Lietuvą pasiekus pirmosioms COVID-19 vakcinos siuntoms, 2021-uosius šalies įmonės planuoja geresnius ir saugesnius už praėjusius metus. „LinkedIn“ metų pabaigoje tradiciškai skelbiamų tendencijų sąraše nurodoma, kad viena iš pagrindinių šiųmečių tendencijų lieka saugumas, pradedant medicininėje, baigiant kibernetinėje srityse.
„NRD Cyber Security“ vadovas Vilius Benetis apibendrina, jog dauguma įmonių 2020 metais nukentėjo dėl to, kad nesilaikė kibernetinio saugumo higienos normų, nesugebėjo atpažinti socialinės inžinerijos metodais paremtų atakų, neužtaisė kibernetinio saugumo spragų, neteisingai sudėliojo IT ir apsaugos priemonių nustatymus ar tiesiog nepastebėjo įvykusių incidentų, todėl šie išplito iki pastebimos žalos lygio.
Stebint Lietuvos skaitmeninę aplinką, „NRD Cyber Security“ nuomone, 2020 metais įmonėms didžiausią žalą darė šios TOP 3 kibernetinio saugumo grėsmės:
1. Verslo e.komunikavimo užvaldymas, su tikslu pasisavinti pinigus pakeičiant tikėtinų pavedimų gavėjus. Taikomasi į visų tipų įmones ir organizacijas.
2. Užšifravimo (angl. ransomware) modernios atakos: kai kompleksiškai nusitaikoma į įmonės IT sistemas: aptinkamas technologinis pažeidžiamumas, užvaldomi IT įrenginiai, išjungiamos rezervinės kopijos ir po šio pasiruošimo atliekami žalingi veiksmai.
3. Vidiniai IT, saugumo procesų bei procedūrų trūkumai, lemiantys klaidas ir saugumo spragas bei netiesioginius nuostolius.
Rizikos išlieka
V.Benetis prognozuoja, kad tos pačios rizikos, kurios verslui didžiausią grėsmę kėlė praėjusiais metais, niekur nesitraukia ir šiemet.
„Tikėtina, kad 2021 m. grėsmių vektoriai išliks tie patys, dominuos kibernetinių nusikaltėlių sukelta žala. O socialiai motyvuoti hakeriai, vadinamieji haktivistai, ar kitų valstybių organizacijų nutaikytos priemonės įtakos turės tik specifinėms organizacijoms ir įmonėms“, – svarstė jis.
Augustinas Daukšas, „NRD Cyber Security“ kibernetinio saugumo konsultantas, teigia, kad vienas iš geriausių būdų užkirsti kelią galimiems incidentams – apie atakų vektorius kuo daugiau kalbėtis organizacijos viduje bei su IT priežiūrą atliekančiomis trečiosiomis šalimis.
„Lietuvos įmonės yra gana gerai pasirūpinusios bazinėmis darbo vietų ir tinklo perimetro apsaugos priemonėmis, tai dažniausiai padeda išvengti daugybės problemų, kylančių iš masinių atakų ar žalingų kodų sklaidos. Tačiau susidaro įspūdis, jog dar per mažai dėmesio skiriama galimiems sudėtingesnių kibernetinių atakų scenarijams“, – kalba specialistas.
Jo vertinimu, tik nedaugelis įmonių skiria laiko modeliuoti situacijas „kas būtų, jeigu būtų“ – t. y. praktiškai išbando arba teoriškai diskutuoja, kaip turimos technologijos reaguotų, jei iš viso reaguotų, į dažniausiai pasitaikančias sofistikuotas atakas, ypač tuomet, kai jos nėra paremtos žalingu kodu.
„Taip pat daugiau dėmesio reikėtų skirti nustatymui ar vidiniai žmogiškieji resursai pajėgtų tai laiku pastebėti, tinkamai suvaldyti situaciją ir padaryti išvadas ateičiai“, – vertina A.Daukšas.
Jo vertinimu, matosi tendencija, kad vis daugiau organizacijų domisi ir svarsto apie savo Saugumo operacijų centrų (SOC) steigimą ar tokių centrų paslaugų, užtikrinančių nuolatinį duomenų ir įvykių srauto stebėjimą, įsigijimą.
Yra priemonių, kurios leidžia kelti kibernetinio saugumo brandą neinvestuojant didelės metinio biudžeto dalies. Pavyzdžiui, įmonė viduje turėtų kuo daugiau diskutuoti saugumo klausimais, išsiaiškinti kaip turimi resursai padėtų išvengti dažniausiai pasitaikančių atakų, tokių kaip socialinė inžinerija, prisijungimų vagystės, pažeidžiamumų išnaudojimas, įvairių tipų befailinės ar „man-in-the-middle“ atakos.
„Jeigu reikia pagalbos suprasti, nuo ko pradėti, jums gali pagelbėti kibernetinio saugumo specialistai“, – pabrėžia A. Daukšas.
2021 metais diegiamų skaitmeninių iniciatyvų kibernetiniam atsparumui svarbūs poreikiai:
- Būtinas stiprus (dviejų faktorių) autentifikavimas, nes slaptažodžiai dažnai nutekinami, ar išlaužiami;
- Rezervinės kopijos turi būti atsparios užšifravimo atakoms;
- Įvedamas privalomas IT sistemų ir procesų būklės, ir saugumo reguliarus stebėjimas, privalomai teikiant būsenos ataskaitas vadovams;
- Platesnis kolektyvinio saugumo ir gynybos supratimas ir taikymas: palengva įvedamas tiekėjų ir partnerių IT saugumo vertinimas per organizacijos rizikų prizmę, bei informacijos dalinimasis apie įvykusias atakas.
Kenkėjiška programinė įranga
Taip pat verta atkreipti dėmesį į Europos Sąjungos kibernetinio saugumo agentūros ENISA atnaujintų kibernetinių grėsmių sąrašus, nurodančius, kad apskritai didžiausios kibernetinės saugumo grėsmės kyla iš kenkimo programinės įrangos (angl. malware), interneto naršymu grįstos atakos, „phishing“, pažeidžiamų internetinių svetainių, ir kitų. Džiugu, kad 2020 m. Lietuvoje negirdėjome apie ypatingos svarbos informacines infrastruktūras paveikusias kibernetines atakas, tačiau jų grėsmės pasaulyje didėja.
Nors naudotojų sąmoningumas auga, 2020 m. Lietuvoje vėl netrūko incidentų, kai jie nepakankamai kritiškai įvertino gaunamus laiškus, atidarė prisegtukus su užkrėstais dokumentais, taip užkrėsdami ne tik savo kompiuterius, bet ir sukeldami grėsmę visos organizacijos veiklai. Pvz., 2020 m. gruodžio pabaigoje įvykdyta socialinės inžinerijos ataka prieš Nacionalinį visuomenės sveikatos centrą, aiškiai iliustravo, kaip vienam darbuotojui atidarius užkrėstą dokumentą, galima sutrikdyti visos centro el. pašto sistemos veiklą.
Ne pirmus metus pažeidžiamos interneto svetainės yra įvardinamos kaip viena iš svarbiausių kibernetinių grėsmių, o realių veiksmų, kurie leistų sėkmingai užkardyti šią grėsmę ar per ją kilusią riziką, neužtenka.
Ši grėsmė yra dažnai naudojama norint platinti dezinformaciją, vykdant taip vadinamas turinio iškraipymo (angl. defacement) atakas. Pvz., 2020 m. gruodžio pradžioje, išnaudojus interneto svetainių turinio valdymo sistemos saugumo spragą, programišiai prisijungė prie didelio skaičiaus viešojo sektoriaus tinklalapių ir išplatino tikrovės neatitinkančią informaciją.
Atmintinė, kaip įmonėje užtikrinti kibernetinį saugumą
1. Vadovautis saugos kontrolės priemonėmis, kurias, padedant ir NRD Cyber Security specialistams parengė JAV įkurtas Interneto saugumo centras. Tai tarptautiniu mastu pripažįstamas priemonių rinkinys, padedantis organizacijoms atremti labiausiai paplitusias ir pavojingiausias kibernetines atakas.
2. Įmonėje paskirti asmenį, atsakingą už kibernetinį saugumą.
3. Dalį biudžeto skirti kibernetinio saugumo užtikrinimui.
4. Peržvelgti įmonėje egzistuojančias tvarkas ir įsitikinti, kad verslo tęstinumo, vadinamųjų atsigavimo po atakų (angl. disaster recovery), atsarginių kopijų valdymo politikos ar tvarkos yra atnaujintos. Išbandyti galimus scenarijus.
5. Naudoti automatines incidentų aptikimo sistemas ir nepamiršti jų tobulinti bei gautą informaciją analizuoti.
6. Nuolat atnaujinti programinę įrangą, periodiškai atlikti išorinio ir vidinio perimetro pažeidžiamumų vertinimus.
7. Peržiūrėti technologijų techninių konfigūracijų šablonus, panaikinti perteklines prieigas.
8. Nuolat šviesti darbuotojus kibernetinės saugos klausimais. Tais atvejais, kai įmonė susidūrė su kibernetine ataka ar incidentu, su visais darbuotojais pasidalinti patirtimi, kaip pavyko jį išspręsti, kaip buvo galima to išvengti.