Įpusėjant 2023 m., kibernetinio saugumo aplinka ir toliau sparčiai vystosi, atnešdama daug naujų iššūkių ir grėsmių. Kibernetiniai nusikaltėliai tampa vis gudresni – jie pasitelkia vis sudėtingesnes taktikas bei pažangesnes technologijas ir meistriškai išnaudoja skaitmeninių sistemų pažeidžiamumą.
Pasaulinė statistika rodo, kad per dieną įvyksta maždaug 2200 kibernetinių atakų, vienai iš jų įvykstant vidutiniškai kas 39 sekundes. Prognozuojama, jog šių metų gale bus pažeisti beveik 33 milijardai internetinių paskyrų, o šių įsilaužimų kaina sieks netgi 8 trilijonus dolerių. Grėsmė kibernetinio saugumo srityje puikiai matoma ir Lietuvoje: ESET telemetrijos duomenimis 2023 metais, palyginus su praėjusiaisiais, dar labiau plinta tokios kibernetinės grėsmės kaip nuotolinio ryšio puolimai (angl. remote connection exploits), atakos pasinaudojant kenkėjiška kompiuterio programa Trojan bei duomenų vagystės (angl. phishing). Tvyrantį pavojų įrodo ir švieži, rugsėjo 4 dieną užfiksuoti, įsilaužimai į 10–ties lietuviškų organizacijų internetines svetaines, kuriais buvo siekiama paskatinti Baltijos šalis nustoti remti karą Ukrainoje.
Esant tokioms aplinkybėms nenuostabu, jog rugsėjo 7 d. LITEXPO renginių centre į jau devintais metais iš eilės vykusią kibernetinio saugumo konferenciją ESET Security Day 2023 susirinko net daugiau nei 600 lankytojų. Šį kartą dalyviai galėjo ne tik klausytis pranešimų pagrindinėje salėje, bet savo žinias pagilinti ir Tech Demos salėje, kurioje dėmesys buvo sutelktas į konkrečių technologijų funkcionalumą.
Dirbtinis intelektas – ar reiktų jo bijoti?
Jau nuo pat sveikinimo žodžio buvo aišku, kad konferencijoje bus aktuali šiomis dienomis karšta, daug diskusijų sulaukianti dirbtinio intelekto (DI) tema. Renginį atidaręs ESET Lietuva vadovas Tomas Parnarauskas, pasiremdamas dirbtiniu intelektu sukurtos internetinės asmenybės Milla Sofia pavyzdžiu, pateikė mintį, kad tokiu pat greičiu, kokiu nuomonės formuotojai įgijo savo populiarumą, jie gali būti ir pakeisti savo kompiuterizuotais atitikmenimis. Tokia iliustracija T. Parnarauskas apeliavo į kylantį žmonių nerimą ateityje prarasti savo darbą ir būti pakeistiems mašininio mokymosi kompiuteriais.
Vis dėlto savo įvadinę kalbą jis pabaigė pabrėždamas, jog žmogus ir technologijos turėtų dirbti kaip vieningas intelektas, žmogui besinaudojant pastarosiomis kaip įrankiais. „Vinted“ vyriausiasis duomenų mokslininkas bei Lietuvos dirbtinio intelekto asociacijos prezidentas Dovydas Čeilutka klausytojus ramino teigdamas, kad tokie blogi DI panaudojimai, kaip žmonių karjeros pagrobimas, dar yra tolimoje ateityje. Užuot, šis pranešėjas supažindino auditoriją su dabartiniais būdais, kaip dirbtinis intelektas yra pasitelkiamas neigiamiems tikslams. Politiniams konfliktams kurstyti naudojami robotai, kurie socialiniuose tinkluose kuria automatinius skelbimus bei efektyviai kovoja už tam tikrą politinę pusę. Akivaizdžią grėsmę šioje sferoje įrodo ir Vladimiro Zelenskio bei Vladimiro Putino išmaniosios vaizdo klastotės (angl. deepfakes), dėl savo realistiškumo transliuotos netgi per televizijos kanalus. D. Čeilutka pabrėžė, jog svarbu yra kreipti dėmesį ne vien tik į piktavalius, savo veiklai apsukriai pasitelkiančius mašininio mokymosi modelius, tokius kaip „FraudGPT“, bet ir į paprastus žmones, savo darbams naudojančius laisvai prieinamas dirbtinio intelekto programėles. Neturint specialaus IT išsilavinimo yra lengva pridaryti klaidų. „Turime saugoti žmones nuo tų dalykų, kuriuos jie daro, bet nesupranta“, – savo pranešimą pabaigė asociacijos prezidentas.
Visgi konferencijos metu buvo kalbama ne vien tik apie dirbtinio intelekto tamsiąją pusę, bet ir apie jo teigiamus aspektus. Kibernetinio saugumo ekspertas Dr. Šarūnas Grigaliūnas atskleidė, kaip daugeliui žinomas modelis „ChatGPT-3“ gali būti utilizuojamas kibernetinių incidentų valdymui: scenarijų rašymui, kenkėjiško kodo analizavimui įsilaužimo į svetainę atveju, informacijos struktūrizavimui ar kalbų vertimui.
TIS2 – direktyva, kuriai verta tinkamai pasiruošti
Europos Sąjunga 2023-iųjų metų pradžioje paskelbė sugriežtintą visoms valstybėms narėms galiojančią Tinklų ir informacinių sistemų saugumo direktyvą (TIS2), kuria siekiama efektyviau kovoti su kibernetinėmis grėsmėmis, tad natūralu, jog konferencijos metu pastarajai taip pat buvo skirta nemažai dėmesio. Kalbą šia tema pradėjo LR Krašto apsaugos ministerijos ekspertas Antanas Aleknavičius. Pasitelkdamas kūrybišką baudų gavimo palyginimą su „Aukso Puodo“ žaidimu, pranešėjas pasakojo apie jų laimėjimą padidinančius šansus, kliūtis laimėti bei pagrindinius kandidatus, pretenduojančius į šį laimėjimą. Norint išvengti tokių prizų, svarbu suprasti, kad jau dabar yra galimybė veikti ir iš anksto įsivertinti savo organizacijos kibernetinio saugumo būklę, todėl kiekvienam įmonės atstovui domėtis TIS2 direktyva turėtų būti aktualu. „Dažniausiai apie kibernetinį saugumą pagalvojame tada, kai jau nukenčiame“ – sakė A. Aleknavičius.
Veiksmais, kurie turėtų padėti pasitikrinti, ar organizacija atitinka direktyvos nuostatas, su lankytojais pasidalino Edita Pulkauninkė – „Squalio Lietuva“ direktorė. Ji ypač akcentavo kibernetinio saugumo mokymų, leidžiančių reguliariai edukuoti darbuotojus ne tik apie saugumo rizikas, bet ir apie reagavimo į incidentus metodus, svarbą. Pasiremdama Hermano Ebinghauzo tyrimais, atskleidusiais, kad žmonės greitai pamiršta praeitą informaciją, ypač jei jos nenaudoja ar neįdeda pastangų aktyviai atgaminti atmintyje, ekspertė akcentavo, jog darbuotojų žinios ir gerosios praktikos turi būti nuolat atnaujinamos bei pakartojamos pratimais. Juk visas kibernetinio saugumo užtikrinimo procesas prasideda nuo žmogaus ir kartu jis yra ir silpnoji jos grandis.
Saugumas prasideda nuo darbuotojo
Kadangi konferencijos metu daug kartų buvo akcentuojama, jog įmonės kibernetinio saugumo pamatas yra visi, nebūtinai IT departamentui priklausantys, darbuotojai, nemažai pranešimų sukosi aplink pastaruosius. Diskusijoje „Ignitis“ grupės skaitmeninės saugos vadovas Dr. Donatas Vitkus, Nacionalinės teismų administracijos IT vadovas Adrijus Mikuška, VU kibernetinio saugumo laboratorijos vadovas Linas Bukauskas bei ESET Lietuva vyr. kibernetinio saugumo inžinierius Ramūnas Liubertas aptarinėjo šių dienų trendą nuomotis IT darbuotojus. Samdytis šios srities profesionalus, nepriklausančius organizacijai, tam, kad jie atliktų auditą, yra ne tik vertinga, bet ir būtina, mat išoriniai žmonės įvertina įmonės saugumo būklę iš šalies. Jie gali pastebėti klaidas, kurias galbūt vidinis asmuo nusprendė nuslėpti, nenorėdamas priekaištauti bendradarbiui ar trokšdamas išvengti konflikto. Padarius analizę taip pat pastebima, kuri organizacijos IT sritis „šlubuoja“, kurioje trūksta specifinės kompetencijos, reikiamos trumpam laikui – ją būtent ir galėtų padengti pasamdytas darbuotojas. Diskusijos metu iškilus klausimui, kokios veiklos negalima būtų pateikti išorės ekspertams, buvo akcentuojama bendradarbiavimo svarba: reikia pasitikėti samdomaisiais bei pernelyg neriboti jų prieigos. Polemizuojantys ekspertai išryškino ir kibernetinio saugumo mokymų reikšmę – ne tik teorinių, bet ir praktinių.
Apie praktinę pusę informatyviai, bet kartu ir su humoru, konferencijos metu pakalbėjo RNDV įmonių grupės IT vadovas bei CIO.LT klubo narys Darius Želvys. Pastebėjęs, kad jeigu žmonėms mokymai pasirodo sausi ir nuobodūs, tokio ugdymo rezultatai yra menki, pranešėjas nusprendė atlikti socialinės inžinerijos eksperimentus ir savo darbuotojams siuntė duomenų viliojimo (angl. phishing) nuorodas, apsimesdamas tokiomis įmonėmis kaip „Swedbank“, „VMI“ ar „Maxima“. D. Želvys prezentaciją baigė anekdotu: „Vadovai skundžiasi, jog jie vis ugdo ir ugdo, o darbuotojai paima ir išeina. O aš jiems atsakau: „Įsivaizduokite, kas būtų, jei mes neugdytumėme ir jie pasiliktų?“
Nuolatinis mokymasis šiais laikais yra būtinybė
Kibernetinio saugumo tema šiandien išties yra aktuali labiau nei bet kada anksčiau. Tai yra ypač sparčiai besivystanti sritis, kuri nuolat tobulėja ir kinta, todėl negalima prarasti budrumo – reikia nuolatos sekti naujausias tendencijas.
Norinčius lavintis ir toliau gilinti savo žinias ESET Lietuva kviečia registruotis į vebinarus kibernetinio saugumo temomis.
Ačiū ESET Security Day 2023 konferencijos partneriams: „Squalio“, „TeraSky Baltic“, „NRD Cyber Security“, „Baltimax“, „Senhasegura“, „Proget“, „KnowBe4“, „CIO.lt“, „AON“, „Vilnius Coding School“, „Baltijos Kompiuterių Akademija“.
Renginio nuotraukas galite peržiūrėti paspaudus šią nuorodą.