valdininkas žino, kad bus užfiksuotos ir tos užklausos, kuomet jis neteisėtai domėsis vienu ar kitu asmeniu.
Tokiam teiginiui pritaria ir ESET elektroninio saugumo sprendimus Lietuvoje atstovaujančios UAB „NOD Baltic“ vadovas Tomas Parnarauskas. Jo patirtis darbe su įmonėmis parodė, kad įsidiegus tinklo stebėjimo įrenginius, vadovams pavykdavo užkirsti kelią nesąžiningiems darbuotojų veiksmams. Įmonėse ne tik nustojama naudotis nesaugiais puslapiais, bet net padidėdavo darbo našumas, nes darbuotojai žinojo, kad jų veikla elektroninėje erdvėje yra stebima.
Dėl retų išpuolių – užmigdytas budrumas
„Lietuvoje nėra labai aktyviai demonstruojamo kibernetinio nusikalstamumo – tai veda prie grėsmių ir rizikos nuvertinimo ir tikrojo saugumo lygio pervertinimo“, – įsitikinęs „Critical security“ direktorius Miroslavas Lučinskis.
Pasak jo, profesionalūs kibernetiniai nusikaltimai pastebimi retai, kadangi pavogta elektroninė informacija lieka pas savininką, o vagystės pasekmės gali niekad tiesiogiai nepasireikšti.
Kaip įvardino M. Lučinskis, valstybiniame sektoriuje dėl nutekintos informacijos gali atsirasti neskaidrumas institucijų organizuojamuose konkursuose. Tai viena iš priežasčių, kodėl Lietuvos Vyriausybė ėmėsi pirmųjų žingsnių, kovodama su kibernetinėmis grėsmėmis. Birželį patvirtinta nacionalinė programa kibernetinio saugumo plėtrai. Tačiau M. Lučinskis teigia, kad gynybos problema nėra lengvai išsprendžiama. Į problemas reikia žvelgti ne tik nacionaliniu, bet ir globaliu mastu, derinant bendras gynybos programas.
„Kibernetinės atakos, kaip rodo pastarųjų metų įvykiai, tapo ne filmų, o pagrindinių dienos naujienų siužetu. Jei prisimintume virusą „Stuxnet“, kuris pažeidė SCADA sistemas, nedaug trūko, kad Irano atominėje elektrinėje būtų pasikartojęs Černobylio scenarijus“, – aiškino T. Parnarauskas.
Specialistų teigimu, Lietuvoje pakanka tiek techninių galimybių, tiek ir išteklių, norint gintis nuo kibernetinių atakų. Tačiau pagrindine problema išlieka atsainus požiūris į kylančias grėsmes duomenų saugumui ir neatsakingas saugumo spragų šalinimas.