Technologijų pasaulyje vis dažniau įspėjama apie būtinybę pasirūpinti stipriais slaptažodžiais, kai darbuotojai jungiasi prie svarbių paskyrų internetinėje erdvėje.
Mat piktavaliams užtektų ir vienintelio slaptažodžio tam, kad elektra būtų atjungta visame mieste.
„Visi mes esame milžiniška tiekimo grandinė. Nors ir nežinote, kas ką domina, bet jeigu jūsų slaptažodis yra 123456, tai per jūsų įrenginį galima pasiekti labai daug.
<...> Jeigu kažkas nori išjungti elektrą, nebūtina nulaužti gerai apsaugotą elektros infrastruktūrą. Paprasčiau ateiti per pažeidžiamą darbuotoją“, – yra sakęs Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Antanas Aleknavičius.
Tiesa, įspėjami ne tik darbuotojai, besijungiantys prie svarbių sistemų, bet ir kiekvienas gyventojas, perkantis prekės, kurios sugundo savo žema kaina.
Grėsmė – ne tik dėl slaptažodžių
Kibernetinė sauga viešojoje erdvėje linksniuojama vis dažniau. Ir tam yra priežasčių. Štai dar šį rudenį dėl kibernetinių atakų Europoje sutriko didžiųjų oro uostų veikla.
O prie kibernetinių grėsmių dar prisideda ir dirbtinio intelekto (DI) plėtojimas. Kaip naujienų portalo tv3.lt laidoje „Dienos pjūvis“ sakė NKSC vadovas, jis gali būti išnaudojamas ne tik geriems, bet ir blogiems tikslams.
„Kibernetinės atakos vyko, vyksta ir vyks. Jeigu 2023 m. mes fiksavome apie 850 kibernetinių incidentų, 2024 m. – jau apie 1,7 tūkst. Šiais metais tokių atvejų fiksuota jau apie 1,9 tūkst.
Tačiau ne visi šie atvejai reikšmingi, ne visi sukelia tokio masto įvykius, kaip, pavyzdžiui, oro uostų veiklos sutrikdymus.
<...> Tie skaičiai, kuriuos minėjau, nebūtinai reiškia, kad kažkas mus papildomai puola. Tai reiškia, kad mes pagaliau atmerkiame akis ir matome, kas vyksta. Net jeigu ir puola, svarbu laiku pamatyti, laiku užkardyti tas veikas. Štai dėl ko reikia investuoti į savo informacinių sistemų ir tinklų stebėseną“, – komentavo A. Aleknavičius.
Kaip ir dauguma technologijų, pasak pašnekovo, DI turi ir šviesiąją, ir tamsiąją savo pusę.
„Beveik visos jos yra dvigubos paskirties. Iš esmės, kaip ir bet kuris daiktas. Jis gali būti panaudotas tiek geriems, tiek blogiems tikslams.
Mes galbūt dažniau viešojoje erdvėje pastebime, kaip DI naudojamas blogiems tikslams pasiekti. Tačiau vis daugiau ir daugiau produktų rinkoje atsiranda su integruotais DI sprendimais, kurie padeda apsisaugoti“, – paaiškino pašnekovas.
Reikia domėtis, ką perkame
Socialiniuose tinkluose jau įprasta matyti daugybę įvairių prekių (dažniausiai kiniškų) pardavėją. Ir lietuviai vis dažniau apsiperka kiniškose interneto parduotuvėse.
O vienas pagrindinių veiksnių, kodėl pirkėjai susidomi tokiomis prekėmis – prieinama kaina.
Vis tik A. Aleknavičius atkreipia dėmesį, kad, prieš perkant, pavyzdžiui, stebėjimo kameras ar kai kurias kitas prekes, vertėtų pasidomėti ir jų gamintoju.
„Esame padarę vaizdo stebėjimo kamerų tyrimą, kur nustatėme tam tikrų kritinių spragų.
Reikia, matyt, suprasti vieną dalyką, kad saugumas kainuoja. Ir kuo prekė pigesnė, tuo, matyt, galima kelti klausimą, kiek ji yra saugi, kiek gamintojas į tai investavo“, – dėmesį atkreipė specialistas.
Tiesa, A. Aleknavičius sako, kad pasitaiko atvejų, kai spragų aptinkama net ir didžiųjų gamintojų produktuose.
Vis tik specialistas rekomenduoja kiekvienu gamintoju ir jo parduodamais produktais pasidomėti iš anksto. Pasak A. Aleknavičiaus, jei ir pigesnė kamera bus naudojama tik stebėti žvėrelius, galbūt tai didesnių rizikų nekels.
Vis tik jei bus stebimi svarbesni objektai, jo vertinimu, galbūt tokiu atveju reikėtų rinktis ir kiek brangesnes vaizdo stebėjimo kameras, prieš tai pasidomint, kokius saugos sprendimus yra įdiegęs pats gamintojas.
„Jeigu rizika nedidelė, matyt, ir pigesnė ta prekė, atsisiųsta iš kažkur, neaiškaus gamintojo, gali tikti.
Bet jeigu mes naudosime tą daiktą, prietaisą užtikrinti savo gyvybinėms funkcijoms, saugumą, vis dėlto verta papildomai atkreipti dėmesį ir investuoti į tą rinkos tyrimą, gilesnę netgi techninę analizę, ar nebuvo nustatyta pažeidimų.
Šiais laikais internete galima rasti įvairiausių atsiliepimų. Kibernetinio saugumo centrai visame pasaulyje atliekaįvairiausius tyrimus. Tad verta papildomai investuoti savo laiko, resursų, kad būtų galima išsiaiškinti, ar įmanoma ir ar saugu tuos prietaisus naudoti. Ir pagal tai priimti sprendimus“, – patarė pašnekovas.
Namuose atsirandant vis daugiau technologinių sprendimų, pavyzdžiui, kavos aparatų, arbatinukų ar kitų įrenginių (kuriuos galima valdyti ir parsisiuntus programėlę telefone), specialisto vertinimu, nereikia užmiršti vieno pamatinio akcento – mūsų duomenų saugos.
„Klausimas kiekvienam iš mūsų: ar aš pasitikiu tuo gamintoju, paslaugų teikėju, kuriam atiduodu savo duomenis? Lietuva jau prieš kurį laiką yra pasakiusi, kad tam tikros šalys mums yra nedraugiškos, mes jomis nepasitikime ir viešasis sektorius netgi yra įpareigotas nepirkti kiniškų įrenginių.
<...> Visuomet reikia įsivertinti ir kokius mes duomenis atiduodame. Prieš naudojant skirtingas technologijas, jas reikia pažinti ir suprasti“, – kalbėjo A. Aleknavičius.
Pašnekovas dar kartą paragino visus gerai pagalvoti, ar tikrai mūsų duomenys yra tokie nesvarbus, ar tikrai juos norime atiduoti nepažįstamiems asmenims.
„Mus juk nuo mažumės, matyt, visus mokė tėvai nekalbėti su nepažįstamaisiais, nelipti į nepažįstamų asmenų automobilius, tai kodėl gi mes taip neatsakingai elgiamės su savo duomenimis? Tai kibernetinė erdvė, kibernetinis domenas nėra kažkas stebuklingo – galioja tikrai tie patys principai, kaip ir įprastame gyvenime“, – apibendrino A. Aleknavičius.
NKSC: daugėja darbuotojų, gebančių identifikuoti elektroninius sukčius
Nacionalinio kibernetinio saugumo centro (NKSC) šių metų rudenį surengtose kibernetinėse pratybose „Kibernetinis skydas – PhishEx“ padaugėjo darbuotojų, identifikavusių imitacinius elektroninių sukčių laiškus.
Pasak NKSC, rugsėjo 29–spalio 3 dienomis vykusiose pratybose iš viso dalyvavo 193 organizacijos. Naujausių pratybų metu daugiau darbuotojų pranešė apie įtartinus laiškus (8 417), nei pateikė jautrius duomenis (8 029).
Visi pratybų dalyviai galėjo taikyti tris realias atakas imituojančius sukčiavimo scenarijus, kurie leidžia įvertinti organizacijų atsparumo lygį. Iš viso buvo išsiųsta daugiau nei 120 tūkst. el. laiškų.
Anot centro, „Microsoft“ scenarijus įtikino 8,5 proc. darbuotojų pateikti savo prisijungimo duomenis. Šiame scenarijuje darbuotojai gavo fiktyvų laišką iš savo „tiesioginio vadovo“ – kvietimą peržiūrėti bendrinamą dokumentą „Office 365“ debesijos platformoje. Šis scenarijus buvo sunkiausiai atpažįstamas – apie jį pranešė tik 3,9 proc. darbuotojų.
„SignDoks“ scenarijuje buvo imituojama dokumentų pasirašymo el. parašu paslauga. Laiške, prisistatydami neegzistuojančios platformos „SignDoks“ vardu, sukčiai ragino darbuotoją prisijungti ir patvirtinti tapatybę – įvesti telefono numerį ir paskutinius keturis asmens kodo skaitmenis.
Centro duomenimis, šis scenarijus turėjo vieną mažiausių prisijungimo duomenis pateikusių rodiklių – 6 proc., o net 11,8 proc. darbuotojų pranešė apie įtartiną laišką.
Pirmą kartą pratybose buvo panaudotas šantažo scenarijus. Organizacijų, kurios pasirinko šį scenarijų, darbuotojams buvo parodytas įspėjimas, kad jų failai esą užšifruoti, ir reikalauta įvesti slaptažodį su pažadu (galimai) juos atšifruoti.
Tik 1 proc. darbuotojų iš organizacijų, pasirinkusių šantažo scenarijų, suvedė prisijungimo duomenis. Dauguma atpažino grėsmę ir tinkamai reagavo – neįvedė duomenų bei pranešė apie incidentą savo organizacijos kibernetinio saugumo kolegoms.
Į reguliariai vykdomas pratybas „PhishEx“ kviečiamos visos organizacijos, įtrauktos į Kibernetinio saugumo subjektų sąrašą ir prisijungusios prie Kibernetinio saugumo informacinės sistemos (KSIS).
