Kibernetinis saugumas – kaip apsaugoti save?

Publikuota: 2019-10-08

Šiandien nei vienas neįsivaizduojame savo kasdienybės be įvairių technologinių prietaisų – pradedant telefonais, kompiuteriais ir baigiant išmaniaisiais šaldytuvais ar automobiliais.

Nepaisant to, kibernetinis saugumas vis dar atrodo kaip nepaprastai sudėtingas, kartais netgi mistinis reiškinys, apie kurį nedaug kas rimtai susimąsto. Neretai yra įsivaizduojama, kad kibernetinės atakos yra tolimos, neaktualios ir su kasdienybe neturinčios daug bendro. Ir tą galima suprasti pažvelgus į žmonijos istoriją – vos prieš kelis šimtus metų, bakterijų egzistavimas atrodė kaip nesuvokiamas reiškinys, ir suvokimas, kad pasaulyje gyvename apsupti milijardų organizmų, kurie mus gali pražudyti, atrodė neįmanomas. Tačiau šiandien šį faktą daugiau ar mažiau suvokia net patys mažiausieji ir žino, kad paprastas rankų plovimas gali padėti apsisaugoti nuo pačių baisiausių ligų. Taip ir su kibernetiniu saugumu – suvokti yra sudėtinga, eilinis žmogus žinių ir supratimo turbūt turi nedaug, tačiau nei vienas nėra apsaugotas nuo kibernetinių nusikaltimų, auka gali tapti bet kas, o grėsmės yra labai realios.

Mažiau atakų, bet daugiau pavojaus

Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos išleistoje „Nacionalinio kibernetinio saugumo būklės ataskaitoje 2018“ yra skelbiama, kad 2018-aisiais metais Lietuvoje buvo užregistruota 53 183 kibernetinio saugumo incidentai, o kalbant apie internetines svetaines, kuriose lankomės kasdien, svarbu pagalvoti apie tai, jog, atlikus Lietuvos interneto svetainių (.lt) kibernetinio saugumo patikrinimus, buvo nustatyta, kad net 52 proc. iš 52 000 interneto svetainių, turinčių turinio valdymo sistemą, yra pažeidžiamos, o to pasekmės gali būti labai skaudžios ne tik organizacijoms, bet ir svetainių naudotojams. Didžiausios grėsmės — asmeninių duomenų nutekinimas, reputacijos sunaikinimas ar rimti finansiniai nuostoliai.

Kibernetinių atakų sudėtingumas yra apipintas įvairiais mitais, jos kartais suprantamos kaip nesustabdomos ir neįveikiamos. Ateities tendencijos taip pat nedžiugina. Kaip yra skelbiama prieš tai minėtoje kibernetinio saugumo būklės ataskaitoje, kibernetinių incidentų skaičius 2018-aisiais metais sumažėjo, tačiau jų sudėtingumas išaugo, nes pačios atakos tampa vis labiau rafinuotos ir sunkiau ištiriamos. Tad ko imtis? Kaip ir kalbant apie bet kurį kitą, nebūtinai kibernetinį, saugumą, vienas svarbiausių dalykų norint apsiginti yra atsparumo (angl. resilience) stiprinimas. Neįmanoma būti visiškai pasiruošus bet kokiai grėsmei ir jaustis visiškai saugiai, tačiau stiprinant savo žinias, imantis tam tikrų, ne itin sudėtingų saugumo priemonių, galima bent iš dalies pasiruošti galimai atakai. Svarbu yra ir tai, kad apie saugumą pradėtume galvoti ankščiau, o ne tada, kai jau įvyksta ataka ir yra patiriami realūs nuostoliai.

Atakų (ne)sudėtingumas

Kibernetinę ataką įvykdyti nėra sudėtinga, o būdai – lengvai prieinami. Šiandien internete galime rasti „pilkųjų rinkų“, kur parduodami įrankiai, kurie nereikalauja daug specifinių žinių, tačiau leidžia atlikinėti kibernetines atakas, kurios gali tapti rimtų nuostolių priežastimi. Su šių įrankių pagalba bandoma išgauti konfidencialią informaciją, šifruoti duomenis, prašyti išpirkos ir net vykdyti sekimą. Testuodami įvarius įrankius bei žalingas aplikacijas, pastebime, jog minėtos priemonės tampa vis sudėtingiau aptinkamos bei leidžia jas pritaikyti būtent kryptingai atakai. Tai yra žalingi dariniai, kurie yra kuriami greitai ir lengvai, tačiau sugeba apeiti apsaugos priemones ir pasiekti galutinį vartotoją. Kalbant apie šešėlinį turgų, pastebime, jog egzistuoja „paslaugų“ tiekėjai, kurie siūlo kryptingas (angl. targeted) atakas, siekiant, pavyzdžiui, perimti prisijungimą prie el. pašto ar socialinių tinklų, ar gauti kitus konkrečiam žmogui priklausančius duomenis. Labai svarbu paminėti ir tai, jog šios „paslaugos“ jau siūlomos ir lietuvių kalba ir skirtos lietuvių auditorijai.

Mūsų praktikoje dažniausiai aptinkamos automatizuotos atakos. Tai yra įsilaužimai, atspėjant slaptažodį (arba surandant slaptažodį, kuris buvo nutekintas) ir jį pritaikant prisijungimams prie asmeninių paskyrų ir socialinių medijų. Atskira kategorija automatizuotų atakų yra skirta debesijoje esančioms el. pašto paslaugoms, kai bandoma atspėti slaptažodį ir jį atspėjus, prisijungiama prie el. pašto dėžutės, parsisiunčiami visi naudotojo laiškai, adresatų sąrašai, bendri dokumentai.  Automatizuotos atakos yra vykdomos toliau, siunčiant el. laiškus kitiems įmonėms darbuotojams siekiant gauti jų prisijungimo duomenis. Tokios atakos galutinis tikslas yra paleisti dar daugiau brukalų (angl. spam) tipo laiškų kitiems adresatams.

Apsaugos priemonės

Apsaugos arba prevencijos priemonės, kurias savo praktikoje dažnai paminime kaip gerą „pagrindą“ kibernetinio saugumo stiprinimui organizacijoje, yra daugeliui ne kartą girdėtos, bet, deja, neretai neatsispindi įmonių arba įstaigų veikloje arba kultūroje. Mūsų išskirtos 3 apsaugos ir prevencijos priemonės, būtinos kiekvienai organizacijai, yra šios:

1. Domėjimasis. Visų pirma – derėtų nepamiršti nuolat gilinti žinias. Kibernetinis saugumas tampa vis plačiau aptarinėjama tema, todėl galimybių sužinoti daugiau tikrai yra – vyksta įvairūs renginiai, skirti sugriauti įvairius, mūsų turimus, mitus, o Nacionalinis kibernetinio saugumo centras kiekvienais metais išleidžia neilgą, tačiau išsamią ataskaitą apie Lietuvos kibernetinio saugumo būklę, kuri yra prieinama kiekvienam. Domėjimasis ir žinių kaupimas padeda puikų pagrindą kritiniam mąstymui. Kibernetinės atakos yra artimesnės, negu gali atrodyti, todėl patariame užbėgti įvykiams už akių ir iš anksto pagalvoti, kaip reikėtų elgtis ir ką reikėtų daryti, norint apsaugoti save, savo duomenis ir savo turtą. Viena iš dažniausių kibernetinių atakų formų yra socialinė inžinerija, kuomet kibernetiniai nusikaltėliai, besinaudodami žmonių neatsargumu, patiklumu ar išsiblaškymu, įsilaužia į verslo ir gyventojų kompiuterius, renka informaciją arba įtraukia kompiuterius į kompiuterių zombių tinklus (angl. botnet) ir vykdo įvairią kenkėjišką veiklą. Todėl pokalbiai apie informacijos šaltinių vertinimą bei atidumą kibernetinėje erdvėje turėtų vykti organizacijoje ne tik IT skyriuje, bet ir visur kitur. Be to, turėtume pagalvoti apie tai, kokia informacija dalinamės socialinėje erdvėje bei pasidomėti, ar su mumis susisiekęs žmogus (pvz.: banko ar kokios kitos institucijos atstovas), klausiantis mūsų jautrios arba konfidencialios informacijos, tikrai yra teisėtas atstovas.

2. Slaptažodžiai. Juos naudojame kasdien, tačiau, nepaisant to, jog apie slaptažodžių apsaugą yra nemažai kalbama ir bent jau teoriškai dauguma mūsų žinome, kaip reikėtų elgtis, klaidas vis tiek kartojame vos ne kasdien – naudojame tą patį slaptažodį kelioms paskyroms, susikuriame paprastus ir lengvai atspėjamus raidžių ir skaičių derinius. Taip pat, nekeičiame slaptažodžių pakankamai dažnai (nebent toks reikalavimas yra įtrauktas į vienos ar kitos asmens paskyros naudojimo taisykles), pamirštame atjungti savo paskyrą prisijungus viešojoje vietoje (bibliotekoje, išmanių prietaisų parduotuvėje, kavinėje ar darbe), taip patys atverdami duris įvairiems asmenims, kurie gali turėti ne pačių geriausių tikslų. Atrodo, slaptažodžių klausimas jau visiems iki skausmo pažįstamas, bet visgi siūlome šiai sričiai skirti tikrai daug dėmesio visuose organizacijos padaliniuose bei skyriuose.

3. Nemokamos priemonės. Yra nemažai nemokamų galimybių, kurias siūlo paslaugų tiekėjai saugumui užtikrinti. Pavyzdžiui, nepamiršti įjungti kelių faktorių autentifikaciją aplikacijose bei įvairiose paslaugose, turėti atsarginius duomenų atkūrimo nustatymus bei autentifikavimo būdus (praradus prisijungimą prie paskyros – išliks galimybė ją susigrąžinti). Be to, derėtų nepamiršti kartas nuo karto peržiūrėti privatumo nustatymus ir stebėti iš kokių įrenginių vyksta prisijungimai. 2019 m. Microsoft antivirusinė programinė įranga Gartner Magic Quadrant buvo pripažinta viena iš lyderių. Šis gamintojas turi ir nemokamą sprendimą namų vartotojams – tai parodo, kad nemokami sprendimai tampa patikimi ir vertinami profesionalų, taigi svarbu naudoti patikimą ir oficialią programinę įrangą (tai leidžia išvengti rizikų, susijusių su nulaužta programine įranga, kai yra diegiamos jau apkrėstos programos). Be to, daug investicijų nereikalaujantis, tačiau pakankamai patikimas būdas apsaugoti informaciją praradus kompiuterį yra duomenų šifravimas – šiandieniniai kompiuteriai puikiai susitvarko su šifruotomis laikmenomis (kaip USB atmintukų ar netgi viso vidinio disko). Toks šifravimas taip pat leis ramiau jaustis, jeigu įvyks nenumatytas įrangos praradimas – vagystė ar pametimas.

Ką daryti įvykus incidentui?

Šios priemonės gali padėti apsisaugoti, tačiau jos negarantuoja visiško saugumo. Taigi, ką daryti, jeigu kibernetinis incidentas vis dėlto įvyko? Visų pirma, siūlome nepanikuoti bei bandyti atstatyti prieigą prie prarastų resursų. Itin svarbu suprasti, kad praradus prieigą prie tokio resurso kaip el. paštas, gali būti tuo pasinaudota ir prieiga prie kitų paskyrų ar socialinių tinklų irgi gali būti perimta. Taip pat, vos tik pastebėjus, jog yra patirta žala, patartume nedelsiant kreiptis į policiją, bei pateikti kiek įmanoma daugiau informacijos (pvz.: prisijungimų duomenis, paskyras kurios buvo paveiktos). Reikėtų atsiminti ir tai, jog dažnai bandoma pasinaudoti jau užvaldytomis paskyromis ir paveikti žinomus kontaktus, todėl svarbu informuoti draugus, kolegas ir gimines, kad paskyra nulaužta ir gali būti vykdoma neaiški komunikacija (pvz.: gali būti siunčiama apkrėsta nuoroda). Galiausiai, siūlytumėme nedelsiant peržiūrėti kitas paskyras, ar jos nėra perimtos, ir įdiegti papildomas identifikavimo ir atstatymo priemones.

Kibernetinės grėsmės yra aktualesnės ir kur kas arčiau mūsų, negu gali atrodyti. Tačiau kibernetinės atakos nėra neįveikiamos ir nuo jų įmanoma apsisaugoti. Siūlome domėtis, ugdyti kritinį mąstymą ir įvertinti bei imtis kelių paprastų žingsnių, kurie gali padėti apsaugoti save ir savo turtą bei duomenis. Kartais pakanka tiesiog „nusiplauti rankas“, norint užkirsti kelią rimtiems kibernetiniams incidentams.

Apie autorių: Tomas Mogodia yra NRD Cyber Security technologijų įgyvendinimo vadovas. Tomas turi didelę patirtį įvairių tinklo ir kibernetinio saugumo sistemų diegime, vertinimo ir audito projektuose nacionaliniame ir tarptautiniame lygmenyse. Prieš prisijungiant prie NRD Cyber Security komandos, Tomas vadovavo Lietuvos kariuomenės kibernetinės gynybos moduliui. Be to, Tomas buvo 3-iojo NATO ryšių bataliono ryšių ir informacinių sistemų vadas.

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

VMI: bendrovė įmokas į III pakopos fondus gali mokėti ir iš algų fondo Premium 1

Įmonė gali dalį planuojamo darbo užmokesčio skirti įmokoms į III pakopos pensijų fondus darbuotojų naudai,...

Finansai
05:45
 Metų CEO TOP 5: lyderystės receptai

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.20
„Alibaba“ įkūrėjas atsitraukimui nuo verslo ruošėsi dešimtmetį 2

Jackas Ma, Kinijos elektroninės prekybos gigantės „Alibaba“ įkūrėjas, rugsėjį pasitraukė iš vadovo posto. Jis...

Vadyba
2019.10.19
Kad įkurtų savo verslą, imasi sunkiausių darbų

Prastas tas kareivis, kuris nenori tapti generolu. Arba darbuotojas, nežadantis kilti karjeros laiptais.

Gazelė
2019.10.19
Darbuotojai robotais pasitiki labiau, negu vadovais Premium 1

2020-ųjų prognozės sako, kad vienas svarbiausių iššūkių darbuotojams bus gebėjimas dirbti kartu su dirbtiniu...

Vadyba
2019.10.18
Metų CEO rinkimai. 60 sekundžių su „Lidl Lietuvos“ vadovu 3

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.18
Lyderio klaidos kaina: verslas gali žlugti, o vadovo alga – ūgtelėti Premium

Vadovo klaida gali nugramzdinti įmonę, bet stipraus lyderio karjerą sugriauna retai. Verslo istorija rodo,...

Vadyba
2019.10.18
Vilniaus meras turi naują atstovę spaudai 2

Vilniaus mero Remigijaus Šimašiaus atstove spaudai tapo Ieva Dirmaitė, buvusi vidaus reikalų ministro...

Vadyba
2019.10.18
„Verslo žinių“ skaitytojai renka Metų CEO: finalinė dvikova

„Verslo žinių“ skaitytojai toliau balsuodami renka savo metų CEO. Paskutiniame rinkimų etape varžosi 2...

Vadyba
2019.10.18
Apdovanotos Panevėžio regiono „Gazelės“

Ketvirtadienį Panevėžyje vykstančioje „Gazelės“ konferencijoje paaiškėjo, kokios įmonės sparčiausiai augo...

Gazelė
2019.10.17
Metų CEO rinkimai. 60 sekundžių su „Fredos“ vadovu

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.17
Duomenų analitika: nuo ko pradėti ir kaip sau padėti personalo sprendimuose

Pasaulis fragmentiškėja, todėl tenka segmentuoti informaciją ir sprendimus vis mažesnėms auditorijoms, kad...

Vadyba
2019.10.17
Metų CEO rinkimai. 60 sekundžių su „Girteka Logistics“ vadovu 8

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.16
TILS tyrimas: verslo antikorupcinis imunitetas stiprėja Premium 1

Trečią kartą „Transparency International“ Lietuvos skyriaus atliktas didžiausių šalies įmonių skaidrumo...

Vadyba
2019.10.16
Kaip keičiasi statistinis įmonės vadovo portretas Lietuvoje Premium

Nors akcentuojama, kad geras bosas nebūtinai yra geras lyderis, kasmet spalio 16-ąją vis dar švenčiama ne...

Vadyba
2019.10.16
ESO stebėtojų taryboje dirbs darbuotojų atstovė

Elektros ir dujų skirstymo bendrovės „Energijos skirstymo operatorius“ (ESO) stebėtojų taryboje dirbs...

Pramonė
2019.10.15
Metų CEO rinkimai. 60 sekundžių su „Lietuvos geležinkelių“ vadovu 19

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.15
Kaip pailginti darbuotojo darbo laiką be viršvalandžių? Verslo tribūna 2

Darbo kodekse nustatyta standartinė darbuotojo darbo laiko norma yra 40 valandų per savaitę. Priklausomai nuo...

Vadyba
2019.10.14
Metų CEO rinkimai. 60 sekundžių su „Thermo Fisher Scientific Baltics“ vadovu

„Verslo žinios“ kartu su „UniCredit Leasing“ devintą kartą renka Metų CEO – lyderį, sukūrusį daugiausia...

Vadyba
2019.10.14
„Infobalt“ turi naują vadovą 6

Informacinių ir ryšių technologijų įmonių asociacijos „Infobalt“ direktoriaus pareigas pirmadienį...

Vadyba
2019.10.14

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau