Nustoja veikti daugiabučių šildymas, temperatūra juose smarkiai krenta. Jei elektros netenka ir rajone esanti ligoninė, miršta žmonės, kuriems būtina gyvybę palaikanti įranga. Jei elektros nėra tik keletą valandų, didesnių bėdų galima išvengti, bet ilgesnio elektros dingimo pasekmės būtų kur kas skausmingesnės.
Baugus scenarijus, kuris šiuo metu Lietuvos piliečiams, laimei, vis dar skamba tarsi iš fantastinių arba siaubo filmų srities. Tačiau tokie dalykai iš tikrųjų vyksta visai netoli mūsų: pastaraisiais metais Ukrainos žmonėms teko atsidurti panašioje padėtyje jau du kartus.
Pirmą kartą – 2015 m. gruodžio 23 d., kai hakeriams išjungus 30 tarpinių stočių Vakarų Ukrainoje esančiame Ivano Frankivsko regione elektros neteko 225 tūkst. žmonių.
Beveik po metų, 2016 m. gruodžio 17–18 d., Kijevas neteko penktadalio įprastai suvartojamos energijos.
Pasak kibernetinio saugumo kompanijos (Information System Security Partners (ISSP)) ir Ukrainos valstybinių institucijų, už abi atakas yra atsakinga ta pati Kremliaus remiama programišių grupė.
Ekspertų teigimu, 2015 metų ataka buvo naujoviška tuo, kad pirmą kartą kibernetinis išpuolis sutrikdė elektros tinklų veiklą. O 2016 metų ataka buvo originali tuo, kad atakai buvo panaudoti naujo tipo įrankiai, kurie nereikalauja tiek daug išankstinių žinių apie infrastruktūrą kaip ankstesni atakų įrankiai ir kuriuos yra lengviau pritaikyti atakoms prieš kitas šalis.
Gali kilti klausimas: kodėl šių naujo pobūdžio išpuolių taikiniu tapo Ukraina? Svarbu suprasti, kad tokios atakos reikalauja didelio įdirbio ir išteklių, tačiau iš jų neįmanoma pasipelnyti ar gauti žvalgybinės informacijos, kurios nepavyktų gauti kitais metodais.
Kita vertus, gebėjimas atjungti teritoriją nuo elektros tiekimo šaltinių yra tikrai vertingas karinis įrankis.
Svarbu suprasti, kad tokios atakos reikalauja didelio įdirbio ir išteklių, tačiau iš jų neįmanoma pasipelnyti ar gauti žvalgybinės informacijos, kurios nepavyktų gauti kitais metodais.
Esminė priežastis, kodėl šių puolimų taikiniu buvo pasirinkta Ukraina, yra ta, kad ši valstybė, alinama jau daugiau nei ketverius metus vykstančio karo ir sykiu nebūdama NATO narė, neturi tokių svertų, kuriais gebėtų atgrasyti tokio pobūdžio priešiškus veiksmus.
Taigi Ukraina buvo pasirinkta kaip optimalus naujų kibernetinių pajėgumų išbandymo poligonas.
Ekspertai pažymi, kad puolimai galėjo būti ir platesnio masto, t. y. hakerių tikslas nebuvo padaryti kuo daugiau žalos, o veikiau išbandyti naujus pajėgumus praktikoje. Be abejo, šiame kontekste būtina atsižvelgti į bendresnę Rusijos kibernetinės agresijos prieš Vakarus (taip pat ir Lietuvą) strategiją ir pastarojo dešimtmečio atakas – apie tai išsamiau rašė Vilniaus politikos analizės instituto ekspertai Dalia Bankauskaitė ir Simas Čelutka.
Tikslas: išbandyti naujus pajėgumus
Siekiant perprasti, kaip Rusijos remiamiems programišiams pavyko šimtus tūkstančių Kijevo gyventojų palikti be elektros, pakanka minimalių žinių apie elektros tinklų veikimą.
Elektros tinklai turi tris pagrindines funkcijas: elektros gamyba elektrinėse, elektros perdavimas iš elektrinių paskirstymo sistemoms ir elektros paskirstymas vartotojams.
Prie perdavimo linijų ir paskirstymo sistemų yra tarpinės stotys, kurios keičia el. įtampą (elektros energija yra gaminama aukštesne nei vartojimo įtampa), paskirsto elektrą tarp tolimesnių linijų, apsaugo nuo gedimų.
Kadangi elektros energijos pasiūla ir paklausa elektros tinkle nuolatos keičiasi, tarpinėse stotyse yra reguliuojamas energijos kiekis, kurį gauna tolimesnės linijos.
Tarpinėse stotyse yra įrenginiai, panašūs į gyventojų namuose esančius saugiklius: kai toks saugiklis yra „atviras“, linija netenka elektros, ir atvirkščiai.
Programišiai taikosi būtent į tarpines stotis: įsilaužus į tarpinės stoties tinklą visiems „saugikliams“ yra pasiunčiamos nesibaigiančios komandų sekos, kurių kiekviena liepia „atidaryti“ saugiklį. Kai saugiklis visą laiką gauna komandą „atsidaryti“, linijoje, kurioje yra saugiklis, nebelieka elektros.
Iš pirmo žvilgsnio gali pasirodyti, kad kibernetinė ataka yra kažkas staigaus ir momentinio, bet iš tiesų tai yra gana ilgas procesas, nes prieš pačią ataką yra du veiksmų etapai.
Pirmojo etapo metu yra įsibraunama į tarnybinius bendrovės tinklus, iš kurių pereinama į SCADA tinklus (Supervisory Control and Data Acquisition – programinė įranga, kuri yra naudojama pramoniniuose kompiuteriuose). Antrojo ir ilgiausio (gali trukti nuo kelių iki keliolikos mėnesių) etapo metu kruopščiai renkama informacija apie sistemą, į kurią buvo įsibrauta.
Pasak ekspertų iš „Dragos Inc.“, kenksminga programinė įranga, panaudota 2016 m. išpuolyje prieš Ukrainą, nereikalauja tiek daug išankstinių žinių apie atakuojamą infrastruktūrą, o sugeba pati surinkti reikiamą informaciją, kai tik jai pavyksta įsigauti į sistemos vidų.
Tai reiškia, kad antroji puolimo fazė tampa trumpesnė. Atlikus minimalius pakeitimus, ši programinė įranga gali būti panaudota atakoms kitose Europos šalyse, Artimuosiuose Rytuose, Amerikose bei Azijoje.
Kibernetinis saugumas – visai visuomenei aktuali problema
Yra įvairių techniškai sudėtingų būdų, kuriais galima susekti ir sunaikinti įsibrovusią kenksmingą programinę įrangą, taip pat apsaugoti tarpines stotis ir kitą elektros tinklų infrastruktūrą nuo atakų.
Vis dėlto apsauga nuo pirminio įsibrovimo į tarnybinius bendrovių tinklus yra paprastesnis procesas, susijęs su bendresne kibernetinio saugumo problema.
Viena iš priežasčių, kodėl taip sparčiai daugėjo ir, NKSC vertinimu, toliau daugės programišių išpuolių aukų – „nepakankamas naudotojų sąmoningumas“
Dauguma įsibrovimų įvykdomi atliekant tai, ką Lietuvos nacionalinio kibernetinio saugumo centras (NKSC) vadina socialinės inžinerijos metodais: žmonių emocijų manipuliacija ir psichologinio poveikio naudojimas tam, kad žmogus atliktų potencialiai žalingą veiksmą – atsidarytų nuorodą, parsisiųstų bylą ar atskleistų privačius duomenis.
Pavyzdžiui, kaip pranešama 2018 m. Estijos žvalgybos tarnybos ataskaitoje, su Rusijos saugumo tarnybomis susijusi hakerių grupė prieš keletą metų surengė Europos Sąjungos šalių puolimą, kurio pagrindinis taikinys buvo vienos ES šalies diplomatai.
Jiems buvo siunčiami laiškai su žalinga programine įranga, galinčia gauti prieigą prie 80 tūkst. bylų per metus.
Šio pobūdžio kibernetinės grėsmės ir apsauga nuo jų nėra svarbios vien energetikos ar kitoms kritinės infrastruktūros bendrovėms bei viešojo sektoriaus darbuotojams, bet yra reikšminga kiekvienam internetu besinaudojančiam asmeniui.
Kaip teigiama NKSC 2017 m. kibernetinio saugumo būklės ataskaitoje, pastaraisiais metais pastebimai daugėja kibernetinių incidentų, turinčių socialinės inžinerijos požymių: 2017 m. užfiksuota per 188 500 atvejų, 2016 m. – 106 tūkst., o 2015 m. – tik daugiau nei 37 tūkst.
Pažvelgus į skaičius aišku, kad kibernetinių atakų taikiniais tampa ne tik kritinės svarbos bendrovėse dirbantys asmenys ir valstybės tarnautojai, tačiau gana platus visuomenės segmentas, kuris, pasak NKSC, ilgainiui apims vis platesnius visuomenės sluoksnius.
Viena iš priežasčių, kodėl taip sparčiai daugėjo ir, NKSC vertinimu, toliau daugės programišių išpuolių aukų – „nepakankamas naudotojų sąmoningumas“. Kaip turėtų elgtis mažai apie internetą išmanantis asmuo, norėdamas tapti „sąmoningu vartotoju“?
Nevertėtų atidaryti bylų, prisegtų prie laiško, kurį atsiuntė nežinomas adresatas.
Visų pirma, reikia būti atspariems „socialinei inžinerijai“: kartais žmonėms būna keblu adekvačiai įvertinti elektroninius laiškus, kuriuose grasinama, esą jei neįvesite savo asmeninių duomenų, jūsų paskyra bus ištrinta ar nutrauktos kitos paslaugos.
Jei paspaudėte ant nuorodos, atidžiai pasižiūrėkite į puslapio adresą: dažnai piktadariai ne tik nukopijuoja tikrosios svetainės išvaizdą, bet ir naudoja adresą, kuris yra labai panašus į tikrąjį, skiriasi tik viena ar kita raide.
Taip pat nevertėtų atidaryti bylų, prisegtų prie laiško, kurį atsiuntė nežinomas adresatas.
Antras dalykas, kurį būtina saugoti, yra slaptažodžiai. Visi žinome, kad skirtingoms paskyroms reikia naudoti skirtingus slaptažodžius.
Mažiau žinomas, bet labai vertingas apsisaugojimo būdas yra vadinamoji „dviejų veiksnių autentikacija“ (angl. Two Factor Authentication, 2FA). 2FA yra prisijungimo prie paskyros būdas, kai reikia ne tik įvesti slaptažodį, bet taip pat patvirtinti savo tapatybę papildomu žingsniu.
Papildomo žingsnio reikalavimas reiškia tai, kad net jei pašalinis asmuo sužinotų jūsų slaptažodį, jis negalėtų prisijungti prie jūsų paskyros, jei neturi prieigos prie antrojo faktoriaus.
Šis papildomas žingsnis būna skirtingas: SMS žinutė su vienkartiniu prisijungimo kodu; piršto antspaudas; programėlė, kuri generuoja vienkartinius prisijungimo kodus; USB raktas, kuris turi būti įkištas į kompiuterį, kuriuo naudojantis bandoma prisijungti.
Dauguma tinklalapių ir programėlių, siūlančių 2FA paslaugą, leidžia pasirinkti vieną iš kelių būdų (Google, Facebook, Twitter, Instagram, Outlook nesudėtingai galima įgalinti 2FA).
Galiausiai, jei praradote budrumą, bet susipratote, kad atskleidėte savo privačius duomenis, privalote nedelsdami pasikeisti nebesaugios paskyros slaptažodį.
Įstatymų neužtenka – reikalingi struktūriniai pokyčiai
Pasaulyje vykstant sparčiai paslaugų skaitmenizacijai ir vis didesnei mūsų kasdienybės daliai pereinant į kibernetinę erdvę, neišvengiamai daugėja taikinių tiek pavieniams programišiams, kurie siekia pasipelnyti, tiek profesionalioms kenkėjų grupėms, vykdančioms tokių valstybių kaip Rusija ar Kinija užsakymus.
Jei artimiausiu metu nepasikeis mūsų požiūris į kibernetinį saugumą, bus sunku išvengti didžiulių nuostolių tiek valstybiniu, tiek ir individualiu lygmeniu.
Mūsų požiūris į internetinį raštingumą turi tapti panašus į mūsų požiūrį į saugumą keliuose. Mums atrodo akivaizdu, kad tėvai turi mokyti savo vaikus saugaus eismo taisyklių ir kad mokykloje turi būti kartojamos ir gilinamos vaikų žinios apie saugų eismą.
Ne ką mažiau dėmesio turėtume skirti „saugaus eismo internete“ taisyklių diegimui ir aiškinimui.
Po 2015 ir 2016 m. išpuolių Ukrainoje buvo priimtas plataus masto kibernetinio saugumo įstatymas, kuriuo siekiama pagerinti bendradarbiavimą tarp valstybinių institucijų ir kritinę infrastruktūrą valdančių įmonių, aiškiai apibrėžiamos įvairių valstybinių institucijų kompetencijos ir jų veiksmų koordinacija, sukurtos sąlygos kritinės infrastruktūros bei bankų informaciniam saugumui audituoti.
Nors šie žingsniai yra sveikintini, jie nėra pakankami, nes nėra orientuoti į visuomenės IT raštingumo skatinimą. Šiuo požiūriu sektinas pavyzdys yra Estija, kuri pirmauja Europoje kibernetinio saugumo srityje.
Estijoje kibernetinis saugumas yra ne vien valstybės ir verslo įmonių rūpestis – jį siekiama nuosekliai stiprinti visos šalies mastu. Rengiami plataus masto viešojo ir privataus sektoriaus mokymai.
Estiškas „Šaulių sąjungos“ ekvivalentas (Eesti kaitseliit) turi kibernetinio saugumo dalinį, kuris padeda valstybinėms institucijoms reaguoti į išpuolius, rengia mokymus ir pratybas.
Pasak kibernetinio saugumo eksperto Raino Ottiso, privataus sektoriaus IT įmonės skatina savo darbuotojus prisijungti prie šio dalinio ir tokiu būdu gauti reikalingų įgūdžių bei patirties.
Turint omenyje, kaip sunku valstybei konkuruoti su privataus sektoriaus įmonių siūlomais atlyginimais, raginimas IT ekspertams bent kartą per savaitę prisidėti prie šalies saugumo užtikrinimo yra optimalus sprendimas.
Autorius yra Vilniaus politikos analizės instituto asocijuotas analitikas.
* * *
Šis straipsnis yra dalis projekto, skirto stiprinti demokratiją ir pilietinę visuomenę bei ryšius su ES Rytų partnerystės šalimis (Ukraina, Moldova, Gruzija) per nepriklausomos informacijos sklaidą pasitelkus šiuolaikinius sprendimus. Projektą įgyvendina Vilniaus politikos analizės institutas. Projektas finansuojamas iš Lietuvos Užsienio reikalų ministerijos Vystomojo bendradarbiavimo ir paramos demokratijai programos lėšų.