Kibernetinės atakos nuolat keičia formą ir turinį. Nuo pirmųjų kompiuterio ekrane pasirodžiusių reklamų, kur vieno mygtuko paspaudimu galėjote laimėti naują mobilųjį telefoną, ar elektroninio laiško apie milijoninį palikimą iš nepažįstamojo iki aktyvios nuorodos telefone iš banko su prašymu pasikeisti slaptažodį. Dar daugiau, jau visai netrukus sukčiai jums gali paskambinti ir giminaičio ar draugo balsu prašyti pervesti pinigus į banko sąskaitą.
Kaip atpažinti kibernetines atakas ir jų išvengti? Kokią žalą patiria organizacijos po kibernetinių atakų? Kodėl mūsų požiūris į kibernetinį saugumą vis dar turi spragų? Į šiuos ir kitus klausimus atsako Vilniaus universiteto Kauno fakulteto Socialinių mokslų ir taikomosios informatikos instituto mokslininkas doc. Kęstutis Driaunys.
Mokslininkai teikia mokymo paslaugas organizacijoms kibernetinės saugos tema
Doc. K. Driaunio komandos moksliniai tyrimai daugiausia susiję su skaitmeninio turinio analize ir sukčiavimo atakomis organizacijoje. Tad mokslininkai neretai gauna užsakymų iš įstaigų ir verslo įmonių su prašymu surinkti specifinę informaciją apie organizaciją, sudaryti jos profilį ar organizuoti socialinės inžinerijos ataką.
„Verslui ir viešajam sektoriui dažniausiai teikiame mokymo paslaugas. Šios paslaugos apima platesnį spektrą nei tik mokomosios medžiagos išdėstymas. Mes gilinamės į organizacijos profilį, veiklą, atliekame reikalingus testus (socialinės inžinerijos atakas ir simuliacijas) ir tik po to vedame mokymus. Taip patikriname veikiančių procesų ir komunikacijos efektyvumą organizacijoje. Kitaip tariant, tikriname ne tik tai, ar žmonės paspaudžia vieną ar kitą nuorodą laiške, bet ir tai, ar informuoja ir ką informuoja organizacijoje apie tokią ataką“, ‒ pasakoja doc. K. Driaunys.
Jau daugiau kaip 20 metų kibernetinio saugumo tyrimus atliekantis mokslininkas pastebi pasikeitusį žmonių požiūrį šiuo klausimu. Pirmiausia tai lemia platus skaitmeninių technologijų naudojimas ir komunikavimas apie kibernetinio saugumo atakas.
„Kiekvienas iš mūsų susiduriame su kibernetinėmis atakomis: skaitome apie jas naujienų portaluose, girdime draugų ir pažįstamų istorijas, o kartais būname apgauti ir patys. Tokių atakų pobūdis įvairus ir apima kvietimą investuoti į įvairias suklastotas finansų platformas, apgaulingus skambučius su prašymais pervesti pinigus į vieną ar kitą sąskaitą, apsimetinėjimą kitu asmeniu pažinčių platformose ir kitus būdus. Tad mes visi apie šias atakas daugiau ar mažiau žinome, o žinodami ir rečiau užkimbame ant sukčių kabliuko“, ‒ pažymi mokslininkas.
Kibernetinė sauga ‒ dar vienas kasdienis procesas mūsų gyvenime
Mokslininkas pasakoja, kad į jo kartu su kolegomis vedamus mokymus įmonių ir įstaigų darbuotojams žmonės dažnai ateina vildamiesi, kad yra tam tikras universalus sprendimas ar programa, kurią reikia įdiegti, ar kažkokia paslaptinga taisyklė, kurios reikia laikytis, norint apsisaugoti nuo sukčiavimo atakų.
„Žmonės dažnai būna kritiški ir nenusiteikę įsitraukti į mokymus, nes yra vedami klaidingos logikos apie tai, kad egzistuoja stebuklingas mygtukas, kurį paspaudus duomenys bus apsaugoti. Turiu jus nuvilti, nes tokio mygtuko nėra“, ‒ sako docentas.
Kibernetinio saugumo kontekste daug svarbesnis suvokimas, kad tai yra dar vienas kasdienis procesas mūsų gyvenime. Kaip valgydami greitą maistą ir neskirdami laiko poilsiui ar fiziniam aktyvumui suvokiame, kad tai turės neigiamą įtaką mūsų sveikatai, taip ir kibernetinė sauga susideda iš daug žingsnių ir veiklų, kurias reikia atlikti.
„Mes turime suprasti, kaip elgtis su technologijomis, turėti taisykles ar net paruoštus procesus, kaip elgsimės vienu ar kitu atveju. Nesilaikydami šių taisyklių, dažniausiai patirsime didesnę žalą. Tad derėtų kiekvienam sau atsakyti į klausimus, kokie mano duomenys svarbiausi, ar jie tinkamai apsaugoti, kas dar, be manęs, turi prieigą prie šių duomenų, kas nutiks, jei prarasiu šiuos duomenis, jei jie bus paviešinti, kam pranešiu ir kokių žingsnių imsiuosi“, ‒ vardija mokslininkas.
