Kibernetinio saugumo organizacijos „Vilnius Legal Hackers“ surengtoje diskusijoje dalyvavę ekspertai taip pat perspėjo, kad tokių incidentų ateityje daugės.
„Mes turime būti sąmoningi, atlikdami vienokius ar kitokius veiksmus su savo duomenimis. Turbūt tokia yra realija ir šie pavieniai atvejai, apie kuriuos plačiai yra diskutuojama, yra dabar ir ateityje, manau, kad jų turėsime daugiau“, – diskusijoje sakė kibernetinio saugumo sprendimų bendrovės „NCC Group“ Lietuvos biuro vadovė Zoja Antuchevič.
Mykolo Romerio universiteto (MRU) Teisės ir Finansinės technologijos studijų programos vadovas Marius Laurinaitis pabrėžė, kad „CityBee“ incidentas parodė žemą skaitmeninės higienos lygį Lietuvoje.
„Jeigu mes tikrai sakome, kad, tarkime, tam tikri prieigos duomenys, jeigu jie buvo vienoje sistemoje, tai jeigu ji sumaišyta su jūsų finansų sistema, komunikacinio privatumo sistema, paštais, tai apie kokia higieną ir kultūrą mes galime kalbėti?“, – klausė M. Laurinaitis.
Z. Antuchevič taip pat pabrėžė, jog norint apsisaugoti nuo panašių incidentų, reikia gerinti skaitmeninę higieną.
„Reikia pradėti nuo paprastų, elementarių higienos dalykų – neturėti to, ko nereikia, kelti žmonių, kiekvieno darbuotojo sąmoningumą, kas yra ta informacinė sauga, duomenys mūsų įmonėje?“, – sakė ji.
„Kodėl „CityBee“ laikė seną duombazės kopiją?“
Su BNS kalbėjęs programišius, kuris internete paskelbė trejų metų senumo „CityBee“ naudotojų duomenis, teigė, kad šiuos duomeni gauti nebuvo itin sunku ir, jei būtų idėjęs daugiau pastangų, būtų galėjęs gauti ir naujausius duomenis.
„CityBee“ vadovas Kristijonas Kaikaris šią savaitę BNS tai neigė ir sakė, kad duomenis pavogti nebuvo lengva ir jie „nebuvo padėti ant lėkštutės“.
Tačiau kibernetinio saugumo ekspertas, bendrovės „ESET Lietuva“ vadovas Tomas Parnarauskas kėlė klausimą, kodėl „CityBee“ taip ilgai laikė senas duombazių kopijas.
„Atsarginė duomenų kopija reikalinga tam, kad jeigu įvyks incidentas, maža ką, aš galėčiau greitai atstatyti duomenis. Kiek laiko CityBee duomenys keičiasi? Gerai, savaitės senumo duomenų bazės kopija yra reikalinga. Jeigu turime trijų metų duomenų bazės kopiją kažkur pasidėję, man yra klausimas, kodėl yra laikomos tiek laiko duomenų kopijos“, – klausė T. Parnarauskas.
„Tris metus laikyti duomenis, nežinau, galbūt duomenų inspekcija patikslins, bet yra perteklinė informacija“, – pridūrė jis.
Tuo metu kibernetinio saugumo analitikas Darius Povilaitis duomenų apsaugą, ypač kalbant apie itin jautrius nepilnamečių vaikų, sveikatos apsaugos duomenis, Lietuvoje įvertino itin prastai.
„Dešimtbalėje sistemoje tai vertinčiau trimis balais. Pagrindinė problema su kibernetinio saugumo situacija Lietuvoje, mano nuomone, yra ta, kad viešai sakoma viena, o daroma kažkas kita, arba dažniausiai nedaroma“, – sakė D. Povilaitis.
Jis prisiminė atvejį, kuomet kai kurie vartotojai atidavė savo duomenis siuntų bendrove DPD apsimetusiems sukčiams.
„DPD šitoje vietoje niekuo dėti, bet, gindami savo gerą vardą, jie kovoja su tais sukčiais, uždarinėja tas svetaines ir panašiai. Iš valstybinių institucijų, mano žiniomis, pagalbos nėra jokios“, – sakė D. Povilaitis.
Patarimai naudotojams – dviejų žingsnų autentifikacija, slaptafrazės
Diskusijos dalyviai pabrėžia, kad nulaužta gali būti bet kokia sistema, tačiau paslaugų naudotojai gali imtis priemonių, kurios maksimaliai padidintų jų duomenų saugą.
„Nereikia būti paranojikais, bet reikia sąmoningai vertinti informaciją, suprasti, kas vyksta, kodėl vyksta“, – sakė Z. Antuchevič.
Valstybinės duomenų apsaugos inspekcijos Informacinių technologijų skyriaus vedėjas Jevgenijus Tichonovas sako, kad po „CityBee“ skandalo iš esmės niekas nepasikeitė ir prevencinės saugos priemonės lieka tos pačios.
„Veiksmų reikia imtis tų pačių, kurių reikėjo imtis ir prieš „CityBee“ atvejį, kas liečia slaptažodžius, prieigas“, – sakė J. Tichonovas.
„Jeigu šiuo atveju buvo nutekinti slaptažodžiai, reikėtų pereiti per visas paskyras ir pasižiūrėti, pakeisti tuos slaptažodžius ir laikytis paprastų taisyklių – nenaudoti tų pačių slaptažodžių, ypač senų, aišku, naudoti didžiąsias raides ir kitus dalykus“, – aiškino duomenų apsaugos inspekcijos atstovas.
Pasak jos, taip pat visur, kur įmanoma, rekomenduojama naudoti dviejų žingsnių autentifikaciją.
„Atidžiai peržiūrėti paslaugas, kurios nereikalauja autentifikacijos, ar yra sietinos viena su kita, jeigu su savo gmail paskyra prisijungiate prie dar 5-8 produktų. Visiem, kur įmanoma, rekomenduoju naudoti dvigubą autentifikaciją“, – vardijo J. Tichonovas.
T. Parnarauskas sakė, kad tarp kitų papildomų saugumo priemonių galėtų būti vadinamosios slaptažodžių saugyklos (angl. password manager) arba slaptafrazės.
„Ji (slaptažodžių saugykla – BNS) turi ir pliusų ir minusų, tai tokiu atveju, galbūt, lengviausia naudoti slaptafrazes“, – sakė ekspertas.
„Jeigu aš kalbu apie konkretų automobilį, tai sugalvoju asociactyvią frazę, pavyzdžiui, „greitosbitės5“, ir tada kažkokius rinkinius iš frazės surenku kaip slaptažodį. Manau, kad asociatyvinė metodika padėtų, jeigu nenaudoti slaptažodžių generatoriaus“, – sakė ekspertas.