Kibernetinių nusikaltimų skaičius kasmet auga ir nepanašu, kad artimiausioje ateityje ši tendencija nuslops. Tobulėjantys skaitmeniniai įrankiai, didėjanti interneto ryšio skvarba bei auganti internetinių nusikaltėlių IT kompetencija leidžia kurti vis sunkiau pastebimus ir užkardomus kenkėjus. Tuo tarpu kriptovaliutų populiarėjimas sukuria sąlygas anonimiškai ir greitai pavogtą informaciją paversti pinigine nauda.
Vašingtone įsikūrusio Strateginių ir tarptautinių studijų centro (CSIS) bei kibernetinio saugumo firmos „McAfee“ atliktas tyrimas parodė, kad pasaulinė kibernetinių nusikaltimų žala pasiekė 600 mlrd. JAV dolerių per metus. Pasaulinė tendencija neaplenkia ir Lietuvos – Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio (CERT-LT) duomenimis, pernai, palyginus su 2016 m., šalyje užregistruota dešimtadaliu daugiau kibernetinių incidentų.
Skaitmeninės technologijos leidžia vis greičiau kurti naują kenksmingą programinę įrangą, o profesionalūs programišiai savo darbui naudoja vis sudėtingesnius įrankius. Spėjama, kad šiandien kas dieną yra sukuriama ir į internetą paleidžiama keli šimtai tūkstančių naujų virusų porūšių, mat didelę dalį naujų virusų kuria ne žmonės, o save apmokantys algoritmai.
Galiausiai, internete veikiančiose „juodosios rinkos“ svetainėse pavogtą informaciją nusikaltėliai parduoda daug lengviau, pasinaudodami sandorių anonimiškumą garantuojančiomis kriptovaliutomis. Tai sukuria nebaudžiamumo pojūtį tarp programišių. Tą gerai įrodo faktas, kad didžiausių pastarųjų metų įsilaužimų bei duomenų vagysčių iš tokių tarptautinių bendrovių, kaip „Maersk“, „Merck“ ar „Yahoo“ kaltininkai iki šiol nerasti.
IT bendrovės „Squalio Lietuva“ vadovo Martyno Bieliūno teigimu, prie augančio internetinių nusikaltimų skaičiaus prisideda ir tai, kad šiandien ypač paprasta užsiimti nelegalia veikla kibernetinėje erdvėje. Kai kurie kibernetiniai nusikaltėliai kopijuoja legalaus verslo modelius, pavyzdžiui, „cybercrime-as-a-service“ platformose visi norintys ne tik gali įsigyti kenkėjiškų programų, bet ir už mėnesinį mokestį gauti jas kuriančių profesionalų pagalbą bei sistemų palaikymą.
„Informacinės technologijos įmonėms atveria didžiules galimybes plėtrai bei veiklos efektyvinimui, tačiau tie patys įrankiai įgalina ir skaitmeninėje erdvėje veikiančius nusikaltėlius. Todėl valdant rizikas saugumas kibernetinėje erdvėje įmonėms turėtų tapti viena iš prioritetinių sričių“, – sako draudimo bendrovės ERGO Lietuvoje Civilinės atsakomybės draudimo skyriaus vadovė Aušra Puodžiūnienė. Ekspertai išskiria pagrindines įmonėms kylančias kibernetinio saugumo grėsmes ir būdus, kaip nuo jų apsisaugoti.
Duomenų vagystės – populiariausios
Duomenys yra vienu svarbiausių resursų šiandienos versle, todėl jų vagystės yra vienas populiariausių kibernetinių nusikaltimų. Pavogtą informaciją nusikaltėliai gali parduoti juodojoje rinkoje – asmeniniai klientų duomenys vėliau gali būti panaudoti finansiniams nusikaltimams, o vidinė įmonės informacija, pavyzdžiui, apie naudojamas gamybos technologijas ar komercinės paslaptys gali pasitarnauti konkurentams. CSIS ir „McAfee“ ataskaitoje nurodoma, kad maždaug ketvirtadalį visų kibernetinių nusikaltimų žalos sudarė vienokios ar kitokios formos intelektinės nuosavybės vagystės.
Kibernetiniai įsilaužimai atneša materialinę žalą. Dažnai įmonėms tenka apsaugoti ne tik savo pačių, bet ir sukauptus trečiųjų asmenų asmens duomenis. Ekspertai spėja, kad nemažą dalį kibernetinių incidentų įmonės stengiasi nuslėpti, bandydamos išsaugoti savo reputaciją, todėl reali kibernetinių nusikaltimų žala iš tiesų yra didesnė nei skelbiama oficialioje statistika.
