Kas tai? Eksperto įžvalgos

Kibernetinė erdvė 2020 m: kaip verslui išvengti programišių minų lauko

Reklama publikuota: 2020-05-28
Dr. Vilius Benetis, kibernetinio saugumo bendrovės „NRD Cyber Security“ vadovas sako, kad programišiai, kaip ir virusas, nejaučia ribų, į žmogų ar bendrovę jie gali nusitaikyti iš bet kurio pasaulio kampelio. Bendrovės nuotr.
svg svg
Dr. Vilius Benetis, kibernetinio saugumo bendrovės „NRD Cyber Security“ vadovas sako, kad programišiai, kaip ir virusas, nejaučia ribų, į žmogų ar bendrovę jie gali nusitaikyti iš bet kurio pasaulio kampelio. Bendrovės nuotr.

Robertas Muelleris, buvęs JAV Federalinio tyrimų biuro vadovas, yra sakęs, kad pasaulyje egzistuoja dviejų tipų įmonės: tos, kurios jau patyrė kibernetinių atakų, ir tos, kurios jų dar patirs. Kibernetinė erdvė verslui – ne tik neišmatuojamų išteklių, bet ir realių grėsmių kanalas. Dr. Vilius Benetis, kibernetinio saugumo bendrovės „NRD Cyber Security“ vadovas, pasakoja, kaip šiuolaikinėmis priemonėmis verslui kovoti su sparčiai tobulėjančiais programišiais, kuriems netrūksta nei išmonės, nei įžūlumo.

Šiuo metu aktyviai skelbiama žinia, jog fizinis pasaulis žmogui tapo pavojingas: negalima liesti kitų, privalu dezinfekuoti rankas, naudoti kaukes, laikytis atstumo. Tokia realybė vartotojams vis plačiau atveria elektroninę erdvę. Anot V. Benečio, mąstymas, jog realusis pasaulis yra baisesnis už tai, kas vyksta internete, yra puiki žinia kibernetiniams nusikaltėliams.

„Programišiai, kaip ir virusas, nejaučia ribų. Į žmogų ar bendrovę jie gali nusitaikyti iš bet kurio pasaulio kampelio.  Jų motyvacija dažnai yra paprasta: iš jūsų tiesiogiai ar netiesiogiai užsidirbti. O, jeigu įmanoma, uždirbti kartotinai“, — nusikaltėlių motyvus įvardija V. Benetis.

Sąmonės virsmas

V. Benetis sako, kad numatyti visų galimų kibernetinių atakų prieš verslą scenarijų – neįmanoma. Tačiau įmonių vadovams turėtų rūpėti ne visi galimi atakų variantai, o konkrečios – savo – įmonės apsaugomas visomis turimomis priemonėmis.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

„Programišius galima palyginti su startuoliais, kurie pradeda dirbti garaže. Jie itin greitai adaptuojasi prie kintančios aplinkos. Nuo jų besiginančios organizacijos, kurioms dažnai trūksta reikiamų finansinių ir žmogiškųjų resursų, visada bus lėtesnės. Tačiau pirmiausia reikėtų daugiau sąmoningumo. Pavyzdžiui,  Budapešto konvenciją, kuri yra pirmasis tarptautinis susitarimas dėl kovos su kibernetiniu nusikalstamumu ir bendradarbiavimo tiriant jo atvejus, per pastaruosius 19 metų pasirašė tik maždaug trečdalis pasaulio šalių, Lietuva sėkmingai yra tarp jų. Mums tiesiog reikia įprasti efektyviau saugoti savo turtą elektroninėje erdvėje“, — pataria V. Benetis.

Jis pabrėžia, kad šiuo metu kibernetiniai nusikaltėliai yra suįžūlėję visame pasaulyje. Automatizuoti, dirbtinio intelekto sprendimai kurie leistų išvengti kibernetinių atakų, dar neegzistuoja, nuo programišių neapsaugoti nei individualūs asmenys, nei verslas, nei valstybinės organizacijos.

