Kai ekranas tampa nusikaltimo vieta
Dar prieš dešimt metų žodis „hakeris” daugeliui asocijavosi su kino filmo personažu – kažkoks blyškus vaikinas su kapišonu, kuris tamsiame kambaryje greitai spaudinėja klaviatūrą ir per kelias sekundes „nulaužia” Pentagoną. Realybė, žinoma, buvo visada kiek kitokia, tačiau šiandien ji tapo dar sudėtingesnė, pavojingesnė ir – svarbiausia – artimesnė kiekvienam iš mūsų.
Kibernetiniai nusikaltimai nebėra kažkokia tolima grėsmė, kuri liečia tik dideles korporacijas ar vyriausybines institucijas. Jie vyksta čia pat – jūsų el. pašto dėžutėje, jūsų banko programėlėje, jūsų vaiko žaidimų platformoje. Lietuvos kriminalinės policijos biuro duomenimis, kasmet užregistruojamų kibernetinių nusikaltimų skaičius auga dviženkle procentine išraiška, o realus skaičius yra dar didesnis, nes dauguma aukų apie incidentus tiesiog nepraneša.
Šiame straipsnyje bandysime išnarplioti, kas iš tikrųjų slypi po terminu „kibernetinis nusikaltimas”, kokie jie būna, kaip veikia, ir – svarbiausia – ką galima padaryti, kad netaptumėte kita statistikos eilute.
Kibernetiniai nusikaltimai: ne tik „nulaužtos” sistemos
Daugelis žmonių mano, kad kibernetinis nusikaltimas – tai kažkas labai techninio. Kad tam reikia specialių žinių, sudėtingų programų, serverių. Iš dalies tai tiesa, tačiau šiuolaikiniai kibernetiniai nusikaltimai apima daug platesnį spektrą veikų, nei galėtų pasirodyti iš pirmo žvilgsnio.
Teisiniu požiūriu kibernetinis nusikaltimas – tai bet kokia neteisėta veika, kuri vykdoma naudojant kompiuterius, tinklus ar skaitmenines technologijas, arba kurios objektas yra kompiuterinės sistemos ir duomenys. Lietuvos Respublikos baudžiamasis kodeksas numato atsakomybę už neteisėtą prisijungimą prie informacinių sistemų, kompiuterinių duomenų sunaikinimą ar pakeitimą, kenkėjiškų programų platinimą ir daugelį kitų su skaitmenine erdve susijusių veikų.
Tačiau praktikoje kibernetiniai nusikaltimai skirstomi į kelias pagrindines kategorijas:
- Finansiniai nusikaltimai – sukčiavimas internetu, bankininkystės apgaulės, kriptovaliutų vagystės
- Duomenų vagystė – asmeninės informacijos, verslo paslapčių, sveikatos duomenų grobimas
- Išpirkos reikalaujančios atakos (ransomware) – sistemų užblokavimas ir reikalavimas sumokėti
- Tapatybės vagystė – kito asmens duomenų naudojimas nusikalstamais tikslais
- Kibernetinis šnipinėjimas – valstybinių ar korporatyvinių paslapčių vogimas
- Patyčios ir priekabiavimas internete – tai taip pat laikoma kibernetiniu nusikaltimu daugelyje šalių
Svarbu suprasti, kad šios kategorijos dažnai persipina. Sukčius, kuris išvilioja jūsų banko duomenis, gali tuo pačiu metu vogti jūsų tapatybę ir naudoti ją tolimesniems nusikaltimams.
Kaip tai veikia: nuo „phishingo” iki ransomware
Norėdami apsisaugoti, pirmiausia reikia suprasti, kaip kibernetiniai nusikaltėliai iš tikrųjų veikia. Ir čia atsiskleidžia viena nemaloni tiesa – dažniausiai jie naudoja ne sudėtingus techninius metodus, o paprasčiausią žmogišką psichologiją.
