Sparčiai vystantis technologijoms ir skaitmenizacijai, Lietuvos viešojo sektoriaus organizacijos vis labiau priklauso nuo IT. Viešosios elektroninės paslaugos, duomenų bazės, dokumentų valdymo sistemos, įvairūs registrai – visa tai leidžia efektyviau, greičiau ir patogiau aptarnauti gyventojus, vykdyti kasdienę veiklą, tačiau kartu sukuria didžiulę atsakomybę ir didina pažeidžiamumą.
Kaip rasti balansą tarp technologijų privalumų ir saugumo rizikų? Ar viešasis sektorius prasčiau tvarkosi su kibernetiniu saugumu nei privatus? Kokius namų darbus svarbu atlikti? Apie tai kalbamės su kibernetinio saugumo ekspertu Liudu Ališausku ir „Atea“ Informacijos saugos specialiste Jūrate Jurevičiūte.
Paklaustas, ar viešasis sektoriaus yra labiau pažeidžiamas nei privatus, trejus pastaruosius metus Nacionaliniam kibernetinio saugumo centrui (NKSC) vadovavęs L. Ališauskas vienareikšmiško atsakymo nepateikia.
„Ir taip, ir ne. Viešasis sektorius valdo jautrius asmens duomenis ar teikia svarbias paslaugas. Todėl jis tampa ypatingu kibernetinių nusikaltėlių, kuriuos samdo priešiškos mums valstybės, taikiniu. Kita vertus, viešojo administravimo įstaigos neturi didelių finansinių išteklių ar kriptovaliutos, todėl nusikaltėliams gali pasirodyti ir mažiau įdomios“, – paaiškina jis.
Ekspertas paneigia ir kitą plačiai įsigalėjusį mitą, kad viešasis sektorius prasčiau nei privatus tvarkosi kibernetinio saugumo srityje. „Tiek verslui, tiek valstybinėms institucijoms yra dar labai daug erdvės pasitempti. Tiesiog privatus sektorius moka savo pasiekimus gražiau pristatyti. Visgi Europos ir pasaulio kontekste Lietuva atrodo visai neblogai“, – tvirtina L. Ališauskas.
Didžiausia klaida – nestebėti savo IT sistemų
L. Ališauskas atkreipia dėmesį į vieną esminę organizacijų klaidą. „Dalis organizacijų vis dar gyvena „aklai“ – nestebėdamos savo IT sistemų. Tai pavojinga, nes programišiai gali mėnesiais nepastebimai rinkti duomenis ir sulaukus tinkamo momento – juos užšifruoti“, – įspėja ekspertas.
Todėl itin svarbios saugumo operacijų centro (SOC) funkcijos, kai IT infrastruktūros saugumas yra stebimas, analizuojamas ir apsaugomas nuo grėsmių realiuoju laiku. Organizacijos gali šias funkcijas atlikti pačios arba, neturint savo pajėgumų, pirkti iš išorės paslaugų tiekėjų, taikyti hibridinį modelį. „Galima turėti kiek nori taisyklių ir dokumentų, bet jei nestebime situacijos realiu laiku, gyvename saugumo iliuzijoje – tai tas pats, kas važiuoti tamsoje be šviesų“, – sako L. Ališauskas.
„Atea“ informacijos saugos specialistė J. Jurevičiūtė priduria, kad nemažai organizacijų ne tik nestebi savo IT sistemų, bet ir neatlieka periodinių techninių pažeidžiamumų skenavimų, nevykdo įsilaužimų testavimų (angl. penetration testing). „Būtent pasinaudojant techniniais pažeidžiamumais dažnai vykdomos kibernetinės atakos“, – pastebi specialistė.
Visko turėti neįmanoma – svarbu prioritetai
Neužtenka vien tik stebėti ar testuoti – organizacijos taip pat turi aiškiai žinoti, ką būtent jos saugo ir kas yra svarbiausia. „Visų saugumo produktų ir paslaugų neįmanoma turėti, o to ir nereikia. Kaip ir bute, mes nesudedame 20 signalizacijų sistemų ir dar 5 spynų. Patarimas būtų vadovautis subalansuoto kibernetinio saugumo principu“, – paaiškina L. Ališauskas.
