Kibernetinio saugumo frontuose skelbiama apie vis didesnius nuostolius – čia tiek aukomis, tiek kovotojais gali tapti bet kas, net neįtariantys apie savo vaidmenį kibernetiniuose karuose.
JAV drebina iki šiol neregėtas kibernetinio saugumo skandalas. Federalinis personalo valdymo biuras (Office of Personnel Management – OPM) dar birželį pranešė aptikęs, kad 2014 m. gegužę įsilaužta į jo duomenų bazes ir pavogta konfidencialių duomenų apie 4 mln. JAV piliečių, pretenduojančių įsidarbinti ar dirbančių federalinėse institucijose. Vėliau patikslinta, kad per keletą įsilaužimų perimta informacija apie 22,1 mln. žmonių (beveik 7 proc. visų JAV gyventojų), kurie nuo 2000 m. siekė įsidarbinti įvairiose federalinėse institucijose ir kuriems dėl to reikėjo gauti leidimus prieiti prie įslaptintos medžiagos.
Viena OPM funkcijų – tikrinti pretendentus, kuriems reikia leidimų dirbti su įslaptinta informacija, ir kaupti apie juos duomenis. Beveik visos JAV federalinės institucijos, išskyrus itin slaptus Centrinės žvalgybos valdybos padalinius ir Branduolinio reguliavimo komisiją, turi bendrą leidimų dirbti su įslaptinta informacija sistemą, kurią prižiūri būtent OPM. Todėl pastarasis kibernetinio saugumo incidentas yra ne šiaip paprastas įsilaužimas į vyriausybės duomenų bazes.
Nusikaltėliai perėmė konfidencialius duomenis apie asmenis, kurie šiuo metu dirba, dirbo arba potencialiai gali būti įdarbinti pačiose jautriausiose JAV federalinės sistemos srityse, įskaitant kariuomenę, Valstybės saugumo departamentą ir daugelį saugumo tarnybų. Pavogti socialinio saugumo pažymėjimų numeriai, duomenys apie gyvenamąją vietą, išsilavinimą, įrašai apie buvusias darbovietes, šeimos narius ir artimuosius, sveikatos, finansinė ar kriminalinė istorijos. Kitaip tariant, sukompromituota didžiulė dalis JAV saugumo sistemos darbuotojų ir net potencialių kandidatų, kurie pretendavo ir dar galėtų pretenduoti į įvairias federalines tarnybas.
Nors oficialiai skelbiama, kad vis dar atliekamas tyrimas dėl milžiniškos duomenų vagystės, naujienų agentūra „Reuters“ pranešė, jog kibernetinio saugumo ekspertai pirštais rodo į Kiniją, nes rasta skaitmeninių pėdsakų, vedančių su šios Azijos šalies valdžia siejamos įsilaužėlių grupės link. Tokius pat įtarimus, remdamiesi savo šaltiniais, skelbė ir „The Wall Street Journal“ bei „The Washington Post“.
JAV Kongreso atstovai pareikalavo, kad OPM vadovė Katherine Archuleta prisiimtų atsakomybę už nepakankamai skirtą dėmesį kibernetiniam saugumui ir atsistatydintų. Kritikai pradėjo garsiai abejoti jos kompetencija, net priminė, kad jos išsilavinimo ir karjeros istorijoje – nuo pedagogės iki aukšto lygio valdininkės – vietoj kompetencijos įrodymų pabrėžta, jog ji yra „pirmoji lotynų amerikiečių kilmės moteris“, einanti tokias atsakingas pareigas. „Užuot kaltinę įsilaužėlius, turime pripažinti savo kaltę, kad nesugebėjome apsaugoti tokio akivaizdaus taikinio“, – agentūrai „Reuters“ teigė Atstovų Rūmų Žvalgybos komiteto narys demokratas Adamas Schiffas.
Dėl didžiulio spaudimo K. Archuleta liepos 10 d. atsistatydino. Kaip vieną iš skubių priemonių, skirtų kibernetiniam saugumui sustiprinti, Federalinio informacijos biuro vadovas Tony Scottas birželio 12-ąją visoms vyriausybinėms organizacijoms paskelbė 30 dienų „sprintą“ – sustiprintos parengties planą, pagal kurį turėjo būti peržiūrėtas įvairių elektroninių sistemų saugumas, padidinta vyriausybės tarnautojų registravimosi duomenų sistemose apsauga ir pan.
Tokie pat pažeidžiami
„Būtų naivu manyti, kad mūsų šalyje panašus incidentas neįmanomas, – teigė Lietuvos ryšių reguliavimo tarnybos (LRRT) Tinklų ir informacijos saugumo departamento direktorius Rytis Rainys. – Kiek tenka dalyvauti tarptautinėse konferencijose, stebėti įvairių informacinių sistemų saugumo ir testavimo procesus, prieinama ta pati išvada, kad galimybės įsilaužti priklauso tik nuo pinigų ir laiko. Nėra tobulai saugių sistemų.“
Lietuvoje didelio masto duomenų vagystė įvykdyta dar 2003 m. Tuomet iš „Sodros“ duomenų bazės neteisėtai nukopijuota informacija apie 1,5 mln. dirbančių Lietuvos gyventojų, apie 100 tūkst. šalies įmonių. Nuosprendį dėl neteisėto duomenų perėmimo ir platinimo kaltinamieji išgirdo tik 2008-aisiais. Tuomet kompiuterių specialistas Jurijus Šifrinas teismo pripažintas kaltu, tačiau, be vienų metų lygtinės bausmės už „Sodros“ reputacijos sumenkinimą, jam teko sumokėti tik 20 tūkst. litų neturtinei žalai atlyginti. Kiti kaltinamieji – Aleksandras Eidenšteinas ir Anatolijus Judinas (pastarasis žiniasklaidoje vadintas „buvusiu aukštu KGB pareigūnu“) – apskritai išvengė bausmių, nes tuo metu už tokios informacijos platinimą net nebuvo numatyta kokių nors sankcijų.
Vien 2013 m. ES nusikaltimų elektroninėje erdvėje padaryta žala siekė 290 mlrd. eurų.
Pastaraisiais metais nusikaltimai elektroninėje erdvėje vis labiau kriminalizuojami ir už duomenų vagystę grėstų gerokai rimtesnės bausmės. Tokių nusikaltimų skaičius sparčiai auga. Kaip rodo Lietuvos generalinės prokuratūros ataskaita, 2014 m. registruotos 1089 nusikalstamos veikos elektroninių duomenų ir informacinių sistemų saugumui. Tai 43 proc. daugiau nei 2013 m. (622) ir net septynis kartus daugiau nei 2012 m. (154). 820 nusikalstamų veikų pernai registruota dėl neteisėto prisijungimo prie informacinių sistemų, 235 – dėl neteisėto elektroninių duomenų perėmimo ir panaudojimo. Tačiau tik mažiau nei penktadalis registruotų įvykių 2014 m. pavirto ikiteisminiais tyrimais – tokių pernai pradėta 192.
Pagrindinis kibernetinių kaip ir kitų nusikaltimų motyvas – pinigai. Iš duomenų vagysčių paprastai siekiama užsidirbti. Europolo duomenimis, vien 2013 m. ES nusikaltimų elektroninėje erdvėje padaryta žala siekė 290 mlrd. eurų. Dažnai kibernetiniai vagys neteisėtai surinktą įmonių ar asmenų informaciją parduoda kitoms nusikalstamoms grupuotėms, o pastarosios šantažuoja ir reikalauja išpirkos ar imasi kitų neteisėtų būtų uždirbti.
Pasaulyje vienas didžiausių pavojų elektroninėje erdvėje – asmens tapatybės vagystės. Naudojantis konfidencialiais asmens duomenimis bandoma gauti įvairios naudos: pasinaudoti svetimomis kredito kortelėmis, atsidaryti sąskaitas bankuose, imti paskolas, pirkti įvairias paslaugas. Kaip nurodo tyrimų bendrovė „Javelin Strategy and Research“, vien JAV 2014 m. tapatybės vagysčių aukomis tapo 12,7 mln. žmonių, bendra žala siekė 16 mlrd. JAV dolerių.
