Jos gali pridaryti nemažai nuostolių tiek verslams, tiek jų klientams, kurių duomenys atsidurtų pavojuje. Taigi verslai ir institucijos turėtų pradėti ruoštis jau dabar.
Atakos vis sudėtingesnės – ryškėja nauji programišių metodai
Naujausios technologijos atveria daug naujų galimybių ne tik mums, bet ir „hakeriams”. Nusikaltėliai vis dažniau naudoja dirbtinį intelektą ir kitus įrankius vykdydami sudėtingesnes, naujo tipo kibernetines atakas. Jie personalizuoja turinį, pritaiko vaizdo ir garso klastočių programas, ir taip sukuria suasmenintas sukčiavimo schemas, kurios yra sunkiau atpažįstamos paprastam žmogui, taigi veikia vis pavojingiau.
Nacionalinio kibernetinio saugumo centro duomenimis, per 2023 m. buvo užfiksuoti 2378 kibernetiniai incidentai. Nors bendras skaičius, palyginus su ankstesniais metais, sumažėjo 30 proc., pavojingesnių incidentų skaičius išaugo 12 proc. Tad negalime džiaugtis dėl mažėjančio atakų skaičiaus, nes tai reiškia, kad programišiai persiorientuoja nuo kiekybės prie kokybės, o jų keliamas pavojus išlieka.
Praėjusiais metais „Microsoft“ parengta analizė atskleidė, kokias naujos kartos kibernetines atakas dažniausiai taiko programišiai, pasinaudodami dirbtinio intelekto (DI) sukurtomis galimybėmis.
Paaiškėjo, kad programišiai jau gali apeiti daugiafaktorinę autentifikaciją (MFA). Ji kol kas yra viena populiariausių ir efektyviausių priemonių, apsaugančių vartotojų paskyras, kadangi reikalauja daugiau nei vieno autentifikacijos metodo, pavyzdžiui, ir slaptažodžio, ir telefono patvirtinimo. Tačiau DI puikiai pasitarnauja „hakeriams“ analizuodamas duomenis, prognozuodamas galimus kodo pažeidimus ir net klastodamas vartotojų tapatybes, pavyzdžiui, per duomenų vagystės (angl. phishing) atakas. Taigi ateityje MFA sistemos taps vis mažiau veiksmingos.
Išpopuliarėjo ir netikrų dokumentų kopijų kūrimas. Sukčių sukurtos kopijos atrodo kaip tikros, tačiau iš tikrųjų jose yra kenksmingas turinys arba kodas, kuris vėliau leidžia pasiekti ir pavogti duomenis.
DI taip pat padeda „hakeriams” tikslingiau pasirinkti, į kurias organizacijas ar įmones nusitaikyti. Rinkdami didelius duomenų kiekius ir naudodami DI algoritmus, piktavaliai gali surinkti informaciją apie įmonę, nustatyti jos pažeidžiamas sritis ir taip lengviau pasisavinti vertingus duomenis, tokius, kaip finansinė informacija ar intelektinė nuosavybė.
Dar viena populiarėjanti atakų rūšis – valstybių remiamos atakos. Kibernetiniai išpuoliai, kuriuos organizuoja valstybės, dažnai siekia įgyti geopolitinį pranašumą arba destabilizuoti kitas šalis. DI čia naudojamas ne tik įsilaužimams, bet ir informacijos manipuliavimui – jis padeda analizuoti duomenis, parinkti optimalias taktikas ir efektyviau skleisti dezinformaciją.
Kvantinė kompiuterija – įrankis naujos kartos atakoms
Kvantinės kompiuterijos era, į kurią žengiame šiandien, atneša dar didesnį nesaugumo efektą – ši technologija be vargo laužys dabartinius šifravimo pajėgumus, kurių iki šiol pakakdavo duomenų apsaugai. Taip yra todėl, kad kvantiniai kompiuteriai gali lengvai išspręsti sudėtingas matematines problemas, kurios yra dabartinių šifravimo metodų pagrindas. Tai reiškia, kad šie metodai taps nebeefektyvūs ir reikės pereiti prie kvantiniams kompiuteriams atsparių algoritmų.
Dar 2019 m. pabaigoje „Google“ pranešė, kad kvantiniam kompiuteriui pavyko išspręsti užduotį per 200 sekundžių, kai greičiausias pasaulyje superkompiuteris tą patį galėtų padaryti tik per 10 000 metų. Tokioms technologijoms išpopuliarėjus, verslai ir institucijos neišvengiamai turės pereiti prie kvantiniams kompiuteriams atsparių šifravimo metodų. Tai reiškia naujų algoritmų diegimą, investicijas į darbuotojų mokymus ir IT infrastruktūros atnaujinimą.
Postkvantinė kriptografija sukurta taip, kad būtų atspari kvantinių kompiuterių atakoms. Tikėtina, kad ji taps neišvengiamu dalyku Lietuvos verslams ir institucijoms per artimiausius kelerius metus.
Krašto apsaugos ministerija jau pradėjo dirbti šioje srityje, dalyvaudama Europos Komisijos įsteigtoje ekspertų darbo grupėje, kurios tikslas – parengti perėjimo prie postkvantinės kriptografijos veiksmų gaires. Efektyvią apsaugą nuo naujos kartos kibernetinių atakų galėtų užtikrinti tokie įrankiai, kaip „XDR“ (Extended Detection and Response) ir „Zero Trust“ saugumo modeliai.
Šiais metais pirmą kartą Lietuvoje trys didžiausi šalies universitetai: Kauno technologijos universitetas, Vilniaus universitetas ir Vilniaus Gedimino technikos universitetas, bendradarbiaudami su Poznanės superkompiuterių ir tinklų centru bei verslo partneriu UAB „Skaidula“, sėkmingai išbandė kvantinio ryšio technologiją, skirtą itin saugiam, nenulaužiamam duomenų perdavimui užtikrinti.
Verslai turėtų ruoštis jau dabar
Postkvantinė kriptografija ir kvantinės kompiuterijos grėsmės reikalauja aktyvaus pasirengimo, todėl svarbu pradėti veikti jau dabar ir pasiruošti, kad verslai bei institucijos galėtų išlikti saugūs ir konkurencingi kintančioje technologinėje aplinkoje.
Reikėtų pradėti nuo dabartinės kriptografinės infrastruktūros įvertinimo: nustatyti, kurie šifravimo metodai gali tapti pažeidžiami ateityje. Verta investuoti į šiuolaikines saugumo technologijas ir įsigyti paslaugas, kurios padėtų pereiti prie postkvantinės kriptografijos. Taip pat būtina pasirūpinti darbuotojų edukacija ir nuolatiniais mokymais apie naujas saugumo grėsmes.
Nors kvantinių kompiuterių kaina gali siekti milijonus dolerių, dabar postkvantinės kriptografijos sprendimai yra kuriami taip, kad būtų integruojami į jau esamas sistemas ir infrastruktūrą. Tai reiškia, kad verslai galės naudotis šiais sprendimais be didelių papildomų išlaidų naujai techninei įrangai. Žinoma, kaina priklausys nuo daugelio aspektų, pavyzdžiui, nuo diegiamos sistemos dydžio.
Gera žinia ta, kad dar turime šiek tiek laiko: kol kas kvantinės technologijos yra brangios ir sunkiai prieinamos ne tik mums, bet ir programišiams, todėl dar nėra masiškai naudojamos. Tačiau svarbu išlikti budriems, nes ši technologija sparčiai vystosi, o piktavaliai, vos atsiradus galimybei, tikrai pasinaudos paliktomis spragomis.
Ką galime padaryti jau dabar, kad mūsų duomenys būtų saugesni?
Rūpintis savo kibernetiniu saugumu bei tinkama duomenų apsauga svarbu ne tik verslams, bet ir kiekvienam iš mūsų. Nacionalinis kibernetinio saugumo centras (NKSC) šiuo metu siūlo įvairius įrankius ir mokymus tiek įmonėms, tiek asmenims.
Pavyzdžiui, kovai su kibernetinėmis grėsmėmis, NKSC ištobulino „DNS“ užkardą – įrankį, apsaugantį gyventojus ir organizacijas nuo sukčiavimo atakų. Duomenys rodo, kad ji kasdien užkirto kelią daugiau nei 2 tūkst. žmonių, kurie nesupratę apgaulės bandė prisijungti prie sukčių svetainių, skirtų pavogti pinigus ar duomenis.
Kibernetinio saugumo specialistai primena, kad asmeninių paskyrų apsaugai itin svarbūs stiprūs slaptažodžiai ir slaptažodžių tvarkyklės, o papildomą saugumo lygį vis dar suteikia daugiafaktorinė autentifikacija (MFA). Taip pat rekomenduojama reguliariai kurti atsargines kopijas ir nuolat atnaujinti sistemas, siekiant apsisaugoti nuo duomenų praradimo ar kenkėjiškų programų.
Taip pat svarbu laikytis pagrindinių taisyklių, padedančių išvengti finansinių sukčių – jei pasiūlymas skamba per gerai, kad būtų tiesa, greičiausiai taip ir yra. Jei žadama milžiniška finansinė grąža, verta savęs paklausti, kodėl visi kiti taip nedaro. O kilus abejonėms, svarbu pasitarti su artimaisiais ir nepriimti skubotų sprendimų, ypač stresinėse situacijose.