Phishing (žvejyba) – tai bene populiariausias metodas. Jūs gaunate laišką, kuris atrodo kaip iš jūsų banko, „Sodros”, „Lietuvos pašto” ar net draugo. Laiške prašoma paspausti nuorodą ir „patvirtinti duomenis”. Nuoroda veda į suklastotą svetainę, kuri atrodo identiškai originaliai. Jūs įvedate savo prisijungimo duomenis – ir jie iškart atsiduria nusikaltėlių rankose. Tai skamba paprastai, tačiau šis metodas veikia stebėtinai efektyviai net ir techniškai raštingiems žmonėms, ypač kai laiškai yra gerai paruošti ir sukurti streso situacijoje – pavyzdžiui, pranešant, kad jūsų sąskaita bus užblokuota per 24 valandas.
Ransomware – tai kenkėjiška programa, kuri užšifruoja visus jūsų kompiuterio failus ir reikalauja išpirkos už jų atrakinimą. Tokios atakos ypač skaudžiai smogia įmonėms ir viešosioms institucijoms. 2021 metais Airijos sveikatos apsaugos sistema patyrė tokią ataką ir buvo priversta atšaukti tūkstančius medicininių procedūrų. Lietuva taip pat nėra atspari – kelios savivaldybės ir įmonės jau yra patyrę panašius incidentus.
Socialinė inžinerija – tai platesnis terminas, apimantis visus metodus, kuriais nusikaltėliai manipuliuoja žmonėmis, o ne sistemomis. Tai gali būti skambutis iš „banko darbuotojo”, kuris praneša apie įtartiną operaciją ir prašo patvirtinti duomenis. Tai gali būti netikras „Microsoft” palaikymo specialistas, kuris sako, kad jūsų kompiuteris užkrėstas virusais. Tai gali būti net romantinis sukčiavimas – kai mėnesius kuriamas virtualus ryšys tik tam, kad galiausiai būtų paprašyta pinigų.
DDoS atakos (paskirstyto paslaugų atsisakymo atakos) – tai metodas, kai tūkstančiai užkrėstų kompiuterių vienu metu siunčia užklausas į vieną serverį, kol šis nebeišlaiko apkrovos ir „griūva”. Tokios atakos dažnai naudojamos prieš žiniasklaidos portalus, valdžios institucijas ar verslo konkurentus.
Lietuvos situacija: statistika, kuri verčia susimąstyti
Lietuva nėra kažkokia išskirtinė šalis kibernetinių nusikaltimų kontekste – mes kenčiame nuo tų pačių problemų kaip ir visa Europa. Tačiau yra keletas aspektų, kurie mūsų situaciją daro specifinę.
Pirma, Lietuva yra geopolitiškai jautrioje padėtyje. Tai reiškia, kad valstybinės institucijos, gynybos sektorius ir kritinė infrastruktūra nuolat sulaukia atakų, kurios, kaip manoma, yra koordinuojamos arba remiamos priešiškų valstybių. Nacionalinis kibernetinio saugumo centras (NKSC) kasmet skelbia ataskaitas, kuriose fiksuoja šimtus incidentų, susijusių su valstybinėmis sistemomis.
Antra, lietuviai, kaip ir kiti Baltijos šalių gyventojai, yra labai aktyvūs interneto vartotojai. Elektroninė bankininkystė, skaitmeninės paslaugos, internetinė prekyba – visa tai yra kasdienis gyvenimas. Tai puiku, tačiau kartu reiškia, kad potencialių atakos taškų yra labai daug.
Trečia – ir tai gal labiausiai neramina – daugelis kibernetinių nusikaltimų Lietuvoje lieka neišaiškinti. Dalis jų vykdoma iš užsienio, kur Lietuvos teisėsaugos galimybės yra ribotos. Kita dalis – tiesiog nepakankamai ištiriama dėl specialistų trūkumo.
Pagal Europos Sąjungos kibernetinio saugumo agentūros (ENISA) duomenis, finansiniai nuostoliai nuo kibernetinių nusikaltimų Europoje kasmet siekia dešimtis milijardų eurų. Lietuvos dalis šioje sumoje, proporcingai gyventojų skaičiui, yra visiškai reali ir apčiuopiama.
