Įmonių veikla tampa vis labiau skaitmenizuota, daugėja atakų, tačiau gynyba rūpinamasi retai
Šiais metais pristatyta draudimo bendrovės „Hiscox“ užsakyta tarptautinė studija „The Hiscox Cyber Readiness Report 2019“ parodė, kad įmonės nelinkusios tobulinti savo kibernetinio saugumo sistemų, nors patiria vis daugiau nuostolių. Iš viso apklausta 5,4 tūkst. organizacijų septyniose šalyse (JAV, Jungtinėje Karalystėje, Belgijoje, Prancūzijoje, Vokietijoje, Ispanijoje ir Nyderlanduose), iš jų 61 proc. pripažino, kad patyrė bent vieną ataką per pastaruosius metus.
Finansiniai įmonių praradimai tik didėja. Tarp atakas patyrusiųjų vidutiniai nuostoliai paaugo nuo 210 tūkst. iki 340 tūkst. eurų. Stambios įmonės, turinčios nuo 250 iki 999 darbuotojų, vidutiniškai prarado po 640 tūkst. eurų – tai ryškus šuolis, palyginti su 148 tūkst., fiksuotais praeitais metais. Vokietijos bendrovės nukentėjo labiausiai. Viena jų pranešė, jog nuostoliai dėl atakų siekė 44 mln. svarų sterlingų.
Tik 10 proc. vertintų įmonių gavo gana aukštą balą, kad jų saugumo sistemas būtų galima laikyti visiškai parengtomis. Tai nedidelis krytis, palyginti su pernai, kai šis rodiklis siekė 11 proc. Net 74 proc. šių įmonių buvo įvertintos kaip nepasiruošusios naujokės. Atakų taip pat padažnėjo – nuo 48 proc. 2018-aisiais iki 61 proc. šiais metais. Belgijos įmonės atakuotos dažniausiai.
Ne kitokia situacija ir Lietuvoje. Nacionalinio kibernetinio saugumo centras (NKSC) 2018 m. šalyje registravo daugiau nei 53 tūkst. incidentų. Tai 3 proc. mažiau negu 2017 m., tačiau pastebima, kad išaugo kompleksinių atakų skaičius – NKSC atliko 914 didelės ir vidutinės reikšmės kibernetinių incidentų tyrimų, tai 41 proc. daugiau nei pernai. Praėjusiais metais nustatyta ir 21 proc. daugiau saugumo spragų interneto įrenginiuose.
Visgi pats NKSC mato ledkalnio viršūnę, nes gauna informaciją tik apie registruojamus atvejus.
Kibernetines grėsmes galima suskirstyti į keturias grupes: užkrėsti ar apgaulingi el. laiškai, užkrėstos svetainės, virusai ir įsilaužimai. Pats vartotojas neretai gali nesuprasti, kad į jo įrenginį įsilaužta. Jis gali būti vadinamojo botų tinklo dalis ir dalyvauti organizuotoje atakoje prieš kur nors kitoje pasaulio pusėje esantį serverį. Tokiu atveju savininkas gali pastebėti sulėtėjusį įrenginio veikimą, tačiau nieko neįtarti.
NKSC atstovų teigimu, dažniausiai verslas atakuojamas naudojantis įvairiais socialinės inžinerijos būdais, tokiais kaip fišingas, smišingas, višingas ir panašiai. Nors iš pirmo žvilgsnio šie terminai skamba tarsi vaikiškai, jų padaroma žala toli gražu tokia nėra.
„Populiarusis“ fišingas (phishing – nuo anglų fishing (žvejyba) – tai atakos forma, pirmiausia nutaikyta ne į sistemą, o į žmogiškąjį veiksnį. Vartotojas paprastai gauna elektroninį laišką, kuris imituoja užklausą arba prašymą, siunčiamą iš valstybės įstaigos arba, tarkime, banko. Laiške nurodoma problema ir paprašoma pateikti savo duomenis. Kadangi toks laiškas labai panašus į siunčiamą tikros įstaigos, vartotojas suveda reikalaujamą informaciją, o sukčiams to ir tereikia. Tokie laiškai taip pat gali turėti virusų. Panašiai veikia ir valingas (whaling – banginių medžioklė), tik jis paprastai būna nutaikytas į aukštus postus užimančius darbuotojus ir pareigūnus.
NKSC duomenimis, viena dažniausiai pasitaikančių saugumo spragų Lietuvos įmonėse yra netinkamai sukonfigūruotos nuotolinio prisijungimo prie IT sistemų paslaugos. Dar viena spraga – atviri, tačiau nenaudojami įvairūs prievadai, kurie leidžia ne tik inicijuoti atakos pradžią prieš įmonę, tačiau ir vykdyti kenksmingą veiklą prieš kitus subjektus. Labai dažna saugumo skylė – neatnaujinta programinė įranga. Tai ypač aktualu kalbant apie internetinių svetainių turinio valdymo sistemas.
Suprasti ir apsisaugoti
Pagrindinis organizacijos saugumo politikos tikslas turi būti suvaldyti krizę, sužinoti, kaip vyksta ataka, neleisti jai plisti ir iš to pasimokyti, tikino saugumo ekspertas, įmonės „TeraSky“ kibernetinio saugumo paslaugų ir operacijų vadovas Giedrius Meškauskas. „Reaktyvios gynybos nėra. Ji visada yra preventyvi. Gyventi atidarytomis durimis yra beprasmiška, todėl kiekviena ataka turi suteikti informacijos, kaip pastiprinti mano organizaciją ir ką reikia patobulinti“, – pabrėžė jis.
G. Meškauskas dirba instruktoriumi nuotolinių kibernetinių saugumo pratybų centre „Cybergym“, kuriame IT specialistai treniruojasi apsisaugoti nuo atakų. Simuliaciniai mokymai vyksta dalyvaujant trims komandoms. „Raudonoji“, hakerių vaidmenį prisiėmę nuotoliniu būdu dirbantys specialistai, realiuoju laiku stengiasi įsilaužti į sistemas, kurias gina mokymų dalyviai – „mėlynoji komanda“. „Baltoji komanda“ stebi ir tarpininkauja. Suteiktas ribotas laikas leidžia geriau įsijausti į situaciją, kita vertus, simuliacinė aplinka suteikia galimybę ir mokytis, ir klysti – padariniai čia nebus tragiški, bet klaidą išsiaiškinti yra būtina.
Tokiose situacijose svarbios ne tik IT žinios, tačiau ir vadinamosios reagavimo komandos sustygavimas. Tokia komanda idealiu atveju yra vidinė organizacijos dalis, ją gali sudaryti skirtingų IT kompetencijų bendrovės darbuotojai. Kaip ir daugelyje saugumo sričių, taip ir užkardant kibernetines atakas svarbu, kad kritiniu atveju kiekvienas narys žinotų savo vaidmenį ir turimus atlikti veiksmus.
Įsitraukimas galioja ne tik tiesiogiai su IT dirbantiems žmonėms, tačiau ir sprendimų priėmėjams. G. Meškausko teigimu, per kibernetinę ataką tenka atlikti nebūtinai techniškai greičiausią ar patogiausią sprendimą, nes kartu būtina įvertinti verslo dėmenį – pavyzdžiui, kiek kainuos sistemas sustabdyti kelioms valandoms ir ar įmonė gali sau tai leisti. Tam į procesą privalo būti įtraukti ir vadovai.
Paprasti vartotojai organizacijoje taip pat turi būti išmokyti pranešti apie įtartiną veiklą, net ir tokią „menką“ kaip nepasitikėjimą keliantis elektroninis laiškas. Saugumo procedūras gerai išmanantys darbuotojai tampa bendrovės ausimis ir akimis, pro kurias prasprūsti pažeidėjui tampa bent šiek tiek sunkiau.
Kaip jau minėta, įvykus atakai įmonės gali pasirinkti samdyti specialistus iš išorės. Tačiau G. Meškauskas įvardija du tokios strategijos minusus. Pirma, tai užtrunka ir brangiai kainuoja. Be to, vietiniai specialistai gali greičiau pastebėti vykstančią ataką ir pamėginti ją užkardyti. Nulaužtas serveris gali ne tik reikšmingam laikui apriboti bendrovės veiklą, tačiau ir pakenkti jos reputacijai.
