Kibernetinis saugumas – kaip apsaugoti save?

Publikuota: 2019-10-08
svg svg

Šiandien nei vienas neįsivaizduojame savo kasdienybės be įvairių technologinių prietaisų – pradedant telefonais, kompiuteriais ir baigiant išmaniaisiais šaldytuvais ar automobiliais.

Nepaisant to, kibernetinis saugumas vis dar atrodo kaip nepaprastai sudėtingas, kartais netgi mistinis reiškinys, apie kurį nedaug kas rimtai susimąsto. Neretai yra įsivaizduojama, kad kibernetinės atakos yra tolimos, neaktualios ir su kasdienybe neturinčios daug bendro. Ir tą galima suprasti pažvelgus į žmonijos istoriją – vos prieš kelis šimtus metų, bakterijų egzistavimas atrodė kaip nesuvokiamas reiškinys, ir suvokimas, kad pasaulyje gyvename apsupti milijardų organizmų, kurie mus gali pražudyti, atrodė neįmanomas. Tačiau šiandien šį faktą daugiau ar mažiau suvokia net patys mažiausieji ir žino, kad paprastas rankų plovimas gali padėti apsisaugoti nuo pačių baisiausių ligų. Taip ir su kibernetiniu saugumu – suvokti yra sudėtinga, eilinis žmogus žinių ir supratimo turbūt turi nedaug, tačiau nei vienas nėra apsaugotas nuo kibernetinių nusikaltimų, auka gali tapti bet kas, o grėsmės yra labai realios.

Mažiau atakų, bet daugiau pavojaus

Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos išleistoje „Nacionalinio kibernetinio saugumo būklės ataskaitoje 2018“ yra skelbiama, kad 2018-aisiais metais Lietuvoje buvo užregistruota 53 183 kibernetinio saugumo incidentai, o kalbant apie internetines svetaines, kuriose lankomės kasdien, svarbu pagalvoti apie tai, jog, atlikus Lietuvos interneto svetainių (.lt) kibernetinio saugumo patikrinimus, buvo nustatyta, kad net 52 proc. iš 52 000 interneto svetainių, turinčių turinio valdymo sistemą, yra pažeidžiamos, o to pasekmės gali būti labai skaudžios ne tik organizacijoms, bet ir svetainių naudotojams. Didžiausios grėsmės — asmeninių duomenų nutekinimas, reputacijos sunaikinimas ar rimti finansiniai nuostoliai.

Kibernetinių atakų sudėtingumas yra apipintas įvairiais mitais, jos kartais suprantamos kaip nesustabdomos ir neįveikiamos. Ateities tendencijos taip pat nedžiugina. Kaip yra skelbiama prieš tai minėtoje kibernetinio saugumo būklės ataskaitoje, kibernetinių incidentų skaičius 2018-aisiais metais sumažėjo, tačiau jų sudėtingumas išaugo, nes pačios atakos tampa vis labiau rafinuotos ir sunkiau ištiriamos. Tad ko imtis? Kaip ir kalbant apie bet kurį kitą, nebūtinai kibernetinį, saugumą, vienas svarbiausių dalykų norint apsiginti yra atsparumo (angl. resilience) stiprinimas. Neįmanoma būti visiškai pasiruošus bet kokiai grėsmei ir jaustis visiškai saugiai, tačiau stiprinant savo žinias, imantis tam tikrų, ne itin sudėtingų saugumo priemonių, galima bent iš dalies pasiruošti galimai atakai. Svarbu yra ir tai, kad apie saugumą pradėtume galvoti ankščiau, o ne tada, kai jau įvyksta ataka ir yra patiriami realūs nuostoliai.

Atakų (ne)sudėtingumas

Kibernetinę ataką įvykdyti nėra sudėtinga, o būdai – lengvai prieinami. Šiandien internete galime rasti „pilkųjų rinkų“, kur parduodami įrankiai, kurie nereikalauja daug specifinių žinių, tačiau leidžia atlikinėti kibernetines atakas, kurios gali tapti rimtų nuostolių priežastimi. Su šių įrankių pagalba bandoma išgauti konfidencialią informaciją, šifruoti duomenis, prašyti išpirkos ir net vykdyti sekimą. Testuodami įvarius įrankius bei žalingas aplikacijas, pastebime, jog minėtos priemonės tampa vis sudėtingiau aptinkamos bei leidžia jas pritaikyti būtent kryptingai atakai. Tai yra žalingi dariniai, kurie yra kuriami greitai ir lengvai, tačiau sugeba apeiti apsaugos priemones ir pasiekti galutinį vartotoją. Kalbant apie šešėlinį turgų, pastebime, jog egzistuoja „paslaugų“ tiekėjai, kurie siūlo kryptingas (angl. targeted) atakas, siekiant, pavyzdžiui, perimti prisijungimą prie el. pašto ar socialinių tinklų, ar gauti kitus konkrečiam žmogui priklausančius duomenis. Labai svarbu paminėti ir tai, jog šios „paslaugos“ jau siūlomos ir lietuvių kalba ir skirtos lietuvių auditorijai.

Mūsų praktikoje dažniausiai aptinkamos automatizuotos atakos. Tai yra įsilaužimai, atspėjant slaptažodį (arba surandant slaptažodį, kuris buvo nutekintas) ir jį pritaikant prisijungimams prie asmeninių paskyrų ir socialinių medijų. Atskira kategorija automatizuotų atakų yra skirta debesijoje esančioms el. pašto paslaugoms, kai bandoma atspėti slaptažodį ir jį atspėjus, prisijungiama prie el. pašto dėžutės, parsisiunčiami visi naudotojo laiškai, adresatų sąrašai, bendri dokumentai.  Automatizuotos atakos yra vykdomos toliau, siunčiant el. laiškus kitiems įmonėms darbuotojams siekiant gauti jų prisijungimo duomenis. Tokios atakos galutinis tikslas yra paleisti dar daugiau brukalų (angl. spam) tipo laiškų kitiems adresatams.

Apsaugos priemonės

Apsaugos arba prevencijos priemonės, kurias savo praktikoje dažnai paminime kaip gerą „pagrindą“ kibernetinio saugumo stiprinimui organizacijoje, yra daugeliui ne kartą girdėtos, bet, deja, neretai neatsispindi įmonių arba įstaigų veikloje arba kultūroje. Mūsų išskirtos 3 apsaugos ir prevencijos priemonės, būtinos kiekvienai organizacijai, yra šios:

1. Domėjimasis. Visų pirma – derėtų nepamiršti nuolat gilinti žinias. Kibernetinis saugumas tampa vis plačiau aptarinėjama tema, todėl galimybių sužinoti daugiau tikrai yra – vyksta įvairūs renginiai, skirti sugriauti įvairius, mūsų turimus, mitus, o Nacionalinis kibernetinio saugumo centras kiekvienais metais išleidžia neilgą, tačiau išsamią ataskaitą apie Lietuvos kibernetinio saugumo būklę, kuri yra prieinama kiekvienam. Domėjimasis ir žinių kaupimas padeda puikų pagrindą kritiniam mąstymui. Kibernetinės atakos yra artimesnės, negu gali atrodyti, todėl patariame užbėgti įvykiams už akių ir iš anksto pagalvoti, kaip reikėtų elgtis ir ką reikėtų daryti, norint apsaugoti save, savo duomenis ir savo turtą. Viena iš dažniausių kibernetinių atakų formų yra socialinė inžinerija, kuomet kibernetiniai nusikaltėliai, besinaudodami žmonių neatsargumu, patiklumu ar išsiblaškymu, įsilaužia į verslo ir gyventojų kompiuterius, renka informaciją arba įtraukia kompiuterius į kompiuterių zombių tinklus (angl. botnet) ir vykdo įvairią kenkėjišką veiklą. Todėl pokalbiai apie informacijos šaltinių vertinimą bei atidumą kibernetinėje erdvėje turėtų vykti organizacijoje ne tik IT skyriuje, bet ir visur kitur. Be to, turėtume pagalvoti apie tai, kokia informacija dalinamės socialinėje erdvėje bei pasidomėti, ar su mumis susisiekęs žmogus (pvz.: banko ar kokios kitos institucijos atstovas), klausiantis mūsų jautrios arba konfidencialios informacijos, tikrai yra teisėtas atstovas.

2. Slaptažodžiai. Juos naudojame kasdien, tačiau, nepaisant to, jog apie slaptažodžių apsaugą yra nemažai kalbama ir bent jau teoriškai dauguma mūsų žinome, kaip reikėtų elgtis, klaidas vis tiek kartojame vos ne kasdien – naudojame tą patį slaptažodį kelioms paskyroms, susikuriame paprastus ir lengvai atspėjamus raidžių ir skaičių derinius. Taip pat, nekeičiame slaptažodžių pakankamai dažnai (nebent toks reikalavimas yra įtrauktas į vienos ar kitos asmens paskyros naudojimo taisykles), pamirštame atjungti savo paskyrą prisijungus viešojoje vietoje (bibliotekoje, išmanių prietaisų parduotuvėje, kavinėje ar darbe), taip patys atverdami duris įvairiems asmenims, kurie gali turėti ne pačių geriausių tikslų. Atrodo, slaptažodžių klausimas jau visiems iki skausmo pažįstamas, bet visgi siūlome šiai sričiai skirti tikrai daug dėmesio visuose organizacijos padaliniuose bei skyriuose.

3. Nemokamos priemonės. Yra nemažai nemokamų galimybių, kurias siūlo paslaugų tiekėjai saugumui užtikrinti. Pavyzdžiui, nepamiršti įjungti kelių faktorių autentifikaciją aplikacijose bei įvairiose paslaugose, turėti atsarginius duomenų atkūrimo nustatymus bei autentifikavimo būdus (praradus prisijungimą prie paskyros – išliks galimybė ją susigrąžinti). Be to, derėtų nepamiršti kartas nuo karto peržiūrėti privatumo nustatymus ir stebėti iš kokių įrenginių vyksta prisijungimai. 2019 m. Microsoft antivirusinė programinė įranga Gartner Magic Quadrant buvo pripažinta viena iš lyderių. Šis gamintojas turi ir nemokamą sprendimą namų vartotojams – tai parodo, kad nemokami sprendimai tampa patikimi ir vertinami profesionalų, taigi svarbu naudoti patikimą ir oficialią programinę įrangą (tai leidžia išvengti rizikų, susijusių su nulaužta programine įranga, kai yra diegiamos jau apkrėstos programos). Be to, daug investicijų nereikalaujantis, tačiau pakankamai patikimas būdas apsaugoti informaciją praradus kompiuterį yra duomenų šifravimas – šiandieniniai kompiuteriai puikiai susitvarko su šifruotomis laikmenomis (kaip USB atmintukų ar netgi viso vidinio disko). Toks šifravimas taip pat leis ramiau jaustis, jeigu įvyks nenumatytas įrangos praradimas – vagystė ar pametimas.

Ką daryti įvykus incidentui?