Vienas iš labiausiai paplitusių nusikaltimų Lietuvoje – sukčiavimas naudojantis internetiniais skelbimų portalais. Žmogus parduoda daiktą, gauna „pirkėjo” žinutę su nuoroda „patvirtinti mokėjimą”, paspaudžia – ir netenka banko duomenų. Šis scenarijus kartojasi tūkstančius kartų per metus.
Kas yra kibernetiniai nusikaltėliai ir kodėl jie tai daro
Populiarus stereotipas apie vienišą hakerį su kapišonu toli gražu neatspindi realybės. Šiuolaikiniai kibernetiniai nusikaltimai dažnai yra organizuotos nusikalstamos grupuotės verslas – su hierarchija, darbo pasidalijimu, net „klientų aptarnavimu”.
Taip, skamba absurdiškai, bet yra vadinamasis „Ransomware as a Service” (RaaS) modelis – kai viena grupuotė sukuria kenkėjišką programą ir „nuomoja” ją kitiems nusikaltėliams už dalį pelno. Tai verslo modelis, analogiškas teisėtam SaaS (Software as a Service) sektoriui. Tokios grupuotės kaip „LockBit”, „REvil” ar „Conti” veikė kaip tikros korporacijos su savo „prekės ženklais” ir reputacija tamsiajame internete.
Motyvai būna įvairūs:
Finansinis pelnas – tai dominuojantis motyvas. Kibernetiniai nusikaltimai yra labai pelningi ir santykinai saugūs – tikimybė būti sugautam yra žymiai mažesnė nei tradiciniuose nusikaltimuose. Nusikaltėliai gali dirbti iš šalies, kurioje nėra ekstradicijos sutarčių, ir niekada fiziškai nesusitikti su aukomis.
Politiniai ar ideologiniai motyvai – vadinamasis „hacktivizmas”. Grupuotės kaip „Anonymous” vykdo atakas prieš organizacijas, kurias laiko neteisėtomis ar žalingomis. Tai gali būti vyriausybinės institucijos, korporacijos ar net nusikalstamos organizacijos.
Valstybinis šnipinėjimas – kai valstybės naudoja kibernetines priemones prieš kitas valstybes ar jų piliečius. Šioje srityje ypač aktyvios Rusija, Kinija, Šiaurės Korėja ir Iranas, nors ir Vakarų šalys turi savo kibernetines pajėgas.
Asmeniniai motyvai – kerštas, pavydas, noras pakenkti konkrečiam žmogui. Tai dažniau pasitaiko kibernetinio priekabiavimo ir stalkingo atvejais.
Praktiniai patarimai: kaip apsisaugoti
Čia pereisime prie to, kas iš tikrųjų svarbu – ką galite padaryti jau šiandien, kad sumažintumėte riziką. Ir iš karto pasakysime: absoliučios apsaugos nėra. Tačiau galima labai ženkliai sumažinti tikimybę tapti auka.
1. Slaptažodžiai – rimtai
Tai skamba banaliai, tačiau silpni arba pakartotinai naudojami slaptažodžiai yra viena dažniausių priežasčių, kodėl žmonės tampa aukomis. Naudokite slaptažodžių tvarkyklę – tokias kaip „Bitwarden” (nemokama ir atviro kodo), „1Password” ar „LastPass”. Jos leis turėti unikalų, ilgą ir sudėtingą slaptažodį kiekvienai paskyrai, o jūs turėsite įsiminti tik vieną pagrindinį slaptažodį.
2. Dviejų faktorių autentifikacija (2FA)
Įjunkite ją visur, kur tik galima – el. pašte, banke, socialiniuose tinkluose. Net jei kas nors sužino jūsų slaptažodį, be antrojo faktoriaus (paprastai – kodo iš telefono) jis negalės prisijungti. Geriausia naudoti autentifikatoriaus programėlę (pvz., „Google Authenticator” ar „Authy”), o ne SMS žinutę, nes SMS galima perimti.
3. Atnaujinimai – ne erzinantys pranešimai, o saugumo lopai
Kiekvieną kartą, kai jūsų telefonas ar kompiuteris praneša apie naujinimą, tai dažniausiai reiškia, kad buvo rasta saugumo spraga ir ji buvo užtaisyta. Atidėliodami atnaujinimus, jūs palikate tą spragą atvirą. Įjunkite automatinius atnaujinimus – tai vienas paprasčiausių ir efektyviausių apsaugos būdų.
