Kodėl kibernetinis saugumas tapo kiekvieno reikalu, o ne tik IT specialistų galvos skausmu
Dar prieš dešimt metų žodžių junginys „kibernetinis saugumas” daugumą žmonių asocijavosi su kažkokiais tamsiuose rūsiuose sėdinčiais programuotojais arba Holivudo trileriais, kuriuose herojai spaudinėja klaviatūras ir per kelias sekundes „nulaužia” sistemas. Realybė pasikeitė kardinaliai. Šiandien kibernetinis saugumas – tai klausimas, kuris tiesiogiai liečia kiekvieną, kas turi išmanųjį telefoną, banko sąskaitą ar nors kartą yra prisijungęs prie interneto. O tai, kaip suprantate, yra praktiškai visi.
Lietuvoje situacija nėra išskirtinė – ji tiesiog atspindi bendrą pasaulinę tendenciją. Kibernetinių incidentų skaičius auga kasmet, o atakų sudėtingumas ir išradingumas verčia net patyrusius specialistus stebėtis. Nacionalinis kibernetinio saugumo centras (NKSC) kasmet fiksuoja tūkstančius incidentų, ir tai tik tie, apie kuriuos pranešama oficialiai. Tikrasis skaičius, ekspertų teigimu, gali būti kelis kartus didesnis.
Kaip atrodo šiuolaikinė kibernetinė grėsmė – ne filmuose, o tikrovėje
Populiarioji kultūra mums piršo vaizdą apie hakerius kaip genijus, kurie sėdi su kapišonu ant galvos ir rašo kodą žaliais simboliais juodame ekrane. Tikrovė yra kur kas prozaiškesnė ir dėl to – kur kas pavojingesnė. Didžioji dalis kibernetinių atakų remiasi ne technine genialumu, o žmogaus psichologija ir paprastu aplaidumu.
Phishing – tai tikriausiai labiausiai paplitusi atakos forma. Esmė paprasta: jums ateina el. laiškas, kuris atrodo kaip iš jūsų banko, „Lietuvos pašto”, „Sodros” ar net draugo. Laiške prašoma paspausti nuorodą, įvesti duomenis, patvirtinti kažką skubiai. Žmonės spaudžia. Ir tada prasideda problemos. Statistika negailestinga – net 90 procentų sėkmingų kibernetinių atakų prasideda nuo phishing el. laiško ar žinutės.
Ransomware – tai kita rūšis, kuri pastaraisiais metais tapo tikra epidemija. Kenkėjiška programa užšifruoja visus jūsų failus ir reikalauja išpirkos, dažniausiai kriptovaliuta, kad jų negalima būtų atsekti. Lietuvos įmonės, ligoninės, savivaldybės – visi buvo taikiniai. Kai kurie sumokėjo. Kai kurie prarado duomenis visam laikui.
Socialinė inžinerija – platesnė kategorija, apimanti visus metodus, kuriais manipuliuojama žmonėmis, o ne sistemomis. Skambutis iš tariamo „banko saugumo skyriaus”, žinutė iš „sūnaus”, kuriam reikia pinigų, netikras „Microsoft” palaikymo darbuotojas – visa tai socialinė inžinerija. Ir ji veikia todėl, kad žmonės iš prigimties linkę pasitikėti.
Slaptažodžiai – ta vieta, kur dauguma žmonių daro klaidą
Kalbant apie asmens kibernetinį saugumą, slaptažodžiai yra pirmoji ir dažnai paskutinė gynybos linija. Ir čia situacija yra tikrai liūdna. Kasmet skelbiami populiariausių slaptažodžių sąrašai, ir jie nekinta jau metų metus: „123456″, „password”, „lietuva”, gimimo data, vardo ir skaičiaus kombinacija. Tokie slaptažodžiai nulaužiami per sekundes – ne metaforiškai, o tiesiogine prasme.
Problema ta, kad žmonės turi dešimtis, o kartais šimtus paskyrų, ir atsiminti skirtingą sudėtingą slaptažodį kiekvienai – žmogiškai neįmanoma. Todėl naudojamas tas pats slaptažodis visur. Ir kai viena paskyra nulaužiama – o anksčiau ar vėliau taip nutinka su bet kuria platforma – nusikaltėliai bando tą patį slaptažodį visur kitur. Šis metodas vadinamas „credential stuffing” ir jis yra stebėtinai efektyvus.
Ką daryti praktiškai:
- Naudokite slaptažodžių tvarkyklę – tokias programas kaip Bitwarden (nemokama ir atviro kodo), 1Password ar KeePass. Jos generuoja ir saugo sudėtingus unikalius slaptažodžius kiekvienai paskyrai. Jums tereikia atsiminti vieną pagrindinį slaptažodį.
- Svarbiausioms paskyroms – el. paštui, bankininkystei, socialiniams tinklams – įjunkite dviejų faktorių autentifikaciją (2FA). Net jei kas nors sužinos jūsų slaptažodį, be antrojo faktoriaus – SMS kodo ar autentifikatoriaus programos – prisijungti negalės.
- Patikrinkite, ar jūsų el. paštas nebuvo nutekėjęs duomenų pažeidimų metu – tai galima padaryti svetainėje haveibeenpwned.com. Jei buvo – keiskite slaptažodžius nedelsiant.
- Slaptažodis turėtų būti bent 12 simbolių, su didžiosiomis ir mažosiomis raidėmis, skaičiais ir specialiais simboliais. Arba – ilga frazė, kurią lengva atsiminti, bet sunku atspėti.
Įmonių kibernetinis saugumas – kur pinigai ir kur skylės
Verslo aplinkoje kibernetinis saugumas yra ne tik techninis, bet ir strateginis klausimas. Vienas sėkmingas išpuolis gali kainuoti įmonei ne tik pinigus – duomenų nutekėjimas, reputacijos žala, baudos pagal BDAR (Bendrasis duomenų apsaugos reglamentas) gali nustumti net solidžią įmonę į bankroto ribą.
Lietuvos smulkaus ir vidutinio verslo atstovai dažnai mano, kad jie nėra įdomūs taikiniai – kam reikia pulti mažą buhalterijos įmonę ar nedidelę gamyklą? Ši logika yra klaidinga ir pavojinga. Automatizuotos atakos nerenka taikinių pagal dydį – jos tiesiog ieško bet kokios atviros skylės. Be to, mažos įmonės dažnai yra tiekimo grandinės dalis ir per jas galima pasiekti didesnius žuvus.
Didžiausios spragos įmonėse paprastai būna ne technologijose, o procesuose ir žmonėse. Darbuotojai, kurie neatpažįsta phishing laiškų. Seniai neatnaujinta programinė įranga. Nėra atsarginių kopijų arba jos niekada nebuvo patikrintos. Visi naudoja tą pačią administratoriaus paskyrą. Šios problemos nesprendžiamos brangiais ugniasienės sprendimais – jos sprendžiamos mokymu, tvarka ir disciplina.
Praktinės rekomendacijos verslui:
- Reguliariai mokykite darbuotojus atpažinti socialinės inžinerijos atakas. Simuliuojami phishing testai – puikus būdas patikrinti, kiek žmonės iš tikrųjų yra budrūs.
- Įdiekite „mažiausių privilegijų” principą – kiekvienas darbuotojas turėtų turėti prieigą tik prie to, ko jam reikia savo darbui atlikti, ir ne daugiau.
- Atsarginės kopijos – tai ne pasirinkimas, o būtinybė. Ir jos turi būti izoliuotos nuo pagrindinės sistemos, kad ransomware atveju nebūtų užšifruotos kartu su visais failais.
- Turėkite incidentų valdymo planą. Kas daro ką, kai nutinka kibernetinis incidentas? Jei šio plano nėra – chaosas garantuotas.
Valstybė ir kibernetinis saugumas – kas mus saugo ir kaip
Lietuvos valstybinė kibernetinio saugumo sistema per pastaruosius kelerius metus gerokai sustiprėjo, ir tai nėra tik gražūs žodžiai. NKSC, veikiantis prie Krašto apsaugos ministerijos, koordinuoja reagavimą į incidentus, teikia rekomendacijas, o svarbiausiems valstybiniams registrams ir infrastruktūrai – ir tiesioginę apsaugą.
Lietuva taip pat aktyviai dalyvauja NATO ir ES kibernetinio saugumo struktūrose. Tai svarbu, nes kibernetinės grėsmės neturi sienų – valstybinio lygio aktoriai, dažniausiai kalbant apie Rusiją ir Kiniją, vykdo nuolatines žvalgybines ir destruktyvias operacijas prieš Vakarų šalių infrastruktūrą, institucijas ir politinius procesus.
2022 metais, prasidėjus Rusijos invazijai į Ukrainą, kibernetinių atakų prieš Lietuvą skaičius šoktelėjo dramatiškai. DDoS atakos prieš valdžios institucijų svetaines, dezinformacijos kampanijos, bandymai prasiskverbti į kritinę infrastruktūrą – visa tai tapo kasdienybe. Tai priminimas, kad kibernetinis saugumas yra neatsiejama nacionalinio saugumo dalis.
Tačiau valstybė negali apsaugoti kiekvieno piliečio nuo kiekvienos grėsmės. Individualus sąmoningumas ir atsakomybė lieka svarbiausia gynybos linija. Jokia institucija nepasirūpins, kad jūs nenaudotumėte to paties slaptažodžio dešimtyje svetainių.
Privatumas internete – ar dar yra ko saugoti
Kibernetinis saugumas ir privatumas yra glaudžiai susiję, nors tai ne tas pats dalykas. Saugumas – tai apsauga nuo neleistinos prieigos. Privatumas – tai kontrolė, kas ir ką apie jus žino. Ir šiandien privatumas internete yra rimtai apgriautas – ne tik dėl nusikaltėlių, bet ir dėl pačių platformų, kuriomis naudojamės.
