Valstybės saugumo departamentas, neseniai visuomenei pristatęs grėsmių nacionaliniam saugumui vertinimą, teigia, kad 2020 m. netrūko kibernetinių atakų, ne kartą įsilaužta į institucijų interneto puslapius, o siuntinėjant suklastotus laiškus platinta melaginga informacija. Vilniaus universiteto (VU) ekspertai taip pat atkreipia dėmesį, kad per COVID-19 pandemiją išaugo kibernetinio šnipinėjimo grėsmė. Ypač tuo naudojasi nacionalinių valstybių remiamos kibernetinės grupuotės, vykdančios kibernetines atakas į kitų šalių valdžios, nacionalinį saugumą užtikrinančias institucijas, energetikos ir kitas strategines įmones
VU Kauno fakulteto mokslo darbuotojos dr. Renatos Danielienės teigimu, vienas iš tokių nacionalinių valstybių remiamų grupuočių tikslų – išgauti kuo daugiau konfidencialios informacijos iš kitos šalies institucijų, tam tikrų verslo organizacijų ar mokslo įstaigų, atliekančių aktualius mokslinius tyrimus, kuriančių naujus ar tobulinančių esamus išradimus. Tokių grupuočių veikla, mokslininkės manymu, kelia didelę grėsmę organizacijoms, naudojančioms prie interneto prijungtas strategines informacines sistemas.
„Anksčiau kitose šalyse kibernetinių grupuočių įvykdytos atakos rodo, kad tikslas gali būti ne tik valstybinis ar pramoninis šnipinėjimas, bet ir bandymas pakenkti kokiai nors veiklai, pavyzdžiui, Amerikoje vykdytos atakos rinkiminių kampanijų metu. Tuomet bandyta įsilaužti į aukštų pareigūnų paskyras, paviešinti slaptą informaciją siekiant formuoti gyventojų nuomonę tam tikra linkme arba atkeršyti už kritiškus pasisakymus prieš tą šalį, iš kurios galimai vykdoma ataka“, – tvirtina dr. R. Danielienė.
VU Matematikos ir informatikos fakulteto docentas Linas Bukauskas antrina kolegei ir sako, kad šiuo metu dažniausiai pastebima tendencija – informacijos manipuliavimas panaudojant socialinės inžinerijos atvejus, kai nedraugiškų šalių elektroninė erdvė pasitelkiama savo tikslams pasiekti.
„Tokiais atvejais siekiama įvilioti į pinkles socialinės inžinerinės atakos būdu. Pavyzdžiui, piliečiai gauna kvietimus į renginius ar konferencijas, kurios vyksta nedraugiškoje šalyje, neretai netgi visiškai apmokamos. Susidomėję po truputį gali būti įtraukti į veiklą, kuri gali būti antivalstybinė – atskleisti mokslines, valstybines ir technologines paslaptis. Pasinaudojant informacija tikrinamas žmogaus budrumas. Reikia atsiminti, kad nieko nemokamo nebūna, dažniausiai būna paslėptas koks nors tikslas“, – perspėja doc. L. Bukauskas.
Taikiniai – valstybinių institucijų ir žiniasklaidos svetainės
VU mokslininkai, vertindami už Lietuvos saugumą atsakingų institucijų ataskaitas ir neseniai žiniasklaidoje nuskambėjusius atvejus, pažymi, kad daugėja informacinių kibernetinių atakų, nukreiptų prieš Lietuvą. Ekspertų teigimu, galima išskirti kelis su kibernetiniu saugumu sietinus elementus – tai duomenų praradimai, manipuliavimas informacija ir kibernetinio saugumo pažeidžiamumas, pasinaudojimas šiuo pažeidžiamumu valstybės ar kritinės infrastruktūros sistemose.
Neretai taikiniais tampa valstybinių institucijų ir žiniasklaidos svetainės, kuriose nusikaltėliai paskelbia melagingą informaciją, siekdami sukompromituoti pačias organizacijas ir formuoti tam tikrą gyventojų nuomonę. Nacionalinio kibernetinio saugumo centro duomenimis, vien 2020 m. gruodį buvo įsilaužta į 22 viešojo sektoriaus svetaines. Didžioji dalis svetainių priklausė Lietuvos savivaldybėms. Įsilaužus į svetaines buvo skelbiama melaginga informacija.
Dr. R. Danielienės teigimu, Lietuva nėra išskirtinė šalis – su panašiomis problemomis susiduria daugelis valstybių. „2020 m. paskelbtoje Estijos žvalgybos tarnybos ataskaitoje pabrėžiama, kad kiekvienas gali tapti atakos dalyviu, kadangi įsilaužėliai, ieškodami silpniausių grandžių ir aptikę, pavyzdžiui, nepakankamai apsaugotą įrenginį, įtraukia jį į kibernetinės atakos infrastruktūrą – taip tampama nusikalstamos veiklos dalimi“, – pažymi VU mokslininkė.
Achilo kulnas – žmogiškosios klaidos
Vertindamas kibernetinio saugumo situaciją doc. L. Bukauskas išskiria naudojimąsi 2020 m. viešojoje erdvėje vyravusiomis netiesioginėmis žmogiškosiomis klaidomis. Žmogiškosios klaidos paliekamos sistemų kūrimo arba diegimo metu, pamirštama saugiai apdoroti kintamuosius ar sukuriami silpni prisijungimo slaptažodžiai. Pasinaudojant šiomis klaidomis nutekinami duomenys, taip pat naudojamasi žmonių bendrinamais failais ar programinių sprendinių klaidomis.
„Dažniausiai bandoma įsilaužti ir perimti slaptažodžius, išnaudoti pažeidžiamas sistemas įvairiems užkrėstiems kompiuterių tinklams (angl. botnets) paleisti. VU Kibernetinio saugumo laboratorijoje pasitelkiame tinklo srautų jutiklius, kurie stebi nelegalius prisijungimus. Šie jutikliai rodo įsilaužėlių aktyvumą ir naudojamus slaptažodžius. Tokio tipo automatizuotos atakos ieško nesaugių sistemų ar žmogaus paliktų pažeidžiamų vietų, tikrinamas budrumas. Pavyzdžiui, pavienė sistema „ramesnėmis“ savaitėmis sulaukia vidutiniškai 200 nelegalių įsilaužimų, o kartais šie skaičiai pasiekia tūkstantį ir daugiau“, – sako doc. L. Bukauskas.
Siekiant išvengti žmogiškųjų klaidų kibernetinio saugumo srityje, būtina tobulinti specialistų, atsakingų už kibernetinį saugumą, kompetencijas. VU Kibernetinio saugumo laboratorijoje mokslininkai įgyvendina keletą projektų, kurių metu ne tik kuriamos metodikos, padėsiančios identifikuoti ankstyvas kibernetinio saugumo rizikas, bet ir gerinamos kibernetinio saugumo specialistų kompetencijos.
Vienkartinių investicijų nepakanka
Gyventojai vykstant kibernetinėms atakoms gali patirti įvairių padarinių: nuo atjungto energijos tiekimo iki pavogtų asmeninių duomenų, finansinių nuostolių. Tuo tarpu įmonės, į kurias įsilaužiama, gali būti atjungiamos nuo savo kritinių sistemų, pavagiami jų pačių, jų klientų ir partnerių konfidencialūs duomenys, patiriami finansiniai nuostoliai dėl negalėjimo teikti paslaugas. Be to, joms gali būti skiriamos baudos už paviešintus konfidencialius duomenis, prarandama reputacija, klientų pasitikėjimas, o jam susigrąžinti gali prireikti nemažai pastangų.
Anot dr. R. Danielienės, kibernetiniai nusikaltėliai, ar tai būtų organizuotos grupuotės, ar pavieniai programišiai, ne tik nuolatos ieško pažeidžiamų vietų informacinėse sistemose ar infrastruktūroje, bet ir vienaip ar kitaip naudojasi žmonių patiklumu.
„Nagrinėjant įvykdytas atakas pastebimos tokios pagrindinės problemos kaip saugumo spragos infrastruktūroje, kibernetinės prevencijos, kibernetinio saugumo vadovų ir personalo žinių, lyderystės kompetencijų trūkumas. Dažnai organizacijoje nebūna informacijos saugumo politikos arba jos nesilaikoma, o susidūrus su kibernetiniu incidentu – nežinoma, kaip į jį reaguoti. Be to, organizacijos vis dar nepakankamai dėmesio skiria reguliariems kibernetinio saugumo ir sąmoningumo didinimo mokymams“, – sako dr. R. Danielienė.
Mokslininkės įsitikinimu, norėdamos sumažinti kibernetinių įsilaužimų riziką, organizacijos turi imtis nuoseklių ir kompleksiškų priemonių, organizacijos viduje įdiegti kibernetinio saugumo kultūrą ir jos laikytis, o vadovai ir atsakingi asmenys turi nuolat domėtis kibernetinio pasaulio tendencijomis ir atitinkamai reaguoti imdamiesi tam tikrų saugumo priemonių. „Šiame informacinių technologijų pasaulyje nepakanka vieną kartą investuoti į IT infrastruktūrą. Dabar organizacijos turi nuolatos skirti lėšų tiek infrastruktūrai atnaujinti, tiek kibernetinėms rizikoms valdyti“, – pabrėžia VU Kauno fakulteto mokslo darbuotoja dr. R. Danielienė.
Nė viena sistema neišvengia atakų
Doc. L. Bukausko manymu, visos sistemos, kad ir kokios jos būtų, kada nors patirs kibernetinį incidentą. Anot mokslininko, kibernetinis saugumas yra nuolatinis darbas, kadangi šiandien naudojamos technologijos neturi šiuo metu žinomų pažeidžiamų vietų, bet apie jas sužinoma vėliau.
„Svarbu nuolatos rūpintis kibernetinio saugumo incidentų stebėsena, programinių sprendinių atnaujinimu, stebėti aplinką, kas tavimi domisi kaip organizacija. Pavyzdžiui, jei pamatote, kad sulaukėte 1000 užklausų iš skirtingų IP adresų su panašiu užklausimu, jau reikia susirūpinti savo saugumu ir stebėti, ieškoti, kur yra pažeidžiamų vietų. Kibernetinio saugumo specialistai nuolat stebi duomenų pažeidžiamumo bazes, kuriose nebūna paviešinamas pažeidžiamumas, bet tik įvardijama, kad produktas x yra pažeidžiamas. Jie dalyvauja grėsmių dalijimosi tinkluose, kurie padeda gauti ankstyvą informaciją apie vykstančios atakos šablonus ar atakuojančiųjų savybes“, – pasakoja doc. L. Bukauskas.
VU Matematikos ir informatikos fakulteto dėstytojas dar kartą primena, kad kibernetinių saugos incidentų išvengti siekiančios organizacijos privalo periodiškai atnaujinti programinius sprendinius, keisti slaptažodžius ar papildomai naudoti dviejų faktorių autentifikaciją. Sistemų tinklų administratoriai taip pat turėtų vengti taikyti populiariuosius slaptažodžius, kuriuos lengva atspėti.
Stebėti, anot eksperto, reikia ne tik įmonės naudojamų sistemų pažeidžiamumą, bet ir tai, kokiomis programomis, platformomis darbuotojai naudojasi darbo metu, ypač jei asmeniniai įrenginiai, tokie kaip mobilieji telefonai ir planšetės, įleidžiami į organizacijos tinklą. Būtina ugdyti ir darbuotojų gebėjimus vertinti naudojamų programų saugumą. Stebėti reikia ir kokios programos, mobiliosios programėlės ar interneto naršyklių plėtiniai lengvesniam slaptažodžių įsiminimui yra naudojami organizacijoje, nes kartais susiduriama su pertekliniu teisių reikalavimu ar saugomi net pilnateksčiai slaptažodžiai ne Europos Sąjungoje valdomose sistemose.
Mokslininkas atkreipia dėmesį ir į technologijų kūrėjų startuolių kuriamų mobiliųjų programėlių saugumą. Pasak mokslininko, startuoliai turėtų daugiau dėmesio skirti kuriamų produktų saugumui, laikytis saugaus programavimo reikalavimų.
„Startuoliai pritaiko naujausias technologijas, bet labai dažnai pamiršta atlikti kibernetinį saugumą užtikrinančius testavimus, ne visada laikosi saugaus programavimo reikalavimų. Tokių įmonių pagrindinis tikslas yra kuo greičiau pagaminti produktą, kartais neskiriant reikalingo dėmesio sukurto produkto saugumui. Kuriant sistemas neretai dalyvauja jauni žmonės, kurie dar gali ir neturėti pakankamai patirties saugumo požiūriu, o išmokti saugiai programuoti yra rimtas užsiėmimas, reikalaujantis ir patirtimi grįstų specifinių žinių“, – teigia doc. L. Bukauskas.