Mokslas ir IT

2021.03.08 09:55

Asmens kodas, adresai, atvaizdas – kaip galima piktnaudžiauti ir kaip apsaugoti kiekvieną iš šių duomenų?

Guoda Pečiulytė, LRT RADIJO laida „Tuzinas“, LRT.lt2021.03.08 09:55

Pastarosiomis savaitėmis saujai Lietuvos įmonių ir interneto tinklapių tapus kibernetinių atakų taikiniu, nukentėjo ir jų paslaugomis naudojęsi piliečiai. Bent iki šiol kalbėta tik apie sukeltus nepatogumus ir žalos nepadariusius mėginimus prisijungti prie elektroninio pašto dėžučių, tačiau IT ekspertai sako, kad apskritai asmens duomenų saugumą Lietuvoje linkstama nuvertinti. Buvęs krašto apsaugos viceministras Edvinas Kerza paaiškina, kaip ir kokie duomenys gali būti panaudoti prieš jų savininką.


Kibernetinio saugumo ekspertas E. Kerza LRT RADIJO laidoje „Tuzinas“ sakė, kad visiškai nuo potencialių duomenų vagysčių neapsisaugosime, bet stengtis verta.

Asmens kodas

„Asmens kodas yra vienas svarbiausių duomenų, kadangi jis yra unikalus – mes jį gauname vieną kartą gyvenime ir pasikeisti negalime, – laidai sakė E. Kerza. – Ir tikrai nesutinku su tais, kurie sako, kad tai nesvarbu ir pigiai kainuoja. Apskritai duomenys dabar pigiai kainuoja“.

Pašnekovo teigimu, itin kruopštus ir laiko investuoti galintis nusikaltėlis iš nepakankamai saugomų duomenų keliose skirtingose bazėse gali susidaryti visą dėlionę, suteikiančią nemažai informacijos apie asmenį.

„Pagalvokime, kad nuteka aibė duomenų iš skirtingų įmonių, tai jeigu aš būčiau nusikaltėlis, blogas žmogus ar nedraugiška valstybė, man ir nereikia šimtų tūkstančių duomenų. Jeigu man reikia kelių tapatybių, tai iš kelių bazių aš ieškau tų pačių žmonių ir susidarau jų tapatybę – iš vienos bazės turėsiu vardą, pavardę, pašto adresą, slaptažodį, iš kitos bazės slaptažodį, o taip, žiūrėk, jau ir tendenciją pamatysiu, trečioje – namų adresas, asmens kodas, vairuotojo pažymėjimo kopija. Įteisinome vairuotojo pažymėjimą kaip asmens dokumentą, kodėl aš tada negalėčiau pasiimti kredito ar atsidaryti kažkur virtualią sąskaitą valiutų keitimui?“, – kalbėjo E. Kerza.

Jis primena, kad pavogti duomenys gali būti naudojami ne tik Lietuvoje, bet ir užsienyje.

„Negali daryti finansinių operacijų neidentifikavęs žmogaus, o mes žmogų identifikuojame būtent pagal asmens kodą. Nes vardas, pavardė, gimimo data kartais sutampa – egzistuoja keli žmonės tuo pačiu vardu ir pavardę, gimę tą pačią dieną, tačiau nėra nė vieno, kuris turėtų tokį patį kodą. Todėl labai svarbu, ypač užsienio bendrovėse, kuomet identifikuojiesi – kai tave tikrina, jie tai daro pagal asmens kodą“, – sakė kibernetinio saugumo specialistas.

Elektroninio pašto ir gyvenamosios vietos adresai

„Viena populiariausių paslaugų yra reklaminiai laiškai. Dėl ko įmonės moka tam tikrą pinigų sumą, kad gautų kuo daugiau elektroninio pašto adresų? Kad galėtų jiems siųsti reklamas, angliškai vadinamą spamą (liet. šlamštą). Iš šimto ar dviejų šimtų tūkstančių galbūt atsiras kelios dešimtys žmonių, kurios susigundys mano siūloma preke ar paslauga, ir gavę tą reklamą, kad ir nepageidautiną, paslaugą įsigis“, – apie komercines el. pašto panaudojimo galimybes kalbėjo E. Kerza.

Tuo tarpu informacijos šaltiniu apie gyvenamąją vietą gali būti socialiniai tinklai, primena jis. Kaip pakenkti tokiu būdu – jokia paslaptis ir nebe naujiena.

„Tikrasis adresas, kaip dažnai akcentuojama įvairiuose patarimuose, gali būti siejamas su įprastomis vagystėmis. Nes jeigu aš turiu vardą ir pavardę, žinau, kur gyvenate, galiu pasižiūrėti jūsų socialinėje erdvėje – tikrai pasiskelbsite, kad išvažiavote atostogų, pasidžiaugsite, kad dvi savaites būsite šiltuose kraštuose. Blogam žmogui, vagiui, tai yra indikacija, kad jūsų namai galbūt yra tušti ir galima eiti pasižiūrėti, ką ten esate sukaupę“, – sakė „Tuzino“ pašnekovas.

Atvaizdas

Laikais, kuomet paskyrą socialiniame tinkle, netgi ne viename, turi dažnas, asmžoens atvaizdas yra nesunkiai pasiekiamas. E. Kerzos manymu, kol kas nežinome visų galimybių, kaip atvaizdu galima būtų piktnaudžiauti dabar arba ateityje, kai techninio manipuliavimo potencialas plėsis.

„Aš manau, mes iki galo nesuprantame, ar tai svarbu ir kiek tai svarbu. Mus filmuoja kameros parduotuvės, mus fiksuoja aibė kamerų kitur, iš kitos pusės, mes patys keliame savo atvaizdus į socialinę erdvę, iš trečios pusės, mes naudojamės aplikacijomis, kurios mūsų telefonų pagalba iš arti, didelės raiškos kameromis, fotografuojame save. (...) Tai reiškia, kad mūsų biometriką – akių raineles, bruožus, kurių nepakeisime, nes tai yra unikalūs kaip ir pirštų antspaudai, – mes savo noru keliame į skaitmeninę erdvę, saugome savo veido atvaizdą telefone jo atrakinimui ar namų signalizacijos spynas dedamės, kurios atidaro duris pagal veidą. Dar daugiau, jeigu kalbėtume apie nedraugiškų valstybių spectarnybas, jeigu esate politikas ar verslininkas, asmuo, kuriuo domimasi ir kurį būtų norima užverbuoti, jūsų atvaizdą įdėję į savo bazę nesunkiai atseks, jeigu pasirodysite kažkuriame jų mieste – kameros užfiksavusios greitai praneš, kur jus galima rasti“, – kalbėjo E. Kerza.

Ar to galima išvengti? „Ko gero, ne“, – atsako buvęs viceministras, tačiau galima bent jau vengti viešinti oficialias, asmens dokumentui pritaikomas, didelės raiškos nuotraukas.

Prisijungimai

Vasarį skelbto „NordPass“ tyrimo duomenimis, lietuviai linkę rinktis ypač lengvus slaptažodžius. Pirmi trys populiariausi, tarp naudojamų Lietuvoje, yra tiesiog skaičių sekos, kaip kad „123456“. O pirmajame dvidešimtuke, anot tyrimo, atsiduria ir vardai, ir žodžiai „nesakysiu“, „mama“, „katinas“.

E. Kerza pažymi, kad tam pritaikytų generatorių ir algoritmų pagalba išmanesniam piktavaliui nereikia sukti galvos, kaip atspėti slaptažodį, tą už jį gali padaryti dirbtinis algoritmas. O jei slaptažodis paprastas, jeigu netaikomas dvigubas autentifikavimas (t.y. kai prieš prisijungiant prašoma patvrtinti veiksmą kitoje platformoje, pavyzdžiui, telefone), „nulaužti“ prisijungimą įmaona,

„Visos inovacijos ir patobulinimai gimsta iš to, kad žmogus yra tinginys. Televizorių anksčiau juk mygtuku perjungdavome, bet tingėjome atsikelti nuo lovos, todėl iš pradžių pagaminome pultą ant laido, vėliau valdomą infraraudonaisiais spinduliais. Taip ir su slaptažodžiais – žmonės susikuria kažkokią lengvą seką nuo 1 iki 6 ar kokį nors jiems suprantamą raidžių kratinį, bet retas pagalvoja, kad tą sistemą galima nesunkiai perprasti. Pavyzdžiui, aš naudočiau kokio nors vardo iš didžiosios raidės ir kelių skaičių kombinaciją – tai reiškia, kad piktavalis galėtų generatoriuje nustatyti tokius parinkimo algoritmus, kad pirmąją raidę taikytų didžiąją, toliau mažąsias ir paskutinius du, tris ar vieną – skaičių. Jis žymiai greičiau atspėtų tokį slaptažodį“, – sakė E. Kerza.

Jis pataria naudoti dvigubo autentifikavimo mechanizmą visais atvejais, kai paskyra yra jautri, svarbi.

„Tai reiškia, kad jeigu jungiamasi iš naujo adreso, ar apskritai kai jungiamasi, būtų atsiunčiama žinutė telefone ir reikėtų įvesti nesudėtingą keturių skaičių seką. Tada slaptažodis gali nebūtinai būti sudėtingas – spėliok logiką, kaip aš jį sudarau, koks skirtumas, nes nulaužti žymiai sudėtingiau, faktiškai sunkiai įmanoma“, – kalbėjo kibernetinio saugumo ekspertas.

Visas pokalbis – LRT RADIJO laidos „Tuzinas“ įraše.