„Facebook”, „Google”, „TikTok” ir kiti technologijų gigantai renka apie jus stulbinantį kiekį duomenų: kur esate, ką perkate, ką skaitote, su kuo bendraujate, kaip ilgai žiūrite į tam tikrą turinį. Šie duomenys naudojami reklamai, bet jie taip pat yra vertingas taikinys nusikaltėliams ir valstybiniams aktoriams.
Praktiniai žingsniai privatumui gerinti:
- Naudokite VPN, ypač jungdamiesi prie viešų „Wi-Fi” tinklų kavinėse, oro uostuose, viešbučiuose. Viešas „Wi-Fi” be papildomos apsaugos – tai atvirų durų kvietimas.
- Peržiūrėkite programėlių leidimus savo telefone. Ar žibintuvėlio programėlei tikrai reikia prieigos prie jūsų kontaktų ir mikrofono? Greičiausiai ne.
- Naudokite privatumo orientuotas naršykles ar bent jau įdiekite reklamos blokatorius – jie ne tik apsaugo privatumą, bet ir sumažina kenkėjiškų reklamų riziką.
- Reguliariai peržiūrėkite, kokioms trečiųjų šalių programoms suteikėte prieigą prie savo „Google” ar „Facebook” paskyros. Dažnai ten susikaupę metų metais pamirštų aplikacijų.
Dirbtinis intelektas keičia žaidimo taisykles – ir ne visada mūsų naudai
Dirbtinis intelektas į kibernetinio saugumo lauką atėjo iš abiejų pusių vienu metu. Gynybos pusėje – AI padeda greičiau aptikti anomalijas, analizuoti didžiulius duomenų srautus, prognozuoti atakas. Atakos pusėje – AI leidžia kurti įtikinamesnius phishing laiškus, generuoti deepfake vaizdo ir garso įrašus, automatizuoti atakas neregėtu mastu.
Deepfake grėsmė yra ypač aktuali. Jau dabar yra užfiksuotų atvejų, kai nusikaltėliai naudojo dirbtinio intelekto sugeneruotą vadovo balsą ar veidą, kad apgautų darbuotojus ir privertė juos pervesti pinigus ar atskleisti konfidencialią informaciją. Vienas toks atvejis Honkonge kainavo įmonei 25 milijonus dolerių – darbuotojas dalyvavo vaizdo skambutyje su „kolegomis”, kurie visi buvo deepfake.
Tai keičia fundamentalų pasitikėjimo klausimą. Anksčiau patikimas skambutis iš pažįstamo balso buvo pakankamas patvirtinimas. Dabar to nebeužtenka. Organizacijos turėtų diegti papildomus patvirtinimo protokolus finansinėms operacijoms ir jautriems sprendimams – nepriklausomai nuo to, kaip tikras atrodo skambutis ar vaizdo konferencija.
Kai saugumas tampa kasdiene higiena, o ne panika
Kalbant apie kibernetinį saugumą, lengva nukristi į vieną iš dviejų kraštutinumų: arba visišką abejingumą („man tai nenutiks”), arba paranojišką nerimą, kai kiekvienas el. laiškas atrodo kaip grėsmė. Nei vienas iš jų nepadeda.
Sveika pozicija yra ta, kurią galima pavadinti „informuotu atsargumu”. Tai reiškia – žinoti pagrindines grėsmes, turėti elementarius apsaugos įrankius ir įpročius, bet neleisti tam paralyžiuoti kasdienio gyvenimo. Kibernetinis saugumas turėtų tapti tokia pat natūralia higiena kaip rankų plovimas – ne obsesija, o tiesiog gera praktika.
Svarbiausia suprasti: absoliutaus saugumo nėra ir nebus. Net geriausiai apsaugotos sistemos anksčiau ar vėliau pažeidžiamos. Tikslas nėra tapti neįveikiamu – tikslas yra tapti pakankamai sunkiu taikiniu, kad atakuotojai pereitų prie lengvesnių aukų, ir turėti pakankamai gerą reagavimo planą, kai vis dėlto kažkas nutinka.
Lietuva šiame kontekste turi ir pranašumų – aukštas skaitmeninis raštingumas, stipri IT sektoriaus bazė, aktyvi valstybinė pozicija kibernetinio saugumo srityje. Trūksta vieno – platesnio visuomenės sąmoningumo ir supratimo, kad tai nėra kažkieno kito problema. Tai mūsų visų problema. Ir mūsų visų atsakomybė.
Pradėkite nuo mažo: šiandien įdiekite slaptažodžių tvarkyklę. Rytoj įjunkite dviejų faktorių autentifikaciją el. paštui. Kitą savaitę pakalbėkite su darbuotojais apie phishing. Kibernetinis saugumas kuriamas ne vienu dideliu sprendimu, o šimtais mažų, nuoseklių žingsnių.