Vis didesnė žmogaus gyvenimo dalis persikelia į virtualiąją erdvę, o technologijos jau tapo neatsiejama organizacijų darbo dalimi, todėl ypač aktuali tampa kibernetinio saugumo problema. Ne tik nesaugios operacinės sistemos ar programinė įranga, bet ir žmogiškosios klaidos gali lemti įsilaužimo į privačią ar organizacijos sistemą sėkmę. Kenkėjiška programine įranga ir kitomis technologijomis besinaudojantys sukčiai, atradę menkiausią spragą, gali pridaryti didelės žalos tiek valstybei, tiek privatiems asmenims bei organizacijoms.
Lietuvoje nuo 2018 m. gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas įpareigoja organizacijas tinkamai rūpintis disponuojamų duomenų apsauga. Šis reglamentas nustato, kad kiekvienas asmuo yra visavertis savo duomenų savininkas. Vilniaus universiteto Kauno fakulteto dekanas doc. dr. Kęstutis Driaunys kartu su naujos studijų programos „Informacijos sistemos ir kibernetinė sauga“ studentais ir dėstytojais imasi spręsti kibernetinio saugumo problemas organizacijose ir kelti visuomenės kibernetinio saugumo raštingumą.
Plinta kenkėjiška programinė įranga
Iššūkius kibernetiniam saugumui meta tiek technologiniai, tiek psichologiniai veiksniai. Interneto pigumas ir plačios galimybės skatina vis daugiau žmonių savo veiklą ar verslą perkelti į virtualią erdvę, tačiau doc. dr. K. Driaunys teigia, kad internetas yra toks pats prieinamas ir tiems vartotojams, kurie siekia neteisėtos finansinės naudos ar turi planų pakenkti kitiems vartotojams ar informacinei infrastruktūrai.
Šiuo metu pasaulyje sparčiai plinta kenkėjiška programinė įranga – įvairūs virusai, „trojanai“, išpirkos reikalaujantys virusai („Ransomware“) yra platinami el. paštu, per mobilias programėles ar socialinius tinklus, o jų poveikis priklauso nuo autoriaus motyvacijos: tokia įranga gali būti sukurta siekiant tiesioginės neteisėtos finansinės naudos, nesąžiningo pranašumo sutrikdant konkurentų veiklą, platinant politines ar religines pažiūras. „Kenkėjiška programinė įranga gali būti kuriama ir platinama įvairiais tikslais, pavyzdžiui, pasisavinti prisijungimo ar asmeninę informaciją, kuria pasinaudoję kenkėjai gali pareikalauti išpirkos už duomenų grąžinimą. Arba, patys to nežinodami, vartotojai tampa pinigų plovimo, vagysčių ir kitų nusikalstamų veikų bendrininkais. Gana dažnai kenkėjiška programinė įranga ar kenkėjiškas kodo fragmentas „įsilaužėliams“ leidžia perimti sistemos kontrolę, vykdyti atakas prieš kitas sistemas, siuntinėti elektroninio pašto šiukšles ar net įdiegti įrankius, reikalaujančius išpirkos. Galima pateikti pavyzdį, kai pasinaudojant pažeidžiamumu kenkimo kodas perimdavo tam tikro gamintojo termostatų kontrolę ir patalpose sumažindavo temperatūrą, o už galimybę šildyti patalpas reikalaudavo vieno bitkoino“, – pasakoja kibernetinio saugumo ekspertas.
Vokietijos kompanijos GDATA, kuriančios interneto ir apsaugos nuo virusų sprendimus, pateiktoje ataskaitoje teigiama, kad per pirmąjį 2018 m. pusmetį buvo aptikta net 2,4 mln. naujų kenkėjiško programinio kodo tipų, todėl būtina savo įrenginiuose naudoti bent bazines kibernetinės apsaugos priemones, tokias kaip antivirusinė programinė įranga, užkarda (firewall), ir nepamiršti šias priemones laiku atnaujinti.
Kibernetiniam saugumui pavojų kelia ir pačių interneto protokolų netobulumas. Šie protokolai buvo kuriami tuo metu, kai suvokimas apie informacijos apsaugą dar buvo visiškai kitoks. Interneto vartotojų bendruomenė dirbo siekdama sukurti kokybišką terpę efektyviam informacijos apsikeitimui ir neskyrė daug dėmesio šių mechanizmų sugadinimui. Tokiomis sąlygomis kuriami sprendimai neturėjo mechanizmų, skirtų atremti piktavales atakas, kurių tuo metu ir nebuvo fiksuojama. Kibernetinių atakų kasdien registruojama vis daugiau, todėl tampa aktualu testuoti interneto protokolus ir įvertinti jų saugumą. „Egzistuoja saugumo reikalavimų standartai techninei ir programinei įrangai – specifikacijos, aprašai, kaip reikia patikrinti sistemų būseną. Tuo užsiima testuotojai, kurie specialiai tam skirtais įrankiais bando rasti pažeidžiamas vietas ir gauti priėjimą prie sistemos. Taip tikrinamas pažeidžiamumas, kuris atsiranda dėl techninės ar programinės įrangos spragų“, – aiškina doc. dr. K. Driaunys.
Jo teigimu, susidūrus su kibernetine ataka pirmiausia reikia kreiptis į specialistus ir užtikrinti savo duomenų saugumą. Taip pat labai svarbu tokius incidentus užregistruoti Nacionalinio kibernetinio saugumo centro svetainėje www.nksc.lt. Jei įvyksta koks nors įsilaužimas ar kibernetinė ataka, apie tai specialistas ragina informuoti ir policiją, tačiau kad viso to nereiktų daryti, rekomenduojama savo sistemų saugumu rūpintis iš anksto ir nuolat.
Testuojamas psichologinis pasirengimas
Kibernetiniam saugumui daug didesnį pavojų kelia ne technologinis netobulumas, bet žmogiškieji veiksniai. Technologijoms tobulėjant ir tampant vis saugesnėmis, vartotojai jaučiasi saugiau dėl galimų techninių pažeidimų grėsmės, todėl įsilaužėliams tampa vis patogiau taikyti psichologines poveikio priemones ir taip išgauti konfidencialią informaciją. Dažnai tokiam poveikiui yra naudojami pačių žmonių viešai pateikiami duomenys internete (pvz., socialiniuose tinkluose).
„Prieš kelerius metus IBM kompanijos atliktas tyrimas atskleidė, kad apie 60 proc. kibernetinių atakų yra atliekama vidinių sistemos vartotojų. Šiuo atveju vidiniais sistemos vartotojais vadinami įmonės darbuotojai ir kiti vartotojai (klientai, tiekėjai, partneriai), turintys fizinę ar nuotolinę prieigą prie sistemos. Tyrimuose pateikiama įvairi statistika, tačiau apibendrinus būtų galima teigti, kad pusė vidinių vartotojų incidentus sukelia dėl klaidų ar aplaidumo“, – sako doc. dr. K. Driaunys.
Nors didžiosios organizacijos savo darbuotojams rengia įvairius kibernetinio saugumo mokymus, dauguma vartotojų vis dar mažai žino apie kibernetinio saugumo grėsmes ir apsisaugojimo būdus, tokius kaip kriptografija ar steganografija, apie prieigos kontrolės mechanizmus ir teisinius šių priemonių taikymo aspektus. Apie kibernetinio saugumo problemas ir jų sprendimo būdus elementarių žinių dažnai trūksta ir organizacijų vadovams, kurie priima sprendimus, susijusius su organizacijos sistemomis, sistemų apsauga, ir skirsto biudžetus.
Kibernetiniai nusikaltėliai psichologinės manipuliacijos metodus taiko vis dažniau ir todėl, kad taip dažniausiai nelieka jokių apčiuopiamų veiklos įrodymų, kuriuos būtų galima panaudoti nusikaltėliui išaiškinti ar kaip įrodymą teisme.
Pastaruoju metu gausu pranešimų apie telefoninius sukčius, kurie apgaulės būdu išvilioja pinigus iš patiklių žmonių. „Galima prisiminti ir prieš kelerius metus Lietuvoje paviešintą situaciją, kai sukčius, paskambinęs įmonės buhalterei, prisistatė direktoriumi ir paprašė priminti prisijungimus prie įmonės elektroninės bankininkystės sistemos. Kai buhalterė suabejojo, ar čia tikrai skambina ką tik iš ofiso išvykęs direktorius, ragelyje pasigirdo riksmai ir keiksmažodžiai, po kurių buhalterei nebeliko abejonių, kad ji kalba su direktoriumi, ir ji sukčiui padiktavo prisijungimo prie bankinės sistemos rekvizitus“, – kuriozinę situaciją nupasakojo pašnekovas. Pasinaudodami psichologinėmis poveikio priemonėmis ir „netobulu“ veiklos procesų modeliu, sukčiai gali išgauti prisijungimo duomenis ne tik prie pavienių asmenų naudojamų sistemų, bet ir prie didelių organizacijų duomenų bazių.
Studentai imituoja atakas
Vilniaus universiteto Kauno fakultete nuo 2017 m. vykdoma studijų programa „Informacijos sistemos ir kibernetinė sauga“, kurios studentai nemažai dėmesio skiria kibernetinės saugos moduliams, tokiems kaip duomenų saugumas ir kriptografija, saugios infrastruktūros projektavimui, organizacijos informacijos sistemų rizikos vertinimui ir analizei, pažeidžiamų vietų paieškai, įsilaužimo technologijoms, skaitmeninio turinio teisminei analizei. Studentai mokosi ne tik ginti įvairias sistemas nuo įsilaužėlių, ieško jose spragų, bet ir gilina kitų sričių žinias. Tačiau vienas pagrindinių programos tikslų – saugių informacinių sistemų ir įrankių kūrimas. Programos dėstytojų kolektyvas siekia, kad studentai suprastų, kokią galią, atsakomybę ir svarbą jiems suteikia šių technologijų išmanymas šiandieniniame pasaulyje.
Kartu su dėstytojais studentai modeliuoja įvairių sistemų atakas, siekdami išaiškinti jų trūkumus ir pateikti saugumo rekomendacijas. Būtent psichologinės atakos yra dažniausia studentų naudojama testavimo kryptis: „Mes imituojame tam tikras sąlygas, kuriomis patys žmonės įsileidžia įsibrovėlius, atskleisdami jiems savo prisijungimo duomenis. Atakas, suderinę su organizacijų vadovais, testuojame realiuose verslo procesuose, gautus rezultatus apibendriname ir su rekomendacijomis pateikiame vadovams. Esant reikalui atliekame organizacijos darbuotojų mokymus ir papildomus patikrinimus, ar mokymai davė rezultatus. Tokios pratybos labai naudingos abiem pusėms: tiek mūsų studentams, kurie realiomis sąlygomis įgyja patirties ir kompetencijų, tiek organizacijoms, kurios gauna kibernetinio saugumo konsultacijas ir mokymus“, – pabrėžia dėstytojas. Rengiant atakas siekiama pasinaudoti žmonių neišmanymu, todėl itin svarbu domėtis ir laikytis sistemų saugumo politikos reikalavimų.
Dažna prieš organizacijas taikoma ataka – vadinamasis fišingas. Tai tokia sukčiavimo forma, kai sukuriami suklastoti internetiniai puslapiai ir bandoma išgauti konfidencialią informaciją. Dažniausiai pasitelkiamas el. paštas, kuriuo išsiunčiama nuoroda į suklastotą internetinį puslapį ir prašoma suvesti savo prisijungimo duomenis ar kitokią asmeninę informaciją. Fišingo atakos metu piktavalis, taikydamas psichologinius metodus, stengiasi platinti grėsmingus, įtikinamus ir verčiančius skubėti tekstus. „Mūsų atliktų fišingo atakų simuliacijos, kurių metu parengiami organizacijai pritaikyti suklastoti laiškai, parodė, kad net 80 proc. suklastotų laiškų gavėjų paspaudžia nuorodą ir netikrame tinklalapyje palieka konfidencialią informaciją“, – teigia doc. dr. K. Driaunys.
Norint sumažinti fišingo atakų poveikį, rekomenduojama atkreipti dėmesį į bendrus raštingumo principus: neatidarinėti neaiškių laiškų ir nesisiųsti informacijos iš įtartino turinio svetainių, įvertinti savo veiklos virtualioje erdvėje procesus, kurių analizė leis suprasti, kokią informaciją apie asmenį ar organizaciją nusikaltėliai gali surinkti ir panaudoti atakoms. Taip pat svarbu paminėti, kad kiekvieno vartotojo asmeninės informacijos perteklius gali pakenkti ne tik jam asmeniškai, bet ir jo artimiems žmonėms (draugams, šeimos nariams, kolegoms).
Kibernetinių nusikaltėlių mėgstami taikiniai
Kibernetinių atakų taikiniais dažniausiai tampa gamybos, sveikatos apsaugos, transporto sektoriaus, finansinių paslaugų, mažmeninės prekybos įmonės, viešojo sektoriaus institucijos. „Kodėl didesnio kibernetinių nusikaltėlių dėmesio sulaukia finansinių paslaugų sektorius, komentuoti, manau, nereikia. Viešasis ir sveikatos apsaugos sektoriai kibernetinius nusikaltėlius domina todėl, kad tokio tipo organizacijos paprastai disponuoja dideliu kiekiu jautrių duomenų ir dėl neoptimalių biurokratinių procesų negali užtikrinti visavertės infrastrukūros apsaugos. Ko gero, dar visi atsimename Lietuvoje nuskambėjusią ataką prieš UAB „Grožio chirurgija“, kurios metu buvo pavogta per 20 000 klientų asmens sveikatos duomenų ir paskui reikalaujama išpirkos iš įmonės ir jos klientų už informacijos neviešinimą. Gamybos sektoriaus populiarumą (ypač chemijos pramonės, vaistų gamybos, technologijų) didina tai, kad tokio tipo organizacijose saugoma vertinga informacija – patentai, technologiniai sprendimai“, – pasakoja docentas.
Nacionalinio kibernetinio saugumo būklės 2017 m. ataskaitoje pažymima, kad Lietuvoje tais metais užregistruota 10 proc. daugiau kibernetinių atakų nei ankstesniais metais, todėl kibernetinis saugumas tampa vis aktualesnė problema.
„Mano teiginius puikiausiai iliustruoja 2018 m. įvykis, kai kibernetinio saugumo specialistas surado ir paviešino pavojingą e. sveikatos portalo spragą, dėl kurios gali nutekėti gydytojų ir pacientų asmens duomenys. Sveikatos apsaugos ministerija, užuot padėkojusi ir ištaisiusi spragą, kreipėsi į teisėsaugą prašydama nubausti spragą paviešinusį specialistą. Tai pats akivaizdžiausias trumparegiškumas ir kibernetinio saugumo principų nesuvokimas, kai atsakomybė už saugumo klaidas yra perkeliama ne tiems, kas klaidas padarė, o tiems, kas jas surado. Taip visuomenė tarsi perspėjama, kad negalima viešai diskutuoti apie kibernetinius pavojus. Nors jei už tokių spragų suradimą ir pranešimą būtų taikomas paskatinimas, kaip tai daro įvairios kompanijos, pavyzdžiui, „Microsoft“ („Bug Bounty Program“), „Google“ („Security Reward Programs“) ir kitos, viešasis ir privatus sektorius už gana mažas investicijas galėtų užtikrinti kokybiškesnį duomenų ir sistemų kibernetinį saugumą“, – svarsto doc. dr. K. Driaunys.
Kibernetiniu saugumu svarbu rūpintis ne tik didelėms įstaigoms, bet ir mažoms, visuomeninėms organizacijoms. Kaip teigia mokslininkas, vienas populiariausių kibernetinio saugumo mitų yra tas, kad kibernetiniams nusikaltėliams įdomus tik stambus ar vidutinis verslas ir organizacijos, kurios disponuoja finansiniais duomenimis. Jis pabrėžia, kad nusikaltėlius gali dominti visos sistemos, kuriose yra bet kokie jautresni duomenys: klientų adresai, gimimo datos ar kita asmeninė informacija. Kita vertus, jei organizacijos kompiuteriuose iš tiesų nėra jokios vertingos informacijos, kibernetinius nusikaltėlius šie kompiuteriai domina kaip potencialūs botneto tinklų elementai ar galimybė naudojantis jų resursais „kasti“ kriptovaliutas.
Net ir mažos organizacijos turėtų rūpintis savo sistemų saugumu, tačiau, priešingai nei didelės įstaigos, jos gali stokoti lėšų kibernetinio saugumo specialistams samdyti. Tokiu atveju pagalbos galima kreiptis į Vilniaus universiteto Kauno fakultetą, kuriame šiuo metu jau baigiama rengti informacinė sistema, skirta nevyriausybinių ir visuomeninių organizacijų narių asmeniniams duomenims tvarkyti. Pirmosios organizacijos šia sistema pradės naudotis jau vasario pabaigoje. Kauno fakulteto tikslas – ne tik suteikti saugią infrastrukūrą organizacijos narių duomenims, bet ir pasitelkiant sistemą šviesti visuomenines organizacijas apie saugumą kibernetinėje erdvėje.
Siekiant užtikrinti informacinių sistemų ir vartotojų apsaugą nuo virtualių grėsmių, kibernetinis saugumas privalo tapti ne tiesiog prevencine priemone, bet tarpine grandimi tarp egzistuojančios informacinės infrastruktūros saugumo problemų „lopymo“ ir tinkamo išankstinio informacinių sistemų bei veiklos modeliavimo, kai saugumas taps savaime suprantamu dalyku ir vartotojų elgesio kultūros dalimi.