Kibernetinių atakų bruožai: nuo klaidingų nuorodų iki suklastotų sąskaitų už paslaugas
Kalbėdamas apie pagrindinius kibernetinių atakų bruožus, doc. K. Driaunys teigia, kad tendencijos yra panašios kaip ir visoje Europos Sąjungoje ir dažniausiai yra susijusios su socialine inžinerija.
„Nigerijos princo žinutės anglų kalba šiandien jau nėra veiksmingos, tad tokių atakų mes nebesitikime, o gavę tokią žinutę nebereaguojame. Bet turime lietuviškai parengtų sukčiavimo atakų, kurios yra labai aukšto lygio ir jas atpažinti tikrai sunku“, ‒ sako mokslininkas.
Labai dažnai mus pasiekia žinutės su prisegta nuoroda, kurioje neva yra pateikiama informacija apie gautą baudą ar pašto skyriuje laukiančią siuntą. Paklaustas, kokios grėsmės slypi paspaudus šią nuorodą, mokslininkas pažymi, kad tam tikrais atvejais gali būti diegiama programinė įranga ar į kompiuterį parsiunčiamas failas.
„Banaliausia, ką sukčiai su šia nuoroda gali padaryti, tai nukreipti į svetainę, o tuomet jau jūsų naršyklė atiduos nemažai informacijos apie jus. Tad net ir nieko toliau nedarant, apie vartotoją sužinoma nemažai. Žinoma, neretai siūloma užpildyti tam tikrą formą ar pasikeisti slaptažodį. Tradicinis phishing veda į formą, kur būsite paprašyti prisijungti prie vienos ar kitos sistemos. Tą formą galima nuklonuoti kokią tik norima: tiek banko, tiek universiteto, tiek bet kokią kitą“, ‒ pasakoja docentas.
Yra visa aibė pavyzdžių, kai sukčiams už realias paslaugas ar prekes, kurias organizacijos turėtų gauti, pervedamos lėšos. Pasakodamas, kaip tokios atakos yra organizuojamos, docentas pažymi spragas viešojo sektoriaus naudojamose sistemose. Viešajame sektoriuje pirkimai vyksta viešųjų pirkimų būdu. Tad viešųjų pirkimų portale skelbiami visi sandoriai, nurodant rangovus ir net pateikiant gautas sąskaitas.
„Tokie dokumentai su kontaktiniais ir kitais įmonių duomenimis yra viešai prieinami. Tad sukčiai turi jau paruoštas sąskaitas, kurias galima siųsti viešojo sektoriaus organizacijai, pakeitus tik sąskaitos, į kurią reikia pervesti lėšas, numerį. Kadangi organizacijos buhalterių darbo krūvis labai didelis, kartais tie keli besiskiriantys skaičiai banko sąskaitoje tikrai gali likti nepastebėti. Suklastotoms sąskaitoms tikrinti ir atpažinti reikalingi procesai, kurių dar stokojama. Tad skaidrumas šiuo atveju atsisuka bumerangu“, ‒ pažymi mokslininkas.
Kibernetinių atakų žala
Didžiosios verslo įmonės skiria vis daugiau dėmesio kibernetinei saugai, o smulkusis ir vidutinis verslas atsilieka. 2018 m. įvestas Bendrasis duomenų apsaugos reglamentas padiktavo reikalavimus ir taisykles, tačiau toli gražu ne visos organizacijos jas supranta ir jų laikosi.
„Lietuvos padėtis yra labai artima pasaulinei statistikai. Apie 60 proc. smulkiojo verslo įmonių, patyrusių kibernetinę ataką, per 6 mėnesius uždaro savo veiklą. Šios įmonės neturi resursų atsitiesti po kibernetinių atakų. Vidutiniame ar stambiajame versle procesai yra kitokie ir resursų, tiek žmogiškųjų, tiek finansinių, tam skiriama daugiau. Tikimasi, kad situacija pasikeis nuo 2024 m. spalio, kai Lietuvos teisės aktuose įsigalios Europos Sąjungos Tinklų ir informacinių sistemų saugumo direktyva. Šios direktyvos turės laikytis daugiau kaip 16 tūkst. Lietuvos įmonių“, ‒ teigia doc. K. Driaunys.
Įmonių patiriama žala kibernetinių atakų metu susideda iš finansinių ir / ar reputacijos nuostolių ir papildomos baudos, kurią galima gauti už netinkamą duomenų tvarkymą. Ne mažiau svarbu ir tai, kad, sutrikus įmonių sistemoms, sutrinka ir visa įmonės veikla.
„Turėjome pavyzdį, kai buvo įsilaužta į vienos iš viešojo sektoriaus organizacijų sistemas ir organizacijos procesai strigo dviem savaitėms: neveikė nei elektroninis paštas, nei kitos sistemos. Svarbu paminėti ir tai, kad, įmonėms nutylėjus kibernetinės atakos ir duomenų vagystės faktą, bauda už tai yra kelis kartus didesnė nei už duomenų nesaugojimą. Tik labai gaila, kad patyrus vieną ar kitą ataką retai kada imama daugiau dėmesio skirti kibernetinei saugai“, ‒ pažymi docentas.
Kaip išvengti kibernetinių atakų?
Kibernetinės saugos procesą apgalvoti ir įvertinti padeda jau egzistuojantys kibernetinio saugumo modeliai. Pradėti reikėtų nuo prevencinių priemonių: neviešinti perteklinės informacijos apie save, laikytis higienos taisyklių kalbant apie slaptažodžius, autentifikaciją ar atsargines kopijas.
„Įmonės vis rečiau skelbia darbuotojų kontaktus savo tinklalapiuose, nes supranta, kad darbuotojų sąrašai su el. pašto adresais atidaro daug organizacijos taikinių. Viešojo sektoriaus organizacijos vis dar viešina šiuos duomenis, tad ir atakų turime nemažai. Žinoma, nereikėtų pamiršti ir Linkedin’o, nes čia mes esame linkę viešinti darbinius santykius savo profilyje, todėl šis socialinis tinklas tampa puikiu duomenų šaltiniu sukčiams. Tad viena iš prevencinių priemonių yra slėpti šiuos duomenis. Antra priemonė – techninė ir programinė įranga, analizuojanti ir filtruojanti gaunamą informacijos srautą, nepraleidžianti suklastotų žinučių iki darbuotojų“, ‒ pažymi mokslininkas.
Jau pakliuvus į kibernetinę ataką, esama specifinių įrankių ją stabdyti. Tokių įrankių pavyzdžiu galėtų tapti ir Nacionalinio kibernetinio saugumo centro nemokama vieša paslauga DNS užkarda.
„Ši užkarda blokuoja prieigą prie žinomos kenkėjiškos svetainės, jei darbuotojas paspaudžia suklastotą nuorodą. Dalį atakų padeda sustabdyti antivirusinė ar interneto saugumo programinė įranga, analizuojanti į vidinį organizacijos tinklą ateinantį srautą“, ‒ paaiškina docentas.
Trečias žingsnis apima priemones, kurias naudosime, kai ataka bus sėkminga, nes tam tikra atakų dalis pereis pirmas gynybines linijas.
„Turime aiškiai žinoti, ką darysime su kritiniais resursais, turėti atsargines duomenų kopijas, naudoti multifaktorinį prisijungimo būdą. Labai svarbu naudoti ir įrankius, kurie praneštų apie nutekėjusius duomenis (pavyzdžiui slaptažodžius). Greitai apie tai sužinojus, galima greitai pasikeisti slaptažodį ir galbūt išvengti žalos. Tad yra prevencija, gynyba ir veiksmai jau įvykus atakai“, ‒ sako doc. K. Driaunys.
Dirbtinis intelektas ir kibernetinio saugumo ateitis
Šiandien vis plačiau naudojami dirbtinio intelekto (DI) įrankiai ir algoritmai neaplenkia ir kibernetinės saugos. Doc. K. Driaunys pasakoja, kad kartu su kolegomis vykdo mokslinius tyrimus, kurių metu siekia DI panaudoti rizikoms vertinti.
„Šių tyrimų metu siekiame DI panaudoti skaitmeninio turinio analizei, įkalčiams surinkti. Tad DI pasitelkiame stebėti tinklams, ieškoti juose anomalijų, aptikti atakoms“, ‒ pasakoja mokslininkas.
Kita vertus, DI naudojamas ir kibernetinėms atakoms projektuoti, nepaisant egzistuojančių įrankių, skirtų tokioms atakoms blokuoti. Vienas iš populiariausių pavyzdžių ‒ DI naudojimas socialinėje inžinerijoje, kuriant sintetines klastotes (angl. deep fake).
„Šiandien sulaukiame skambučių iš nepažįstamojo, kuris praneša apie mūsų giminaičių avarijas, bet jau greitai sulauksime skambučio mūsų artimojo balsu, kuris praneš šią informaciją. Lygiai taip galima eiti ir dar toliau ir atsiųsti sumontuotą vaizdo įrašą, kuriame bus jums artimas asmuo ir prašys pervesti pinigus į vieną ar kitą banko sąskaitą ar atlikti dar kokį veiksmą“, ‒ pasakoja mokslininkas.
Docento patarimas ir rekomendacija ‒ kalbantis turėti frazę, kokį nors kodinį žodį, kuris patvirtintų, kad kalbamės tikrai su tuo asmeniu.
„Kodiniai žodžiai padėtų užtikrinti, ypač netikėto pokalbio metu, kad kalbamės tikrai su tuo žmogumi. Vis platesnis DI naudojimas ir mūsų asmeninių duomenų – vaizdo, garso įrašų – gausa leidžia parengti modelius, kurie galėtų imituoti vieną ar kitą asmenį, tad ateityje turėsime būti itin budrūs, norėdami nepakliūti į sukčių pinkles“, ‒ pažymi doc. K. Driaunys.