„Pvz., JAV, kurioje nėra vieningo saugiomis priemonėmis grįsto indentifikavimo e-paslaugų portalo, kaip Lietuvoje įdiegtas e-parašas ar „Smart-ID“, šiuo metu sukčiai intensyviai atakuoja įvairių valstijų valstybines sistemas. Jie registruoja tūkstančius  žmonių nedarbingumo pašalpoms gauti ir vagia šiuos pinigus iš valstybės ar darbdavių. Valstybinės įstaigos tokius prašymus privalo apdoroti greitai, todėl praleidžia daug sukčiavimo atvejų, Asmeninių duomenų sukčiai gauna iš nutekintų ar pavogtų duomenų bazių internete. Panašios, gal mažesnės apimties machinacijos vyksta visame pasaulyje“, — pasakoja pašnekovas.

Jis pataria, kad pasitikrinti, ar kokia viešai yra žinoma informacija buvo nutekinta apie konkretų darbuotojo pašto adresą, galima šitame saugiame tinklalapyje, taip pat galima užsisakyti pranešimus apie visų įmonės e-pašto adresų naujai viešumoje nutekintą informaciją čia.

Svarbu gauti pinigų

Kibernetinio saugumo ekspertai sutinka, kad didžiausia klaida, kurią daro verslas, yra manymas, jog mažos įmonės, regionuose esančios bendrovės ar tos, kurios užsiima itin specializuota, nišine veikla, programišių nesudomins.

„Nusikaltėliui svarbu gauti pinigų, o iš ko – jam nėra skirtumo. Kiekvienas sąskaitą turintis verslas ar asmuo gali tapti ne tik taikiniu, net ir tramplinu nusikaltėliui pasiekti platesnį – kitų asmenų ar verslų – ratą“, — akcentuoja V. Benetis. – Be to, nereikėtų įsivaizduoti, kad užpulti gali tik programišiai. Dažnai puola tie, kas sugalvoja veikiantį metodą, kaip išvilioti pinigų, t.y., paprasti nusikaltėliai, sukčiai. Jie taip pat geba išmokti reikalingų IT žinių ar savo reikmėms pasamdyti kibernetinių nusikaltėlių. Tokiu būdu veikia išplėtota elektroninių nusikaltimų rinkos sistema“.

Daugiau turto

V. Benetis pasakoja, kad pastaraisiais metais, verslas vis dažniau sulaukia dviejų pobūdžių atakų.

„Pirmuoju atveju programišiai suklastoja finansinę verslo partnerių ar vadovų informaciją, ir nusitaiko į buhalterijos darbuotojus, prašydami pervesti nusikaltėliams pinigų. Antruoju atveju nusikaltėliai įsilaužia į įmonių IT sistemas, surenka įvairios jautrios informacijos (apie darbuotojus, klientus, verslą, produktus), sugadina rezervines kopijas ir užšifruoja duomenis. Tuomet paprašoma išpirkos, kuri mūsų rinkoje dažnai startuoja ties 15.000 EUR”, — vardija „NRD Cyber Security“ vadovas.

Anot jo, pirmuoju atveju nusikaltėliai puola visas įmones iš eilės, o šios dažniausiai jaučiasi „pasimovusios ant kabliuko“ ir apie atakas viešai neskelbia, tačiau bendradarbiavimas su policija vyksta.

„Antrasis atakų tipas verslui skaudesnis. Dėl jo sutrinka veikla, reikia priimti moraliai sunkų sprendimą: ar atgauti prarastus duomenis gėdingai susimokant nusikaltėliams, ar viską pradėti beveik nuo nulio ir taip pat gėdingai pasakoti partneriams, klientams, darbuotojams, o gal net ir asmens duomenų priežiūros organizacijoms, kas nutiko. Ir tikėtis, kad nė vienas iš jų neinicijuos ieškinio teisme“, — padarinius nusako pašnekovas ir priduria, kad kibernetinio saugumo draudimai tokio įvykio nuostolius paprastai dengia tik iš dalies.

