Klientų asmeninių domenų paviešinimas Lietuvoje lig šiol nebuvo dažnas reiškinys, tačiau visame pasaulyje tokie atvejai, kai nutekinami jautrūs duomenys, nutinka nuolat. Tarptautinės bendrovės jau supranta, kad šiandien kelti klausimą, „ar patirsime kibernetinį išpuolį?“ nebeverta. Dažniau kalbama apie tai, kada tai įvyks ir tokiam scenarijui įmonės atidžiai ruošiasi, kad galėtų identifikuoti galimus atakų vektorius, o įvykus įsilaužimui jį galėtų aptikti kuo ankstesnėje stadijoje.
Asociatyvi „Pixabay“ nuotr.
Investicijos į kibernetinį saugumą kasmet vis auga. Vokietijos rinkos analizės kompanija „Statista“ prognozuoja, kad pasaulinė kibernetinio saugumo rinka šiemet išaugs iki 203,97 milijardų JAV dolerių (2020 m. ši rinka siekė 184,19 mlrd. JAV dolerių).
„Kibernetinių atakų pasekmės kompanijoms gali atnešti labai didelių nuostolių ir turėti ilgalaikių neigiamų pasekmių. Dėl vartotojų asmeninių duomenų nutekėjimo įmonės rizikuoja ne tik prarasti klientų pasitikėjimą, bet ir visą verslą“, – pažymi Ingrida Jokūbaitė, „TransUnion Lithuania“ saugos užtikrinimo komandos vadovė.
2019 m. Ponemone instituto ir IBM 16 pasaulio šalių atlikto tyrimo duomenimis, įmonės, kurios dėl duomenų nutekėjimo prarado mažiau nei 1 proc. klientų, vidutiniškai patyrė 2,8 mln. JAV dolerių nuostolių, o įmonių, praradusių 4 proc. ir daugiau klientų, nuostoliai vidutiniškai siekė 5,7 mln. JAV dolerių.
Šio tyrimo metu taip pat nustatyta, kad pastaraisiais metais terminas, per kurį įmonės nustato, jog prieš jas buvo surengta kibernetinė ataka ir ją sustabdo, gerokai išaugo. 2019 m. kompanijos pažeidimą nustatydavo vidutiniškai per 206 dienas ir dar 73 dienas užtrukdavo, kol pašalindavo atakos padarinius. 2018 m. pažeidimo gyvavimo ciklo trukmės vidurkis siekė 266 dienas.
Per mažas dėmesys kibernetiniam saugumui
„Didžiausia atsakomybė saugoti vartotojų duomenis tenka įmonėms. Elektronines paslaugas teikiančios kompanijos turi atlikti visą virtinę kibernetinį saugumą užtikrinančių operacijų. Jos turi pasirūpinti savo sistemų atnaujinimais, privalo turėti tinklo ir aplikacijų saugos kontroles , aiškiai apibrėžtas taisykles, kas ir kokią prieigą prie duomenų turi įmonės viduje, kokia prieiga galima iš išorės, stebėti neautorizuotus bandymus prisijungti, pasirūpinti tvarkingu bei stipriu duomenų šifravimu, periodiškai kaupti duomenų atsargines kopijas, kritiškai vertinti savo kuriamo produkto kodo saugumą“, – vardija I. Jokūbaitė.
Įmonės, kurios kaupia itin jautrius su apmokėjimais susijusius duomenis, kaip kad kreditinių kortelių numeriai ir CVV kodai, turi atitikti tam tikrus standartus ir kas metus turėtų būti audituojamos. „Vienas iš tokių yra mokėjimo kortelių duomenų apsaugos sertifikatas PCI DSS (Payment Card Industry Data Security Standard). Gerai žinomi ir ISO27001 bei CYBER ESSENTIALS standartai. Visi jie rodo, kad įmonė, vykdydama veiklą, užtikrina proporcingą saugos kontrolę“, – sako I. Jokūbaitė.
Kaip rodo statistikos duomenys, Lietuvoje 2019 m. pradžioje bent vieną kibernetinio saugumo priemonę naudojo 93 proc. įmonių. Programinę įrangą (įskaitant operacines sistemas) nuolat atnaujino 79,8 proc. įmonių, atsargines duomenų kopijas laikė skirtingose vietose – 68,4 proc., taikė griežtą tapatumo (autentiškumo) patvirtinimą slaptažodžiu – 65,6 proc. bendrovių. Tačiau savo įmonės kibernetinį saugumą testavo tik 28,3 proc., vertino IT rizikas – 23,6 proc., atliko registracijos bylų analizę po kibernetinių incidentų – 22,5 proc. kompanijų.
Tokie skaičiai, pasak specialistų, rodo, jo Lietuvoje kompanijos vis tik per mažai dėmesio skiria kibernetinių atakų prevencijai ir duomenų apsaugai.
Duomenų saugojimo debesyse tamsioji pusė
Daugelis kompanijų šiandien naudojasi debesų technologijomis, kurioms patiki saugoti daugybę duomenų. Pagrindiniai debesijos privalumai – tai galimybė bet kuriuo metu pasiekti servisus arba serverius, dinamiškai reguliuoti resursus, mažinti kaštus, o taip pat dalį atsakomybių perleisti paslaugos tiekėjui. „Debesų technologijos leidžia priimti greitus sprendimus ir sėkmingai konkuruoti rinkoje. Tačiau yra ir tamsioji pusė – debesų technologijos tampa papildomu grėsmės vektoriumi bet kuriai kompanijai nusprendusiai veikti šioje aplinkoje“, – pažymi I. Jokūbaitė.
Su rizika susiduria kompanijos, kurios perkelia savo duomenis į debesį neišsiaiškinusios ir nesuprasdamos duomenų saugumo užtikrinimo debesyje aspektų, taip pat – kokios atsakomybės dėl saugos užtikrinimo tenka paslaugos tiekėjui, o kokios pačiai kompanijai.
„Veiklos perkėlimas į debesis – sudėtingas ir atsakingas procesas. Jam kompanijos turi gerai pasiruošti įvertindamos tris svarbiausius aspektus: technologijas, procesus ir žmones. Pradedant nuo labiausiai tinkančios tecnnologijos ir architektūros pasirinkimo, vykdant sistemų stebėjimą, naujų procesų sukūrimą arba egzistuojančių pritaikymą ir, žinoma, savo darbuotojų kompetencijos kėlimą. Tik taip įmonės gali užtikrinti savo klientų duomenų saugumą“, – pažymi I. Jokūbaitė.
Ką daryti, jei jūsų duomenys buvo nutekinti?
„Vartojai įvairioms organizacijoms ir kompanijoms patikėdami informaciją apie save, mažų mažiausiai tikisi, kad jų pateikti duomenys bus valdomi atsakingai, saugiai ir sąžiningai. Įvykus nusikaltimui, kiekvienas tikisi ne tik sulaukti operatyvios informacijos apie įvykį, bet ir gauti rekomendacijų, ką daryti ir kaip elgtis, kad nusikaltėliai nepasinaudotų jautriais asmeniniais duomenimis“, – sako Deividas Vyšniauskas, „TransUnion Lithuania“ saugos užtikrinimo analitikas.
Pasak D. Vyšniausko, nors didžiausia atsakomybė dėl duomenų apsaugos tenka įmonėms, kiekvienas vartotojas taip pat turėtų įvertinti galimas rizikas. Registruojantis sistemose ir portaluose reikėtų kritiškai įvertinti, ar prašomi pateikti duomenys nėra pertekliniai. Taip pat vertėtų apsvarstyti ir blogiausią scenarijų – kas nutiks man kaip asmeniui, jei visgi įvyks nusikaltimas ir informacija taps vieša.
„Pirmas dalykas, pasak D. Vyšniausko, kurį reikia suprasti – tai, kad nutekinti asmeniniai duomenys visam laikui bus pasiekiami viešai. Tai reiškia, jog bet kas galės susieti asmens kodą, adresą, elektroninį paštą bei telefono numerį su jumis, o pasinaudojus Google paieška, labai lengvai galima bus aptikti kitų jūsų tinklapių anketas ir susieti jas su jumis“, – įspėja D. Vyšniauskas.
Jei kibernetiniai nusikaltėliai paviešina slaptažodžius, reikia nusiteikti, jog jis taps žinomas viešai ir gali būti panaudotas jungiantis prie kitų jūsų paskyrų, pvz., elektroninio pašto, socialinių tinklų.
„Visa tai padidina riziką ne tik sulaukti brukalo elektroniniu paštu, bet ir tapti socialinės inžinerijos atakų, melagingo šantažavimo (angl. hoax) ar net vagysčių auka. Todėl pirmiausias dalykas, ką turėtų daryti vartotojai, kurių duomenys buvo paviešinti – tai pasikeisti visus savo slaptažodžius: socialiniuose tinkluose, elektroninio pašto ir kitose naudojamose paskyrose“, – pabrėžia Deividas Vyšniauskas.
Pandemijos metu ypač išaugo elektroninių ir internetu teikiamų paslaugų naudojimas, tačiau vartotojai ne visuomet įvertina galimas rizikas, patikėdami savo duomenis paslaugas teikiančioms įmonėms.
Pasak D. Vyšniausko, pildant paslaugos tiekėjo anketas internete, vartotojai turėtų nurodyti tik būtiną informaciją, dažnai ji yra žymima žvaigždutės simboliu. Jei paslaugos kokybei tam tikros informacijos suteikimas nėra reikšmingas ir būtinas, jos nereikėtų pateikti.
„Prieš perkant ar užsisakant paslaugą internetu, vartotojams reikėtų įvertinti pardavėjo patikimumą. Vietoj vienos mokėjimo kortelės, rekomenduojama turėti keletą sąskaitų, numatyti mokėjimų limitus. Taip pat vertėtų susikurti keletą elektroninio pašto paskyrų ir jas naudoti užsakant skirtingas paslaugas. Ypač patartina naudoti kelių faktorių autentifikaciją, kai šalia slaptažodžio dar naudojama atsitiktinės skaičių sekos kodas arba laikinas papildomas prisijungimo kodas, kuris atsiunčiamas į mobilųjį telefoną“, – pataria Deividas Vyšniauskas.
Silpnoji vieta – higiena ir kompleksiniai slaptažodžiai
Labai dažnai silpniausia vieta, kuri tarsi nerakintos durys, atveria sukčiams galimybę patekti prie asmeninių duomenų – tai vartotojų slaptažodžiai. Geras slaptažodis yra ilgas (bent 12 simbolių), kurį sudaro didžiosios ir mažosios raidės, skaičiai ir specialūs simboliai.
„Juos įsiminti yra iššūkis, todėl į pagalbą vartotojai gali pasitelkti slaptažodžių saugojimo ir tvarkymo aplikacijas, tačiau bent vieną sunkų slaptažodį teks įsiminti, kad prieitumėte prie kitų“, – pataria D.Vyšniauskas.
Pasak Ingridos Jokūbaitės, slaptažodžių kodavimui verslo kuriamose aplikacijose turėtų būti naudojami saugūs algoritmai. SHA1 algoritmas nėra saugus būdas, todėl tikimybė, jog vartotojų slaptažodžiai, kurie nėra ilgi ir unikalūs, įvykus kibernetinei vagystei, gali tapti žinomi viešai yra labai didelė. Šiuo metu saugiausiais laikomi SHA256, SHA-3 šeimos algoritmai arba kriptografinės raktų išvedimo funkcijos, kaip bcrypt, scrypt, Argon2 ar kt.
„Slaptažodžių saugojimo būdas naudojant maišos funkcijos algoritmus tampa stipresniu, jei prieš šifruojant slaptažodžius, į receptą įdedama „druska“ (angl. salt), t.y. pridedami papildomi simboliai slaptažodžio gale, prieš perduodant slaptažodį algoritmui. Tai leidžia sukurti papildomą apsaugą ir prailgina slaptažodžio nulaužimo laiką. Patikimais laikomi lėtieji kriptografiniai algoritmai, kai funkcijai reikia daugiau laiko apskaičiuoti galutinę vertę. Nusikaltėliui net ir turint prieigą prie koduotų slaptažodžių verčių, trunka daug ilgiau iš jų išgauti realius vartotojų slaptažodžius“, – pažymi Deividas Vyšniauskas.