Kibernetinis saugumas tapo aktualia tema tiek asmeniniame gyvenime, tiek organizacijų veikloje, tačiau, nepaisant daugybės perspėjimų apie grėsmes, žmonių ir institucijų pasirengimas joms vis dar nepakankamas. Neretai pasikliaujame netinkamais saugumo sprendimais arba ignoruojame galimus pavojus, o tai sukelia rimtų padarinių.
Nacionalinio kibernetinio saugumo centro duomenimis, nors 2023 m. Lietuvoje užregistruota 30 proc. mažiau kibernetinių incidentų nei metais anksčiau, pavojingesnių atvejų skaičius išaugo 12 proc. Labiausiai pažeidžiami buvo viešojo administravimo, finansų, verslo paslaugų ir skaitmeninės infrastruktūros sektoriai. Net 49 proc. organizacijų, valdančių asmens duomenis, pranešė patyrusios saugumo pažeidimų.
Nacionalinių pratybų „Kibernetinis skydas OpEx 2024“ metu simuliuotos pavojaus situacijos atskleidė – didžiausia grėsmė organizacijoms išliko išpirkos reikalaujantys virusai, paskirstytų paslaugų trikdymo (DDoS) atakos ir socialinės inžinerijos metodais vykdomos apgavystės, kuomet sukčiai apsimeta valstybinėmis institucijomis, bankais ar įmonių vadovais.
Socialinė inžinerija: paslysta net ir budriausi
Pirmasis ir vienas kritiškiausių saugumo aspektų – gebėjimas atpažinti apgaulingas žinutes, kritiškai vertinti gaunamus pranešimus.
Sukčiai įvaldė socialinę inžineriją – toliau sėkmingai siunčia melagingas SMS ar el. laiškus, imituodami valstybės įstaigas, bankus ar net jūsų vadovus. Jau ne kartą mačiau pavyzdžių, kaip neva įmonės vadovas el. laiške buhalterio klausia, „kodėl vis dar neapmokėta ši sąskaita?“ Žinoma, jums rašo ne vadovas, o ta sąskaita netikra. Todėl svarbu nuolat šviesti darbuotojus ir skatinti pranešti apie tokius atvejus.
Pavyzdžiui, dvigubo patvirtinimo praktika, kai pervedant didesnes pinigų sumas visada būtina papildomai paskambinti vadovui, gali tapti esmine gynybos linija nuo sukčių vilionių. Be to, kai gaunate laišką iš kokio nors asmens ar institucijos su prašymu atlikti veiksmus, susijusius su finansais, konfidencialių ar jautrių duomenų atskleidimu, visada geriausia patikrinti oficialų puslapį ir paskambinti, o ne pulti spausti nuorodų, kurias siunčia galimi sukčiai. Atsargumas ir kruopštumas yra pagrindiniai įrankiai saugant savo ir organizacijos duomenis.
Taip pat organizacijose būtina kurti ir nuolat atnaujinti vidines saugumo gaires, kurios padėtų atskirti tikrus pranešimus nuo apgaulingų. Įvairūs mokymai ir simuliacijos, „phishing“ situacijų imitavimas (pati įmonė, apsimesdama sukčiais, bando užmegzti ryšį su darbuotojais) padeda darbuotojams geriau suvokti grėsmes ir išmokti tinkamai reaguoti į neįprastus pranešimus.
Reguliarūs sistemos atnaujinimai
Antrasis patarimas – nuolatinis programinės įrangos ir operacinių sistemų atnaujinimas.
Programinės įrangos kūrėjai nuolat ieško pažeidžiamumo spragų, vadinamiesiems geriesiems hakeriams netgi moka pinigus už aptiktas problemas. Tad, vos tik iššoka pranešimai apie reikalingus naujinimus, raginu nedelsti ir juos įdiegti. Išėjus atnaujintai programinės įrangos versijai, sukčiai specialiai ieško vartotojų, kurie dar nėra įdiegę naujinimų ir jų sistema liko pažeidžiama. Įsivaizduokite, kai tokiems piktavaliams pavyksta patekti į gamybos bendrovių sistemas, kur staklės ir kiti įrenginiai kainuoja milijonus – programišiai gali net sustabdyti gamybą ar pridaryti kitų bėdų, kol nesumokama išpirka.
Tai bendrovėms gali kainuoti milijonus – rizikuojama ne tik pinigais, bet ir klientų, darbuotojų, visuomenės pasitikėjimu. Lengviausias būdas tam užbėgti už akių – stebėti programinės įrangos atnaujinimus ir įdiegti juos kuo greičiau arba nustatyti automatinį atnaujinimą.
Taip pat primenu nepamiršti daryti atsarginių savo ar įmonės duomenų kopijų ir jas laikyti keliose vietose, idealiu atveju – diske, atminties laikmenoje ar net kompiuteryje, kuris nėra prijungtas prie interneto.
Slaptažodžiai ir dviejų žingsnių autentifikacija
Trečiasis patarimas – kurti stiprius slaptažodžius ir įdiegti papildomas saugumo priemones. Keturių simbolių slaptažodį galima nulaužti per sekundes, o dvylikos simbolių slaptažodžiui prireikia mėnesių. Todėl teoriškai galima nulaužti ir patį stipriausią slaptažodį, jei nenaudojami papildomi autentifikavimo elementai. Tiesa, lietuviai turi neblogą įrankį – jei slaptažodžiams naudojate lietuviškus simbolius, programišiams sukeliate sunkumų.
Vienas silpnas slaptažodis gali tapti lengvu užėjimo tašku į jūsų IT sistemą – tai reiškia, kad akimirksniu gali būti pasiekiama visa įmonės informacija: komercinės paslaptys, prisijungimai prie sąskaitų, konfidencialūs klientų ir darbuotojų duomenys.
Todėl būtina ne tik kurti sudėtingus ir unikalius slaptažodžius, bet ir reguliariai juos keisti, naudoti dviejų žingsnių autentifikaciją, papildomai apsaugančią, jei pagrindinis slaptažodis yra pažeidžiamas.
Vieši Wi-Fi tinklai
Dar vienas itin aktualus patarimas – atsargiai elgtis prisijungiant prie viešųjų interneto tinklų. Tai ypač reikšminga šiais laikais, kai įmonės leidžia darbuotojams dirbti nuotoliu.
Vieši Wi-Fi tinklai oro uostuose, kavinėse ir kitose vietose, nors ir patogūs, neretai tampa lengvu įsilaužėlių taikiniu. Nesijunkite prie nežinomų tinklų be tinkamų apsaugos priemonių, nes gali būti, kad jūsų duomenys lieka atviri piktavalių manipuliacijoms. Įsivaizduokite, kad, prisijungus prie viešai prieinamo tinklo, jūsų įrenginio apsaugos sistemos tampa atvertomis durimis – kas nors gali lengvai perimti svarbius jūsų el. laiškus ar kitokią informaciją.
Patariu tais atvejais, kai jungiatės prie viešo Wi-Fi tinklo, naudoti VPN, kuris sukuria šifruotą tunelį tarp jūsų įrenginio bei interneto ir taip užkerta kelią patekti trečiosioms šalims. Be to, svarbu darbuotojams nuolat priminti, kad net patikimiausiai atrodantys viešieji tinklai turi būti naudojami tik tada, kai būtina, o dirbti su jautriais duomenimis galima tik naudojant saugų ryšį.
Fizinis saugumas – ne paskutinėje vietoje
Nepamirškite, kad kibernetinė sauga – ne tik modernių technologijų klausimas, bet ir fizinis įrangos saugumas.
Nors daug dėmesio skiriama virtualioms grėsmėms, netinkamai apsaugotos patalpos ir įrenginiai taip pat gali tapti piktavalių taikiniu. Galima pagalvoti, kas čia laušis į tą mūsų biurą, tačiau žinau konkrečių atvejų Lietuvoje, kai žmogus tiesiog darbo metu užeina į darbo patalpas ir išsineša pirmą pasitaikiusį kompiuterį su jautriais įmonės duomenimis.
Rekomenduoju įmonėms pasvarstyti apie investicijas į įėjimo kontrolės sistemas, stebėjimo kameras ir saugius svarbios įrangos laikymo sprendimus – užtikrinti, kad tik įgalioti asmenys galėtų patekti į patalpas. Greita reakcija ir aiškios procedūros praradus įrenginį ar aptikus įtartiną veiklą gali padėti sumažinti nuostolius ir užkirsti kelią didesnėms problemoms.
Nauja grėsmė – DI pateikiami jautrūs duomenys
Dar vienas aktualus šių laikų patarimas – atsargiai vertinkite dirbtinio intelekto sprendimus, ypač kai kalbama apie jautrių duomenų tvarkymą.
Dirbtinio intelekto sprendimai iš tiesų atveria naujas galimybes analizuoti milžiniškus duomenų kiekius ir optimizuoti verslo procesus, tačiau be tinkamų apsaugos sluoksnių net ir pažangiausios technologijos gali tapti pažeidžiamos. Patirtis rodo, kad inovacijos be papildomų apsaugos priemonių, tokių kaip griežtas duomenų šifravimas ir nuolatinis sistemų stebėjimas, gali palikti neapsaugotus svarbiausius verslo duomenis.
Dabar darbuotojai gana laisvai į dirbtinio intelekto sistemas kelia konfidencialius dokumentus su riboto naudojimo finansiniais ar panašiais duomenimis. Visgi nėra jokios garantijos, kad to nepasieks netinkamos rankos. O padariniai gali būti labai rimti – nuo duomenų nutekėjimo iki negrįžtamai prarasto klientų pasitikėjimo. Todėl patariu kiekvienai organizacijai turėti aiškias politikas ir gaires, kokius duomenis galime kelti į „ChatGPT“ ar panašius įrankius, o kiekvieną darbuotoją kaskart raginu apsvarstyti, ar informacija, kurią keliate, iš tiesų yra vieša, ar visgi konfidenciali. Jeigu konfidenciali, rekomenduoju neatiduoti jos laisva valia dirbtiniam intelektui.
Verta priminti, kad sulig TIS2 direktyvos ir DORA reglamento reikalavimais, kuriuos jau turi ar dar turės atitikti tūkstančiai Lietuvos įmonių, visi šie patarimai bus ne tik rekomendaciniai, bet privalomi.