Lietuvoje taip pat vis dažniau susiduriama su tapatybės vagystėmis, nors dalis visuomenės tokios grėsmės nesuvokia. 2014 m. Lietuvos vartotojų institutui ir visuomenės nuomonės tyrimų bendrovei „Spinter“ atlikus tyrimą nustatyta, kad 49 proc. apklaustųjų nežino, kas yra tapatybės vagystė. „Jei vartotojo asmeninė informacija papuola nusikaltėliams į rankas, padariniai gali būti skausmingi: tai pinigų išėmimas iš banko sąskaitos, greitieji kreditai, nekilnojamojo turto pardavimas ar kitos nesąžiningos, nusikalstamos veikos“, – pristatydama tyrimą teigė Lietuvos vartotojų instituto prezidentė Zita Čeponytė.
Apklausos duomenimis, per pastaruosius 12 mėnesių su tapatybės vagyste asmeniškai susidūrė 3 proc., dar 16 proc. girdėjo apie tokius atvejus iš draugų ir artimųjų. Dažniausiai tapatybės vagys paėmė greitąjį kreditą (28 proc.), pirko prekes arba paslaugas (16 proc.), ištuštino banko sąskaitą (8 proc.).
Daugiau tvarkos
Nuo šių metų pradžios Lietuvoje įsigaliojo Kibernetinio saugumo įstatymas, įkurtas Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos. Specialistai teigia, kad įstatymas bent jau nubrėžė gaires, kam reikia skirti daugiau dėmesio. „Išsiplėtė LRRT reguliavimo sfera, galimybės prižiūrėti elektroninių ryšių ir informacijos prieglobos (arba kitaip – kompiuterių debesijos) paslaugų teikėjus“, – teigė R. Rainys. Kaip tik birželio pabaigoje įsigaliojo naujos taisyklės, kuriose nurodoma taikyti specifines kibernetinį saugumą didinančias priemones (pavyzdžiui, reikalaujama užtikrinti, kad būtų blokuojamos DDoS atakos ar suklastotų IP adresų srautas) ne tik elektroninių ryšių paslaugų, bet ir informacijos prieglobos paslaugų teikėjams. Pastaroji sritis iki šiol nereguliuota, nors jos įtaka viešai informacinei erdvei vis labiau didėja.
Kita sritis, ilgą laiką buvusi tarsi balta dėmė, tai – kritinės ar ypatingos svarbos informacinės infrastruktūros priežiūra ir apsauga. Kaip tik ją ėmė prižiūrėti įsteigtas Kibernetinio saugumo centras. „Iki Kibernetinio saugumo įstatymo net neturėjome aiškios sąvokos, kas yra kritinė informacinė infrastruktūra. Kaip tik šioje srityje vyksta svarbūs darbai – būtina identifikuoti ypatingos svarbos infrastruktūros objektus ir palaipsniui didinti jos saugumo lygį“, – pasakojo R. Rainys.
Įstatyme apibrėžta, kad ypatingos svarbos informacinė infrastruktūra – tai elektroninių ryšių tinklai, informacinės sistemos ar pramoninių procesų valdymo sistemos, kuriose įvykęs kibernetinis incidentas gali padaryti didelę žalą nacionaliniam saugumui, šalies ūkiui, valstybės ir visuomenės interesams. Tai gali būti tiek valstybės, tiek privačių bendrovių valdoma infrastruktūra.
Kaip tik dėl privačių įmonių ir asmenų atsakomybės trūkumo iki šiol sunku užtikrinti net ir svarbių valstybės įstaigų informacinių sistemų saugumą. Pavyzdžiui, iki šiol daugelis valstybės įstaigų savo interneto svetainių prieglobos paslaugas perka iš privačių bendrovių. Pastarosios ne visuomet laikosi aukščiausių kibernetinio saugumo reikalavimų. Kaip tik dėl to birželį įsilaužta į Lietuvos kariuomenės Jungtinio štabo tinklalapį ir jame paskelbta falsifikuota informacija, neva per pratybas „Kardo kirtis“ planuojama okupuoti Karaliaučiaus sritį.
