Pandemija ne tik paskatino sparčią įmonių skaitmeninę plėtrą. Viešasis sektorius aktyviai diegė ir plėtojo įvairius e. sprendimus, kurių naudotojų skaičius gerokai išaugo, o didelė darbuotojų dalis ir toliau iš dalies arba visiškai dirba nuotoliniu būdu. Valstybinės institucijos dėl atsiradusio hibridinio darbo modelio tapo įdomesnės kibernetiniams nusikaltėliams, o saugumo rizika tapo panaši į verslo sektoriaus riziką. Pranešime „ESET Lietuva“ IT inžinierius ir kibernetinio saugumo ekspertas Ramūnas Liubertas bei IT saugumo sprendimus platinančios kompanijos „Baltimax“ įmonės vadovas Andrius Mickevičius apžvelgs numanomas 2022 metų kibernetines grėsmių plitimo tendencijas. Nepaisant keblumų, susijusių su prognozėmis pandemijos metu, specialistai įspėja, jog galime būti tikri, kad 2022 metais kibernetinės rizikos viešajame sektoriuje ir toliau augs, vystysis ir joms išvengti reikės dar daugiau dėmesio ir išteklių.
Kokia yra dabartinė kibernetinės rizikos padėtis Lietuvoje?
„ESET Lietuva“ IT inžinierius ir kibernetinio saugumo ekspertas Ramūnas Liubertas pastebi, kad šiuo metu pavojingiausias kibernetinių atakų tipas – tiekimo grandinės kibernetinės atakos, kurios daugiausiai žalos pridaro per „Phishing“ arba „Fišingo“ tipo sukčiavimo atvejus. Tokios atakos įvyksta, kai užpuolikas daugiausiai dėmesio skiria trečiajai šaliai, t. y. kitai įmonei, kuri teikia paslaugas, pavyzdžiui, apskaitos platformos paslaugas vykdančiai organizacijai. Pavojus yra dvejopas. Pirma, programišiai gali daryti įtaką šios įmonės darbuotojų elgesiui ir IT sprendimams, siųsdami užslėptą kenkėjišką programinę įrangą. Antra, tokia ataka vienu metu gali užkrėsti daug institucijų ir perkrauti atsakingas tarnybas, todėl paprastai užsitęsia reagavimas į kilusias pavojingas situacijas.
Dar viena atakų rūšis, kuri neabejotinai „suskambės“ 2022 m., yra „Trojan“ tipo virusai, kurių pagalba į įmonę patenka duomenis šifruojantys kompiuteriniai virusai. Šie kenkėjai ne tik užšifruoja, tačiau kartu ir kopijuoja duomenis bei ima mokestį už jų iššifravimą ir neskelbimą. Deja, kaip pastebi R. Liubertas, įsilaužėliai suprato, kad jie gali įvairiais būdais išgauti mokestį iš aukos, ir paskui vis tiek parduoti duomenis, todėl pagrindinis uždavinys – užkirsti kelią pirmajam žingsniui, t. y. duomenų užšifravimui ir kopijavimui.
Su tuo taip pat sutinka ir IT saugumo sprendimus platinančios kompanijos „Baltimax“ įmonės vadovas Andrius Mickevičius. Jo teigimu, kita didelė kibernetinė rizika Lietuvoje yra organizacijų duomenų perkėlimas į debesijos aplinką. Pasak A. Mickevičiaus, didžiausią grėsmę kelia tai, jog nepakankamai įsigilinus į debesijos platformas kyla rizika jas netinkamai sukonfigūruoti, o tai gali atverti saugumo spragų. „Kaip ir kiekviena technologija, taip ir debesija gali atnešti naudos tik tada, kai IT personalas geba tinkamai viską valdyti ir administruoti. Tinkamai nepasiruošus, padidėja žmogiškosios klaidos tikimybė, nes prieiga galima iš bet kur, todėl itin svarbus prieigos teisių valdymas, slaptažodžių politikos taikymas, dviejų veiksnių autentifikacijos naudojimas ir tinkamas nuotolinio darbalaukio taisyklių konfigūravimas. Mūsų pačių duomenys rodo, kad debesijos aplinkoms skirtus saugumo sprendimus įsigyja net kelis kartus daugiau klientų nei pernai. Panašu, kad ši tendencija išliks ir toliau, vartotojams perkeliant savo paslaugas į debesiją“, – komentuoja A. Mickevičius.
„Baltimax“ duomenys taip pat rodo, kad reikšminga tendencija yra susijusi su pažeista trečiųjų šalių programine įranga ar neatnaujinta programine įranga – „Ne taisyklė, tačiau dažna tendencija, kad viešojo sektoriaus IT sistemos būna pasenusios, laiku neatnaujinamos dėl biudžeto ar personalo trūkumo. Tikrai tenka neretai pas klientus pamatyti įrenginius su nepalaikomomis operacinėmis sistemomis, tokiomis kaip „Windows 7“ ar „Windows XP“. Ne kartą viešoje erdvėje skaitėme apie socialinės inžinerijos atakas, kurios nukreipiamos į viešojo sektoriaus institucijas. Jei reikėtų įvardinti vieną saugumą užtikrinančią priemonę 2022 metams – tai vienareikšmiškai būtų darbuotojų edukacija kibernetinio saugumo klausimais. Svarbu, kad tai turėtų būti ne tik formalus supažindinimas, tačiau kompleksiniai mokymai, su įvairiomis testavimo priemonėmis. Taip pat svarbu reguliariai atnaujinti informaciją. Patirtis rodo, kad viešojo sektoriaus klientai – kurie naudoja tiek programinius sprendimus, tiek darbuotojų švietimą – su kibernetinių atakų skaudžiais padariniais susiduria gerokai rečiau“, – pastebi A. Mickevičius.
„Puolimo zona“ plečiasi
Specialistai sutaria, kad padidėjusi kibernetinė rizika kyla tuo metu, kai valstybinės institucijos ir įmonės vis dar yra paveiktos koronaviruso pandemijos, o tai dar labiau apsunkina už IT infrastruktūrą ir saugumą atsakingų asmenų veiklą. Kaip pastebi R. Liubertas, „nors skirtingų valdžios institucijų funkcijos skiriasi, bendra tendencija yra ta, kad atakų puolimo zona plečiasi, nes valdžios institucijos diegia skaitmenines paslaugas, pereina prie debesijos, naudojasi vis daugiau trečiųjų šalių pardavėjų, paslaugų teikėjų ir sparčiai įtraukia daug naudotojų, nes darbas namuose arba hibridinis darbas tampa naujo veiklos modelio dalimi“, – sako specialistas.
Ramūnas Liubertas pabrėžia, kad prieš pereinant prie debesijos, IT specialistams svarbu užduoti keletą klausimų, kurie daugiausia lemia įmonės ar įstaigos kibernetinio saugumo lygį. Ekspertas teigia, jog „apskritai svarbūs keturi klausimai: ar jūsų duomenys saugomi atsarginėmis kopijomis, kiek saugus yra duomenų centras, kuriame įsikūrusi debesija, ar jis turi atitinkamą sertifikatą, pvz., ISO, PCI DSS ar TIER, kokias kibernetinio saugumo priemones teikia debesijos paslaugų teikėjas ir ar jūsų IT infrastruktūrai reikalingas individualus debesijos sprendimas, ar pakanka standartinės paslaugos. Norėčiau pažymėti dar papildomą klausimą – ar duomenys saugomi Europos Sąjungoje? Jei duomenų apsaugai taikomas BDAR reglamentas, reikėtų įvertinti papildomas rizikas. Atsakius į šiuos klausimus ir įdiegus debesijos paslaugą, valstybinė institucija turėtų nedelsdama pasirūpinti dvigubos autentifikacijos patvirtinimo mechanizmu, panašiu į tą, kuris taikomas prisijungiant prie internetinės bankininkystės“, – komentuoja ekspertas. Tačiau, kaip pažymi R. Liubertas, deja, šia svarbia kibernetinės rizikos mažinimo funkcija klientai naudojasi palyginti nedaug, nes dar nėra išsiugdę tinkamų įpročių.
Darbuotojai išlieka silpniausia kibernetinio saugumo vieta
Kibernetinio saugumo ekspertas R. Liubertas sako, jog nesvarbu, kaip keičiasi IT sprendimai, kokios technologijos, atakos ir apsaugos programos mus supa ir kiek valstybinės institucijos yra išsivysčiusios skaitmeninėje srityje, populiariausia atakos forma vis dar yra išgauti darbuotojo slaptažodį ir patekti į sistemą pro paradines duris. „Apskaičiuota, kad 23 proc. kibernetinio saugumo incidentų įvyksta dėl žmogiškųjų klaidų (remiantis „IBM“ 2020 m. duomenų saugumo pažeidimų kainos ataskaita), todėl manau, kad turime techninių priemonių kibernetiniam saugumui skatinti, tačiau dažnai ir geriausia gynyba, ir silpniausia vieta yra darbuotojai, kurie nėra reguliariai mokomi kibernetinio saugumo.“ – teigia ekspertas.
„Baltimax“ vadovas Andrius Mickevičius taip pat pabrėžia, kad, analizuojant šių metų duomenis ir stebint, kaip pandemija ir jos padariniai vystosi visame pasaulyje, akivaizdu, kad kibernetinių atakų vykdytojai daugiausia dėmesio skiria žmonėms ir jų įrenginiams. „Kam bandyti įsiskverbti į įmonės saugumo perimetrą, kuris yra patikimai saugomas ugniasienės? Vietoj to vis daugiau atakų nukreipta į silpniausią grandį – asmenį ir galutinį įrenginį, su kuriuo jis dirba iš namų. Neatnaujinta programinė įranga, nepakankama apsauga nuo virusų, per didelės prieigos teisės, ribotos valdymo galimybės (kurių kartais išvis nėra), lemia, jog darbuotojas tampa lengvu taikiniu. Norint apsisaugoti nuo šių grėsmių, reikia gerinti darbuotojų žinias, ir diegti naujus apsaugos sprendimus“ – atkreipia dėmesį specialistas.
Abu ekspertai sutaria, kad šiomis aplinkybėmis organizacijos turėtų kreipti dėmesį į Krašto apsaugos ministerijos įsipareigojimą dirbti gerinant bendrą kibernetinio saugumo valdymą šalyje, įskaitant kibernetinio saugumo kompetencijos stiprinimą viešajame administravime. „ESET Lietuva“ valstybinėms organizacijoms visuomet rekomenduoja kreiptis į atsakingas institucijas siekiant užtikrinti tinkamą kibernetinio saugumo lygį įstaigos viduje.
1 paveikslas. „Lietuvoje plintančios kibernetinės grėsmės”.