Šios priemonės gali padėti apsisaugoti, tačiau jos negarantuoja visiško saugumo. Taigi, ką daryti, jeigu kibernetinis incidentas vis dėlto įvyko? Visų pirma, siūlome nepanikuoti bei bandyti atstatyti prieigą prie prarastų resursų. Itin svarbu suprasti, kad praradus prieigą prie tokio resurso kaip el. paštas, gali būti tuo pasinaudota ir prieiga prie kitų paskyrų ar socialinių tinklų irgi gali būti perimta. Taip pat, vos tik pastebėjus, jog yra patirta žala, patartume nedelsiant kreiptis į policiją, bei pateikti kiek įmanoma daugiau informacijos (pvz.: prisijungimų duomenis, paskyras kurios buvo paveiktos). Reikėtų atsiminti ir tai, jog dažnai bandoma pasinaudoti jau užvaldytomis paskyromis ir paveikti žinomus kontaktus, todėl svarbu informuoti draugus, kolegas ir gimines, kad paskyra nulaužta ir gali būti vykdoma neaiški komunikacija (pvz.: gali būti siunčiama apkrėsta nuoroda). Galiausiai, siūlytumėme nedelsiant peržiūrėti kitas paskyras, ar jos nėra perimtos, ir įdiegti papildomas identifikavimo ir atstatymo priemones.

Kibernetinės grėsmės yra aktualesnės ir kur kas arčiau mūsų, negu gali atrodyti. Tačiau kibernetinės atakos nėra neįveikiamos ir nuo jų įmanoma apsisaugoti. Siūlome domėtis, ugdyti kritinį mąstymą ir įvertinti bei imtis kelių paprastų žingsnių, kurie gali padėti apsaugoti save ir savo turtą bei duomenis. Kartais pakanka tiesiog „nusiplauti rankas“, norint užkirsti kelią rimtiems kibernetiniams incidentams.

Apie autorių: Tomas Mogodia yra NRD Cyber Security technologijų įgyvendinimo vadovas. Tomas turi didelę patirtį įvairių tinklo ir kibernetinio saugumo sistemų diegime, vertinimo ir audito projektuose nacionaliniame ir tarptautiniame lygmenyse. Prieš prisijungiant prie NRD Cyber Security komandos, Tomas vadovavo Lietuvos kariuomenės kibernetinės gynybos moduliui. Be to, Tomas buvo 3-iojo NATO ryšių bataliono ryšių ir informacinių sistemų vadas.

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
„Autokurto“ įkūrėjas užleidžia vadovo vietą pagrindiniam akcininkui  1

Iš generalinio direktoriaus pareigų bendrovėje „Autokurtas“ traukiasi Vytautas Garbenis, ilgametis įmonės...

Advokatų kontora „Juodka ir partneriai - PRIMUS“ keičia tradicinį veiklos modelį ir  ieško naujų partnerių plėtrai užsienyje Verslo tribūna 2

Advokatų kontora „Juodka ir partneriai — PRIMUS“ atsisako teisininkams tradicinio  vieno aljanso modelio ir...

Verslo aplinka
2020.09.30
„Yazaki“ planuoja atleisti 148 darbuotojus 3

Automobilių elektros instaliacijos laidų rinkinių gamintoja „Yazaki Wiring Technologies Lietuva“ rugsėjo 22...

Vadyba
2020.09.29
Geidžiamiausių darbdavių medianos rugpjūtį: pandemijos įtakos nejaučia Premium

Remiantis „Sodros“ skelbiamais duomenimis, paaiškėjo, kokias darbo užmokesčio medianas rugpjūtį mokėjo...

Vadyba
2020.09.29
Vilniaus miesto savivaldybė skelbia naują konkursą VASA vadovo pareigoms užimti Verslo tribūna 2

Vilniaus miesto savivaldybė skelbia naują konkursą savivaldybės įmonės „Vilniaus atliekų sistemos...

Vadyba
2020.09.29
Užsimojo Lietuvoje išpopuliarinti laikinojo teisininko paslaugą Premium 3

Advokatų kontora „Sorainen“ Lietuvoje pradeda teikti laikinojo teisininko paslaugą, kai už fiksuotą mokestį...

Paslaugos
2020.09.29
Už rekomenduotą talentą darbuotojui moka ir 1.000 Eur premiją Premium 3

Naujų darbuotojų samdymas – ne tik įmonės, bet ir joje dirbančių specialistų reikalas. Praktika rodo, kad,...

Vadyba
2020.09.28
Didžiausių darbdavių medianos: pirmūnai stumdosi, bet iš trejetuko nesitraukia Premium

„Sodra“ skelbia, kokias algų medianas rugpjūtį mokėjo didžiausi šalies darbdaviai. Beveik nuo metų pradžios...

Vadyba
2020.09.28
„Novian“ grupė turi naują vadovą

IT infrastruktūros paslaugų ir programavimo grupę „Novian“ valdančiai to paties pavadinimo bendrovei pradėjo...

Vadyba
2020.09.28
Karantinas nestabdė apsukų: portalo Rekvizitai.lt „TOP Įmonės“ 2020 arčiau vartotojo Verslo tribūna

Verslo portalas Rekvizitai.lt skelbia 2020 metų TOP įmones. UAB “Rekvizitai” kiekvienais metais atrenka...

Verslo aplinka
2020.09.28
Dalis darbuotojų biure, dalis – namuose: kaip vadovauti hibridinei komandai Premium

Įmonės kartoja, kad pandemija negrįžtamai pakeitė biurų kasdienybę ir darbuotojai jau niekada nedirbs taip,...

Vadyba
2020.09.28
Tik saujelė pasamdytų specialistų turi darbui reikalingų įgūdžių 5

Tik 16% naujai pasamdytų specialistų iš tiesų turi įgūdžių, kurių pagal užimamas pareigas jiems reikia šiuo...

Vadyba
2020.09.27
Nuteisti darbuotojai, prekiavę padirbtomis „Hermes“ rankinėmis 1

Paryžiaus teismas ketvirtadienį paskelbė nuosprendį asmenims, kaltintiems nelegalia padirbtų „Birkin“...

Vadyba
2020.09.25
Didžiausios algų medianos rugpjūtį – IT ir farmacijos bendrovėse

„Sodra“ skelbia, kurios šalies įmonės mokėjo didžiausias algų medianas rugpjūtį. Paskutinį vasaros mėnesį...

Vadyba
2020.09.25
Protų medžioklė: kodėl įmonėms naudinga priimti studentus praktikai Premium

Aštrėjant konkurencijai dėl protų, įmonės ieško būdų, kaip kuo anksčiau nusigriebti talentingiausio jaunimo,...

Vadyba
2020.09.24
Darbas iš namų – mirties nuosprendis ne tik biurams, bet ir įmonės kultūrai? 15

Ilgą laiką įmonių stalčiuose dulkes rinkusi darbo iš namų politika buvo aktuali vienetams. Šiandien 3.300...

Vadyba
2020.09.24
Dėl 200 Eur išmokos bedarbių padaugėjo 40.000 26

Norėdami gauti 200 Eur darbo paieškos išmoką Užimtumo tarnyboje užsiregistravo apie 40.000 naujų bedarbių,...

Vadyba
2020.09.24
Darbuotojų atleidžia „Forum Cinemas“, „Lux Express“, bankrutuojanti Gargždų plytų gamykla 2

Kino teatrus valdanti bendrovė „Forum Cinemas“, keleivių vežimo bendrovė „Lux Express“ ir bankrutuojanti UAB...

Vadyba
2020.09.23
Moksleiviai spręs Lietuvos ir pasaulio problemas: užduotį įveikti turės per 48 valandas Verslo tribūna

Šį savaitgalį, rugsėjo 25–27 dienomis, tiesiogiai vyks didžiausia Lietuvoje internetinė inovacijų stovykla...

Vadyba
2020.09.23
Pandemija skatina bendradarbiauti: atleidžiamus specialistus siūlo kitoms bendrovėms Premium 2

Koronavirusas turizmo sektoriaus bendrovėms išmušė stabilų pagrindą iš po kojų. Dalis įmonių priverstos bent...

Vadyba
2020.09.22

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus