Kibernetinis saugumas – kaip apsaugoti save?

Publikuota: 2019-10-08

Šiandien nei vienas neįsivaizduojame savo kasdienybės be įvairių technologinių prietaisų – pradedant telefonais, kompiuteriais ir baigiant išmaniaisiais šaldytuvais ar automobiliais.

Nepaisant to, kibernetinis saugumas vis dar atrodo kaip nepaprastai sudėtingas, kartais netgi mistinis reiškinys, apie kurį nedaug kas rimtai susimąsto. Neretai yra įsivaizduojama, kad kibernetinės atakos yra tolimos, neaktualios ir su kasdienybe neturinčios daug bendro. Ir tą galima suprasti pažvelgus į žmonijos istoriją – vos prieš kelis šimtus metų, bakterijų egzistavimas atrodė kaip nesuvokiamas reiškinys, ir suvokimas, kad pasaulyje gyvename apsupti milijardų organizmų, kurie mus gali pražudyti, atrodė neįmanomas. Tačiau šiandien šį faktą daugiau ar mažiau suvokia net patys mažiausieji ir žino, kad paprastas rankų plovimas gali padėti apsisaugoti nuo pačių baisiausių ligų. Taip ir su kibernetiniu saugumu – suvokti yra sudėtinga, eilinis žmogus žinių ir supratimo turbūt turi nedaug, tačiau nei vienas nėra apsaugotas nuo kibernetinių nusikaltimų, auka gali tapti bet kas, o grėsmės yra labai realios.

Mažiau atakų, bet daugiau pavojaus

Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos išleistoje „Nacionalinio kibernetinio saugumo būklės ataskaitoje 2018“ yra skelbiama, kad 2018-aisiais metais Lietuvoje buvo užregistruota 53 183 kibernetinio saugumo incidentai, o kalbant apie internetines svetaines, kuriose lankomės kasdien, svarbu pagalvoti apie tai, jog, atlikus Lietuvos interneto svetainių (.lt) kibernetinio saugumo patikrinimus, buvo nustatyta, kad net 52 proc. iš 52 000 interneto svetainių, turinčių turinio valdymo sistemą, yra pažeidžiamos, o to pasekmės gali būti labai skaudžios ne tik organizacijoms, bet ir svetainių naudotojams. Didžiausios grėsmės — asmeninių duomenų nutekinimas, reputacijos sunaikinimas ar rimti finansiniai nuostoliai.

Kibernetinių atakų sudėtingumas yra apipintas įvairiais mitais, jos kartais suprantamos kaip nesustabdomos ir neįveikiamos. Ateities tendencijos taip pat nedžiugina. Kaip yra skelbiama prieš tai minėtoje kibernetinio saugumo būklės ataskaitoje, kibernetinių incidentų skaičius 2018-aisiais metais sumažėjo, tačiau jų sudėtingumas išaugo, nes pačios atakos tampa vis labiau rafinuotos ir sunkiau ištiriamos. Tad ko imtis? Kaip ir kalbant apie bet kurį kitą, nebūtinai kibernetinį, saugumą, vienas svarbiausių dalykų norint apsiginti yra atsparumo (angl. resilience) stiprinimas. Neįmanoma būti visiškai pasiruošus bet kokiai grėsmei ir jaustis visiškai saugiai, tačiau stiprinant savo žinias, imantis tam tikrų, ne itin sudėtingų saugumo priemonių, galima bent iš dalies pasiruošti galimai atakai. Svarbu yra ir tai, kad apie saugumą pradėtume galvoti ankščiau, o ne tada, kai jau įvyksta ataka ir yra patiriami realūs nuostoliai.

Atakų (ne)sudėtingumas

Kibernetinę ataką įvykdyti nėra sudėtinga, o būdai – lengvai prieinami. Šiandien internete galime rasti „pilkųjų rinkų“, kur parduodami įrankiai, kurie nereikalauja daug specifinių žinių, tačiau leidžia atlikinėti kibernetines atakas, kurios gali tapti rimtų nuostolių priežastimi. Su šių įrankių pagalba bandoma išgauti konfidencialią informaciją, šifruoti duomenis, prašyti išpirkos ir net vykdyti sekimą. Testuodami įvarius įrankius bei žalingas aplikacijas, pastebime, jog minėtos priemonės tampa vis sudėtingiau aptinkamos bei leidžia jas pritaikyti būtent kryptingai atakai. Tai yra žalingi dariniai, kurie yra kuriami greitai ir lengvai, tačiau sugeba apeiti apsaugos priemones ir pasiekti galutinį vartotoją. Kalbant apie šešėlinį turgų, pastebime, jog egzistuoja „paslaugų“ tiekėjai, kurie siūlo kryptingas (angl. targeted) atakas, siekiant, pavyzdžiui, perimti prisijungimą prie el. pašto ar socialinių tinklų, ar gauti kitus konkrečiam žmogui priklausančius duomenis. Labai svarbu paminėti ir tai, jog šios „paslaugos“ jau siūlomos ir lietuvių kalba ir skirtos lietuvių auditorijai.

Mūsų praktikoje dažniausiai aptinkamos automatizuotos atakos. Tai yra įsilaužimai, atspėjant slaptažodį (arba surandant slaptažodį, kuris buvo nutekintas) ir jį pritaikant prisijungimams prie asmeninių paskyrų ir socialinių medijų. Atskira kategorija automatizuotų atakų yra skirta debesijoje esančioms el. pašto paslaugoms, kai bandoma atspėti slaptažodį ir jį atspėjus, prisijungiama prie el. pašto dėžutės, parsisiunčiami visi naudotojo laiškai, adresatų sąrašai, bendri dokumentai.  Automatizuotos atakos yra vykdomos toliau, siunčiant el. laiškus kitiems įmonėms darbuotojams siekiant gauti jų prisijungimo duomenis. Tokios atakos galutinis tikslas yra paleisti dar daugiau brukalų (angl. spam) tipo laiškų kitiems adresatams.

Apsaugos priemonės

Apsaugos arba prevencijos priemonės, kurias savo praktikoje dažnai paminime kaip gerą „pagrindą“ kibernetinio saugumo stiprinimui organizacijoje, yra daugeliui ne kartą girdėtos, bet, deja, neretai neatsispindi įmonių arba įstaigų veikloje arba kultūroje. Mūsų išskirtos 3 apsaugos ir prevencijos priemonės, būtinos kiekvienai organizacijai, yra šios:

1. Domėjimasis. Visų pirma – derėtų nepamiršti nuolat gilinti žinias. Kibernetinis saugumas tampa vis plačiau aptarinėjama tema, todėl galimybių sužinoti daugiau tikrai yra – vyksta įvairūs renginiai, skirti sugriauti įvairius, mūsų turimus, mitus, o Nacionalinis kibernetinio saugumo centras kiekvienais metais išleidžia neilgą, tačiau išsamią ataskaitą apie Lietuvos kibernetinio saugumo būklę, kuri yra prieinama kiekvienam. Domėjimasis ir žinių kaupimas padeda puikų pagrindą kritiniam mąstymui. Kibernetinės atakos yra artimesnės, negu gali atrodyti, todėl patariame užbėgti įvykiams už akių ir iš anksto pagalvoti, kaip reikėtų elgtis ir ką reikėtų daryti, norint apsaugoti save, savo duomenis ir savo turtą. Viena iš dažniausių kibernetinių atakų formų yra socialinė inžinerija, kuomet kibernetiniai nusikaltėliai, besinaudodami žmonių neatsargumu, patiklumu ar išsiblaškymu, įsilaužia į verslo ir gyventojų kompiuterius, renka informaciją arba įtraukia kompiuterius į kompiuterių zombių tinklus (angl. botnet) ir vykdo įvairią kenkėjišką veiklą. Todėl pokalbiai apie informacijos šaltinių vertinimą bei atidumą kibernetinėje erdvėje turėtų vykti organizacijoje ne tik IT skyriuje, bet ir visur kitur. Be to, turėtume pagalvoti apie tai, kokia informacija dalinamės socialinėje erdvėje bei pasidomėti, ar su mumis susisiekęs žmogus (pvz.: banko ar kokios kitos institucijos atstovas), klausiantis mūsų jautrios arba konfidencialios informacijos, tikrai yra teisėtas atstovas.

2. Slaptažodžiai. Juos naudojame kasdien, tačiau, nepaisant to, jog apie slaptažodžių apsaugą yra nemažai kalbama ir bent jau teoriškai dauguma mūsų žinome, kaip reikėtų elgtis, klaidas vis tiek kartojame vos ne kasdien – naudojame tą patį slaptažodį kelioms paskyroms, susikuriame paprastus ir lengvai atspėjamus raidžių ir skaičių derinius. Taip pat, nekeičiame slaptažodžių pakankamai dažnai (nebent toks reikalavimas yra įtrauktas į vienos ar kitos asmens paskyros naudojimo taisykles), pamirštame atjungti savo paskyrą prisijungus viešojoje vietoje (bibliotekoje, išmanių prietaisų parduotuvėje, kavinėje ar darbe), taip patys atverdami duris įvairiems asmenims, kurie gali turėti ne pačių geriausių tikslų. Atrodo, slaptažodžių klausimas jau visiems iki skausmo pažįstamas, bet visgi siūlome šiai sričiai skirti tikrai daug dėmesio visuose organizacijos padaliniuose bei skyriuose.

3. Nemokamos priemonės. Yra nemažai nemokamų galimybių, kurias siūlo paslaugų tiekėjai saugumui užtikrinti. Pavyzdžiui, nepamiršti įjungti kelių faktorių autentifikaciją aplikacijose bei įvairiose paslaugose, turėti atsarginius duomenų atkūrimo nustatymus bei autentifikavimo būdus (praradus prisijungimą prie paskyros – išliks galimybė ją susigrąžinti). Be to, derėtų nepamiršti kartas nuo karto peržiūrėti privatumo nustatymus ir stebėti iš kokių įrenginių vyksta prisijungimai. 2019 m. Microsoft antivirusinė programinė įranga Gartner Magic Quadrant buvo pripažinta viena iš lyderių. Šis gamintojas turi ir nemokamą sprendimą namų vartotojams – tai parodo, kad nemokami sprendimai tampa patikimi ir vertinami profesionalų, taigi svarbu naudoti patikimą ir oficialią programinę įrangą (tai leidžia išvengti rizikų, susijusių su nulaužta programine įranga, kai yra diegiamos jau apkrėstos programos). Be to, daug investicijų nereikalaujantis, tačiau pakankamai patikimas būdas apsaugoti informaciją praradus kompiuterį yra duomenų šifravimas – šiandieniniai kompiuteriai puikiai susitvarko su šifruotomis laikmenomis (kaip USB atmintukų ar netgi viso vidinio disko). Toks šifravimas taip pat leis ramiau jaustis, jeigu įvyks nenumatytas įrangos praradimas – vagystė ar pametimas.

Ką daryti įvykus incidentui?

Šios priemonės gali padėti apsisaugoti, tačiau jos negarantuoja visiško saugumo. Taigi, ką daryti, jeigu kibernetinis incidentas vis dėlto įvyko? Visų pirma, siūlome nepanikuoti bei bandyti atstatyti prieigą prie prarastų resursų. Itin svarbu suprasti, kad praradus prieigą prie tokio resurso kaip el. paštas, gali būti tuo pasinaudota ir prieiga prie kitų paskyrų ar socialinių tinklų irgi gali būti perimta. Taip pat, vos tik pastebėjus, jog yra patirta žala, patartume nedelsiant kreiptis į policiją, bei pateikti kiek įmanoma daugiau informacijos (pvz.: prisijungimų duomenis, paskyras kurios buvo paveiktos). Reikėtų atsiminti ir tai, jog dažnai bandoma pasinaudoti jau užvaldytomis paskyromis ir paveikti žinomus kontaktus, todėl svarbu informuoti draugus, kolegas ir gimines, kad paskyra nulaužta ir gali būti vykdoma neaiški komunikacija (pvz.: gali būti siunčiama apkrėsta nuoroda). Galiausiai, siūlytumėme nedelsiant peržiūrėti kitas paskyras, ar jos nėra perimtos, ir įdiegti papildomas identifikavimo ir atstatymo priemones.

Kibernetinės grėsmės yra aktualesnės ir kur kas arčiau mūsų, negu gali atrodyti. Tačiau kibernetinės atakos nėra neįveikiamos ir nuo jų įmanoma apsisaugoti. Siūlome domėtis, ugdyti kritinį mąstymą ir įvertinti bei imtis kelių paprastų žingsnių, kurie gali padėti apsaugoti save ir savo turtą bei duomenis. Kartais pakanka tiesiog „nusiplauti rankas“, norint užkirsti kelią rimtiems kibernetiniams incidentams.

Apie autorių: Tomas Mogodia yra NRD Cyber Security technologijų įgyvendinimo vadovas. Tomas turi didelę patirtį įvairių tinklo ir kibernetinio saugumo sistemų diegime, vertinimo ir audito projektuose nacionaliniame ir tarptautiniame lygmenyse. Prieš prisijungiant prie NRD Cyber Security komandos, Tomas vadovavo Lietuvos kariuomenės kibernetinės gynybos moduliui. Be to, Tomas buvo 3-iojo NATO ryšių bataliono ryšių ir informacinių sistemų vadas.

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
„WeWork“ atleidžia 2.400 darbuotojų

JAV bendradarbystės centrų kompanija „WeWork“ išdalino atleidimo lapelius 2.400 darbuotojų. Tokia būdu...

Vadyba
13:38
Kaip vadovauti biuro užsispyrėliams ir niurzgliams Premium

Jeigu šaukštas deguto gali pagadinti statinę medaus, tai vienas nuolatos bumbantis darbuotojas gali...

Vadyba
12:00
Šalyje yra 18.300 laisvų darbo vietų

Šių metų trečiojo ketvirčio pabaigoje šalyje buvo 18.300 laisvų darbo vietų samdomiesiems darbuotojams.

09:45
Kultūros renginių rėmimas: įtraukti vartotoją prasmingu turiniu (interviu) Verslo tribūna

Šiandien nebestebina didėjantis privačių rėmėjų ir kultūros renginių partnerysčių skaičius. „Rėmimo svarba...

Vadyba
06:00
Darbuotojų skaičiaus pokyčiai: labiausiai mažėja „Maximoje“, o auga – besiplečiančiame „Lidl“  Premium 4

Nauji darbo organizavimo sprendimai, efektyvumas, savitarnos technologijos leidžia prekybininkams mažinti...

Prekyba
2019.11.21
Lietuvos moksleiviams trūksta globalaus požiūrio į verslą - „Junior achievement“ tam kuria „Acceleratorx“ Verslo tribūna

Organizacijos „Hofstede Insights“ atlikto tyrimo duomenimis, Lietuvos moksleiviai yra orientuoti į...

Vadyba
2019.11.20
Hakatonai kuria patrauklią įmonės kultūrą, bet ne inovacijas Premium

Šiuolaikiniams lyderiams nebepakanka inicijuoti pokyčius – tie pokyčiai privalo būti esminiai, iš pagrindų...

Vadyba
2019.11.20
Padažnėjus informacijos nutekinimo atvejams, „Google“ keičia susirinkimų tvarką

JAV technologijų milžinė „Google“ neberengs savaitinių susirinkimų, kuriuose vadovai atsako į darbuotojams...

Vadyba
2019.11.20
Galimybė kaupti be „Sodros“ ir pajamų mokesčio: kam patikėti pinigus Premium 4

Darbdavio įmokos darbuotojų naudai šiuo metu yra palankiausias kaupimo būdas, tačiau iki šiol tokia galimybe...

Finansai
2019.11.20
„Technopolis Lietuva“ reorganizuoja valdomas įmones Premium

Didžiausią biurų parką Vilniuje valdanti UAB „Technopolis Lietuva“ efektyvina veiklą ir reorganizuoja šešias...

Statyba ir NT
2019.11.20
Pasaulio talentų reitinge Lietuva aplenkė Latviją, bet atsilieka nuo estų

IMD pasaulio talentų reitinge (angl. IMD, World Talent Report 2019) Lietuva 8 pozicijomis pakilo aukštyn.

Vadyba
2019.11.19
Paskutinis penkmetis – virsmo metai pramogų versle: viską gauti nori iš vienų rankų Verslo tribūna

Prieš 15-a metų visos Lietuvos dėmesį prikaustė svarbus įvykis – po 13 mėnesių trukusių statybų buvo...

Vadyba
2019.11.19
Pradėta taikyti Informacijos apie Lietuvoje dirbančius užsieniečius pateikimo tvarka, kurioje nustatytos naujos pareigos darbdaviams Verslo tribūna 1

Šių metų rugsėjį „Sodros“, Valstybinės darbo inspekcijos bei Užimtumo tarnybos vadovai priėmė įsakymą, kuriuo...

Vadyba
2019.11.18
Kaip išlaikyti verslą, kai konkurencija žvėriška Premium

Kuo mažesnių investicijų reikia verslui pradėti, tuo sektoriuje aštresnė konkurencija bei daugiau bandymų...

Gazelė
2019.11.18
Algų skirtumai: moteris baudžia už kompetenciją, vyrus apdovanoja už jos trūkumą Premium 5

Dirbti komandoje be vadovo, kuris, stovėdamas už nugaros skaičiuotų rezultatus ir klaidas, – dažno...

Vadyba
2019.11.18
10 frazių, kurios dirbančius biure varo iš proto

E. rinkodaros platforma „GetResponse“ daugiau  kaip 1.000 biuruose dirbančių specialistų pasiteiravo, kokios...

Vadyba
2019.11.17
Sėkmingam naujoko startui reikia dviejų sąlygų Premium

Įmonėms neužtenka tik strategijos, kaip pritraukti talentų, reikia ir sėkmingos naujo darbuotojo įvedimo į...

Vadyba
2019.11.16
Trys taisyklės, kurios verslą apsaugo nuo susinaikinimo Premium

Sparčiai augantis verslas pasiekia etapą, kai arba būtina imtis kardinalių pokyčių, arba viskas, kas sukurta,...

Gazelė
2019.11.15
Kibernetinis saugumas prasideda nuo suvokimo Verslo tribūna 1

Visi privalome rūpintis kibernetiniu saugumu, nes tobulėjant technologijoms vis didesnę riziką kelia jų...

Ilgalaikė automobilių nuoma verslui: mašina be įsipareigojimų Verslo tribūna

Nuosavą automobilį į ilgalaikę nuomą iškeitusios kompanijos tikina, kad įvertinus gaunamų paslaugų paketą ir...

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau