Kibernetinis saugumas – kaip apsaugoti save?

Reklama publikuota: 2019-10-08
svg svg

Šiandien nei vienas neįsivaizduojame savo kasdienybės be įvairių technologinių prietaisų – pradedant telefonais, kompiuteriais ir baigiant išmaniaisiais šaldytuvais ar automobiliais.

Nepaisant to, kibernetinis saugumas vis dar atrodo kaip nepaprastai sudėtingas, kartais netgi mistinis reiškinys, apie kurį nedaug kas rimtai susimąsto. Neretai yra įsivaizduojama, kad kibernetinės atakos yra tolimos, neaktualios ir su kasdienybe neturinčios daug bendro. Ir tą galima suprasti pažvelgus į žmonijos istoriją – vos prieš kelis šimtus metų, bakterijų egzistavimas atrodė kaip nesuvokiamas reiškinys, ir suvokimas, kad pasaulyje gyvename apsupti milijardų organizmų, kurie mus gali pražudyti, atrodė neįmanomas. Tačiau šiandien šį faktą daugiau ar mažiau suvokia net patys mažiausieji ir žino, kad paprastas rankų plovimas gali padėti apsisaugoti nuo pačių baisiausių ligų. Taip ir su kibernetiniu saugumu – suvokti yra sudėtinga, eilinis žmogus žinių ir supratimo turbūt turi nedaug, tačiau nei vienas nėra apsaugotas nuo kibernetinių nusikaltimų, auka gali tapti bet kas, o grėsmės yra labai realios.

Mažiau atakų, bet daugiau pavojaus

Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos išleistoje „Nacionalinio kibernetinio saugumo būklės ataskaitoje 2018“ yra skelbiama, kad 2018-aisiais metais Lietuvoje buvo užregistruota 53 183 kibernetinio saugumo incidentai, o kalbant apie internetines svetaines, kuriose lankomės kasdien, svarbu pagalvoti apie tai, jog, atlikus Lietuvos interneto svetainių (.lt) kibernetinio saugumo patikrinimus, buvo nustatyta, kad net 52 proc. iš 52 000 interneto svetainių, turinčių turinio valdymo sistemą, yra pažeidžiamos, o to pasekmės gali būti labai skaudžios ne tik organizacijoms, bet ir svetainių naudotojams. Didžiausios grėsmės — asmeninių duomenų nutekinimas, reputacijos sunaikinimas ar rimti finansiniai nuostoliai.

Kibernetinių atakų sudėtingumas yra apipintas įvairiais mitais, jos kartais suprantamos kaip nesustabdomos ir neįveikiamos. Ateities tendencijos taip pat nedžiugina. Kaip yra skelbiama prieš tai minėtoje kibernetinio saugumo būklės ataskaitoje, kibernetinių incidentų skaičius 2018-aisiais metais sumažėjo, tačiau jų sudėtingumas išaugo, nes pačios atakos tampa vis labiau rafinuotos ir sunkiau ištiriamos. Tad ko imtis? Kaip ir kalbant apie bet kurį kitą, nebūtinai kibernetinį, saugumą, vienas svarbiausių dalykų norint apsiginti yra atsparumo (angl. resilience) stiprinimas. Neįmanoma būti visiškai pasiruošus bet kokiai grėsmei ir jaustis visiškai saugiai, tačiau stiprinant savo žinias, imantis tam tikrų, ne itin sudėtingų saugumo priemonių, galima bent iš dalies pasiruošti galimai atakai. Svarbu yra ir tai, kad apie saugumą pradėtume galvoti ankščiau, o ne tada, kai jau įvyksta ataka ir yra patiriami realūs nuostoliai.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Atakų (ne)sudėtingumas

Kibernetinę ataką įvykdyti nėra sudėtinga, o būdai – lengvai prieinami. Šiandien internete galime rasti „pilkųjų rinkų“, kur parduodami įrankiai, kurie nereikalauja daug specifinių žinių, tačiau leidžia atlikinėti kibernetines atakas, kurios gali tapti rimtų nuostolių priežastimi. Su šių įrankių pagalba bandoma išgauti konfidencialią informaciją, šifruoti duomenis, prašyti išpirkos ir net vykdyti sekimą. Testuodami įvarius įrankius bei žalingas aplikacijas, pastebime, jog minėtos priemonės tampa vis sudėtingiau aptinkamos bei leidžia jas pritaikyti būtent kryptingai atakai. Tai yra žalingi dariniai, kurie yra kuriami greitai ir lengvai, tačiau sugeba apeiti apsaugos priemones ir pasiekti galutinį vartotoją. Kalbant apie šešėlinį turgų, pastebime, jog egzistuoja „paslaugų“ tiekėjai, kurie siūlo kryptingas (angl. targeted) atakas, siekiant, pavyzdžiui, perimti prisijungimą prie el. pašto ar socialinių tinklų, ar gauti kitus konkrečiam žmogui priklausančius duomenis. Labai svarbu paminėti ir tai, jog šios „paslaugos“ jau siūlomos ir lietuvių kalba ir skirtos lietuvių auditorijai.

Mūsų praktikoje dažniausiai aptinkamos automatizuotos atakos. Tai yra įsilaužimai, atspėjant slaptažodį (arba surandant slaptažodį, kuris buvo nutekintas) ir jį pritaikant prisijungimams prie asmeninių paskyrų ir socialinių medijų. Atskira kategorija automatizuotų atakų yra skirta debesijoje esančioms el. pašto paslaugoms, kai bandoma atspėti slaptažodį ir jį atspėjus, prisijungiama prie el. pašto dėžutės, parsisiunčiami visi naudotojo laiškai, adresatų sąrašai, bendri dokumentai.  Automatizuotos atakos yra vykdomos toliau, siunčiant el. laiškus kitiems įmonėms darbuotojams siekiant gauti jų prisijungimo duomenis. Tokios atakos galutinis tikslas yra paleisti dar daugiau brukalų (angl. spam) tipo laiškų kitiems adresatams.

Apsaugos priemonės

Apsaugos arba prevencijos priemonės, kurias savo praktikoje dažnai paminime kaip gerą „pagrindą“ kibernetinio saugumo stiprinimui organizacijoje, yra daugeliui ne kartą girdėtos, bet, deja, neretai neatsispindi įmonių arba įstaigų veikloje arba kultūroje. Mūsų išskirtos 3 apsaugos ir prevencijos priemonės, būtinos kiekvienai organizacijai, yra šios:

1. Domėjimasis. Visų pirma – derėtų nepamiršti nuolat gilinti žinias. Kibernetinis saugumas tampa vis plačiau aptarinėjama tema, todėl galimybių sužinoti daugiau tikrai yra – vyksta įvairūs renginiai, skirti sugriauti įvairius, mūsų turimus, mitus, o Nacionalinis kibernetinio saugumo centras kiekvienais metais išleidžia neilgą, tačiau išsamią ataskaitą apie Lietuvos kibernetinio saugumo būklę, kuri yra prieinama kiekvienam. Domėjimasis ir žinių kaupimas padeda puikų pagrindą kritiniam mąstymui. Kibernetinės atakos yra artimesnės, negu gali atrodyti, todėl patariame užbėgti įvykiams už akių ir iš anksto pagalvoti, kaip reikėtų elgtis ir ką reikėtų daryti, norint apsaugoti save, savo duomenis ir savo turtą. Viena iš dažniausių kibernetinių atakų formų yra socialinė inžinerija, kuomet kibernetiniai nusikaltėliai, besinaudodami žmonių neatsargumu, patiklumu ar išsiblaškymu, įsilaužia į verslo ir gyventojų kompiuterius, renka informaciją arba įtraukia kompiuterius į kompiuterių zombių tinklus (angl. botnet) ir vykdo įvairią kenkėjišką veiklą. Todėl pokalbiai apie informacijos šaltinių vertinimą bei atidumą kibernetinėje erdvėje turėtų vykti organizacijoje ne tik IT skyriuje, bet ir visur kitur. Be to, turėtume pagalvoti apie tai, kokia informacija dalinamės socialinėje erdvėje bei pasidomėti, ar su mumis susisiekęs žmogus (pvz.: banko ar kokios kitos institucijos atstovas), klausiantis mūsų jautrios arba konfidencialios informacijos, tikrai yra teisėtas atstovas.

2. Slaptažodžiai. Juos naudojame kasdien, tačiau, nepaisant to, jog apie slaptažodžių apsaugą yra nemažai kalbama ir bent jau teoriškai dauguma mūsų žinome, kaip reikėtų elgtis, klaidas vis tiek kartojame vos ne kasdien – naudojame tą patį slaptažodį kelioms paskyroms, susikuriame paprastus ir lengvai atspėjamus raidžių ir skaičių derinius. Taip pat, nekeičiame slaptažodžių pakankamai dažnai (nebent toks reikalavimas yra įtrauktas į vienos ar kitos asmens paskyros naudojimo taisykles), pamirštame atjungti savo paskyrą prisijungus viešojoje vietoje (bibliotekoje, išmanių prietaisų parduotuvėje, kavinėje ar darbe), taip patys atverdami duris įvairiems asmenims, kurie gali turėti ne pačių geriausių tikslų. Atrodo, slaptažodžių klausimas jau visiems iki skausmo pažįstamas, bet visgi siūlome šiai sričiai skirti tikrai daug dėmesio visuose organizacijos padaliniuose bei skyriuose.