Antra, apsikeisti informacija tarp įmonės ir išorinės komandos gali būti sudėtinga, nes atsakingi bendrovės darbuotojai turi viską iškomunikuoti kone idealiai. „Tai labai panašu į tokią situaciją: jeigu aš jus įleisiu į savo butą ir paprašysiu pasakyti, kas čia ne vietoje arba ko trūksta, jūs sakysite, kad nežinote. Lygiai tas pats su IT – atrodo, kad sistemos tos pačios, bet iš tiesų kiekvienoje organizacijoje jos yra unikalios programinės įrangos, konfigūracijos, priežiūros atžvilgiu“, – vardijo saugumo ekspertas.
Nematoma ginkluotė
Apskritai net ir maži žingsniai siekiant padidinti įmonės kibernetinį saugumą yra naudingi. Be to, lokalios pastangos apsisaugoti atkartoja pasaulyje vykstančius pokyčius – dažnėjantys įsilaužimai gerokai paaugino ir globalų kibernetinės gynybos sektorių.
Nors atakų skaičiai neleidžia atsipalaiduoti, matyti ir teigiamų poslinkių. Jau minėtame „Hiscox“ tyrime atskleista, kad bendrovių, neturinčių už kibernetinį saugumą atsakingų žmonių, per vienus metus sumažėjo perpus – nuo 32 iki 16 proc. Be to, sumažėjo ir respondentų, kurie teigė, jog po pastarojo kibernetinio incidento jie neįgyvendino jokių pokyčių. Ši dalis sumenko nuo 47 iki 32 proc. 84 proc. žemyninės Europos įmonių ir 80 proc. Jungtinės Karalystės įmonių įvykdė pakeitimus, reaguodamos į Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.
Iniciatyvos „Online Trust Alliance“ duomenimis, pasaulinės įmonės vien pernai prarado 45 mlrd. JAV dolerių dėl kibernetinių atakų. Tokie skaičiai skatina gynybai išleisti kur kas daugiau.
Prognozuojama, kad pasaulinės išlaidos su kibernetiniu saugumu susijusiai technikai, programinei įrangai ir paslaugoms šiais metais pasieks 103,1 mlrd. dolerių ir padidės 9 proc., palyginti su pernai.
Vertinant esamas rinkos dalyvių investicijas į naujus saugumo produktus, panašaus lygio augimas numatomas ir dar keletui metų į priekį. Informacinių technologijų konsultacijų bendrovės IDC skaičiavimais, kibernetiniam saugumui 2022 m. turėtų būti išleista jau 133,8 mlrd. JAV dolerių.
Trys rinkos, kurių žaidėjai saugumui šiais metais atrieks daugiausia, yra bankai, gamybos pramonė ir nacionalinės valdžios sektorius. Visi bendrai turėtų skirti apie 30 mlrd. JAV dolerių. Prognozuojama, kad iki 2022 m. telekomunikacijų sektorius taps ketvirtuoju daugiausia išleidžiančiu kibernetiniam saugumui ir aplenks profesinių paslaugų sektorių bei nenacionalines valdžios įstaigas.
Mūšiui nurimus
Paaugusios skaitmeninės atakos grėsmės verčia keistis ne tik tradicinį IT sektorių, tačiau ir antrines sritis. Viena jų – draudimas. Šiandien ne viena pasaulio bendrovė siūlo įmonėms apsidrausti nuo kibernetinių rizikų. Įvairių analitikų skaičiavimais, ši rinka pernai jau viršijo 4 mlrd. JAV dolerių ir per artimiausius trejus metus turėtų pademonstruoti dviženklį procentinį augimą.
Lietuvoje tokią paslaugą taip pat tiekia keletas bendrovių. Draudimo brokerių bendrovės „Bunda“ eksperto Andriaus Barausko teigimu, pagrindiniai įmonės kibernetinių atakų rizikos vertinimo veiksniai yra jos veiklos sritis, dydis, apyvarta. Jis taip pat pastebi, kad 2018 m. Lietuvoje įsigaliojus BDAR ši paslauga išpopuliarėjo ir klientų ratas po truputį didėja. „Bet kuriuo atveju toks draudimas labai glaudžiai susijęs su asmens duomenų apsauga, todėl vienas pagrindinių įmonės vertinimo kriterijų taip pat yra asmens duomenų įrašų skaičius. Lėtinių rizikų draudimas apima ir atsakomybę dėl asmens duomenų saugumo pažeidimų“, – sakė jis.
