Jūsų asmeniniai duomenys internete – bene jautriausia, naudingiausia ir dėl to gana paklausi informacija juodojoje interneto rinkoje. Kiek plačiau pasidomėjus, savo asmeninei informacijai apsaugoti galima rasti įvairių priemonių. Vis dėlto, kur kas sudėtingiau prižiūrėti duomenų saugumą po to, kai užsiregistruojate vienoje ar kitoje įstaigoje ar svetainėje – įdedate savo duomenis į didesnį duomenų katilą, kuris kibernetiniams nusikaltėliams gali virsti visu aukso puodu.
Jūsų asmeniniai duomenys internete – bene jautriausia, naudingiausia ir dėl to gana paklausi informacija juodojoje interneto rinkoje. Kiek plačiau pasidomėjus, savo asmeninei informacijai apsaugoti galima rasti įvairių priemonių. Vis dėlto, kur kas sudėtingiau prižiūrėti duomenų saugumą po to, kai užsiregistruojate vienoje ar kitoje įstaigoje ar svetainėje – įdedate savo duomenis į didesnį duomenų katilą, kuris kibernetiniams nusikaltėliams gali virsti visu aukso puodu.
Asociatyvi „Pixabay“ nuotr.
Apie tai, kaip įvyksta duomenų vagystės, ko ieško nusikaltėliai ir kiek verti yra jūsų asmeniniai duomenys – naujienų portalo tv3.lt interviu su kibernetinio saugumo specialistu Mariumi Pareščiumi.
Apie kibernetinius pavojus ir duomenų apsaugą Lietuvoje aktyviai pradėta kalbėti tik po to, kai ne viena įstaiga ir įmonė nukentėjo nuo duomenų vagysčių. Jūsų manymu, kodėl lietuviai, atrodo, neįvertina kibernetinių pavojų? Ar esame patyrę per mažai nuostolių?
Iki šiol tų nuostolių tikrai nebuvo daug. Po truputį, po truputį tai, ką mes matome internete, auga. Vienas iš didesnių skandalų buvo prieš keletą metų istorija grožio chirurgijos klinikoje Kaune. Tada už duomenis buvo prašyta tiesiog pinigų. Klinika turėjo vidinę duomenų bazę su klientų informacija, pageidavimais, nuotraukomis ir visu kitu. Ir įsilaužėliai pasakė – susimokėkite.
Tuo metu ta bazė kainavo 400 tūkst. litų. Ir pardavėjai prašė tų pinigų sakydami, kad kitaip paviešins duomenis. Klinika iškart nesureagavo, tada buvo pradėti siuntinėti laiškai tiesiogiai klientams – susimokėkite 100 eurų ir jūsų duomenų neviešinsime.
Klientai tada turėjo mokėti bitkoinais (skaitmenine valiuta – aut. past.). Vieni po 100 eurų, kiti daugiau, kas buvo žinomi žmonės. Kas į mus tada kreipėsi, padėjome susimokėti. Tai čia buvo turbūt pats skaudžiausias iki „Citybee“ buvęs atvejis.
Bet po to įsilaužimų padaugėjo – ėjo ir pažinčių portalai, lažybų, filmų svetainių klientų duomenys.
Kodėl po to? Aš sakau prieš tai. Reikia žiūrėti ne kada buvo paviešinti duomenys, o kada jie buvo gauti. Tai šiuo atveju lažybų bendrovės duomenys buvo seni. Tik viena mokyklų sistema, į kurią buvo įsilaužta, gal tik ji buvo nauja. O visi kiti, tai – seni atvejai, nesvarbu, kad duomenys pasirodė tik dabar.
Tai taip žvelgiant – tiesiog išpopuliarėjo duomenų pardavimas ir jų viešinimas. Nes kaip yra – į forumą įdedami duomenys ir duodamas duomenų fragmentas – už simbolinį mokestį arba jau nemokamai, priklauso nuo susitarimo. Galima pasižiūrėti, kokie tie duomenys, ar jie tau įdomūs ir tada gali pirkti jau visą tą bazę.
Vadinasi, geriausias būdas kovoti su duomenų vagyste – susimokėti už savo informaciją?
Kai kuriais atvejais taip, toks jau būdas. O kitais tai jau, na, turėtų policija tuo užsiimti, gaudyti įsilaužėlius ir kibernetinio saugumo centras ieškoti, kas tai padarė. Tai turi daryti specialistai, bet mes jų neturime.
Sakote, kad institucijos neturi galimybių gaudyti vagišių?
Na, galimybių tai turi, ir, turbūt, gaudo, tik mažai apie tai šneka. Jie gaudo, aš taip pat esu kelis kartus įsilaužėlius privedęs prie teismo. Ir policija priveda iki teismo, ir laimi teismus, ir netgi pasodina tuos žmones.
Tokių situacijų yra, tik klausimas, kodėl taip mažai tokių istorijų yra viešinama. Nes jei daugiau apie tai kalbėtų, tai gal jaunimas mažiau laužtųsi – suprastų, kad negalima lįsti į duomenis, kitaip tikrai atsisėsi.
Sakote „jaunimas mažiau laužtųsi“. Tai duomenų vagystės – jaunuolių užsiėmimas?
Ne ne, visokių būna. Įsilaužti gali ir 10 metų vaikas, ir pensinio amžiaus žmogus. Kažkokio vieno tipo žmonių nėra. Aš pats pažįstu tiek kibernetinius išsišokėlius, tiek saugumo specialistus, kurie su jais kovoja.
Kartais tai gali būti ir du viename. Jis gali būti specialistas, pačiupinėti kokią, tarkime, E-sveikatos sistemą arba Sveikatos apsaugos ministeriją. Bet po to, kai jis pačiupinėja jų sistemą, randa klaidą, informuoja įstaigą, tada ant jo užvažiuoja prokuratūra, iškeliama byla, žmogus gąsdinamas ir užtampomas po teismus.
Vien todėl, kad rado klaidą ir ją parodė, kad institucija tai susitvarkytų. Vėliau tokie žmonės įsižeidžia ir galvoja, tai kam man kažką informuoti? Išdėsiu viešai ir leisiu duomenis išsikopijuot visiems, kas norės – štai kur problema.
Kaip institucijoms atskirti, kai žmogus ieško tik spragos ir kada ieško duomenų?
Lietuvoje, na, apskritai, yra „baltų skrybėlių“ ir „juodų skrybėlių“ hackeriai (kibernetiniai specialistai – aut. past.).
„Baltos skrybėlės“ yra tie, kas ieško svetainėse silpnų vietų, spragų, jas randa ir informuoja savininką, kad susitvarkytų. O „juodieji“ sako – jei mane praeitą kartą pasiuntė ant kelių raidžių, kodėl aš turiu bendradarbiauti? Aš geriau biznį tada padarysiu – radau kokią duomenų bazę, įdėsiu į forumą ir pasakysiu, kiek noriu už, pavyzdžiui, visus Lietuvos studentus. Ir tada prašo, tarkime, 5 tūkst. eurų. Ir viskas, laukia pinigų.
O toks „baltųjų skrybėlių“ darbo – spragų ieškojimo – nevertinimas arba laikymas pavojinga veikla – iš kur tai? Lietuvoje nėra sistemos, kaip turi būti rūpinamasi kibernetiniu saugumu?
Valstybė taip nusprendė. Bet dabar link tos sistemos jau einama. Krašto apsaugos ministerija pernai su, berods, „Kurk Lietuvai“ projektu, nusprendė, kad reikia sukurti tvarką, pagal kurią būtų galimybė tiems žmonėms, kurie randa spragas sistemose, legaliai jas atskleisti valstybei.
Tik tie, kas randa spragą, įsipareigotų, kad tos skylės neviešins. Pavyzdžiui, mes bendrovėje „Paysera“, kurioje dabar dirbu, turime programą „Atrask skylę – gauk pinigus“. Mes už atrastą klaidą sumokame. Sumokame už tai, kad mus informuoja. Ir tenka mokėti, ir nemažai. Taip turėtų elgtis ir valstybė.
Kaip yra nustatoma duomenų vertė?
Iš lemputės. Pažiūrėjo žmogus į lubas ir sako – va, šita bazė, tarkime, 5 tūkstančiai eurų. Neperkate? Gerai, tai aš vėliau nupiginsiu. Duomenų vertės numatytos nėra – nėra tokio kainoraščio, nes nėra rinkos. Nėra aišku, ar duomenys, kuriuos tau siūlo, tau gali būti įdomūs ar ne. Įsilaužėliai tiesiog susigalvoja savo kainą. Kartais pataiko, kartais ne.
Kiek laiko trunka atrasti prieigą prie vienos ar kitos duomenų bazės? Ar įsilaužėliai susikuria strategijas ir planus, ar kiekvienas įsilaužimas – individualus?
Na, kartais tų skylių niekas ir neranda ir sistemos stovi nenulaužtos. Dažnai tiesiog neįmanoma įsilaužti. Bet kartais ta skylė randama labai lengvai.
Pavyzdžiui, „Citybee“ atveju įsilaužėliai naudojosi specifine programine įranga, ieškojo tų skylių ir buvo „netyčiukas“ – rado, tai rado. Ir pamatė, kad tie duomenys yra kažko verti, sugalvojo kainą ir pardavinėjo.
Kokie duomenys vagiami dažniausiai?
Lengviausiai pasiekiami. Pavyzdžiui, elektroninės parduotuvės klientų sąrašas, gyventojų registras, automobilių numerių duomenų bazė, kreditinių kortelių duomenų bazė iš banko. Tai yra duomenys, reikalingi rinkoje, ir už juos yra mokami pinigai. Pažinčių portalo bazė su visomis nuotraukomis, kur gauni intymų turinį, susirašinėjimus ir visa kita.
Arba, tarkime, yra koks nors JAV muitinės subkontraktorius (subrangovas, atliekantis dalį vieno ar kito darbo pagal sutartį – aut. past.), turintis visą duomenų bazę apie žmones, kirtusius JAV sieną.
Tokia duomenų bazė taip pat yra buvusi pavogta. Ir tokius duomenis perka ekonominiai nusikaltėliai – papildę kitais duomenimis, gali pradėti tuštinti sąskaitas, atidarinėti svetimu vardu įmones, kurti finansinių nusikaltimų modelius ir schemas.
Rūpinantis savo duomenimis, kiek pavojingas gali būti atviras interneto ryšys?
Tipinė situacija – išvažiavote į kelionę, nenaudodami VPN (virtualaus privataus tinklo, kuriančio saugią naršymo internete aplinką – aut. past.) prisijungėte prie vietinio Wi-Fi, įsijungėte savo elektroninį paštą, banką.
Paraleliai tai daro ir hackeris ir perima elektroninio pašto, socialinių tinklų valdymą, savarankiškai elektronine bankininkyste pasidaro sau pavedimą. Jei kalbą suprastų, turbūt dar ir paskolą kokią pasiimtų.
Paprasčiausias pavyzdys – į kokią Turkiją pirkti audinių išvažiavęs verslininkas. Jam būnant viešbutyje buvo nulaužtas jo elektroninis paštas – buvo skaitomi jo laiškai, pokalbiai su turkų audinių pardavėju.
Ir jau verslininkas susiruošia pirkti audinius, susitaria su pardavėju, pardavėjas nusiunčia verslininkui sąskaitą, o ją perima hackeriai ir padaro tokią pat sąskaitą, tik su kitais rekvizitais – kitos įmonės pavadinimu, gavėju ir panašiai. Ir verslininkui atlikus pervedimą pardavėjui, tie pinigai tiesiog nukeliauja kažkur kitur. Galiausiai ir prekių nelieka, ir pinigų.
Jūs pats gerai pažįstate kibernetinių specialistų, hackerių, bendruomenę, žinote, kaip veikia sukčiavimo schemos. Ar niekada nebuvo pagundos pasipelnyti iš duomenų?
Kodėl nebuvo? Aš iki 1997 metų buvau žmogus, kuris turėjo daugiausia duomenų bazių Lietuvoje ir tuo prekiavo. Bet tai buvo seniai – prieš 20 metų ar daugiau. Tada nebuvo nei įstatymų, nei ko kito su tuo susijusio. Pinigai tais laikais už duomenis buvo simboliniai, tikrai ne kosmosas, bet iš to – taip, uždirbinėjau. Tik tai jau labai senas laikas – 1991-1994 metai.