Lietuvoje pastebima ir kita pasaulyje populiari ataka – užvaldomi verslų tinklalapiai, tada būtų galima jų naudotojus  nuvilioti į sukčiavimo schemą, kišant brukalus apgaudinėti paieškos variklius arba vogti naudotojų kreditinių kortelių duomenis iš e-prekyviečių ar kitą informaciją. Kol yra aptinkamos ir pašalinamos, šios atakos dažnai vyksta bent keletą savaičių.

Nulinis pasitikėjimas

Kalbėdamas apie galimus apsisaugojimo būdus, be įprastų, tačiau ne visų įmonių naudojamų kibernetinės higienos priemonių (prieigų, pažeidžiamumų valdymo, darbuotojų sąmoningumo skatinimo ir t.t.), V. Benetis išskiria šiuo metu populiarėjantį nulinio pasitikėjimo (angl. Zero Trust) metodą.

„Mintis labai paprasta: bet kokių dviejų ar daugiau įrenginių komunikavimas visada turi būti grindžiamas sukurtu pasitikėjimu. Pvz., prieš išsiunčiant ar priimant informaciją, turi būti pasitikrinama, ar įrenginiu, į kurį ji siunčiama ar iš kurio ji gaunama, yra pasitikima“, — nusako V. Benetis.

Kaip tai veikia realybėje? Dažniausiai suporuotas įrenginys, iš kurio ar į kurį siunčiama informacija, turi  išduotą nuolatinį ar laikiną vadinamąjį kriptografinį raktą, tai pat gali būti papildomai nuolat atliekama to įrenginio bazinės higienos patikra: užtikrinama, kad jis atnaujintas, šifruotas, atitinka organizacijos nustatymų politiką, ir pan.

„Skamba paprastai, tačiau įgyvendinti tai – užtrunka: tokią sistemą nėra įprasta, naudoti – ne visada patogu dėl dar besivystančių technologijų, be to, reikia iš esmės keisti organizacijos mąstyseną ir pirmiau galvoti apie išteklių apsaugą, o tik vėliau apie visą norimą funkcionalumą“, — kalba V. Benetis.

Pasak pašnekovo, dažnai nulinio pasitikėjimo principu sutvarkytose aplinkose darbo įrenginiai turi aukštesnius valdymo reikalavimus: nešiojamuose kompiuteriuose įdiegiamas vidinis kriptografinis modulis, išoriniai USB ir NFC jungčių autentifikatoriai, pasitelkiami sudėtingesni šifravimo valdymo principai. Visos slaptažodžių atsisakymo iniciatyvos, kurias siūlo, pvz., „Microsoft“ ar „Google“, irgi remiasi šiuo metodu.

Namo pamatai

Ekspertai pastebi, kad per COVID-19 krizę, ypač padaugėjo didesnių korporacijų, kurios diegia nulinio pasitikėjimo metodiką – dalinai perorganizuoja savo IT ūkį. V. Benetis pabrėžia, kad šiuo metu saugumą užtikrinančių priemonių, kurios tinkamos ir stambioms korporacijoms,  ir smulkiajam bei vidutiniam verslui, yra ne viena, tačiau dar esam toli nuo „vieno mygtuko“ technologijų, kurį paspaudus, viskas susitvarkytų kaip reikia. O toms, kas nežino, nuo ko pradėti, pataria pirmiausia pasirūpinti esminėmis priemonėmis.

