Elektroninėje erdvėje šiandien praleidžiame kaip niekad daug laiko. Čia ne tik bendraujame, skaitome naujienas, bet ir perkame daiktus, dalyvaujame renginiuose ar net rengiame vakarėlius. Verta pripažinti, kad dėl skubos ir neatidumo dažnai pamirštame pasigilinti į svetainių slapukų politiką, o socialiniuose tinkluose atskleidžiame itin jautrią informaciją. Tad kokios grėsmės tyko elektroninėje erdvėje? Kokių kibernetinės higienos taisyklių turėtume laikytis ir kaip apsisaugoti nuo kibernetinių atakų? Į šiuos klausimus atsako Vilniaus universiteto (VU) Matematikos ir informatikos fakulteto Informatikos instituto Kibernetinio saugumo laboratorijos mokslininkė doc. Agnė Brilingaitė.
Asociatyvi „Pixabay“ nuotr.
Stengiamasi į specialistus žiūrėti iš įvairių perspektyvų
Doc. A. Brilingaitė kartu su kolegomis kuria kibernetinio saugumo treniravimo platformas, skirtas kibernetinėms atakoms imituoti ir mokytis, kaip nuo jų apsisaugoti. Mokslininkai tobulina įrankius darbuotojų veiksmams stebėti ir vertinti, analizuoja kibernetinio saugumo kompetencijų ugdymo priemones.
„Šiuo metu su kolegomis dirbame prie dviejų projektų, kuriuose bendradarbiaujame su Lietuvos karo akademija. Reikminių mokslinių tyrimų projekte mūsų komanda kuria kibernetinio saugumo kompetencijų žemėlapį. Mano vadovaujamame tarptautiniame Baltijos mokslinių tyrimų programos projekte „ADVANCES“, bendradarbiaudami su kolegomis iš Latvijos, Estijos, Norvegijos ir Lichtenšteino, siekiame tobulinti kibernetinio saugumo specialistų kompetencijas suteikdami personalizuotą gebėjimų ugdymą ir rizikos vertinimą. Esame subūrę komandą, kurioje dirba ne tik informacinių technologijų specialistai, psichologai, edukologai, bet ir genetikai iš VU Medicinos fakulteto“, – pasakoja doc. A. Brilingaitė.
Vykdant projektus į kibernetinio saugumo specialistą žiūrima ne tik kaip į informacinių technologijų atstovą, bet ir iš genetikos bei psichologijos perspektyvų, taip įvertinant tiek įgimtas žmogaus savybes, tiek tas, kurias išugdo jį supanti aplinka. Visa tai svarbu siekiant suprasti kibernetinio saugumo specialistų kasdienybę. Doc. A. Brilingaitė pabrėžia, kad dalis jos komandos veiklų yra susijusios su naujų specialistų, ypač moterų, įtraukimu į informacinių technologijų sritį.
„Informacinių technologijų srityje yra apie 15 proc. moterų, o kibernetinio saugumo srityje moterų Lietuvoje yra dar mažiau – apie 7–10 proc. Kai kuriose šalyse ir tam tikruose sektoriuose yra iki 25 proc. Visame pasaulyje diskutuojama, kaip paskatinti moteris rinktis karjeros kelią šioje srityje. Lietuvoje neseniai buvo įkurtas „Women4Cyber“ skyrius, į kurį įsitraukia moterys, savo veiklą siejančios su kibernetiniu saugumu ir siekiančios šviesti visuomenę kibernetinės higienos klausimais, burti bendruomenę, dalintis patirtimi ir informacija, padrąsinti moteris ateiti į kibernetinio saugumo sritį“, – teigia mokslininkė.
Kibernetinė higiena turi tapti kiekvieno kasdienybe
Kibernetinė higiena apima vartotojo atsakomybę už kompiuterinius įrenginius, elgseną virtualioje erdvėje bei principus, kaip elektroniniai duomenys saugomi ar perduodami. Paprašyta apibūdinti šią sąvoką, doc. A. Brilingaitė sugretino ją su kasdieniais mūsų įpročiais.
„Turėdami kenksmingų medžiagų, namo jų nesinešame arba elgiamės su jomis labai atsargiai. Svarbių dokumentų nelaikome laiptinėje ar prie vandens čiaupo, o kai kurių dokumentų kopijas saugome reglamentuotu būdu, pvz., darbo sutartis, baigiamuosius studentų darbus. Juk su elektriniu pjūklu nekalame vinies, o ir kitus įrenginius naudojame pagal paskirtį. Tad jeigu norime, kad įrenginys ar programinė įranga tarnautų vartotojui, pagelbėtų jo darbinėse ir asmeninėse veiklose, reiktų atidžiai įvertinti diegiamą naują programinę įrangą, saugoti duomenis ir saugiai naršyti virtualioje erdvėje. Labai svarbu kibernetinės higienos taisyklių mokyti vaikus“, − pabrėžia mokslininkė.
Išmaniuosiuose telefonuose turime daugybę programėlių, palengvinančių finansų tvarkymą, suteikiančių galimybę bendrauti su draugais ar tiesiog praskaidrinančių nuotaiką. Savo gyvenimo neįsivaizduojame ir be elektroninio pašto. Doc. A. Brilingaitė įspėja, kad reikia būti atsargiems diegiant šias programėles ir atidžiai skaityti gautus laiškus.
„Jei diegiant naują programėlę ji prašo teisių ir prieigos prie įrenginyje esančių duomenų ar programų, kurios visai neatitinka programėlės paskirties, tikrai verta susimąstyti apie šios programėlės naudojimą. Gavę laišką naršydami po įvairias svetaines turėtume laikytis atsargumo: galbūt iš pirmo žvilgsnio atrodo, kad jį siuntė kolega ar darbdavys, bet atidžiai patikrinę elektroninio pašto adresą pastebėsite, kad laišką siuntė visai ne tas žmogus“, − teigia mokslininkė.
Dar viena klaida – asmeninės informacijos atskleidimas socialiniuose tinkluose. Šiais skaitmeniniais pėdsakais pasinaudoję programišiai gali lengvai sudaryti žmogaus profilį, atskleisti jo ryšius su kitais asmenimis, silpnybes, o tokia informacija gali būti panaudota atakoje prieš įmonę ar instituciją.
„Jeigu savo asmens dokumentus pamirštume mieste ant suoliuko, juos radęs žmogus galėtų šiuos duomenis panaudoti blogiems tikslams: paimti greituosius kreditus, pasirašyti kokią nors peticiją. Socialiniuose tinkluose viešinama asmeninė informacija taip pat gali būti panaudota elektroninio sukčiavimo tikslais ar ruošiant kibernetinę ataką. Vis dar daug žmonių nukenčia nuo elektroninių sukčių, nes dalis jų ne tik psichologiškai paveikia žmogų, bet dar ir turi papildomos informacijos apie jį“, – sako doc. A. Brilingaitė.
Nuotolinis darbas padidina kibernetinių atakų grėsmę
Sprendimų priėmimą dažnai lemia ne tik tuometinė žmogaus būsena, bet ir jo charakteris. Doc. A. Brilingaitė pabrėžia, kad neurotiški žmonės atsargesni ir jų kibernetinės higienos įgūdžiai dažniausiai yra geresni. Tačiau moksliniai tyrimai rodo, kad stresinėse situacijose ne prasčiau pasirodo ir tinkamus sprendimus priima ir tie, kurių kibernetinio saugumo įpročiai yra išugdyti.
„Paprasti vartotojai dažniausiai nukenčia dėl kibernetinės higienos nesilaikymo. Bet juk kiekvienos kibernetinės atakos centre yra žmogus – auka, priemonė arba atakos iniciatorius. Žmogaus klaidas lemia neatsargumas, procedūrų nesilaikymas ar skuba. Svarbu ir tai, kad kibernetinio saugumo specialisto darbe daug streso, pervargimo, tad jie turi būti treniruojami streso sąlygomis ir imituojant įvairius scenarijus“, – pabrėžia mokslininkė.
Doc. A. Brilingaitė atkreipia dėmesį, kad pagrindiniai kibernetinių atakų tikslai yra sutrikdyti paslaugų teikimą, sugadinti reputaciją, pavogti duomenis, pasipelnyti, skleisti dezinformaciją ir taip diskredituoti valdžią, įvairias tarnybas ir institucijas.
„Remiantis Lietuvos 2020 m. nacionaline kibernetinio saugumo būklės ataskaita, 2020 m. kibernetinių incidentų padaugėjo 25 proc. Pandeminiu laikotarpiu daugeliui dirbančiųjų darbo vietos persikėlė į namus, o juose ne visais atvejais buvo taikomos įprastos įmonės saugumo procedūros, darbuotojai jungėsi iš asmeninių įrenginių arba iš nuotolinių darbo vietų. Remiantis įvairiais šaltiniais, bandymų prisijungti prie nutolusių darbo vietų, spėjant prisijungimų duomenis, padidėjo apie septynis kartus. Karantino metu didelė dalis prekybos ir teikiamų paslaugų persikėlė į virtualią erdvę. Tad kibernetinės higienos nesilaikymas lėmė išaugusį kibernetinių incidentų skaičių ir šioje srityje“, – pabrėžia mokslininkė.
Kibernetinių atakų prevencija
Supažindinusi su kibernetinių atakų tikslais, doc. A. Brilingaitė atskleidžia ir pagrindinius būdus, kaip nuo jų apsisaugoti. Pirmiausia reikėtų sekti nacionalinius teisės aktus, naudotis gerąja praktika šioje srityje ir paskelbtomis rekomendacijomis.
„Lietuvos krašto apsaugos ministerija kartu su Nacionaliniu kibernetinio saugumo centru ir asociacija „Kurk Lietuvai“ yra išleidusi gaires įmonių vadovams, taip pat egzistuoja paruoštukai lietuvių kalba apie saugumo kontrolės priemones. Juose įprastai aptariami slaptažodžių politikos, antivirusinių programų naudojimo, prieigos kontrolės, tinklo naudojimo ir kiti aspektai“, − priemones pristato mokslininkė.
Be teisės dokumentų ir parengtų brošiūrų, įmonių darbe svarbiausiu veiksniu išlieka nuolatinis darbuotojų mokymas, priminimas apie grėsmes ir treniravimasis pagal scenarijus, kurie leistų testuoti įmonės saugumo procedūras. Svarbu, kad darbuotojai žinotų, kada ir ką reikia informuoti, kaip vertinti incidentą, kokių duomenų reikia informuojant reikiamas institucijas apie įvykusius incidentus.
„Negalima atmesti ir kiekvieno vartotojo patiriamos rizikos. Atskiriesiems vartotojams svarbu laiku atnaujinti programinę įrangą, naudotis sudėtingesniais slaptažodžiais ir, jei tik įmanoma, naudoti kelių žingsnių autentifikavimą. Taip pat svarbu neviešinti asmeninės informacijos ir niekam jos nesiuntinėti, stengtis atskirti darbo ir asmeninius įrenginius ar bent susikurti atskiras paskyras, o savo duomenis ne tik saugoti, bet dar pasidaryti duomenų kopijas ir jas apsaugoti. Galiausiai virtualioje erdvėje ar naudojantis pašto programomis būtina įjungti savisaugos instinktą“, – pataria doc. A. Brilingaitė.