3. Nemokamos priemonės. Yra nemažai nemokamų galimybių, kurias siūlo paslaugų tiekėjai saugumui užtikrinti. Pavyzdžiui, nepamiršti įjungti kelių faktorių autentifikaciją aplikacijose bei įvairiose paslaugose, turėti atsarginius duomenų atkūrimo nustatymus bei autentifikavimo būdus (praradus prisijungimą prie paskyros – išliks galimybė ją susigrąžinti). Be to, derėtų nepamiršti kartas nuo karto peržiūrėti privatumo nustatymus ir stebėti iš kokių įrenginių vyksta prisijungimai. 2019 m. Microsoft antivirusinė programinė įranga Gartner Magic Quadrant buvo pripažinta viena iš lyderių. Šis gamintojas turi ir nemokamą sprendimą namų vartotojams – tai parodo, kad nemokami sprendimai tampa patikimi ir vertinami profesionalų, taigi svarbu naudoti patikimą ir oficialią programinę įrangą (tai leidžia išvengti rizikų, susijusių su nulaužta programine įranga, kai yra diegiamos jau apkrėstos programos). Be to, daug investicijų nereikalaujantis, tačiau pakankamai patikimas būdas apsaugoti informaciją praradus kompiuterį yra duomenų šifravimas – šiandieniniai kompiuteriai puikiai susitvarko su šifruotomis laikmenomis (kaip USB atmintukų ar netgi viso vidinio disko). Toks šifravimas taip pat leis ramiau jaustis, jeigu įvyks nenumatytas įrangos praradimas – vagystė ar pametimas.

Ką daryti įvykus incidentui?

Šios priemonės gali padėti apsisaugoti, tačiau jos negarantuoja visiško saugumo. Taigi, ką daryti, jeigu kibernetinis incidentas vis dėlto įvyko? Visų pirma, siūlome nepanikuoti bei bandyti atstatyti prieigą prie prarastų resursų. Itin svarbu suprasti, kad praradus prieigą prie tokio resurso kaip el. paštas, gali būti tuo pasinaudota ir prieiga prie kitų paskyrų ar socialinių tinklų irgi gali būti perimta. Taip pat, vos tik pastebėjus, jog yra patirta žala, patartume nedelsiant kreiptis į policiją, bei pateikti kiek įmanoma daugiau informacijos (pvz.: prisijungimų duomenis, paskyras kurios buvo paveiktos). Reikėtų atsiminti ir tai, jog dažnai bandoma pasinaudoti jau užvaldytomis paskyromis ir paveikti žinomus kontaktus, todėl svarbu informuoti draugus, kolegas ir gimines, kad paskyra nulaužta ir gali būti vykdoma neaiški komunikacija (pvz.: gali būti siunčiama apkrėsta nuoroda). Galiausiai, siūlytumėme nedelsiant peržiūrėti kitas paskyras, ar jos nėra perimtos, ir įdiegti papildomas identifikavimo ir atstatymo priemones.

Kibernetinės grėsmės yra aktualesnės ir kur kas arčiau mūsų, negu gali atrodyti. Tačiau kibernetinės atakos nėra neįveikiamos ir nuo jų įmanoma apsisaugoti. Siūlome domėtis, ugdyti kritinį mąstymą ir įvertinti bei imtis kelių paprastų žingsnių, kurie gali padėti apsaugoti save ir savo turtą bei duomenis. Kartais pakanka tiesiog „nusiplauti rankas“, norint užkirsti kelią rimtiems kibernetiniams incidentams.

Apie autorių: Tomas Mogodia yra NRD Cyber Security technologijų įgyvendinimo vadovas. Tomas turi didelę patirtį įvairių tinklo ir kibernetinio saugumo sistemų diegime, vertinimo ir audito projektuose nacionaliniame ir tarptautiniame lygmenyse. Prieš prisijungiant prie NRD Cyber Security komandos, Tomas vadovavo Lietuvos kariuomenės kibernetinės gynybos moduliui. Be to, Tomas buvo 3-iojo NATO ryšių bataliono ryšių ir informacinių sistemų vadas.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Vadyba“
Specialistų trūksta, alga ne per didžiausia: stringa Kibernetinio saugumo centro vadovo paieška Premium

Krašto apsaugos ministerijai (KAM) kol kas sunkiai sekasi surasti naująjį Nacionalinio kibernetinio saugumo...

Inovacijos
05:45
Euro zonoje nedarbas vasarį siekė 6,8%, Lietuvoje – 7%

Vasarį euro zonoje darbo neturėjo 6,8% darbo ieškančių asmenų – 0,1 proc. punkto mažiau nei sausio mėnesį.

Vadyba
2022.03.31
Tarp TOP 20 įtakingiausiųjų – nauji vardai

Šių metų potencialios įtakos indekso TOP 20 kone pusė pernai čia nebuvusių vardų. Tarp naujai patekusių yra...

Rinkodara
2022.03.31
Viliasi, kad naujas bandymas perkrauti valstybės tarnybą nemeluos Premium 4

Ingridos Šimonytės Vyriausybė puoselėja planus padėti viešojo administravimo sistemos pertvarkos pagrindus,...

Verslo aplinka
2022.03.31
„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių 1

„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių, sako Jurgita Šiugždinienė, Švietimo,...

Vadyba
2022.03.30
Tadas Dovbyšas: stipri organizacijos kultūra – geriausia instrukcija visiems gyvenimo atvejams Verslo tribūna

Nepaisant rimtus išbandymus atnešusio pandeminio laikotarpio, draudimo bendrovė ERGO stiprino tiek komandos...

PowerUP
2022.03.30
Iš „Inter Rao Lietuva“ stebėtojų tarybos pasitraukė J. Garbaravičius ir R. Davidovičius 2

Verslininkas Jonas Garbaravičius pasitraukė iš Rusijos energetikos milžinės „Inter RAO“ netiesiogiai...

Pramonė
2022.03.29
Geidžiamiausių darbdavių vasario atlygio medianos Premium

Naujausi „Sodros“ duomenys rodo, kokias algų medianas šių metų antrąjį mėnesį darbuotojams mokėjo...

Vadyba
2022.03.29
V. Vasiliauskas: geras, kompetentingas biurokratas yra vertybė Premium 16

Vyriausybė tikisi pradėti viešojo administravimo reformos įgyvendinimą. Pasak premjerės patarėjo Vito...

Verslo aplinka
2022.03.29
Atidaromas didžiausias dienos SPA centras Vilniaus mieste Verslo tribūna 1

Vilniaus senamiestyje, verslo ir laisvalaikio komplekse „Bokšto skveras“, vilniečiams ir miesto svečiams...

Verslo aplinka
2022.03.29
Startuolio savo noru nepaliko nė vienas darbuotojas: ką galima būtų pritaikyti ir kitoms organizacijoms Premium 3

Lietuviškas transporto užsakymų valdymo startuolis „GoRamp“ per pastaruosius kelerius metus užaugino komandą...

Vadyba
2022.03.28
Kokias algų medianas vasarį mokėjo didžiausi šalies darbdaviai Premium

„Sodros“ duomenys rodo, kad šių metų vasarį ant aukščiausiojo atlyginimų medianų laiptelio ir toliau laikosi...

Vadyba
2022.03.28
Ukrainiečių įdarbinimas: procesas palengvintas, tačiau dar yra likę daug nežinomųjų Premium

Kalbinti verslų atstovai, nors ir giria pagreitėjusį procesą, kartu pripažįsta, kad dar yra daug tobulintinų...

Vadyba
2022.03.28
Rusiją palaikantys darbuotojai – kaip elgtis vadovui? 2

Šiuo metu vadovams iškyla daug nestandartinių klausimų. Vienas iš jų – kaip elgtis su Rusijos karinius...

Vadyba
2022.03.26
Patarimai startuoliams: kaip suburti sėkmingą komandą

60% naujų įmonių susidūrė su problemomis įkūrėjų komandoje, primena „TechHub“ preakceleratorius. Tinkamai...

Gazelė
2022.03.26
Didžiausios vasario algų medianos Premium 1

Naujausi „Sodros“ duomenys rodo, kurios šalies bendrovės antrąjį šių metų mėnesį darbuotojams mokėjo...

Vadyba
2022.03.25
Registrų centro valdyboje – penki nauji nepriklausomi nariai 1

Naujoje valstybės įmonės Registrų centro valdyboje dirbs penki nauji nepriklausomi nariai, taip pat paskirta...

Vadyba
2022.03.25
Reputacijos lyderiai karo akivaizdoje remia tyliai, nors kuklumo čia nereikia Premium 2

Daugiau nei mėnesį tebesitęsiantis Rusijos karas prieš Ukrainą sutelkė verslus ir žmones paramai. VŽ kalbina...

Rinkodara
2022.03.25
Vadovų atsakomybė Ukrainos įvykių kontekste: ką svarbu žinoti, kad darbdavių pečiai atlaikytų Premium

Karo fone ir darbuotojų, ir vartotojų nuomonė yra kategoriška – atsiribojama nuo įmonių, kurios yra...

Vadyba
2022.03.25
Metė darbus bankuose ir įkūrė verslą: gyvenimai tiesiog apsivertė Premium

Prestižinė darbovietė finansų sektoriuje, galimybė kilti karjeros laiptais, stipriai sukalta motyvacinė...

Gazelė
2022.03.25

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku