VZ.LT: SVV – gardus kąsnis kibernetiniams nusikaltėliams

VZ.LT: SVV – gardus kąsnis kibernetiniams nusikaltėliams

2018-04-25

Jau ne pirmus metus kibernetinės atakos karaliauja nusikaltimų topuose. Ekspertai skaičiuoja, kad  būtent kibernetinis saugumas artimiausius du dešimtmečius bus vienu pagrindinių iššūkių verslui. Vytautas Zulonas, Atea tinklų ir saugumo grupės vadovas, perspėja, portalui vz.lt pasakoja, kad viena didžiausių grėsmių bendrovėms yra naivus tikėjimas, jog kibernetiniai nusikaltimai vyksta tik didžiųjų korporacijų kiemuose, o smulkusis ir vidutinis verslas programišiams neįdomus.

Didžiosios Britanijos draudimo kompanija „Lloyd‘s“ yra apskaičiavusi, jog kibernetinės atakos verslui kasmet atsieina 400 mlrd. USD. IBM korporacijos vadovė Ginni Romerty neabejoja, kad kibernetiniai nusikaltimai yra didžiausia grėsmė viso pasaulio verslui, o tyrimų agentūra „Cybersecurity Ventures“ prognozuoja, kad jau 2021 m. dėl kibernetinių atakų pasaulis patirs 6 trilijonus USD nuostolių.

 

„Kalbėdami apie kibernetinę saugą dažniausiai įsivaizduojame apsaugą nuo virusų, ar programišius,  laužančius tinklalapius. Tačiau kibernetinė sauga yra daug platesnė sritis, tiesiogiai susijusi su organizacijos veikla ir jos aspektų kritiškumu, – sako Vytautas. – Kibernetinė sauga svarbi visoms įmonėms, tačiau jos aktualumas varijuoja, kai kalbama apie skirtingus sektorius ar net įmones. Pavyzdžiui, jeigu bendrovei pajamas neša gaminiai, jai svarbiausia užtikrinti gamybos veiklos tęstinumą. Tokiu atveju privalu saugoti pramoninius įrenginius ir jų valdiklius, logistikos sistemas, brėžinius ir receptūras. Kitai įmonei gali būti svarbūs klientų duomenys, trečiai – patentai ir pan. Yra kibernetinės saugos aspektų, kuriuos galima priskirti bendrai IT higienai, tačiau yra ir labai specifinių pusių, kurios svarbios tik atskirose verslo šakose“.

Nenuostabu, kad garsiausiai nuskamba atvejai, kai dėl programišių piktavališkumo nukenčia pasaulinės korporacijos: pvz. tris metus nepastebėta 2013-ųjų ataka prieš „Yahoo“, kai nusikaltėliai pasisavino visų 3 mlrd. vartotojų duomenis ar 2016 metų ataka prieš „Uber“, kai buvo pasisavinta 57 mln. kompanijos klientų ir vairuotojų duomenys, o kompanija mėgino tai nuslėpti. Taip pat dėmesį patraukia itin didelio masto nusikaltimai (pvz., „WannaCry“ ataka, kai pinigų reikalauta užšifravus duomenis), kurių, tikina ekspertai, ateityje galime tikėtis vis daugiau. Visgi, kone pusė kibernetinių atakų visame pasaulyje yra nukreiptos prieš smulkiojo ir vidutinio verslo (SVV) įmones. Deja, tyrimų duomenimis, kol kas tik 38% bendrovių teigia turinčios priemonių kovoti su kibernetiniais nusikaltėliais, o į 60% šio segmento bendrovių nusikaltėliai virtualiai įsilaužtų vos per kelias minutes.

„Lietuvoje kibernetinės atakos prieš verslo organizacijas yra tokios pat dažnos kaip ir prieš valstybinį sektorių, tiesiog daug mažiau informacijos iškyla į viešumą“, – komentuoja Vytautas.

Man taip nenutiks

 

Anot pašnekovo, klaidinga manyti, kad prieš programišius kovoti neįmanoma. Nuo nesudėtingų kibernetinių puolimų galima gana lengvai apsiginti. Tačiau netrūksta įmonių, kurios neįsigilina į kibernetinės saugos esmę, mano, kad jos nusikaltėliams neįdomios ar vis dar tikisi, jog visas grėsmes įmanoma numalšinti universalaus poveikio tablete.

„Didžiausios ir dažniausios Lietuvos verslo klaidos yra manymas, kad „man taip neatsitiks“ arba „aš neturiu ko saugoti“. Kompanijų vadovai Lietuvoje, tie, kas organizuoja IT darbą ir skirsto biudžetus vis dar tiki kitu gaju mitu – kad egzistuoja vienas universalus sprendimas visoms kibernetinės saugos problemoms. Verslas taip pat dažnai mano, kad kibernetinės saugos incidentai yra kažkas egzotiško ar tolimo, – pasakoja Vytautas. – Aš dažnai palyginu investicijas į kibernetinę saugą su savarankišku turto draudimu. Gali būti, kad įmonei niekada neteks susidurti su incidentu, tačiau incidentui įvykus jau bus vėlu. Investicijos į saugą turėtų atitikti galimus nuostolius – juk nemokėtume už automobilio draudimą sumos, kuri viršija paties automobilio kainą?“

Labiausiai pažeidžiami – darbuotojai

Ponas Zulonas teigia, kad daugiausia vadovai klysta, kai neįsigilina į įmonės veiklos rizikas ir neįvertina didžiausių saugos spragų.

 

„Lietuvoje labai trūksta kompetentingų kibernetinės saugos, veiklos rizikų, asmens duomenų saugos specialistų. Apibendrinant, didžiausia Lietuvos kibernetinė saugos spraga yra žmogus. Daugiau negu 90% tikslinių atakų būna nukreiptos prieš labiausiai pažeidžiamą saugos grandį – įmonių darbuotojus, kurie dažniausiai neturi elementarių saugaus darbo su IT žinių. Tai liūdina, nes išlaidos, kurių patirtų įmonės, nusprendusios kelti darbuotojų kvalifikaciją šioje srityje, tikrai nėra didelės, – stebisi Vytautas. – Statistika panaši beveik visose įmonėse ir organizacijose visame pasaulyje. Pavyzdys – elektroninių komunikacijų klastojimo (angl. phishing) atakos, kai piktavaliai siunčia darbuotojams laiškus su užkrėstais prisegtukais, arba apsimesdami įmonės darbuotojais prašo atlikti lėšų pervedimus. Kad išvengtumėte atakos užtektų neatidaryti prisegtuko, arba gavus įtartiną laišką kreiptis į įmonės saugos įgaliotinį ir atitinkamas institucijas“.

Paradoksalu, bet dar daugiau žalos gali pridaryti  tie specialistai, kuriems bendrovės dažniausiai ir patiki rūpintis kibernetinės saugos klausimais – reikiamų žinių neturintys ir neapmokyti IT specialistai.

„Jie turi prieigą ir labai daug galimybių paveikti infrastruktūrą. Dažnai pasitaiko incidentų, kai darbuotojai tyčia arba netyčia nutekina informaciją arbą ją net sunaikina, sutrikdo informacinių sistemų darbą. Pavyzdžiui, įsivaizduokite, kad iš darbo atleidžiamas IT administratorius ištrynė visas įmonės duomenų bazes. Jei nesate įdiegę kontrolės priemonių, vargu ar galėsite įrodyti jo kaltę. Kaip tik dėl to kibernetinės saugos institucija visais atvejais privalo veikti atskirai nuo IT skyriaus. Viena pagrindinių kibernetinės saugos specialistų užduočių ir yra IT veiklos priežiūra“, – užtikrina Vytautas.

Pirmieji žingsniai

Įmonėms, kurios iki šiol kibernetinę saugą laikė skambiu IT terminu ir šią sritį buvo apleidusios, Vytautas pataria pradėti nuo mažų žingsnelių.

 

„Pirmuosius žingsnius galima atlikti savo jėgomis arba minimaliomis investicijomis. Pirmiausia įvertinkite įmonės procesus, jų kritiškumą ir galimą žalą, bei procesų sąsajas su IT. Pavyzdžiui, jeigu žinote, kad valandos trukmės gamybos linijos prastova įmonei kainuoja konkrečią pinigų sumą, o penkių dienų prastova gali privesti įmonę prie finansinių sunkumų, nesunkiai suprasite, kurios IT sistemos yra kritiškos ir reikalauja papildomo dėmesio. Antras žingsnis – surengti saugaus darbo su IT mokymus įmonės darbuotojams. Tai nėra brangu, šią paslaugą siūlo dauguma konsultuojančių bendrovių, o rezultatas gali atnešti greitai apčiuopiamų pokyčių, – pasakoja Vytautas. –  Itin aktualus klausimas įmonėms yra ES bendrasis duomenų apsaugos reglamentas, kuris įsigalioja nuo gegužės. Jį pažeidusios įmonės gali prisidaryti daug rūpesčių ir net sulaukti didelių baudų. Dažnai verslui siūlome įvertinti, kokius asmens duomenis jie turi ir gerai apsvarstyti, ar tie duomenys yra reikalingi verslui. Kartais kur kas paprasčiau atsisakyti nereikalingų duomenų ar veiklų (pvz., nuolaidų kortelių), o gal perleisti jas tuo užsiimančioms įmonėms“.

„Net ir su didžiausiu pasiruošimu rizika išlieka. Todėl pašonėje visada reikia turėti specialistų, galinčių atstatyti duomenis, veiklą, išanalizuoti kibernetinės saugos incidentą. Dažnu atveju būna per vėlu. Tačiau kartais reikia visai nedaug pastangų, kad apsigintumėte nuo paskirstytų paslaugos trikdymo atakų (DDoS), kai pakenkiama serveriui ir užvaldomos informacinės sistemos,  ar atstatytumėte  duomenis po kriptovirusų incidento“ – sako saugos ekspertas.

Vytautas Zulonas
Tinklų ir saugumo grupės vadovas