Elektronika.lt
 2024 m. lapkričio 26 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Lapkričio 26 d. 11:35
Dinamiškas ir universalus: antros kartos „Audi Q5 Sportback“
Lapkričio 26 d. 08:35
„Sony“ pristato antros kartos „Alpha 1 II“ pilno kadro fotoaparatą
Lapkričio 25 d. 20:25
Elektrinis sunkvežimis „Renault Trucks E-Tech T“ viena įkrova nuvažiuos 600 km
Lapkričio 25 d. 17:22
„Sony“ pristato pirmąjį „G Master“ standartinį priartinantį objektyvą su pastovia F2 diafragma
Lapkričio 25 d. 14:49
Apsaugokite savo namus: gyventojų klaidos, kurios traukia vagis, ir ekspertų sprendimai
Lapkričio 25 d. 11:20
Iš proto varanti senutė: kaip DI kovoja su telefoniniais sukčiais?
Lapkričio 25 d. 08:34
Kaip ištrinti fono paveikslėlį „iPhone“
Lapkričio 24 d. 15:39
Interneto greitis: kaip suprasti, kokio iš tikrųjų reikia?
Lapkričio 24 d. 11:39
Lietuvos ekranų tendencijos
Lapkričio 23 d. 15:27
„Garmin“ pristato pirmąjį didelio formato nardymo kompiuterį „Descent X50i“
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Kibernetinis XXI a. reketas

Publikuota: 2017-07-17 08:09
Tematika: Kompiuteriai, IT
Skirta: Pradedantiems
Autorius: Tomas Janeliūnas
Aut. teisės: ©IQ.lt
Inf. šaltinis: IQ.lt

Lietuva dažnai patenka tarp aukščiausių pozicijų pasaulyje, kai kalbama apie interneto greitį, belaidžio ryšio aprėptį ir sklaidą ar informacinių technologijų infrastruktūrą. Tačiau technologinė pažanga turi savo kainą – kai ji plečiasi sparčiau, nei auga tipinių vartotojų sąmoningumas, piktavaliai gali sukelti daug žalos.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Lietuva dažnai patenka tarp aukščiausių pozicijų pasaulyje, kai kalbama apie interneto greitį, belaidžio ryšio aprėptį ir sklaidą ar informacinių technologijų infrastruktūrą. Tačiau technologinė pažanga turi savo kainą – kai ji plečiasi sparčiau, nei auga tipinių vartotojų sąmoningumas, piktavaliai gali sukelti daug žalos. Kovo mėnesį vieno garsiausių Lietuvoje plastinės chirurgijos centrų „Grožio chirurgija“ vadovai sulaukė šiuolaikinių reketininkų ultimatumo: pranešta, kad kibernetiniai įsilaužėliai perėmė duomenis apie buvusius pacientus ir pareikalavo išpirkos.

Už visus duomenis prašyta 300 virtualiosios valiutos bitkoino vienetų. Tai kintanti suma, nes pastarąjį mėnesį bitkoinų vertė smarkiai pakilo – gegužės 24 d. vieneto kaina siekė daugiau nei 2065 eurus, nors dar balandžio 1 d. buvo apie 1000 eurų. Šis įvykis Lietuvoje sukėlė didelį rezonansą, nes bene pirmą kartą įsilaužimai į informacines sistemas paveikė tiek daug asmenų gyvenimų, ne vien sutrikdė serverių funkcionavimą ar pakeitė tinklalapių turinį. Įsilaužėliai pranešė perėmę daugiau nei 24 tūkst. klinikos pacientų duomenis: medicininę informaciją, asmens kodus, kontaktus ir nuotraukas, darytas prieš plastines operacijas ir po jų.

Kibernetinis XXI a. reketas

Įsilaužėliai pradėjo itin plačią šantažavimo kampaniją – nusitaikė ir į klinikos vadovus, ir į konkrečius pacientus. Tiesiogiai reikalauta išmokų už asmeninių duomenų atidavimą ar ištrynimą, reketuoti ne tik patys pacientai, bet ir jų šeimų nariai, giminaičiai. Priklausomai nuo informacijos jautrumo, kibernetiniai reketininkai reikalavo bitkoinais sumokėti nuo 50 iki 300 JAV dolerių už vieno asmens duomenis.

Svarbi ypatybė ir tai, kad šantažuotojai, regis, tikslingai siekė kuo didesnio viešo skandalo – bendrauta ir su žiniasklaida, siūlyta žurnalistams perduoti įžymybių duomenis bei nuotraukas. Tai tapo ne tik grynai techniniu, privačiu reketu, bet visu „informaciniu karu“ prieš „Grožio chirurgiją“ ir jos pacientus.

Ryšių su visuomene agentūros „Nova media“ vyresnysis partneris Arijus Katauskas teigia, jog duomenų vagystės ir šantažas nėra tradicinė krizė organizacijai – tai labai kompleksinis ir daug sričių apimantis procesas. „Reikia suvokti, kad tai ataka prieš jus ir jūsų klientus, – kalbėjo jis. – Tokias atakas vykdo nusikaltėliai, kurie sėkmingai slepiasi internete, puikiai išmano visus komunikacijos kanalus, jų darbo principus, jūsų veiklos specifiką. Ir jie turi tiek laiko pasiruošti, kiek jiems reikia.“

Komunikacijos eksperto teigimu, su kibernetiniais išpuoliais susiduriančioms bendrovėms tipiniai krizių valdymo planai gali nepadėti, nes tai kitokio pobūdžio atakos: „Svarbiausia, kad pirmomis dienomis, savaitėmis ar ilgiau tenka atlaikyti milžinišką spaudimą vieniems, neturint jokios informacijos, nežinant, kaip viskas gali pakrypti. Ir visa tai vyks suvokiant, kad niekas jums negali padėti.“

Vis dėlto A. Katauskas pabrėžė, kad tokiais atvejai būtina kiek įmanoma atviriau bendradarbiauti su teisėsaugos ir kibernetinio saugumo institucijomis, žiniasklaida ir ekspertais. „Vienintelis kelias – suvokti, kad esate atsakingi už savo klientus, privalote jiems teikti informaciją ir padėti, kad ir kaip sunku būtų“, – kalbėjo jis.

Epideminis atsainumas

Šis precedentas įvairiais kampais išryškino sudėtingą informacinių sistemų ir duomenų apsaugos padėtį Lietuvoje. Problema gerokai didesnė nei vienos privačios bendrovės prarasti klientų duomenys ar netinkamai užtikrintas kibernetinis saugumas. Kaip rodo tyrimai, skaitmeninis pažeidžiamumas tampa vis rimtesne saugumo problema, persmelkiančia visą šalį nuo valstybės institucijų iki konkrečių individų. Dažniausiai tai ne tik techninių spragų ar informacinio aplaidumo klausimas, bet ir elementaraus interneto naudotojų sąmoningumo problema.

Kaip nurodoma Nacionalinio kibernetinio saugumo centro (NKSC) 2016 m. ataskaitoje, kibernetinių grėsmių mastas vis labiau auga. NKSC pernai fiksavo tris sykius daugiau nei 2015 m. standartinėmis priemonėmis neaptinkamų kibernetinių incidentų organizacijų kompiuterių tinkluose ir net penkis kartus suintensyvėjusią tinklų išorinio perimetro kibernetinę žvalgybą. Dauguma incidentų kilo dėl elementarios kibernetinės higienos nesilaikymo, vadybos ir saugos standartų trūkumo. Tik pavienės didelės organizacijos turėjo tinkamus ir pakankamus pajėgumus, kad suvaldytų kibernetiniam saugumui kylančias grėsmes.

Nors formaliai gana daug dėmesio skirta įvairiems aprašams, taisyklėms ir saugumo standartų taikymo reikalavimams, praktika rodo, kad nemaža dalis valstybės institucijų juos tiesiog ignoruoja. 2016 m. NKSC išanalizavo apie 800 Lietuvos viešojo sektoriaus interneto svetainių, kurias administruoja daugiau nei 450 tarnybinių stočių. Nustatyta, kad nemaža dalis įstaigų visiškai nesirūpina savo svetainių saugumu: kai kurių programinė įranga neatnaujinta daugiau kaip dešimt metų.

Kaip pabrėžė NKSC atstovai, Lietuvoje iki 2016 m. pabaigos taip ir nebuvo patvirtintas ypatingos svarbos informacinės infrastruktūros ir jų valdytojų sąrašas. Todėl privačios bendrovės, teikiančios interneto ryšio ar svetainių prieglobos paslaugas, net pripažįstamos kaip ypatingos svarbos, neturėjo prievolės vykdyti Vyriausybės nustatytus privalomuosius kibernetinio saugumo reikalavimus. Atitinkamai, kibernetinio saugumo erdvę prižiūrinčios valstybės institucijos negalėjo taikyti jokių nuobaudų ar sankcijų, net ir nustačiusios aplaidų darbą.

Dar didesnių spragų išryškėjo asmens duomenų valdymo srityje. Valstybinė duomenų apsaugos inspekcija (VDAI), išaiškėjus kibernetiniam išpuoliui prieš „Grožio chirurgiją“, pripažino, kad net tiksliai nežino, kokios privačios įmonės kaupia jautrius asmens duomenis, ir juo labiau – kaip užtikrina jų saugumą. LRT televizijos laidoje „Savaitė“ paskelbta, kad tik 142 iš beveik 1600 sveikatos apsaugos paslaugas teikiančių įstaigų (arba mažiau nei 10 proc.) turi VDAI išduotus leidimus tvarkyti jautrius klientų duomenis.

Kitose įmonėse padėtis greičiausiai panaši – kiekviena pati sprendžia, kokius klientų duomenis ir kaip tvarkyti, bet retai susimąstoma, kad tam reikia gauti oficialų VDAI leidimą. Pati inspekcija aktyvių veiksmų nesiima – įmones ir organizacijas konsultuoja tik tuomet, kai kas nors kreipiasi. VDAI atstovai teisinasi, kad turi pernelyg mažai išteklių sekti, kaip užtikrinama duomenų apsauga visose valstybės ar privačiose įmonėse, nes inspekcijoje dirba 27 žmonės.

Pokyčius skatina ir ES

Kad būtina stiprinti šią tarnybą, sutinka ir Seimo nariai, ėmęsi atidžiau tirti situaciją asmens duomenų apsaugos ir kibernetinio saugumo srityje. Anot Tado Langaičio, kuris vadovauja Seimo Ekonomikos komiteto Aukštųjų technologijų, inovacijų ir skaitmeninės ekonomikos pakomitečiui, visų pirma, VDAI turėtų aktyviai įsitraukti į kibernetinių grėsmių viešinimą: „Jei tai nėra valstybės paslaptis, būtina skelbti apie visų duomenų vagystes, įsilaužimo į sistemas atvejus. Galintys nukentėti turi būti skubiai informuojami, negali būti jokio incidentų slėpimo.“

Be to, kaip teigia T. Langaitis, reikia pakartotinai informuoti visus duomenų tvarkytojus apie galimas grėsmes ir jų pareigas. „VDAI turėtų reikalauti duomenų valdytojų ataskaitų, kaip tvarkoma, kas tvarkoma, kokios priemonės apsaugai naudojamos, kas padaryta per metus asmens duomenų apsaugai, jei ji buvo nepakankama, stiprinti, – mano pašnekovas. – Svarbu dalytis ir sėkmės istorijomis – konkrečiais pavyzdžiais, kaip sekėsi tvarkytis kitiems šios srities atstovams.“

Padėtis turėtų gana reikšmingai pasikeisti po metų – numatoma, kad 2018 m. gegužės 25 d. visoje ES bus pradėti taikyti nauji teisės aktai, susiję su vadinamąja duomenų apsaugos reforma. Vienos priemonių, turinčių priversti privačias įmones gerokai atsakingiau rūpintis klientų duomenų apsauga, – didžiulės baudos už duomenų praradimą. Planuojama, kad neapsaugojusioms, netinkamai ar neteisėtai asmens duomenis tvarkančioms įmonėms galės būti skiriamos didžiulės baudos – iki 20 mln. eurų arba iki 4 proc. metinės įmonės apyvartos.

Dabar pagal Lietuvos įstatymus, jei nėra galimybių įrodyti žmogaus orumui padarytą žalą, kai jo duomenis pavagia ar neteisėtai paskelbia kibernetiniai įsilaužėliai, bendrovei dėl aplaidaus elgesio su klientų informacija gali grėsti bauda iki 1000 eurų. Per metus turėtų būti parengti ir priimti nauji Lietuvos teisės aktai, kurie leistų tinkamai perkelti ES asmens duomenų apsaugos reglamentą, pateiktos rekomendacijos valstybėms ir privačioms įmonėms, ir jos turės pasirengti šiems pokyčiams.

Visa tai atlikti bus pavesta jau minėtai VDAI, tačiau kol kas ji nepasiruošusi prisiimti tokios atsakomybės. Vis dėlto ekspertai ir politikai pripažįsta, kad svarbiausia privačioms įmonėms teikti kuo daugiau būtinos informacijos, o ne skubėti bausti.

„Duomenys neretai nuteka ir dėl darbuotojų klaidų: neapsižiūrėjimo, vėluojant atnaujinti priežiūros sistemą, vengiant saugoti svarbių duomenų kopijas. Vis dėlto pirmiausia derėtų patarti, padėti susitvarkyti, įspėti, o jei tai nepadeda – taikyti sankcijas ir bausti. Jeigu ir tuomet nesilaikoma taisyklių, reikėtų uždrausti tvarkyti asmeninius duomenis. Deja, kol kas tokia praktika netaikoma“, – apgailestavo T. Langaitis.

Kaip sumažinti riziką?

Norint ne tik padidinti klientų duomenų saugumą, bet ir sustiprinti įmonių ar organizacijų informacinių sistemų apsaugą, galima kompleksiškai imtis tiek techninių sprendimų, tiek mokymų, kuriuose būtų aiškinama, kaip sumažinti žmogiškojo faktoriaus riziką. Nepakankamas darbuotojų sąmoningumas gali įsilaužėliams plačiai atverti vartus į informacines sistemas. Tai patvirtino ir simuliacija, kurią 2016 m. pabaigoje atliko NKSC. Į vienos organizacijos darbuotojų pašto dėžutes buvo išsiųsti išgalvoti elektroniniai laiškai, siūlantys apsilankyti neegzistuojančios įmonės tinklalapyje. Šiomis pratybomis siekta įvertinti organizacijos darbuotojų įgūdžius pastebėti apgaulingus elektroninius laiškus ir reakciją į incidentą. Nors beveik 70 proc. darbuotojų atpažino grėsmę, aktyviai į ją reagavo (t. y. pranešė apie tai atsakingiems asmenims) tik 2,2 proc., o 18,6 proc. darbuotojų atidarė nuorodą į fiktyvią tariamos įmonės svetainę. Dar 9,9 proc. svetainėje pateikė duomenis tariamiems nusikaltėliams.

Kibernetinis XXI a. reketas

Kaip neoficialiai vėliau pasakota, tokiais fiktyviais laiškais buvo siūloma atsiimti tariamą siuntinį-dovaną ir tereikėjo savo duomenis pateikti neegzistuojančios įmonės puslapyje. Kaip teigta NKSC ataskaitoje, didelė vartotojų dalis nesugeba įvertinti galimų savo veiksmų padarinių ir nėra pasirengę atsisakyti jiems nemokamai siūlomų dovanų. Todėl būtina nuolat šviesti darbuotojus, gerinti jų kibernetinio saugumo žinias, laiku perspėti apie kibernetinėje erdvėje tykančius pavojus ir grėsmių tendencijas.

Kaip nurodo bendrovės „NRD Cyber Security“ informacijos saugos ekspertas Sigitas Rokas, privačioms mažo ir vidutinio dydžio įmonėms, norinčioms neperinvestuojant padidinti savo technologinį saugumą, vertėtų pagalvoti apie bendrųjų informacinių paslaugų, pavyzdžiui, elektroninio pašto sistemos, failų saugojimo, interneto ar verslo funkcijas vykdančių e. svetainių perkėlimą į debesijos (cloud) infrastruktūrą.

Didieji debesijos paslaugų dalyviai daug dėmesio skiria kibernetinei saugai: siūlomas antrojo faktoriaus autentifikavimas (pavyzdžiui, prašant patvirtinti prisijungimą el. paštu ar trumpąja žinute), užkardos, automatinis duomenų kopijavimo režimas, sistemų prieinamumo (availability) garantijos, detalūs įvykių išrašai (logs) ir pan.

„Be abejo, vidinį tinklą turinčiai įmonei visko perkelti nepavyks. Svarbiausia, kad turi būti atsakingai prižiūrimi IT ištekliai, įskaitant informacines sistemas. Ką reiškia „prižiūrimi“? Pirmiausia, kas nors konkrečiai turi būti atsakingas už šią sritį, – tvirtino S. Rokas. – Antra, turi būti užtikrinama kibernetinė higiena: laiku atnaujinama programinė įranga, netoleruojama nelegali įranga, taikoma antivirusinė apsauga ir paprastiems vartotojams panaikintos administravimo teisės. Siekiant užtikrinti veiklos tęstinumą, būtina periodiškai daryti duomenų kopijas. Trečia, jautresnėse aplinkose ne visada to pakaks – reikia papildomo matomumo įmonės tinkle ir kituose IT ištekliuose. Tai gali užtikrinti specializuota programinė ir techninė įranga, kuri gali būti įdiegiama ir prižiūrima tiek pačios organizacijos, tiek specializuotų kibernetinio saugumo komandų.“

Anot S. Roko, pastaruoju metu Lietuvos verslo požiūris į kibernetinį saugumą lėtai, bet nuosekliai gerėja. „Kai skaitmenizuoji kritinę verslo funkciją ar procesą, natūralu, kad nori būti įsitikinęs, jog skaitmenizacija atlaikys ir atšiaurias sąlygas. Tai matome ne vien valstybiniame, bet ir privačiajame sektoriuose, neišskirdami bendrovių dydžio ar ūkio šakų. Kibernetinio saugumo paslaugos apima didelį spektrą: nuo strateginių konsultacijų, rizikos analizės iki konkrečių užsakymų patikrinti atsparumą tiksliniam įsibrovimui (targeted attack), – pasakojo S. Rokas. – Vis dėlto svarbu nepamiršti, kad į kibernetinę saugą reikia žiūrėti iš platesnės informacijos saugos srities pusės. Kitaip gali atsitikti, jog apsistatę skaitmeninėmis saugos sienomis vieną dieną naujienų portale perskaitysime, kad atspausdintą jautrią informaciją kas nors tiesiog išmetė į šiukšlių dėžę arba kad organizacija darbo sutartyse ar kitais būdais su darbuotojais nebuvo aptarusi teisinių konfidencialios informacijos saugojimo sąlygų.“


IQ.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama