Vien per pirmąjį praėjusių metų pusmetį Lietuvoje sėkmingų kibernetinių įsilaužimų skaičius išaugo 129 proc., rodo Nacionalinio kibernetinio saugumo centro (NKSC) prie Krašto apsaugos ministerijos duomenys. Skaitmeninėje erdvėje vykstant informaciniam karui, o darbui iš namų tapus savaime suprantamu reiškiniu, įmonės turėtų susirūpinti savo duomenų saugumu ir įsitikinti, kad jų interneto svetainė atlaikytų kibernetinę ataką. Ar jūsų duomenys saugūs atsakyti padės vienas labiausiai užtikrinančių būdų – leidimas save „atakuoti“.
Asociatyvi „Pixabay“ nuotr.
Įsigalėjus nuotoliniam darbui, kibernetinėje erdvėje atsidūrė svarbiausia įmonių ir jų klientų informacija. Šie duomenys yra pernelyg svarbūs, kad būtų rizikuojama mokytis iš savų klaidų ir pažeidžiamas sistemos vietas taisyti tik susidūrus su ataka. „Būtent todėl raginama atlikti įsilaužimo simuliacijas, kad saugumo spragas įmonė pastebėtų anksčiau nei programišiai“, – sako „Baltic Amadeus“ Informacijos saugumo architektas Tomas Stamulis.
Programišiai aukas renkasi ne pagal jų turtą
Jau seniai laikas atsikratyti klaidingo mąstymo, kad programišių taikiniu tampa tik aktyviai internetinę veiklą vykdančios įmonės, pažymi informacijos saugumo ekspertas. Netgi įmonės dydis ar veiklos sritis neturi įtakos kibernetinių atakų skaičiui, išskyrus tuos atvejus, kai valstybių remiamos nusikalstamos grupuotės bando paveikti kitų šalių strategines įmones, žiniasklaidos priemones.
„Nusikaltėliams nėra svarbu, kuo užsiima įmonė, – pabrėžia T. Stamulis. – Internetinę veiklą vykdanti įmonė yra labiau matoma, todėl natūralu, kad gali sulaukti daugiau bandymų įsilaužti. Tačiau įsigalėjus darbui iš namų kiekviena organizacija naudoja vienas ar kitas nuotolinio darbo priemones. Todėl, tarkime, didelė gamybinė įmonė gali atsidurti nusikaltėlių taikinyje, nors nevykdo plačios komunikacijos internete.“
Mitas ir tai, kad programišiams rūpi tik pakankamai gerai žinomos ar didesnės įmonės. „Tiesa ta, kad kibernetiniai nusikaltėliai dažniausiai bando įsilaužti, sutrikdyti veiklą ir/ar pavogti, užšifruoti duomenis, o tik vėliau aiškinasi, pas ką įsilaužė ir kokios pinigų sumos gali prašyti“, – aiškina ekspertas.
Specializuotos ir prieš konkretų taikinį nutaikytos atakos vykdomos rečiau. Tokiu atveju žala priklauso nuo įmonės kibernetinio saugumo brandos – kuriame etape kibernetinė ataka bus aptikta ir suvaldyta. Vienas iš patikimiausių būdų patikrinti savo įmonės pasirengimą atakai, atskleisti silpnąsias sistemos vietas ir pačių darbuotojų sugebėjimus – įsilaužimo simuliacija.
Tikrinti galima tiek įrangą, tiek darbuotojus
Kaip vyksta simuliacija, kokios sistemos vietos tikrinamos, priklauso nuo testavimo objekto, todėl T. Stamulis pabrėžia, jog labai svarbu prieš pradedant darbus apsibrėžti tikslą ir apimtį – juk vienaip būtų testuojama mobili aplikacija, o kitaip – vidinio tinklo saugumas.
Įsilaužimo simuliacija apima skirtingus vertinimo būdus:
- Įsilaužimo testavimas (angl. penetration testing) – infrastruktūros, aplikacijų atsparumo įsilaužimui vertinimas.
- Raudonosios komandos pratybos (angl. red team exercises) – IT komandos gebėjimų atpažinti ir užkardyti kibernetines atakas vertinimas.
- Apgaulės laiškų simuliacijos (angl. phish testing) metu vertinamas visų darbuotojų gebėjimas atpažinti apgaulingus laiškus ir reagavimas.
Šios simuliacijos gali būti atliekamos ir kartu, ir atskirai – t.y., galima vertinti tik techninės įrangos atsparumą arba tik patikrinti, kaip darbuotojai elgiasi gavę apgaulės laiškus.
Siekiant įvertinti sistemų ir žmonių atsparumas naujiems kibernetiniams iššūkiams, įsilaužimo testavimą ekspertas rekomenduoja daryti bent kartą per metus arba po reikšmingų IT pokyčių, darbuotojų vertinimą siunčiant apgaulės laiškus – kuo dažniau, bent kartą per mėnesį.
„Kadangi dažnu atveju pirminiu atakos vektoriumi tampa „phishing“ (apgaulės laiškų) atakos, įsilaužimo simuliacijos neabejotinai padeda darbuotojams išmokti geriau atskirti tokius laiškus bei įsivertinti galimas grėsmes darbinėje veikloje pasielgus lengvabūdiškai“, – sako T. Stamulis.
Jis pabrėžia, kad simuliacija yra pirmas žingsnis siekiant pagerinti bendrą saugumo situaciją, tačiau esminis – tik tiksliai žinant apie esančius pažeidžiamumus, juos galima pašalinti ir pasirūpinti sistemos bei duomenų apsauga.
„Patys kibernetinio saugumo testai ir simuliacijos nepadeda tobulėti, jei gavę vertinimo ataskaitą su rekomendacijomis pati įmonė nesiims veiksmų – nebus saugiau tik nuo to, kad buvo atliktas testas“, – pabrėžia „Baltic Amadeus“ Informacijos saugumo architektas T. Stamulis.
Atlikus simuliaciją yra pateikiama išsami ataskaita su nustatytais trūkumais ir rekomendacijoms jų pašalinimui. Įmonės darbuotojai turi pasirūpinti, kad būtų pašalintos visos spragos, kurios buvo aptiktos testavimo metu.
„Darbuotojai ir patys turi pasidaryti išvadas. Juk jei kuris paspaudė ant failo ar suklastotos nuorodos (arba dar blogiau – suvedė prisijungimo duomenis), bet nepasimokė, pagal ką buvo galima atpažinti, kad laiškas suklastotas, – tikėtina, jog gavęs tikrą nusikaltėlių laišką, pasielgs taip pat“, – įspėja saugumo ekspertas.