Elektroninė infrastruktūra: įmonių fasadai internete – ir tvarkingi, ir apgriuvę

Įmonių kibernetinio atsparumo stiprinimas yra aktualus visiems verslams. Dėl kibernetinio saugumo grėsmių – vandalų, nusikaltėlių, įvairių rūšių atakų, kurių skaičius pastebimai auga, – elektroniniai įmonių fasadai turi būti sutvirtinti pagal žymiai griežtesnius kibernetinio saugumo standartus nei egzistavę prieš dešimtmetį.

Grėsmę kelia ne vien naudos siekiantys programišiai, bet ir mums priešiškos valstybės, kurių elgsena kibernetinėje erdvėje neprognozuojama ir gali būti pavojinga.  Ekspertai pabrėžia, kad nuo kibernetinių atakų NATO neapgins, tad savo elektroninės sistemos kibernetiniu saugumo higiena pirmiausiai turėtų pasirūpinti jos savininkai.

Stebimas organizacijų kibernetinis atsparumas

Lietuvos nacionalinio informacinių ir ryšių technologijų (IRT) sektoriaus asociacija „Infobalt“ šių metų pabaigoje kartu su Didžiosios Britanijos platforma „Hardenize“ pradėjo vystyti bendrą privatų nekomercinį projektą, skirtą pastoviam Lietuvos organizacijų internetinių svetainių ir elektroninio pašto sistemų saugos būklės vertinimui ir viešinimui. Stebimų organizacijų viešos interneto svetainės ir el. pašto sistemos kasdien peržiūrimos ir lyginamos su egzistuojančiais interneto svetainių ir el. pašto kibernetinio saugumo standartais.

Stebimos organizacijos sugrupuotos pagal ES TIS direktyvos (Tinklo ir informacinių sistemų saugumo, angl. NIS 2) šią savaitę išleistos antros versijos kritinei infrastruktūrai priskiriamus sektorius: bankininkystė, chemijos pramonė, skaitmeninė infrastruktūra, švietimas, energetika, finansų rinkos, draudimas, pašto ir kurjerių paslaugos, viešas administravimas ir kita.

Lietuvos „Infobalt“ asociacija, prisidėdama prie Kibernetinio saugumo strategijos įgyvendinimo stiprinant Lietuvos kibernetinę erdvę, šiuo projektu siekia atskleisti esamą kibernetinio atsparumo būseną, kuri matuojama korektiško ir saugaus nustatymo rodikliais (žr. iliustraciją). Taip norima atkreipti dėmesį į nepakankamai sutvarkytus interneto svetainių ir elektroninio pašto sistemų nustatymus ir paskatinti sistemingą situacijos gerinimą. Tikimasi jau 2023 metų viduryje pateikti apdorotą statistiką apie tai, kaip gerėjo vertinami rodikliai – kokia būsenos viešinimo ir instrukcijų nemokamo teikimo įtaka kibernetinio atsparumo gerinimui Lietuvoje.

Su platforma „Hardenize“ bendradarbiauja ir Estija, Šveicarija, Vengrija bei kitos pasaulio valstybės, todėl išanalizavus Lietuvoje esamą situaciją, ją lengva lyginti su kitų šalių atitinkamais rodikliais.

Panašius vertinimus sau ar komerciniais tikslais kasdien atlieka skirtingos organizacijos, įskaitant Lietuvos Nacionalinį Kibernetinio Saugumo Centrą (NKSC), „Microsoft“ (šiai įsigijus vertinimus atliekančią įmonę „RiskIQ“), Shodan.io, kiti  trečiųjų šalių rizikos vertinimo paslaugų tiekėjai. Šių vertinimų rezultatai nėra pilnai pateikiami viešai, nors visa apdorojama informacija yra viešai prieinama – taip ir gimė idėja šiam naujam projektui Lietuvoje.

Įsivertinti ir gerinti, prisidedant prie Lietuvos saugumo

Atliekama stebėsena atskleidžia dažniausiai pasitaikančias, tačiau paprastai sunkiai pastebimas klaidas. Tarp tokių galima išskirti situacijas, kai įmonė gindamasi nuo phishing atakų susitvarko savo e-pašto SPF apsaugos įrašus, tačiau dėl atskirų įmonės padalinių specifinių uždavinių į konfigūraciją įtraukiami keli neteisingi ar neegzistuojantys įrašai ir tokiu būdu išjungiama bet kokia SPF apsauga. Kitas tipiškas pavyzdys – kai palaikomi nesaugūs šifravimo algoritmai (kaip RC4) arba nereikalaujama, kad būtų būtinai naudojami stiprūs šifravimo algoritmai.

Apibendrinus jau turimus stebėsenos rezultatus matosi, kad valstybinio sektoriaus svetainės gana tvarkingai laikosi higienos normų. Tai dažnai pastebima ir kitose šalyse ir gali būti paaiškinama stipresniu sektoriaus reguliavimu bei didesne informacinės infrastruktūros svarba šaliai. Dėmesys atkreiptinas į tai, kad netgi bankines paslaugas teikiančios įmonės turi gerintinų vietų savo interneto svetainėse ir el. pašto sistemose, ir tokių atvejų yra nemažai.

Asociacijos „Infobalt“ nario ir „NRD Cyber Security“ vadovo bei šio projekto iniciatoriaus V. Benečio nuomone, viešų duomenų analizė ir pamatuojami bei aiškiai įvardinti korekcijos veiksmai yra svarbus visų įmonių ir organizacijų bendros kibernetinio saugumo higienos uždavinys.

„Projekto tikslas nėra kritikuoti – siekiame padėti suprasti, kokia yra situacija, ir imtis veiksmų. Įvairių organizacijų ir įmonių vadovai gali įsivertinti, kaip atrodo jų skaitmeninis fasadas. Jeigu viskas sutvarkyta tinkamai, pagal standartus, labai siūlytume padėkoti savo IT specialistams ar tiekėjams. O jei aptinkama spragų – planuoti pasitempimą. Ragintume netgi paskambinti pažįstamam kitos įvertintos organizacijos vadovui ir pakviesti susitvarkyti savo elektroninę infrastruktūrą, taip žingsnis po žingsnio paverčiant visą Lietuvą atsparesne“, – tikina V. Benetis.

Projekto portalas pasiekiamas adresu https://www.hardenize.com/dashboards/lithuania-dashboard/

Šiuo metu projekto apimtyje stebima daugiau nei 700 organizacijų, o ateityje planuojama reguliariai pildyti organizacijų sąrašus. Pastebėjus netikslumą ar norint papildyti sąrašą, galima susisiekti su V. Benečiu.

[infogram id="76656aca-58fb-448f-b9a7-a6a86fc7c78b" prefix="BlI" format="interactive" title="TR:NRD CS"]