Kibernetinį saugumą palygino su meteorologija: niekada nežinai, kokia audra gali ateiti
Da­lies ki­ber­ne­ti­nių grės­mių ga­li­ma iš­veng­ti, jei žmo­nės tie­siog bū­tų kri­tiš­kes­ni bei ati­des­ni, įsi­ti­ki­nęs kraš­to ap­sau­gos vi­ce­mi­nis­tras Ed­vi­nas Ker­za. Tie­sa, nuo­lat be­si­kei­čian­ti ki­ber­ne­ti­nio sau­gu­mo ap­lin­ka kar­tais rei­ka­lau­ja ir pa­gal­bos iš ki­tur. „Ne­ži­nai, kas ga­li at­ei­ti vė­liau. Tad bū­ti­nas bend­ra­dar­bia­vi­mas, kad nu­ma­ty­tu­me pa­vo­jus drau­ge“, – ma­no ki­ber­ne­ti­nio sau­gu­mo spe­cia­lis­tas Fran­cois Thil­las.

Viena iš pažeidžiamiausių grandžių – žmogus

Kibernetinei erdvei plečiantis ir į ją persikeliant vis daugiau sričių, kur jų anksčiau galbūt ir nebuvo galima įsivaizduoti, itin stiprinamos saugumą turinčios užtikrinti sistemos. Tačiau, kaip teigia moderniųjų technologijų ir verslumo renginyje „#Switch“ Kaune diskutavę specialistai, viena pažeidžiamiausių grandžių yra būtent žmogus.

„Žmogus yra viskas šioje grandinėje – užtenka atsidaryti vieną apkrėstą elektroninį laišką, kad kenkėjas patektų į kompiuterių tinklą“, – LRT.lt teigia E. Kerza.

Diskusijoje dalyvavęs vyresniojo technologo pareigas „Palo Alto Networks“ įmonėje užimantis Aaronas Milleris tvirtina, kad viena galimybių išvengti žmonių klaidų – jų testavimas, ar jie atsiverčia tam tikrus laiškus.

Tokia praktika taikoma ir Lietuvoje. „Imitavome siuntų tarnybos darbą – sukūrėme netikrą interneto svetainę, visiems darbuotojams išsiuntėme laiškus, kad jie gavo siuntinį. Į laišką buvo įdėtas žalos nedarantis virusas. Didelė dalis laišką gavusių žmonių, norėdami atsiimti siuntinį, pateikė savo asmeninę informaciją, įvedė slaptažodį, kuris greičiausiai yra ir jų pašto dėžutės slaptažodis. Be to, taip jie užkrėtė tinklą“, – pasakoja KAM viceministras.

Žmonės taip pat gali sulaukti apkrėstų į jų pomėgius orientuotų laiškų, tad reikia ypatingą dėmesį atkreipti, kas yra laiško adresatas bei kokia informacija jame yra nurodoma. Kita problema – internetinės higienos nesilaikymas. Kartais tiesiog pagailima pinigų nuo kenkėjiškų programų apsaugančiai programinei įrangai – diegiama tiesiog iš interneto atsisiųsta programinė įranga.

„Ji jau greičiausiai yra užkrėsta. Tuomet kompiuteris yra apkrėstas ir tampa „botneto“ (užkrėstų kompiuterių tinklas, kuris panaudojamas kenkėjiškiems veiksmams atlikti, kibernetinėms atakoms vykdyti – LRT.lt) dalyviu – vykdo kenkėjišką veiklą“, – teigia pašnekovas.

Pirštais bado ir į vadovus

Tiesa, atsainus požiūris kartais susiformuoja pačioje darbovietėje – itin daug kas priklauso ir nuo vadovų.

„Svarbu, kad vadovas suprastų ir skirtų tinkamą dėmesį, kad būtų pavyzdžiu – jei vadovas nesilaiko įmonės standartų, tai jis yra ta silpnoji grandis“, – teigia E. Kerza.

Būtina ir tai, kad vadovai suprastų gresiančius pavojus, nes tik tuomet galima apgalvoti ir kovojimo su jais strategijas.

„Jei žmogus neketina pakeisti savo elgesio, jis jau pralaimėjo“, – išvadą daro „NEM.io Foundation“ Europos regiono vadovas Kristofas Van de Reckas.

Kibernetinę saugą į savo rankas perima KAM

Augant žmonių budrumui bei informuotumui, didėja ir valdžios dėmesys kibernetiniam saugumui. KAM viceministras teigia, kad turime kuo pasidžiaugti ne tik valstybiniame, bet ir privačiame sektoriuose.

„2016 metais buvo sukurta speciali metodika, kaip identifikuoti, išspręsti pačias kritiškiausias situacijas. Į metodiką pateko ne tik viešojo sektoriaus objektai, bet ir bankai, operatoriai, įvairios kompanijos, kurias sutrikdžius būtų pasiektas neigiamas poveikis Lietuvos žmonėms, paslaugų kokybei“, – teigia E. Kerza bei priduria, kad siekiant didesnio efektyvumo bendradarbiaujama su kariuomene, Policijos departamentu. Be to, siekiama glaudžiau bendradarbiauti su Viešųjų pirkimų tarnyba tam, kad būtų užkirstas kelias kenkėjiškų sistemų įsigijimui.

Didžiulių ir žmogiškųjų, ir finansinių išteklių reikalauja strateginių objektų, ypač – senesnių, apsaugojimas. Tam pasitarnauja ir įvairių institucijų darbas kartu bei vienų ar kitų funkcijų perėmimas.

„Supratome, kad daug institucijų negali būti atsakingos už tą patį. Balandį KAM ėmėsi iniciatyvos ir buvo konsoliduoti kibernetiniai pajėgumai krašto apsaugos sistemoje: jau perkelta didelę dalį viešojo sektoriaus organizacijų jungianti „Infostruktūra“; Seime užregistruotos įstatymo pataisos dėl elektroninės saugos perėjimo iš Vidaus reikalų ministerijos; vyriausybė pritarė sprendimui iš Ryšių reguliavimo tarnybos perkelti saugumo incidentų tyrimų padalinį (CERT-LT); nuo kitų metų pradeda veikti Nacionalinis kibernetinio saugumo centras, kuris bus atsakingas už visą Lietuvos kibernetinę erdvę“, – sako E. Kerza, pabrėždamas, kad KAM bus vienintelė saugos politikos formuotoja.

Tokia konsolidacija dabar vyksta ir aukštesniame lygyje, nors prieš gerus 20 metų NATO ir ES bendradarbiavimas buvo kur kas menkesnis. Toks pokytis, anot specialistų, yra itin svarbus.

„Kibernetinį saugumą galėčiau palyginti su meteorologija – žiūrėdamas į dangų gali matyti, ar debesuota, ar ne, tačiau nežinai, kas gali ateiti vėliau. Tad būtinas bendradarbiavimas, kad numatytume pavojus drauge“, – teigia vienas iš Liuksemburgo kibernetinio saugumo strategijos autorių Francois Thillas.

Elektroninį balsavimą būtų galima išmėginti

Nors ir bendradarbiaujama bei remiamasi kitų šalių patirtimi, tačiau ne visos svetur prigijusios idėjos pritaikomos Lietuvoje. Viena jų – internetinis balsavimas.

„Mūsų nuomone, remiantis žvalgybine informacija, negalime užtikrinti saugumo – piktavaliai yra žingsniu priekyje. Jei žmogaus atiduotas balsas būtų pakeistas, iškiltų grėsmė visam demokratiniam procesui. Kuomet pakeičiamas balsas, išrenkamas ne tas žmogus, tai yra pamatinių dalykų pamynimas“, – teigia E. Kerza.

Anot jo, nors balsavimui naudojamas elektroninis parašas yra saugus, tačiau yra kitokių būdų „apeiti“ sistemą:

„Kas gali užtikrinti, kad jūs internetu balsavote už, pavyzdžiui, Antaną – gal iš tiesų nusiuntėte duomenis į kenkėjiškos programos pagrindinį serverį ir balsavote už, pavyzdžiui, Petrą. Gal geriau valgykime pyragą gabaliukais: pirma, suteikime teisę balsuoti internetu tiems, kurie yra išvykę, turi elektroninį parašą. Atidžiai stebėkime procesą, tobulinkime jį, tačiau tuo pačiu komunikuodami, kad rizika išlieka. Turėkime omenyje, kad nesame šimtu procentų saugūs.“