Lietuva dažnai patenka tarp aukščiausių pozicijų pasaulyje, kai kalbama apie interneto greitį, belaidžio ryšio aprėptį ir sklaidą ar informacinių technologijų infrastruktūrą. Tačiau technologinė pažanga turi savo kainą – kai ji plečiasi sparčiau, nei auga tipinių vartotojų sąmoningumas, piktavaliai gali sukelti daug žalos. Kovo mėnesį vieno garsiausių Lietuvoje plastinės chirurgijos centrų „Grožio chirurgija“ vadovai sulaukė šiuolaikinių reketininkų ultimatumo: pranešta, kad kibernetiniai įsilaužėliai perėmė duomenis apie buvusius pacientus ir pareikalavo išpirkos.
Už visus duomenis prašyta 300 virtualiosios valiutos bitkoino vienetų. Tai kintanti suma, nes pastarąjį mėnesį bitkoinų vertė smarkiai pakilo – gegužės 24 d. vieneto kaina siekė daugiau nei 2065 eurus, nors dar balandžio 1 d. buvo apie 1000 eurų. Šis įvykis Lietuvoje sukėlė didelį rezonansą, nes bene pirmą kartą įsilaužimai į informacines sistemas paveikė tiek daug asmenų gyvenimų, ne vien sutrikdė serverių funkcionavimą ar pakeitė tinklalapių turinį. Įsilaužėliai pranešė perėmę daugiau nei 24 tūkst. klinikos pacientų duomenis: medicininę informaciją, asmens kodus, kontaktus ir nuotraukas, darytas prieš plastines operacijas ir po jų.
Įsilaužėliai pradėjo itin plačią šantažavimo kampaniją – nusitaikė ir į klinikos vadovus, ir į konkrečius pacientus. Tiesiogiai reikalauta išmokų už asmeninių duomenų atidavimą ar ištrynimą, reketuoti ne tik patys pacientai, bet ir jų šeimų nariai, giminaičiai. Priklausomai nuo informacijos jautrumo, kibernetiniai reketininkai reikalavo bitkoinais sumokėti nuo 50 iki 300 JAV dolerių už vieno asmens duomenis.
Svarbi ypatybė ir tai, kad šantažuotojai, regis, tikslingai siekė kuo didesnio viešo skandalo – bendrauta ir su žiniasklaida, siūlyta žurnalistams perduoti įžymybių duomenis bei nuotraukas. Tai tapo ne tik grynai techniniu, privačiu reketu, bet visu „informaciniu karu“ prieš „Grožio chirurgiją“ ir jos pacientus.
Ryšių su visuomene agentūros „Nova media“ vyresnysis partneris Arijus Katauskas teigia, jog duomenų vagystės ir šantažas nėra tradicinė krizė organizacijai – tai labai kompleksinis ir daug sričių apimantis procesas. „Reikia suvokti, kad tai ataka prieš jus ir jūsų klientus, – kalbėjo jis. – Tokias atakas vykdo nusikaltėliai, kurie sėkmingai slepiasi internete, puikiai išmano visus komunikacijos kanalus, jų darbo principus, jūsų veiklos specifiką. Ir jie turi tiek laiko pasiruošti, kiek jiems reikia.“
Komunikacijos eksperto teigimu, su kibernetiniais išpuoliais susiduriančioms bendrovėms tipiniai krizių valdymo planai gali nepadėti, nes tai kitokio pobūdžio atakos: „Svarbiausia, kad pirmomis dienomis, savaitėmis ar ilgiau tenka atlaikyti milžinišką spaudimą vieniems, neturint jokios informacijos, nežinant, kaip viskas gali pakrypti. Ir visa tai vyks suvokiant, kad niekas jums negali padėti.“
Vis dėlto A. Katauskas pabrėžė, kad tokiais atvejai būtina kiek įmanoma atviriau bendradarbiauti su teisėsaugos ir kibernetinio saugumo institucijomis, žiniasklaida ir ekspertais. „Vienintelis kelias – suvokti, kad esate atsakingi už savo klientus, privalote jiems teikti informaciją ir padėti, kad ir kaip sunku būtų“, – kalbėjo jis.
Epideminis atsainumas
Šis precedentas įvairiais kampais išryškino sudėtingą informacinių sistemų ir duomenų apsaugos padėtį Lietuvoje. Problema gerokai didesnė nei vienos privačios bendrovės prarasti klientų duomenys ar netinkamai užtikrintas kibernetinis saugumas. Kaip rodo tyrimai, skaitmeninis pažeidžiamumas tampa vis rimtesne saugumo problema, persmelkiančia visą šalį nuo valstybės institucijų iki konkrečių individų. Dažniausiai tai ne tik techninių spragų ar informacinio aplaidumo klausimas, bet ir elementaraus interneto naudotojų sąmoningumo problema.
Kaip nurodoma Nacionalinio kibernetinio saugumo centro (NKSC) 2016 m. ataskaitoje, kibernetinių grėsmių mastas vis labiau auga. NKSC pernai fiksavo tris sykius daugiau nei 2015 m. standartinėmis priemonėmis neaptinkamų kibernetinių incidentų organizacijų kompiuterių tinkluose ir net penkis kartus suintensyvėjusią tinklų išorinio perimetro kibernetinę žvalgybą. Dauguma incidentų kilo dėl elementarios kibernetinės higienos nesilaikymo, vadybos ir saugos standartų trūkumo. Tik pavienės didelės organizacijos turėjo tinkamus ir pakankamus pajėgumus, kad suvaldytų kibernetiniam saugumui kylančias grėsmes.
Nors formaliai gana daug dėmesio skirta įvairiems aprašams, taisyklėms ir saugumo standartų taikymo reikalavimams, praktika rodo, kad nemaža dalis valstybės institucijų juos tiesiog ignoruoja. 2016 m. NKSC išanalizavo apie 800 Lietuvos viešojo sektoriaus interneto svetainių, kurias administruoja daugiau nei 450 tarnybinių stočių. Nustatyta, kad nemaža dalis įstaigų visiškai nesirūpina savo svetainių saugumu: kai kurių programinė įranga neatnaujinta daugiau kaip dešimt metų.
Kaip pabrėžė NKSC atstovai, Lietuvoje iki 2016 m. pabaigos taip ir nebuvo patvirtintas ypatingos svarbos informacinės infrastruktūros ir jų valdytojų sąrašas. Todėl privačios bendrovės, teikiančios interneto ryšio ar svetainių prieglobos paslaugas, net pripažįstamos kaip ypatingos svarbos, neturėjo prievolės vykdyti Vyriausybės nustatytus privalomuosius kibernetinio saugumo reikalavimus. Atitinkamai, kibernetinio saugumo erdvę prižiūrinčios valstybės institucijos negalėjo taikyti jokių nuobaudų ar sankcijų, net ir nustačiusios aplaidų darbą.
Dar didesnių spragų išryškėjo asmens duomenų valdymo srityje. Valstybinė duomenų apsaugos inspekcija (VDAI), išaiškėjus kibernetiniam išpuoliui prieš „Grožio chirurgiją“, pripažino, kad net tiksliai nežino, kokios privačios įmonės kaupia jautrius asmens duomenis, ir juo labiau – kaip užtikrina jų saugumą. LRT televizijos laidoje „Savaitė“ paskelbta, kad tik 142 iš beveik 1600 sveikatos apsaugos paslaugas teikiančių įstaigų (arba mažiau nei 10 proc.) turi VDAI išduotus leidimus tvarkyti jautrius klientų duomenis.
Kitose įmonėse padėtis greičiausiai panaši – kiekviena pati sprendžia, kokius klientų duomenis ir kaip tvarkyti, bet retai susimąstoma, kad tam reikia gauti oficialų VDAI leidimą. Pati inspekcija aktyvių veiksmų nesiima – įmones ir organizacijas konsultuoja tik tuomet, kai kas nors kreipiasi. VDAI atstovai teisinasi, kad turi pernelyg mažai išteklių sekti, kaip užtikrinama duomenų apsauga visose valstybės ar privačiose įmonėse, nes inspekcijoje dirba 27 žmonės.
Pokyčius skatina ir ES
Kad būtina stiprinti šią tarnybą, sutinka ir Seimo nariai, ėmęsi atidžiau tirti situaciją asmens duomenų apsaugos ir kibernetinio saugumo srityje. Anot Tado Langaičio, kuris vadovauja Seimo Ekonomikos komiteto Aukštųjų technologijų, inovacijų ir skaitmeninės ekonomikos pakomitečiui, visų pirma, VDAI turėtų aktyviai įsitraukti į kibernetinių grėsmių viešinimą: „Jei tai nėra valstybės paslaptis, būtina skelbti apie visų duomenų vagystes, įsilaužimo į sistemas atvejus. Galintys nukentėti turi būti skubiai informuojami, negali būti jokio incidentų slėpimo.“
Be to, kaip teigia T. Langaitis, reikia pakartotinai informuoti visus duomenų tvarkytojus apie galimas grėsmes ir jų pareigas. „VDAI turėtų reikalauti duomenų valdytojų ataskaitų, kaip tvarkoma, kas tvarkoma, kokios priemonės apsaugai naudojamos, kas padaryta per metus asmens duomenų apsaugai, jei ji buvo nepakankama, stiprinti, – mano pašnekovas. – Svarbu dalytis ir sėkmės istorijomis – konkrečiais pavyzdžiais, kaip sekėsi tvarkytis kitiems šios srities atstovams.“
Padėtis turėtų gana reikšmingai pasikeisti po metų – numatoma, kad 2018 m. gegužės 25 d. visoje ES bus pradėti taikyti nauji teisės aktai, susiję su vadinamąja duomenų apsaugos reforma. Vienos priemonių, turinčių priversti privačias įmones gerokai atsakingiau rūpintis klientų duomenų apsauga, – didžiulės baudos už duomenų praradimą. Planuojama, kad neapsaugojusioms, netinkamai ar neteisėtai asmens duomenis tvarkančioms įmonėms galės būti skiriamos didžiulės baudos – iki 20 mln. eurų arba iki 4 proc. metinės įmonės apyvartos.
Dabar pagal Lietuvos įstatymus, jei nėra galimybių įrodyti žmogaus orumui padarytą žalą, kai jo duomenis pavagia ar neteisėtai paskelbia kibernetiniai įsilaužėliai, bendrovei dėl aplaidaus elgesio su klientų informacija gali grėsti bauda iki 1000 eurų. Per metus turėtų būti parengti ir priimti nauji Lietuvos teisės aktai, kurie leistų tinkamai perkelti ES asmens duomenų apsaugos reglamentą, pateiktos rekomendacijos valstybėms ir privačioms įmonėms, ir jos turės pasirengti šiems pokyčiams.
Visa tai atlikti bus pavesta jau minėtai VDAI, tačiau kol kas ji nepasiruošusi prisiimti tokios atsakomybės. Vis dėlto ekspertai ir politikai pripažįsta, kad svarbiausia privačioms įmonėms teikti kuo daugiau būtinos informacijos, o ne skubėti bausti.
„Duomenys neretai nuteka ir dėl darbuotojų klaidų: neapsižiūrėjimo, vėluojant atnaujinti priežiūros sistemą, vengiant saugoti svarbių duomenų kopijas. Vis dėlto pirmiausia derėtų patarti, padėti susitvarkyti, įspėti, o jei tai nepadeda – taikyti sankcijas ir bausti. Jeigu ir tuomet nesilaikoma taisyklių, reikėtų uždrausti tvarkyti asmeninius duomenis. Deja, kol kas tokia praktika netaikoma“, – apgailestavo T. Langaitis.
Kaip sumažinti riziką?
Norint ne tik padidinti klientų duomenų saugumą, bet ir sustiprinti įmonių ar organizacijų informacinių sistemų apsaugą, galima kompleksiškai imtis tiek techninių sprendimų, tiek mokymų, kuriuose būtų aiškinama, kaip sumažinti žmogiškojo faktoriaus riziką. Nepakankamas darbuotojų sąmoningumas gali įsilaužėliams plačiai atverti vartus į informacines sistemas. Tai patvirtino ir simuliacija, kurią 2016 m. pabaigoje atliko NKSC. Į vienos organizacijos darbuotojų pašto dėžutes buvo išsiųsti išgalvoti elektroniniai laiškai, siūlantys apsilankyti neegzistuojančios įmonės tinklalapyje. Šiomis pratybomis siekta įvertinti organizacijos darbuotojų įgūdžius pastebėti apgaulingus elektroninius laiškus ir reakciją į incidentą. Nors beveik 70 proc. darbuotojų atpažino grėsmę, aktyviai į ją reagavo (t. y. pranešė apie tai atsakingiems asmenims) tik 2,2 proc., o 18,6 proc. darbuotojų atidarė nuorodą į fiktyvią tariamos įmonės svetainę. Dar 9,9 proc. svetainėje pateikė duomenis tariamiems nusikaltėliams.
Kaip neoficialiai vėliau pasakota, tokiais fiktyviais laiškais buvo siūloma atsiimti tariamą siuntinį-dovaną ir tereikėjo savo duomenis pateikti neegzistuojančios įmonės puslapyje. Kaip teigta NKSC ataskaitoje, didelė vartotojų dalis nesugeba įvertinti galimų savo veiksmų padarinių ir nėra pasirengę atsisakyti jiems nemokamai siūlomų dovanų. Todėl būtina nuolat šviesti darbuotojus, gerinti jų kibernetinio saugumo žinias, laiku perspėti apie kibernetinėje erdvėje tykančius pavojus ir grėsmių tendencijas.
Kaip nurodo bendrovės „NRD Cyber Security“ informacijos saugos ekspertas Sigitas Rokas, privačioms mažo ir vidutinio dydžio įmonėms, norinčioms neperinvestuojant padidinti savo technologinį saugumą, vertėtų pagalvoti apie bendrųjų informacinių paslaugų, pavyzdžiui, elektroninio pašto sistemos, failų saugojimo, interneto ar verslo funkcijas vykdančių e. svetainių perkėlimą į debesijos (cloud) infrastruktūrą.
Didieji debesijos paslaugų dalyviai daug dėmesio skiria kibernetinei saugai: siūlomas antrojo faktoriaus autentifikavimas (pavyzdžiui, prašant patvirtinti prisijungimą el. paštu ar trumpąja žinute), užkardos, automatinis duomenų kopijavimo režimas, sistemų prieinamumo (availability) garantijos, detalūs įvykių išrašai (logs) ir pan.
„Be abejo, vidinį tinklą turinčiai įmonei visko perkelti nepavyks. Svarbiausia, kad turi būti atsakingai prižiūrimi IT ištekliai, įskaitant informacines sistemas. Ką reiškia „prižiūrimi“? Pirmiausia, kas nors konkrečiai turi būti atsakingas už šią sritį, – tvirtino S. Rokas. – Antra, turi būti užtikrinama kibernetinė higiena: laiku atnaujinama programinė įranga, netoleruojama nelegali įranga, taikoma antivirusinė apsauga ir paprastiems vartotojams panaikintos administravimo teisės. Siekiant užtikrinti veiklos tęstinumą, būtina periodiškai daryti duomenų kopijas. Trečia, jautresnėse aplinkose ne visada to pakaks – reikia papildomo matomumo įmonės tinkle ir kituose IT ištekliuose. Tai gali užtikrinti specializuota programinė ir techninė įranga, kuri gali būti įdiegiama ir prižiūrima tiek pačios organizacijos, tiek specializuotų kibernetinio saugumo komandų.“
Anot S. Roko, pastaruoju metu Lietuvos verslo požiūris į kibernetinį saugumą lėtai, bet nuosekliai gerėja. „Kai skaitmenizuoji kritinę verslo funkciją ar procesą, natūralu, kad nori būti įsitikinęs, jog skaitmenizacija atlaikys ir atšiaurias sąlygas. Tai matome ne vien valstybiniame, bet ir privačiajame sektoriuose, neišskirdami bendrovių dydžio ar ūkio šakų. Kibernetinio saugumo paslaugos apima didelį spektrą: nuo strateginių konsultacijų, rizikos analizės iki konkrečių užsakymų patikrinti atsparumą tiksliniam įsibrovimui (targeted attack), – pasakojo S. Rokas. – Vis dėlto svarbu nepamiršti, kad į kibernetinę saugą reikia žiūrėti iš platesnės informacijos saugos srities pusės. Kitaip gali atsitikti, jog apsistatę skaitmeninėmis saugos sienomis vieną dieną naujienų portale perskaitysime, kad atspausdintą jautrią informaciją kas nors tiesiog išmetė į šiukšlių dėžę arba kad organizacija darbo sutartyse ar kitais būdais su darbuotojais nebuvo aptarusi teisinių konfidencialios informacijos saugojimo sąlygų.“