„Kad namas būtų tvirtas ir saugus, reikia gerų pamatų ir tvirtų pagrindinių konstrukcijų. Elektroninėje erdvėje šios esminės konstrukcijos yra trys: vartotojo išprusimas ir gebėjimas kritiškai mąstyti naudojantis naujausiomis technologijomis, saugūs ir patikimi būdai nustatyti asmens (savo ir pašnekovo) tapatybę internete bei užtikrinimas, kad jos nebus klastojamos, ir ryšių šifravimas, kuris leidžia užtikrinti, kad perduodamų duomenų nebus klausomasi ir jie nebus keičiami. Todėl verslui verta pasitikrinti ir savo „pamatų“ tvirtumą ir tų, su kuriais ji bendrauja, kas turi prieigą prie jos dokumentų ar susirašinėjimų“, — detalizuoja V. Benetis.

Jis taip pat primena, kad internetas iš esmės tėra aibė optinio kabelio virvutėmis apjungtų tinklų. Kitaip sakant, nors kasdien juo naudojamės sėkmingai, jis nėra itin stabilus technologiškai.

„Verslas turėtų būti pasiruošęs situacijai, kad bet kurią dieną dėl kibernetinių atakų pusvalandžiui ar net 48 val. gali dingti vietinis ar tarptautinis interneto ryšys. Tereikia prisiminti šiemet prieš Lietuvos verslą nukreiptas DDOS atakas, kai programišiai užkemša ryšio tinklus, ir įmonių paslaugos ir tinklalapis tampa nepasiekiami vartotojui. Todėl kiekvienai įmonei reikėtų įsivertinti, kaip tokią situaciją ji norėtų suvaldyti, veiklos tęstinumo prasme“, — pataria pašnekovas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti? Verslo tribūna

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės –...

2022.06.08
Šiaulių banko eksperimentas – kada dirbti iš namų darbuotojai sprendžia patys Verslo tribūna 3

Pandemija parodė, kad dirbti iš namų įmanoma, o daliai darbuotojų tai yra net labiau priimtina. Kita vertus,...

2022.06.02
Abipusės naudos beieškant – ar įmanoma valstybės investicijų ir privačių finansuotojų sinergija? Verslo tribūna

Per 20 metų vien UAB „Investicijų ir verslo garantijos“ (INVEGA) į Lietuvos verslą įlieti daugiau nei 2 mlrd.

2022.05.31
Vilniaus kolegija parduoda sostinės centre esantį pastatą Verslo tribūna

Vilniaus kolegija (VIKO) parduoda nuosavybės teise valdomą pastatą, įsikūrusį Vilniuje Naugarduko gatvėje 5.

Statyba ir NT
2022.05.27
„NRD Cyber Security“ kviečia į kasmetinę „CyberSOC“ virtualią konferenciją Verslo tribūna

Gegužės 25 d. vyks jau ketvirtoji metinė konferencija, joje bus kalbama apie saugumo operacijų centrus (SOC),...

2022.05.18
Skaitmeninė revoliucija apskaitos darbų valdyme Verslo tribūna

Iš pirmo žvilgsnio gali atrodyti, kad apskaitoje daug vietos inovacijoms nėra, nes visi darbai persikėlė į...

2022.05.06
Patiriantiems finansinius sunkumus: namų darbai, kurie pravers kalbant su kreditoriais Verslo tribūna

Finansiniai sunkumai – nepriklausomai nuo to, ar jie sukelti vidinių, ar išorės veiksnių – neišvengiama...

2022.05.05
Kibernetinio saugumo specialistams IT žinios – privalumas, bet ne būtinybė Verslo tribūna

Kibernetinio saugumo specialistų poreikis auga ne tik Lietuvoje, bet ir visame skaitmenizacijos keliu...

2022.04.28
INVEGA: verslas turi būti finansuojamas atsakingai Verslo tribūna

Verslai skundžiasi, jog sulaukti finansavimo iš INVEGOS labai sudėtinga, esą keliami griežti reikalavimai,...

2022.04.26
Šiaulių banko patirtis: kodėl pardavimai ir rinkodara turi dirbti išvien Verslo tribūna

Sklandus skirtingų sričių kolegų darbas yra viena iš būtinų sąlygų verslo augimui. Bet realybėje skirtingi...

2022.04.07
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna 1

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku