Kibernetinės atakos – rizika ne tik reputacijai
Į internetinę erdvę keliantis vis daugiau gyvenimo sričių, vienu aktualiausiu klausimu tampa ir kibernetinis saugumas. Įvykus kibernetinei atakai ne tik paralyžiuojama įstaigos ar organizacijos veikla, prarandami intelektiniai ir asmeniniai duomenys, bet ir suduodamas stiprus smūgis reputacijai. Krizės valdymas pareikalauja gerokai didesnių išlaidų nei investicijos į duomenų saugumą, tačiau verslas ne visuomet tinkamai įvertina kibernetines grėsmes.
Lietuvos statistikos departamento skelbiami duomenys rodo, kad kuo mažesnė įmonė, tuo mažiau dėmesio ji skiria saugumo sistemoms internetinėje erdvėje diegti. Pavyzdžiui, šiemet visas tyrime įvardytas saugumo priemones 100 proc. naudojusios 250 ir daugiau darbuotojų turinčios įmonės. Tačiau 50–249 darbuotojus turinčiųjų grupėje šis skaičius siekė 96,4 proc. O mažiausių įmonių, turinčių 10–49 darbuotojus, grupėje visas tirtas saugumo priemones internete naudojo 85,9 proc.
Statistikos departamento skaičiavimais, 2021 m. 16 proc. įmonių yra turėjusios problemų dėl e. saugos incidentų. Didžiosios įmonės kibernetinių atakų patiria gerokai dažniau – 32,9 proc. Tarp vidutinių įmonių tokių būta 22,8 proc., tarp smulkiųjų – 13,9 proc. Nors draudimo bendrovės siūlo apdrausti verslą nuo e. saugos incidentų, tik 5,2 proc. visų įmonių turi tokį draudimą.
Ekonomikos kraujas
Pasaulyje kas 11 sekundžių prieš vieną ar kitą organizaciją yra įvykdomas išpuolis naudojant išpirkos reikalavimo programinę įrangą, o pasaulinės metinės su kibernetiniais nusikaltimais susijusios išlaidos 2021 m. pasiekė 5,5 trln. EUR (Jungtinio tyrimų centro ataskaita „Cybersecurity – Our Digital Anchor, a European perspective“).
Kaip teigė Lietuvos statistikos departamento Duomenų apsaugos skyriaus Informacinių technologijų ir ryšių saugumo specialistas Valerij Žavoronok, departamentas, saugojantis daugybę valstybės duomenų, taip pat yra patyręs kibernetinių atakų. „Šią vasarą, kaip ir daugelį valstybės institucijų, mus paveikė „atkirtimo“ nuo paslaugos atakos (DDOS). Pastarasis incidentas dar kartą parodė kolektyvinės apsaugos ir koordinuoto darbo svarbą“, – teigė V. Žavoronok.
Dauguma Lietuvos statistikos departamento duomenų yra mikroduomenys, iš kurių ruošiamas statistinis produktas. Todėl kibernetinis saugumas remiasi CIA triada (Confidentiality, Integrity and Availability) arba konfidencialumo, vientisumo ir prieinamumo išsaugojimu.
Smūgis reputacijai
Sakoma, vieni jau patyrė programišių atakų, kiti dar apie tai nežino. Kibernetinio saugumo specialistas, Vilniaus universiteto Kauno fakulteto dekanas, doc. dr. Kęstutis Driaunys pastebi, kad galima rasti ir labai gerų pavyzdžių, kaip reikia rūpintis e. saugumu organizacijoje, ir labai blogų. Lietuvoje jau ne kartą buvę skandalingų istorijų, kuomet pavogti ir nutekinti asmeniniai klientų duomenys ar net reikalaujama išpirkos už pavogtą informaciją. „Verslas saugumu elektroninėje erdvėje rūpinasi tiek, kiek sugeba. Visi tie skandalai, kai buvo pavogti asmeniniai klientų duomenys, parodė, kad nesirūpinimas saugumu gali ne tik pažeisti darbuotojų, verslo partnerių ar klientų privatumą, bet ir stipriai atsiliepti organizacijos reputacijai“, – sakė K. Driaunys.
Kodėl vis dar atsainiai žiūrima į e. saugumą, pasak kibernetinio saugumo specialisto, priežasčių gali būti įvairių. Prieš dvejus metus „Kurk Lietuvai“ atliktas „Smulkiojo ir vidutinio verslo įmonių kibernetinio saugumo sąmoningumo didinimo“ tyrimas atskleidė, kad daugiau kaip pusė visų apklaustų įmonių tinkamai neįvertina grėsmės tapti kibernetinių atakų aukomis. Dažnai net nesuprantama skaitmeninio turinio vertė ir tai, kad prarasti duomenys gali sukelti didelių neigiamų pasekmių jų verslui. „Labai dažnai manoma, kad įsilaužus į internetinę svetainę pakaks tik investuoti į jos atkūrimą. Tačiau didžiausia kibernetinių atakų grėsmė – pavogti darbuotojų, partnerių ir klientų duomenys. Atsiranda prielaidos juos šantažuoti ar reketuoti“, – pasakojo pašnekovas.
Dar viena priežastis – kompetencijų trūkumas, apsaugos priemonių kompleksiškumo nebuvimas ir kaina. „Kibernetiniam saugumui reikalingas visas kompleksas priemonių. Neužtenka įsigyti tik antivirusinės programos ir ugniasienės. Dažnai galima matyti reklamas, siūlančias įsigyti vieną ar kitą apsaugos internete įrankį, kuris turi apsaugoti nuo internetinių įsilaužėlių. Tačiau vienkartinė, atsitiktinė investicija į tam tikrą įrankį situacijos nekeičia, netgi, sakyčiau, pablogina. Kad iš tiesų organizacijoje keistųsi kibernetinio saugumo būklė reikia tarpusavyje derinti technologijas, personalo kompetencijas ir organizacijoje vykstančius verslo procesus, – pastebi K. Driaunys.
Kibernetinių išpuolių tik daugės
Yra ir psichologinė šio reiškinio pusė. Pasak kibernetinio saugumo specialisto, dažnai investicijos į organizacijos e. saugumą neduoda tiesiogiai matomos pridėtinės vertės. Tarsi investuojama į tai, kas gali ir neįvykti. Be to, pertvarkius organizacijos procesus ir įdiegus apsaugos priemones visada susiduriama su darbo įpročių pasikeitimu. „Darbuotojai ima skųstis, kad negali kažko padaryti, nebėra taip patogu dirbti, reikia laikytis tam tikrų taisyklių ir tvarkų, atsiranda diskomfortas. Tarsi su saugos sistemų įdiegimu gaunama tik papildomų problemų“, – pastebėjimais dalijasi K. Driaunys.
Pašnekovo teigimu, visiems reiktų suvokti, kad kibernetinis saugumas nėra tik organizacijos vidinis rūpestis. Programišiams įsilaužus į sistemas, pasekmes jaus gerokai platesnis ratas toje aplinkoje veikiančių struktūrų. O kai kuriais atvejais gali kelti grėsmę ir nacionaliniam saugumui. Žvelgiant į ateitį, anot akademiko, tiek gyventojų, tiek ir verslo kibernetinis raštingumas augs, tobulės apsaugos priemonės. Tačiau programišių atakos taps sudėtingesnės, rafinuotesnės ir brangesnės. „Kalbant apie ateitį, didės ir asmenų, ir verslo patiriami nuostoliai dėl kibernetinių atakų, bet augs ir investicijos į saugumo priemones bei žmonių kompetencijas šioje srityje“, – sakė K. Driaunys.
„EBV Finance“ IT vadovas Arminas Grigonis sako, kad per pastaruosius metus kibernetinių incidentų skaičius padvigubėjo, todėl didžiausia klaida yra manyti, kad esi pakankamai saugus ir niekas negresia, net jeigu atlieki rekomenduojamus veiksmus.
„Tokia iliuzija sumažina budrumą, atsargumą, lemia įvairias darbo organizavimo ir technines klaidas“, – tikina ekspertas.
Kibernetiniai nusikaltimai pirmiausia yra verslas
A. Grigonio teigimu, labiausiai nusikaltėlių dėmesį traukia „brangiausi“ duomenys, kurie turi didžiausią komercinę, reputacinę ar su asmens duomenimis susijusią vertę. Kibernetiniai nusikaltimai yra verslas, kuriam svarbiausia gauti kuo didesnį pelną įdedant mažiausiai pastangų, pasinaudojus kitų verslų silpnybėmis.
„Kibernetiniai nusikaltėliai skenuoja visą interneto tinklą ir ieško pažeidžiamumų. Jeigu jūsų sistemos ar interneto svetainės yra ilgai neatnaujintos, jeigu nėra apribotas tinklo srautas, naudojate nešifruotus duomenų perdavimo kanalus, rizikuojate tapti lengvu grobiu, nepriklausomai nuo jūsų duomenų turinio ar įmonės dydžio“, – kalba A. Grigonis.
Todėl, pasak eksperto, mažas ar, atrodytų, niekam neįdomus verslas taip pat neturėtų būti labai ramus.
Kita pažeidžiama vieta – žmonės. Techninės saugumo priemonės ne visada apsaugo nuo, iš pirmo žvilgsnio, „mažų“ klaidų, tokių kaip atidarytas netinkamas el. laiškas ar visur naudojamas tas pats slaptažodis, juo labiau jeigu jis užrašytas ant lapelio ir padėtas matomoje vietoje.
Tikslai gali būti ir ne finansiniai
Siekdami gauti prisijungimo duomenis ir prieigą prie jautrių duomenų, nusikaltėliai dažnai naudoja vadinamąjį „phishingą“, arba duomenų viliojimą. Terminas „phishing“ yra kilęs iš anglų kalbos žodžių „password fishing“ – slaptažodžių žvejyba.
„Paprastai aukoms yra siunčiamas suklastotas elektroninis laiškas, atrodantis kaip tikras laiškas, gautas iš banko ar kitos organizacijos, kuriame bandoma įtikinti paspausti nuorodą į suklastotą puslapį ir atlikti papildomus veiksmus, dažniausiai – suvesti banko sąskaitos duomenis, slaptažodžius ar kitus jautrius duomenis“, – kalba A. Grigonis.
Kiti dažnai pasitaikantys būdai, pasak eksperto, yra atakos, kurių metu užkoduojami įmonės duomenys ir prašoma išpirkos (angl. Ransomware attacks), vadinamoji SQL injekcija (angl. SQL injection) – tinklalapių ir programų, dirbančių su duomenų bazėmis, užvaldymo būdas, pagrįstas specialaus SQL kodo įterpimu į užklausą.
Nusikaltėliai ne visada veikia vedami finansinių tikslų. Kai kada veikiama valstybių, politinių ar kitų suinteresuotų grupių užsakymu.
„Tokiais atvejais interesas yra ne pelnas, o veiklos sutrikdymas ar duomenų panaudojimas šnipinėjimo tikslams. Tam naudojamos, pavyzdžiui, paskirstytųjų paslaugų trikdymo (DdoS) atakos, kurių metu įvairių įstaigų ir įmonių sistemos bombarduojamos užklausomis iš daugybės užkrėstų kompiuterių, telefonų ir kitų įrenginių, tokiu būdu siekiant jas padaryti nepasiekiamas teisėtiems vartotojams“, – sako „EBV Finance“ ekspertas.
Pataria niekada nemokėti išpirkos
A. Grigonio teigimu, kibernetinių incidentų dėl atakų ir žmogiškųjų klaidų riziką ir žalą galima sumažinti taikant kelias paprastas priemones.
Pirmiausia – naudoti mažiausiai dviejų žingsnių autentifikavimą (angl. Multifactor authentificaton), antra – daryti atsargines sistemų ir duomenų kopijas, kurios būtų techniškai atskirtos nuo pagrindinių serverių. Galų gale kibernetinio saugumo užtikrinimu turi rūpintis specialiai tam dedikuoti patyrę specialistai, o ne kitas atsakomybes turintys įmonės darbuotojai, kurie mokytųsi dirbdami.
„Besimokančio specialisto klaidos kaina yra tiesiog per didelė. Kibernetinio saugumo mokymai turėtų būti privalomi visiems įmonės darbuotojams – jiems turi būti rengiami reguliarūs mokymai, taip pat reguliariai turi būti testuojami krizių valdymo ir veiklos atkūrimo planai“, – kalba A. Grigonis.
Specialistas taip pat rekomenduoja niekada nemokėti išpirkos už duomenis. Verslo požiūriu tai gali būti brangus sprendimas, tačiau geriausia priemonė užkirsti kelią nusikalstamai veiklai yra neskatinti jos papildomu finansavimu.
2022-10-12, atnaujinta 2023-03-14