4. Skepticizmas – jūsų geriausias draugas
Jei gaunate laišką ar žinutę su nuoroda – net ir iš pažįstamo žmogaus – prieš spausdami pagalvokite. Ar tikėtina, kad šis žmogus siųstų tokią žinutę? Ar nuoroda atrodo teisinga? Jei abejojate – geriau patikrinkite tiesiogiai paskambinę asmeniui arba atidarykite svetainę rankiniu būdu, nerašydami nuorodos iš laiško.
5. Atsarginės kopijos
Reguliariai darykite atsargines svarbiausių failų kopijas – ir ne tik į išorinį diską, bet ir į debesies saugyklą. Jei jūsų kompiuteris bus užkrėstas ransomware, turėdami atsarginę kopiją galėsite tiesiog atstatyti sistemą, o ne mokėti išpirkos.
6. Viešieji „Wi-Fi” tinklai
Niekada nesinaudokite internetine bankininkyste ar neįveskite slaptažodžių prisijungę prie viešojo „Wi-Fi” tinklo kavinėje, oro uoste ar viešbutyje. Jei būtina naudotis viešuoju tinklu – naudokite VPN (virtualų privatų tinklą).
7. Ką daryti, jei tapote auka?
Pirmiausia – nepaninkite ir neskubėkite. Jei tai finansinis sukčiavimas – nedelsdami susisiekite su savo banku ir praneškite apie incidentą. Bankai dažnai gali sustabdyti ar atšaukti operacijas, jei apie jas pranešama greitai. Tada kreipkitės į policiją – net jei manote, kad nieko nebus padaryta, pranešimas padeda kaupti statistiką ir gali padėti išaiškinti nusikaltėlius. Taip pat galite kreiptis į NKSC (Nacionalinį kibernetinio saugumo centrą), jei incidentas susijęs su valstybinėmis sistemomis ar verslu.
Verslas kibernetinių grėsmių akivaizdoje
Jei jūs vadovaujate įmonei arba dirbate organizacijoje, kuri tvarko klientų duomenis, kibernetinis saugumas yra ne tik techninė, bet ir teisinė bei reputacinė problema.
Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR/GDPR) numato griežtas sankcijas už duomenų saugumo pažeidimus. Jei įmonė patiria duomenų nutekėjimą ir apie tai laiku nepraneša atitinkamoms institucijoms, bauda gali siekti iki 4% metinės apyvartos arba 20 milijonų eurų – priklausomai nuo to, kuri suma didesnė. Tai nėra teorinė grėsmė – Europos reguliatoriai aktyviai skiria baudas.
Tačiau dar svarbiau yra reputacinis aspektas. Klientai vis labiau supranta savo duomenų vertę ir vis mažiau toleruoja neatsargų jų tvarkymą. Įmonė, patyrusi didelį duomenų nutekėjimą, gali prarasti klientų pasitikėjimą daug greičiau, nei spėjo jį užsitarnauti.
Ką turėtų daryti verslas:
- Reguliariai mokyti darbuotojus atpažinti phishing atakas ir kitas socialinės inžinerijos taktikas – žmonės yra silpniausia grandis
- Turėti aiškų incidentų valdymo planą – kas ką daro, jei įvyksta ataka
- Atlikti reguliarius saugumo auditus ir pažeidžiamumų vertinimus
- Apdrausti kibernetines rizikas – kibernetinio draudimo rinka sparčiai auga
- Laikytis minimalios privilegijų principo – darbuotojai turėtų turėti prieigą tik prie tų duomenų ir sistemų, kurių jiems reikia darbui
Skaitmeninė ateitis: grėsmės, kurios dar tik ateina
Kibernetiniai nusikaltimai nestovi vietoje – jie evoliucionuoja kartu su technologijomis. Ir čia yra keletas tendencijų, kurios turėtų sukelti susirūpinimą.