Šiandien vis daugiau įrenginių, tame tarpe ir gamybinių, yra prijungti prie interneto, todėl daugėja potencialių spragų, kurias gali panaudoti kibernetiniai įsilaužėliai. Tai atveria galimybes ne tik pasisavinti įmonės duomenis, bet ir pažeisti jos IT sistemas.
„Sutrikdytas sistemų, kompiuterių ar debesijos paslaugų veikimas gali ilgam paralyžiuoti tam tikras įmonės funkcijas ar visą jos veiklą. Tokiu atveju nuostoliai bus neišvengiami ir, tikėtina, dideli“, – sako M. Bieliūnas.
Saugos priemonės ne tik kompiuteriuose
Nuo kibernetinių grėsmių norinčioms apsisaugoti įmonėms būtina investuoti į savo IT sistemų saugumą ir taikyti pažangiausius apsaugos sprendimus. Be to, tai turi būti nenutrūkstantis procesas – klaidinga manyti, kad kartą įdiegus tam tikras saugumo sistemas kibernetines grėsmes galima visam laikui pamiršti.
Sparčiai evoliucionuojančios technologijos kasdien suteikia patogesnius įrankius kibernetinės erdvės nusikaltėliams tobulinti savo metodus. Be to, programišiai buriasi į profesionalų grupes, kur dalinasi patirtimi bei savo amato paslaptimis, todėl net ir pažangiausios saugumo sistemos ilgainiui būna pralaužiamos. Virtualioje erdvėje nuolatos verda konkurencinė kova tarp saugumo sistemas kuriančių bei jas bandančių pralaužti IT profesionalų. Todėl labai svarbu nuolat jas stiprinti, diegti naujausius IT saugumo sertifikatus ir sprendimus, laiku atnaujinti techninę ir programinę įrangą.
A. Puodžiūnienė atkreipia dėmesį, kad dalis kibernetinio saugumo incidentų įmonėse įvyksta ne dėl saugumo sistemų spragų, bet dėl nepakankamo darbuotojų raštingumo IT srityje, nesugebėjimo identifikuoti grėsmes bei nepakankamo budrumo. Dėl to, siekiant apsisaugoti nuo kibernetinio saugumo rizikų, labai svarbu nuolatos apmokyti visus įmonės darbuotojus – nuo žemiausio iki aukščiausio lygmens.
„Užtenka vienam darbuotojui spustelėti ant apgaulingos nuorodos ar atidaryti kenkėjišką elektroninį laišką ir visos IT skyriaus pastangos apsaugoti bendrovę nuo kibernetinių grėsmių nueis perniek. Ir nesvarbu, ar tą nuorodą paspaus direktorius ar pardavimų vadybininkas“, – sako M. Bieliūnas. Galiausiai, atnaujintos programinės įrangos ir reguliarių saugos mokymų gali nepakakti, jei įmonėje nebus nustatytos aiškios IT naudojimosi taisyklės bei labai griežtai apibrėžtos skirtingų darbuotojų prieigos teisės.
Suvaldyti riziką įmanoma
Nuo 2018 metų gegužės 25 d. įsigaliosiantis Bendrasis duomenų apsaugos reglamentas įpareigos įmones griežčiau laikytis trečiųjų asmenų asmens duomenų saugos priemonių. Neužtikrinus trečiųjų asmenų asmens duomenų saugumo įmonėms gresia nuobaudos ir galimi nukentėjusių duomenų subjektų ieškiniai. Trečiųjų asmenų asmens duomenų neapsaugojusioms įmonėms galioja civilinė atsakomybė.
Todėl, anot A. Puodžiūnienės, Vakarų šalyse įmonėms jau tampa įprasta be visų kitų apsaugos priemonių ir apsidrausti nuo kibernetinių grėsmių. Tokiu būdu įgyjama papildoma apsauga. Priklausomai nuo tokio draudimo apimties gali būti apdraudžiama ir įmonės civilinė atsakomybė, susijusi su trečiųjų asmenų asmens duomenų praradimu ar nutekinimu.
„IT sistemas galima laikyti kritine daugelio įmonių infrastruktūros dalimi. Dėl to tai suprantančios bendrovės siekia jas kuo geriau apsaugoti. Draudimas nuo kibernetinių grėsmių šiuo atveju tampa tam tikru saugikliu, leidžiančiu išvengti ar minimizuoti nuostolius kibernetinių atakų ir kitų IT saugumo incidentų atvejais“, – sako A. Puodžiūnienė.