Tai tokio tipo kibernetinė ataka, kurios pagalba į jūsų sistemas yra pirmiausiai įsilaužiama, patalpinama speciali programinė įranga (galima vadinti netgi virusu), tačiau duomenys yra ne vagiami, bet vietoje to apribojama prieiga prie jų – pavyzdžiui, yra užšifruojami pasinaudojus sudėtingais algoritmais. O norint atgauti duomenis iš jūsų yra reikalaujama išpirka.
Kaip teigia Marius Guobys, IT įmonės „Cognizant“ DevOps praktikų vadovas, dažniausiai išpirkų yra prašoma kripto valiutų pavidalu. Kriptovaliutos yra sunkiau kontroliuojama rinka bei kripto valiutų išgryninimas yra sunkiai susekamas. Prieiga prie turėtų duomenų yra suteikiama tik sumokėjus išpirką.
Tačiau jūs neturite jokios garantijos, kad jūsų duomenys taip pat nebuvo ir pavogti. Visgi nesumokėjus išpirkos, prieiga prie duomenų yra prarandama – galima bandyti atjungti sistemas nuo interneto, išimti diskus ir pan., bet praktika rodo, jog tai tikrai nepadės. Be specialaus kodo/prieigos iš kenkėjų jūs tų duomenų tikrai nebeatgausite.
Kaip apsisaugoti
Apie tai būtina žinoti kiekvienai šiuolaikinei organizacijai, kuri dirba su bet kokiais duomenimis ir operuoja internetinėje erdvėje – ar tai valstybinės institucijos, ar privatus sektorius, nesvarbu – visi yra potencialus taikinys.
„Žinoma, sukčiai, kurie nori iš jūsų gauti pinigus tikrai nesirinks organizacijos, kurioje dirba keletas žmonių, jų apyvarta yra maža ir potencialus uždarbis nėra didelis. Sukčių tikslas yra kiekvienos atakos metu gauti kuo didesnę išpirką, ypatingai įvertinus, jog ne visos organizacijos sutinka mokėti tokius pinigus (o kalbame kai kuriais atvejais ir apie milijonus), tad bent viena sėkminga ataka jiems yra aukso vertės.
Jeigu vertintume sektorius, kuriuose buvo didžiausias augimas paskutiniais metais, tai būtų – prekyba, konsultavimo verslai, gamyba. Bet didžiausias skaičius atakų išlieka valstybiniame sektoriuje, medicinoje, telekomunikacijose ir bankiniame sektorius. Tad visi yra taikinys tokio tipo atakoms, nesvarbu, kokio dydžio organizacija estate. Kitu atveju jūsų duomenys gali būtų tiesiog užšifruoti ir jūs galite būti palikti likimo valiai. Tačiau nuo to galima ir apsisaugoti“, – kalba M.Guobys.
Pirmiausiai ir, svarbiausia, pasak jo, – duomenų atsarginės kopijos ir jų reguliarumas. Atsarginės kopijos ne tik leidžia apsisaugoti nuo tokių atakų pasekmių, bet ir tai yra gera IT higiena, kai jūsų sistemos sulūžta, sugenda ir pan.
„Dėl to visada reikia užtikrinti, kad turite atsargines duomenų kopijas. Tas pats galioja ir su išpirkų reikalavimu. Jeigu jūsų duomenys užšifruojami ir iš jūsų reikalaujama išpirka, turint atsargines kopijas, kurios daromos reguliariai, galite tiesiog išsiaiškinti ir užblokuoti sukčiams priėjimą prie sistemų, atstatyti duomenis iš atsarginių kopijų ir toliau darbuotis.
Svarbu nepamiršti, kad atsarginės kopijos turi būti saugiai laikomos kitoje lokacijoje nei jūsų aktyvios sistemos ir svarbiausia, jog saugiai ir priėjimas būtų maksimaliai apribotas – t.y. jūs nenorite, jog būtų užšifruoti ir jūsų duomenys, ir atsarginės kopijos“, – pataria IT ekspertas.
Taip pat jis išskiria ir kitus apsisaugojimo būdus:
Darbuotojų mokymai – visada svarbu edukuoti darbuotojus apie kylančias grėsmes dirbant internetinėje erdvėje. Svarbu, kad tie mokymai netaptų darbuotojams kančia, reikėtų ieškoti inovatyvių ir įdomių būdų kaip darbuotojus motyvuoti domėtis IT saugumu, nesvarbu, ar tai inžinieriai, ar, pavyzdžiui, duomenų apdorotojai ir pan.
Reguliarus atnaujinimų diegimas – tai viena dažniausių priežasčių dėl kurių ir įvyksta tokios atakos. Kenkėjiškos programos naudojamos tokioms atakoms ir ieško saugumo spragų įvairiose viešai prieinamose sistemose. Dažniausiai saugumo spragos ir kyla senose, neatnaujinamose sistemose. Reguliarus atnaujinimų diegimas, sistemų atnaujinimas užtikrina, kad jūs nesusidursite su užsisenėjusiomis saugos problemomis.
Saugos rizikų draudimas – tai yra savotiška naujiena ir galbūt ne visos organizacijos apie tai pagalvoja. Tačiau jau yra draudimo kompanijų, kurios draudžia IT saugos rizikas. Tai leidžia jums sumažinti potencialius finansinius nuostolius kilus tokiai problemai. Žinoma, tai nėra prevencinė priemonė nuo kenkėjiškų atakų, bet gali padėti sumažinti jūsų finansinius nuostolius.
Vartotojų autentifikacija ir sistemų prieinamumas – būtina užtikrinti, kad vartotojų autentifikacijai būtų naudojami bent kelių lygių sprendimai (angl. multi-factor). Tai leidžia bent kažkiek užtikrinti, jog vartotojų prisijungimai yra saugiai kontroliuojami. Taip pat būtina įvertinti kokio lygio prieinamumą prie jūsų sistemų jūs suteikiate darbuotojams ar vartotojams. Reikėtų diegti tokius sprendimus, kad prieigos būtų suteikiamos tik tam kam reikia ir kada reikia. Pavyzdžiui, tokie architektūriniai sprendimai kaip nulis pasitikėjimo (angl. Zero Trust).
Išpirkų reikalaujančių prevencijos sprendimų diegimas – yra kita opcija, kuri gali būti ganėtinai efektyvi. Tačiau pirmiausiai reikėtų pasidaryti aukščiau paminėtus namų darbus, nes kiaurą vamzdį taisyti su lipnia juosta turbūt nėra pats geriausias sprendimas. Tokių programų nauda yra tai, jog jos stebi, kas vyksta jūsų sistemose ir atlieka prevencinius veiksmus, jeigu pastebi įtartiną veiklą. Tačiau tai yra ganėtinai sudėtingi sprendimai ir kainuoja nemažus pinigus.
Ne metas atsipalaiduoti
Anot IT eksperto, apie visus atvejus turbūt ir neišgirsime, nes ne visos organizacijos apie viešai skelbia. Ypatingai tos, kur įvykus incidentui nenukenčia klientai, o tai būna labiau vidinis įvykis, bet ir ne visose šalyse yra privaloma apie tai skelbti. Praėję metai buvo kaip niekada aktyvūs ir agresyvūs. Žinomiausi atvejai ir nukentėjusios organizacijos buvo „Sony“, „TSMC“, Dalaso miestas ir kt.
Kad duomenys yra nebesaugūs, galima suprasti iš to, kad jūsų priėjimas prie duomenų yra apribojamas ir norėdami juos ar sistemą pasiekti, pamatote žinutę ekrane, kad prie jūsų duomenų nebegalima prieiti ir nurodomi veiksmai, kuriuos reikia atlikti norint juos atgauti. Dažniausiai pasitaikantis atvejis – tai kriptovaliutos išpirka.
„Kompanijoje „Cognizant“ mūsų klientai nuolatos susiduria su įvairiomis išorinėmis grėsmėmis, kaip paskirstytosios aptarnavimo perkrovos atakos („DDoS“), kurios būna nukreiptos į svetaines bei serverius ir sutrikdo tinklo paslaugas; jau minėtosios „ransomware“ ir kito pobūdžio atakos.
Todėl kuriant naujus sprendimus visuomet vertiname galimas išorines grėsmes, pagal jas ir parenkame architektūrą, technologijas bei įrankius, kurie padėtų užtikrinti prevenciją, laiku perspėtų apie kylančią grėsmę. Naudojant pažangius stebėsenos (angl. monitoring) sprendimus galime užkirsti kelią potencialioms atakoms. Tai ypač aktualu dirbant su debesijos sprendimais.
Galime pasidžiaugti, jog mūsų kurti sprendimai visuomet užtikrina, kad mūsų klientai nėra patyrę saugos problemų ir intelektinės nuosavybės vagysčių bei net yra pelnę apdovanojimą už mūsų kurtą produktą“, – teigia „Cognizant“ DevOps praktikų vadovas.
M.Guobys dalijasi, jog dirbant skaitmeninių sprendimų kūrimo srityje su saugos ir privatumo klausimais įmonės susiduria nuolatos: „Klientai, kurie naudoja mūsų sprendimus visame pasaulyje, itin atidžiai vertina rizikas ir tai, kaip reikia rinkti bei apdoroti duomenis. Vieni standartai ir įstatymai galioja Europos Sąjungoje, visiškai kiti – JAV.
Tad kuriant naujus sprendimus reikia atsižvelgti į tai, kokius duomenis rinksite – ar tai – asmeniniai vartotojų duomenys, ar – jų naršymo puslapyje esanti statistika, ar jautrūs duomenys – gimimo data, asmens kodas ir t.t. Kiekvienu atveju galioja atitinkami įstatymai, kurių būtina laikytis. Tad šiai sričiai dabar skiriamas ypatingai didelis dėmesys.“
Jo teigimu, dirbant su pasaulinio lygio kompanijomis visada mums yra keliami aukščiausio lygio tikslai ir saugumo atžvilgiu.
„Laiko atsipalaiduoti tikrai neturime. Dirbdami su naujomis sistemomis ir jų kūrimu visada užtikriname gerąsias praktikas – duomenų atsarginės kopijos, atnaujinimų diegimas, prieigos apribojimas. Tuo pačiu klientai dažnai atlieka saugumo auditą mūsų kuriamiems sprendimams.
Tai padeda mums įvertinti kuriamų sprendimų efektyvumą. Dirbami su klientais taip pat užsiimame ir edukacine veikla – apmokome inžinierius apie pavojus ir jų prevenciją, detaliai išsiaiškiname, kodėl diegiame vieną ar kitą sprendimą, kodėl to reikia. Taip pat svarbu, jog sauga nebūtų kaštų taupymo auka. Visada vertiname grėsmes ir jų rimtumą, todėl apsisaugojimas yra aukščiausias prioritetas“, – pabrėžia jis.
Gali privesti iki bankroto
Sėkmingai įvykdę kibernetinę ataką, sukčiai neretai reikalauja įmonių sumokėti išpirką už pavogtus duomenis. Sutikimas sumokėti, be abejo, skatina tokių atakų pakartotinumą, bet toks sprendimas savaime nėra neteisėtas.
Kaip teigia Mindaugas Civilka, advokatų kontoros „TGS Baltic“ partneris, Technologijų industrijos grupės vadovas, sėkmingai įvykdę kibernetinę ataką, sukčiai neretai reikalauja įmonių sumokėti išpirką už pavogtus duomenis. Sutikimas sumokėti, be abejo, skatina tokių atakų pakartotinumą, bet toks sprendimas savaime nėra neteisėtas.
Nors ir yra numatyti privalomi tokie situacijos veiksmai pagal įstatymą, tačiau, anot M.Civilkos, siekiant išsaugoti reputaciją ir verslo tęstinumą, įmonė gali imtis papildomų veiksmų – pasirinkti sumokėti išpirką. Praktikoje, kai kurios įmonės net vidiniuose dokumentuose nustato tokios išpirkos mokėjimo galimybę ir procedūrą vadovams.
„Nors savaime toks sprendimas susimokėti už duomenis nėra uždraustas, tačiau pats išpirkos reikalavimas yra neteisėtas veiksmas, todėl nukentėjusi įmonė turi nedelsiant kreiptis į teisėsaugos institucijas. Svarbu tai, kad nepaisant to, ar išpirka buvo sėkminga ir duomenis pavyko susigrąžinti, bet kokiu atveju kyla bendra atsakomybė už neužtikrintą kibernetinio saugumo lygį organizacijoje“, – pabrėžia jis.
Kibernetinės atakos atveju įmonei atsakomybė kyla pagal BDAR, o baudos gali būti labai didelės – iki 20 mln. Eur arba 4% viso metinio pasaulinio apyvartos, priklausomai nuo to, kuris skaičius yra didesnis. Be to, nukentėjus nuo didelio masto kibernetinės atakos, įmonei gresia ir nukentėjusių asmenų reikalavimai atlyginti padarytą žalą, o reputacinės pasekmės istoriškai – pačios rimčiausios. Pavyzdžiui, „Vastaamo“ klinikos Suomijoje kibernetinės atakos atveju, įmonei atsisakius sumokėti 450 tūkst. Eur išpirką, duomenys paviešinti, o bendrovė paskelbė apie bankrotą.
Nepaisant to, kad išpirkos mokėjimas Lietuvoje nėra kriminalizuotas, visgi, patyrus kibernetinę ataką, dėl patirtos žalos atsakomybė už BDAR pažeidimus kyla.
Pirmiausia, eksperto teigimu, atsakomybė pažeidus asmens duomenų apsaugos reikalavimus ir nutekėjus duomenims kyla pačiai įmonei, o institucijų taikomos baudos gali būti vėliau pripažintos ir įmonės vadovo padaryta žala. Ieškinys dėl žalos atlyginimo įmonės vadovui gali būti pareikštas dėl:
- fiduciarinių (lojalumo, sąžiningumo, protingumo ir kt.) pareigų pažeidimo ir (arba) netinkamo verslo sprendimo priėmimo;
- imperatyvių įstatymo normų nustatytų vadovo pareigų nevykdymo arba pažeidimo, dėl kurių atsirado žala.
Be to, vadovui gresia ir asmeninė administracinė atsakomybė už kibernetinius incidentus pagal ANK (LR administracinių nusižengimų kodeksas).