Dirbtinis intelektas nusikaltėlių rankose. DI jau naudojamas kuriant įtikinamesnius phishing laiškus, generuojant netikrus balsus ir veidus (deepfake), automatizuojant atakas. Jau dabar yra atvejų, kai nusikaltėliai, naudodami DI, imitavo įmonės vadovo balsą ir telefonu instruktavo buhalterį atlikti didelį pavedimą. Tai vadinamasis „vishing” (voice phishing) – ir jis tampa vis sudėtingiau atpažįstamas.
Daiktų interneto (IoT) pažeidžiamumas. Jūsų išmanusis šaldytuvas, apsaugos kamera, termoregliatorius – visa tai yra prijungta prie interneto ir gali tapti atakos taikiniu arba įrankiu. Daugelis IoT įrenginių turi labai silpną saugumą, nes gamintojai dažnai prioritetizuoja kainą ir patogumą, o ne saugumą.
Kvantiniai kompiuteriai ir šifravimo ateitis. Šiuo metu daugelis saugumo sistemų remiasi šifravimo algoritmais, kuriems „nulaužti” įprastam kompiuteriui prireiktų milijonų metų. Kvantiniai kompiuteriai galėtų tai padaryti žymiai greičiau. Tai dar nėra realus pavojus šiandien, tačiau kibernetinio saugumo specialistai jau dabar kuria „post-kvantinio” šifravimo standartus.
Kritinės infrastruktūros atakos. Elektros tinklai, vandens tiekimo sistemos, ligoninės, transporto infrastruktūra – visa tai yra potencialūs taikiniai. Tokios atakos gali turėti fizinių pasekmių – ir tai jau nėra tik teorija. 2021 metais buvo bandyta užnuodyti vandens tiekimą Floridoje, pakeičiant chemikalų koncentraciją per nuotolinę prieigą prie valdymo sistemos.
Kai skaitmeninis pasaulis tampa tikresnis nei norėtume
Kibernetiniai nusikaltimai nėra kažkokia abstrakti grėsmė iš mokslinės fantastikos. Tai tikri nusikaltimai, turintys tikras aukas – žmones, kurie praranda santaupas, verslus, kurie bankrutuoja, institucijas, kurios nebegali teikti paslaugų, žmones, kurių privatumas yra pažeistas ir kurie jaučiasi pažeidžiami savo pačių namuose.
Tačiau svarbu nepasiduoti paranojai. Internetas ir skaitmeninės technologijos suteikia neįtikėtinų galimybių – bendrauti, mokytis, dirbti, kurti. Tikslas nėra atsisakyti šių technologijų, o naudotis jomis protingai ir atsakingai.
Kibernetinis saugumas – tai ne vienkartinis veiksmas, o nuolatinis procesas. Kaip ir fizinė sveikata: negalima vieną kartą pasportuoti ir tikėtis, kad viskas bus gerai visą gyvenimą. Reikia reguliariai atnaujinti žinias, tikrinti savo įpročius, sekti naujas grėsmes.
Valstybės lygmeniu Lietuva daro pažangą – NKSC stiprina savo pajėgumus, rengiamos kibernetinio saugumo pratybos, diegiamos naujos apsaugos sistemos. Tačiau valstybė negali apsaugoti kiekvieno piliečio nuo kiekvienos grėsmės. Čia atsiranda individualios atsakomybės klausimas.
Galiausiai, kibernetiniai nusikaltimai yra tik atspindys platesnės realybės: ten, kur yra vertybių – pinigų, duomenų, informacijos, galios – visada atsiras norinčių jas pasisavinti neteisėtais būdais. Skaitmeninis pasaulis šiuo atžvilgiu niekuo nesiskiria nuo fizinio. Skirtumas tik tas, kad čia ribos tarp šalių yra nerealios, aukos ir nusikaltėliai niekada nesusitinka akis į akį, o pasekmės gali būti juntamos per sekundes kitame pasaulio gale.
Todėl kitas kartas, kai gausite laišką su nuoroda „patikrinkite savo paskyrą” – sustokite. Pagalvokite. Ir galbūt tas trumpas sustojimas išsaugos jūsų santaupas, duomenis ar ramybę.