Kaip tuomet naujienų agentūrai BNS teigė Kibernetinio saugumo centro vadovas Rimtautas Černiauskas, pasinaudota privačios bendrovės serverio, kuriame laikyta Jungtinio štabo svetainė, spragomis. Pasak jo, taip nutiko todėl, kad ilgą laiką valstybės įstaigos vadovavosi viešųjų pirkimų nuostatomis, pagal kurias pagrindinis atrankos kriterijus buvo kaina. Todėl reikia laukti, kol baigsis šiuo metu galiojančios sutartys su elektroninių paslaugų teikėjais ir bus galima pagal naujus kriterijus ir didesnius saugumo reikalavimus sudaryti naujus paslaugų teikimo susitarimus.
Apie 60–70 proc. kritinės infrastruktūros objektų priklauso privačiajam sektoriui, todėl būtų nerealu juos visus sutelkti valstybės rankose. R. Rainio teigimu, nėra skirtumo, kas juos valdo, tačiau būtina jiems taikyti konkrečius saugumo reikalavimus. Pašnekovas taip pat pripažino, kad pastaruoju metu daugėja politiškai motyvuotų kibernetinių atakų, kai bandoma ne tik primityviai užblokuoti kurią nors interneto svetainę, bet ir pakeisti jos turinį. Nors tokio tipo atakų nedidėja taip sparčiai, kaip auga bendras kibernetinių incidentų skaičius, politinė situacija keičia ir kibernetinių išpuolių metodus.
Didesnį dėmesį kibernetinio saugumo politikai, ne tik vyriausybinių, bet ir verslo, akademinių institucijų bendradarbiavimą akcentuoja ir ambasadorius ypatingiems pavedimams Giedrius Apuokas, Užsienio reikalų ministerijos Transatlantinio bendradarbiavimo ir saugumo politikos departamente kuruojantis kibernetinio saugumo klausimus. Anot jo, tarptautiniu lygiu vis dar trūksta pasitikėjimo kibernetinio bendradarbiavimo srityje, ypač ryškūs Rusijos, Kinijos ir Vakarų valstybių nuostatų skirtumai.
Iššūkių daugės
Esminis iššūkis šiuo metu, kaip teigia kibernetinio saugumo specialistai, mažinti pažeidžiamų interneto įrenginių skaičių. Tai interneto ryšio, WiFi stotelės, maršrutizatoriai ar patys kompiuteriai ir kiti galiniai įrenginiai, kuriuose įdiegta sena ar nepatikima programinė įranga ar kurie turi kitų saugumo spragų, nesunkiai gali būti užgrobti ar panaudoti kibernetinėms atakoms. „Šiuo metu per dieną vidutiniškai užfiksuojama apie 40 tūkst. pažeidžiamų įrenginių. Mes turime septynias jutiklių stotis, kurių vietą keičiame visoje Lietuvoje, ir užfiksuoti duomenys išties gąsdina. Jau dabar tarp pagrindinių išpuolių šaltinių prieš mūsų šalies interneto vartotojus Lietuvos adresai yra trečioje vietoje po JAV ir Kinijos. Tai reiškia, kad didelių kibernetinių išpuolių atveju negalėsime tik blokuoti atakų iš užsienio, atsijungti nuo užsienio adresų. Mes labai smarkiai pažeidžiami ir iš vidaus“, – tvirtino R. Rainys.
Saugumas kibernetinėje erdvėje priklauso ne tik nuo lėšų, bet ir nuo specialistų. Ši problema, pasak LRRT atstovo, tampa vis aktualesnė: „Kibernetinio saugumo specialistų ateityje vis labiau trūks. Lietuvoje interneto infrastruktūra gera ir tai pritraukia dėmesį, įskaitant ir bandymus naudotis ja kenkėjiškai veiklai.“