Be akivaizdaus sistemų ir tinklų pažeidimo rizikos draudimo, bendrovė teikia papildomas apsaugas ir kompensuoja tokius atvejus kaip dėl kibernetinės atakos negautos pajamos, duomenų atkūrimas, kibernetinis šantažas, kai sukčiai pasiunčia kenkiančią programą į tinklą, užblokuoja priėjimą prie duomenų ir prašo išpirkos.
Tačiau nuostoliai gali būti ne tik vietiniai – žala dėl įmonės kaltės gali būti padaryta trečiosioms šalims, jei, pavyzdžiui, sistema buvo užkrėsta virusais, o šie perduoti partneriams ar klientams. Įmonė atsakinga už žalą ir turėtų atlyginti nuostolius.
Tai akivaizdžiausi kompensavimo scenarijai, ir jie įvyksta jau po atakos. Visgi jau kritinėmis akimirkomis tenka nemažai nuveikti. Kai į krizę įveliami tretieji asmenys ar įmonės, jai spręsti gali prireikti kvalifikuotos teisininkų pagalbos. A. Barausko teigimu, kartais gali tekti net užimti gynybinę poziciją, jeigu, pavyzdžiui, nukentėjusieji pareikalauja nepagrįstai didelių sumų nuostoliams atlyginti.
Kitas svarbus, nors kartais pamirštamas žingsnis yra komunikacija. „Įvykus duomenų saugumo pažeidimams, BDAR įmonę įpareigoja apie tai per 72 valandas pranešti tiek asmenims, kurių asmens duomenų saugumas yra pažeistas, tiek Valstybinei asmens duomenų inspekcijai. Todėl jeigu tai paveikė daugybės asmenų duomenis, vien išsiųsti pranešimus ir komunikacijos kampanija gali nemažai kainuoti, tai reikia padaryti tinkamai ir laiku“, – pabrėžė A. Barauskas.
Ne visos įmonės turi pakankamai išteklių suvaldyti viešųjų ryšių krizę, kaip ir ne visos turi kvalifikuotų žmonių pašalinti padarinius po atakų. Tokiu atveju gali prireikti samdyti IT specialistus iš išorės. Visas šias paslaugas gali padengti draudimas nuo kibernetinių rizikų.
A reiškia ATSARGIAI
Trumpas kibernetinių grėsmių terminų žodynėlis
Botas, botnetas – kenksminga programinė įranga, leidžianti įsilaužėliui įgyti užkrėsto prietaiso kontrolę nuotoliniu būdu. Užkrėstų kompiuterių tinklas žinomas kaip botnetas ir įsilaužėlių naudojamas naujoms atakoms, tokioms kaip DDoS.
DDoS ataka (Distributed Denial of Service) – atakos rūšis, norint pakenkti serveriui. Jam pasiunčiamas itin didelis kiekis užklausų, kurias sugeneruoja didelis kompiuterių tinklas. Galiausiai serveris nespėja atsakyti į visas užklausas. Atakos tikslas – padaryti skaitmeninę paslaugą (pavyzdžiui, naujienų puslapį ar platformą) neveiksnią. Atakos vyksta ribotą laiką.
Duomenų išviliojimas (phishingas, fišingas) – apgaulės rūšis, kai apsimetę patikimu subjektu (pavyzdžiui, banku ar valstybės įstaiga) sukčiai priverčia naudotojus pasidalyti asmenine informacija. Tokios atakos vykdomos el. paštu. Smišingas, višingas – fišingo tipo atakos, vykdomos atitinkamai SMS žinutėmis ar telefonu.
Išpirkos reikalaujanti programinė įranga (ransomware) – kenksmingos programos, užblokuojančios įrenginių ekranus arba neleidžiančios pasiekti tam tikrų failų ir funkcijų, kol vartotojas nesumoka reikalaujamos išpirkos.
Kompiuterinis kirminas (worm) – kenksmingų programų rūšis, be vartotojo žinios ir sąveikos plintantis kodas. Kompiuterinis kirminas iš vieno kompiuterio pats gali plisti į kitus kompiuterius per el. laiškus ar žinutes, apsimesdamas originaliu vartotoju.
Trojos arklys – kenksminga programinė įranga, į kompiuterį patenkanti vartotojui diegiant kitas programas. Kaip galima numanyti iš vardo, kenksminga programa būna „paslėpta“ įprastoje programoje. Patekusi į kompiuterį ji programišiui suteikia nuotolinę prieigą.