Anot eksperto, organizacija turi išsigryninti, kas yra vadinamieji jos „karūnos brangakmeniai“, ir jų apsaugai skirti didžiausią dėmesį. Tai esminiai duomenys ir IT ištekliai, kurių praradimas organizacijai būtų skaudžiausias. Pagal tai kiekviena organizacija ir skirstys savo ribotus resursus. Jei ji dirba su jautriais asmenų duomenimis, skirs dėmesį jų apsaugai. Jei interneto svetainės „nulūžimas“ lems kritinių paslaugų pertrūkį, investuos į apsaugą nuo DDos atakų ir pan.
Dažniausiai pasitaikančios – išpirkos reikalaujančios atakos
Bene dažniausia priežastis, kodėl organizacijos praranda prieigą prie svarbiausių duomenų, yra išpirkos reikalaujančios (angl. ransomware) atakos. Nusikaltėliai užšifruoja duomenis ir reikalauja išpirkos, o jei organizacija neturi saugiai laikomų atsarginių kopijų – pasekmės gali būti skaudžios.
„Sistemos duomenys užšifruojami, o organizacijai pateikiamas reikalavimas sumokėti išpirką, kad jie būtų atšifruoti. Tačiau net ir sumokėjus išpirką nėra garantijos, kad duomenys bus grąžinti. Valstybės lygio rekomendacija yra išpirkų nemokėti“, – teigia L. Ališauskas.
Pasak J. Jurevičiūtės, norint apsisaugoti nuo tokių atakų, būtina ne tik reguliariai kurti atsargines duomenų kopijas, bet ir jas šifruoti bei laikyti atskiruose, nuo pagrindinių sistemų izoliuotuose serveriuose.
„Deja, vis dar pasitaiko atvejų, kai atsarginės kopijos saugomos ten pat, kur jos ir daromos. Todėl įvykus kibernetinio saugumo incidentui neįmanoma arba beveik neįmanoma atkurti informacijos. Būtent taip atsitiko ir vienai viešojo administravimo įstaigai prieš metus, šis atvejis garsiai nuskambėjo. Naujausios atsarginės duomenų kopijos buvo užšifruotos, sutriko šios įstaigos paslaugų tiekimas, kol buvo atkurti duomenys“, – primena J. Jurevičiūtė.
L. Ališauskas priduria, kad jei kibernetiniai nusikaltėliai, įsibrovę į organizacijas sistemas, pamatys, kad atsarginės kopijos tinkamai saugomos, jie dažnu atveju net nesivargins tęsti ataką.
Kibernetinis saugumas prasideda nuo žmonių
Net ir geriausiai apsaugotos IT sistemos gali tapti pažeidžiamos, jei organizacijos darbuotojai neatpažįsta kibernetinių grėsmių. Lengviausias būdas programišiams patekti į vidines sistemas – pasinaudoti žmogaus klaida.
„Socialinė inžinerija ir fišingo (angl. phishing) atakos vis dar išlieka vienu efektyviausių būdų įsilaužti į organizacijas. Nusikaltėliai pasitelkia manipuliaciją, psichologinius triukus, dirbtinio intelekto įrankius, kad išgautų prisijungimo duomenis, priverstų atidaryti užkrėstus failus ar paspausti kenksmingas nuorodas“, – aiškina L. Ališauskas.
Patekę į paprasto darbuotojo kompiuterį, kibernetiniai nusikaltėliai gali palaipsniui perimti vis didesnę kontrolę – pasiekti jautrią informaciją, įgyti administratoriaus teises ir galiausiai užvaldyti IT sistemas.
J. Jurevičiūtė pabrėžia, kad organizacijos dažnai apsiriboja vienkartiniais mokymais naujiems darbuotojams arba organizuoja mokymus kas kelis metus, neužtikrindamos nuolatinio darbuotojo sąmoningumo didinimo informacijos saugumo srityje. „Svarbu periodiškai rengti socialinės inžinerijos testus, tokius kaip fišingas, ir nuolat mokyti darbuotojus atpažinti grėsmes“, – akcentuoja specialistė.
L. Ališauskas primena, kad klysti yra žmogiška – nereikia to gėdytis ar slėpti. Svarbiausia – apie įtartinas situacijas nedelsiant pranešti atsakingiems organizacijos asmenims. „Kibernetinis saugumas nėra vienkartinis veiksmas ar produktas, tai – nuolatinė kelionė, kurioje svarbu ne tik technologijos, bet ir žmonių sąmoningumas bei atsakomybė“, – apibendrina ekspertas.
