Tobulėjant kibernetinių nusikaltėlių atakoms, vis daugiau dėmesio skiriama būdams, kaip nuo jų apsisaugoti. Vienas dažniausiai naudojamų, žinoma, yra paskyras internete apsaugantys slaptažodžiai. Tiesa, dabar anglišką terminą „password“ skatinama pakeisti kitu – ekspertas pataria paskyrų apsaugai naudoti „passphrase“ (liet. „slapta frazė“), kuris yra sunkiau įveikiamas įsibrovėliams.

Daugelio slaptažodžiai – per trumpi

„Slaptažodžiai yra bene populiariausios autentiškumo patvirtinimo priemonės. Jie naudojami prieigai prie paskyrų, programinės įrangos ar techninės įrangos sistemų. Nors slaptažodžių ir slaptų frazių paskirtis ta pati, jie skiriasi sudėtingumu, ilgiu ir struktūra. Siekiant maksimalios savo asmens duomenų ir kitos jautrios informacijos apsaugos, svarbu žinoti pagrindines taisykles kuriant tiek slaptažodžius, tiek slaptas frazes“, – sako Donatas Drakickas, „Tele2“ produkto vadovas.

Slaptažodis – raidžių, specialiųjų ženklų ir skaičių kombinacija, kurią dažniausiai sudaro apie 8–10 simbolių. Vis dėlto, ekspertas rekomenduoja būti dar atsargesniems ir kurti kiek ilgesnius – bent 12 simbolių turinčius – slaptažodžius. Taip slaptažodį nulaužti bus gerokai sudėtingiau.

„Rekomenduotina slaptažodžius daryti kuo sudėtingesnius, į juos įtraukiant atsitiktinį didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų ženklų derinį. Slaptažodžius būtina dažnai keisti ir nenaudoti pasikartojančių keliose paskyrose. Saugumo ekspertams sutinkant, kad paskyras geriausiai apsaugo ilgi slaptažodžiai, atsirado ir slaptos frazės terminas“, – pastebi D. Drakickas.

Skatina naudoti beprasmiškas frazes

Slapta frazė, kaip ir sufleruoja termino pavadinimas, yra žodžių, sudarančių įsimintiną frazę, derinys. Slaptas frazes dažniausiai sudaro daugiau nei 14 simbolių. Kadangi slapta frazė paprastai yra ilgesnė ir sudėtingesnė nei tradicinis slaptažodis, ji laikoma saugesniu autentifikavimo metodu – ilgesni žodžiai ar frazės yra atsparesni tokioms atakoms, kai užpuolikai bando nulaužti slaptažodžius bandydami įvairias kombinacijas.

Kaip ir kuriant slaptažodžius, taip ir galvojant slaptas frazes patariama vadovautis keliais patarimais. Visų pirma, anot D. Drakicko, nepatartina frazėje vartoti susijusių žodžių.

„Slaptos frazės bus saugios tuo atveju, jei programišius negalės logiškai sugalvoti žodžių kombinacijos. Pavyzdžiui, jei jūsų slaptažodis bus „VardanTosLietuvos“, jį nulaužti nebus taip sunku, kaip slaptą frazę, kurios visi trys žodžiai tarpusavyje neturi jokių sąsajų, tarkime, „KatinasBurbulaiRestoranas“. Tai unikali frazė, kurią nesunku įsiminti, bet atspėti kitam – labai sudėtinga“, – sako D. Drakickas.

Jis dalijasi keliomis pagrindinėmis taisyklėmis, kurias svarbu prisiminti kuriant slaptas frazes:

• Venkite bendrinių posakių ar frazių, kuriuos gali žinoti ir kiti žmonės.
• Venkite teksto žodžių iš populiarių dainų.
• Naudokite daugiau beprasmiškų, išgalvotų žodžių, bet įsitikinkite, kad galėsite juos įsiminti.
• Pasirinkite bent 15 simbolių ilgio frazę.
• Pridėkite simbolių ir skaičių, kad frazė būtų dar sudėtingesnė. Pavyzdžiui, „Katinas^Burbula1^Rest0ranas“.
• Kiekvienai paskyrai naudokite skirtingą frazę.

Kibernetinių sukčių sukuriamas grėsmes atpažinti interneto naudotojams tampa vis sudėtingiau. Programišiai ėmėsi imituoti patikimas interneto svetaines, kurias nuo kenksmingų kopijų atskirti sudėtinga net ir įgudusiai akiai. Lietuvoje plito fišingo (angl. „phishing“) ataka, kurioje žmonės bandė prisijungti prie populiaria el. pašto platforma apsimetusios svetainės.

Imitavo populiarią platformą

Praėjusį mėnesį Lietuvos interneto vartotojus buvo bandyta apgauti itin tikroviškai atrodančia fišingo ataka. Žmonės buvo viliojami prisijungti prie svetainės, kuri apsimetė esanti visame pasaulyje populiaria el. pašto platforma „Webmail“. Šios sukčiavimo apgaulės tikslas – išvilioti jautrią informaciją iš patiklių naudotojų, kurie neatpažįsta sukčių schemos ir mano, kad tai teisėtas „Webmail“ puslapis. 

„Susipainioti susidūrus su šia grėsme yra išties labai lengva, nes originalaus puslapio kopija atrodo beveik identiškai, o žmonės retai tikrina nuorodas žinutėse. Jiems užtenka, kad nuoroda atrodo panaši į oficialią. Prisijungę prie kenkėjiškos svetainės kopijos, vartotojai pateikia įsilaužėliams savo asmeninę informaciją, pavyzdžiui, el. pašto adresą ir slaptažodį. Tada ši apgaulė toliau plinta po visus aukos kontaktus, kuriuos ji turi savo el. pašte“, – pastebi Donatas Drakickas, „Tele2“ produkto vadovas.

Anot jo, kenkėjiška tokio puslapio nuoroda paprastai siunčiama el. laišku arba SMS žinute, kad atrodytų patikimiau. Dažnai teigiama, kad el. pašto adresą reikia patvirtinti tam, jog būtų užtikrinta paskyros apsauga.

Grėsmių vis daugėja

Pasak D. Drakicko, kiekvieną mėnesį užfiksuojamas vis didesnis kibernetinių grėsmių skaičius. Pavyzdžiui, per rugpjūtį „Tele2“ tinkle teikiama kibernetinio saugumo paslauga užkirto kelią beveik 33 mln. kibernetinių grėsmių. Tai maždaug 8 mln. daugiau nei liepą, o nuo gegužės mėnesio šis skaičius išaugo beveik 4 kartus. Augančiam grėsmių skaičiui įtakos turėjo ir augantis paslauga besinaudojančių žmonių skaičius. Kibernetinės grėsmės rugpjūtį kilo net iš 23 tūkst. skirtingų domenų.

„Interneto erdvėje apsigauti lengva net ir patyrusiam interneto vartotojui. Sukčiai vis tobulėja, o jų apgavystes atpažinti darosi vis sunkiau, tad būtina diegti papildomas saugumo priemones, kurios sumažintų galimybes tapti sukčių aukomis. Tam ir sukurta tinklo lygmeniu veikianti interneto apsauga, kuri aptinka ir užblokuoja prieigą prie kenkėjišku turiniu užkrėstų svetainių ir nuorodų“, – sako D. Drakickas.

Vyravo keli grėsmių tipai

Kibernetinio saugumo paslaugos statistika rodo, kad dažniausia grėsmė internete Lietuvoje rugpjūčio mėn. buvo susijusi su kenkėjiškomis programomis. Su viena iš kenkėjiškų programų versijų susijusių grėsmių skaičius iš viso išaugo iki daugiau nei 30 mln., o tai yra net 7 mln. daugiau nei liepą. Kenkėjiškos programos apima įvairių rūšių kenkėjišką programinę įrangą, skirtą pažeisti ir sugadinti naudotojų įrenginius ir sistemas. Labiausiai žinomos yra vadinamosios „Trojos arklio“ programos.

Antroje vietoje pagal dažnumą atsidūrė fišingo atakos. Šio tipo apgavystės dažniausiai plinta elektroniniais laiškais, SMS žinutėmis arba pokalbių programėlėmis, kuriose dalijamasi netikromis nuorodomis, žadančiomis prizus ir kitas naudas. Tačiau iš tiesų tokios nuorodos vartotoją nuveda į domenus su kenkėjišku kodu arba schemomis, kuriomis siekiama išvilioti slaptus duomenis.

Trečioje vietoje rugpjūčio mėn. atsidūrė grėsmių tipas, susijęs su vadinamaisiais „C&C“ centrais, kurie tampa vis populiaresni. Šie centrai bando įtraukti įrenginius į botų tinklus ir toliau jais naudotis įvairiais kenkėjiškais tikslais. Vartotojai pastebi, kad jų interneto ryšys ir įrenginiai palaipsniui tampa lėtesni, o bendra naudojimo patirtis pastebimai prastėja.

Anot eksperto, nuo šių kibernetinių grėsmių internete apsisaugoti gali padėti speciali apsauga. Pavyzdžiui, „Tele2“ tinklo lygmeniu įdiegta interneto apsauga automatiškai aptinka kenkėjiškus puslapius ir akimirksniu užblokuoja prieigą prie jų. Apie bandymus įsilaužti klientai yra informuojami SMS žinute ar el. laiškais. Šią paslaugą užsisakyti galima operatoriaus savitarnos svetainėje.

Kiek daugiau nei 60 proc. 16-74 metų amžiaus Lietuvos gyventojų bent kartą per pastaruosius 12 mėn. pirko prekes ar paslaugas internetu, rodo naujausia Valstybės duomenų agentūros statistika. Siekdami tai atlikti greičiau ir patogiau, pirkėjai vis dažniau renkasi mokėjimo duomenis išsaugoti savo el. parduotuvių paskyrose ar tiesiog naršyklėje. Visgi, nors tokia funkcija suteikia galimybę apsipirkti vieno mygtuko paspaudimu, o esant tęstiniam mokėjimui pinigai nuo vartotojo sąskaitos nuskaičiuojami automatiškai, ekspertai ragina tuo nepiktnaudžiauti.

Elektroninės atpažinties ekspertas ir „SK ID Solutions“ verslo vadovas Lietuvoje Viktoras Kamarevcevas sako, kad mokėjimo informacijos išsaugojimas iš tiesų yra greitas ir patogus būdas apsipirkti elektroninėje erdvėje. Tačiau atkreipia dėmesį, jog tai kelia ir nemažai rizikų.

„Saugumas internete yra opi šių dienų problema: vis dažniau girdime apie įsilaužimus į asmenines ir verslo paskyras, kibernetines atakas bei piktavalių naudojamus naujus sukčiavimo būdus. Deja, nepaisant viso šio fono, vis dar vyksta amžina patogumo ir saugumo kova. Vartotojas dažnai renkasi tai, kas jam patogiau, o ne saugiau, ir taip rizikuoja prarasti asmeninius duomenis, pinigus ar tapti tapatybės vagystės auka“, – sako V. Kamarevcevas.

Tik patogumo iliuzija

Anot eksperto, mokėjimų informacijos išsaugojimas gali turėti skaudžių pasekmių. Mat el. parduotuvėje ar interneto naršyklėje likę duomenys tampa prieinami trečiosioms šalims, o kibernetinės atakos atveju – ir sukčiams.

„Svarbu suprasti, kad nė viena elektroninių paslaugų platforma nėra visiškai apsaugota nuo įsilaužimo grėsmės. Vieną kartą išsaugojus mokėjimų duomenis, vėliau vartotojo dažniausiai nebeprašoma patvirtinti panašių operacijų. Tad jei prisijungimas prie tokių paskyrų yra apsaugotas paprasčiausiu slaptažodžiu, tuo gali pasinaudoti nusikaltėliai, kurie tik ir ieško būdų, kaip kuo greičiau pasisavinti svetimas lėšas ar kitų asmenų vardu įsigyti prekių bei paslaugų. Be to, kyla ne tik pinigų praradimo, bet ir kitų asmens duomenų, kurie vėliau gali būti panaudojami kitiems kibernetiniams nusikaltimams, nutekinimo rizika“, – komentuoja V. Kamarevcevas.

Jis taip pat pažymi, jog visada geriau kiekvieną operaciją patvirtinti saugia autentifikavimo priemone, nes tai, kas patenka į internetą, dažniausiai lieka internete.

„Nepaisant to, kaip banaliai skamba ši frazė, tokia jau ta realybė. Net ir nusprendus ištrinti anksčiau išsaugotus mokėjimų duomenis negalime būti tikri, jog informacija nebuvo nutekinta ir, pavyzdžiui, šiuo metu ja nėra prekiaujama tamsiajame internete už vos kelis eurus. Nors duomenų pašalinimas iš el. parduotuvės ar naršyklės uždaro lengviausią kelią priėjimui prie jų, tačiau dalis informacijos gali išlikti skirtingose duomenų bazėse“, – sako ekspertas.

Ar žinote savo mokėjimų limitą?

Visgi kartais nutinka taip, jog mokėjimo duomenis išsaugoti reikia. Pavyzdžiui, prenumeruojant filmų ir serialų platformas, tokias kaip „Netflix“, „HBO“, „Apple TV“, muzikos – „Spotify“, „Apple Music“, ir kitas.

„Tokiais atvejais itin svarbu sekti savo išlaidas. Dažniausiai tokių prenumeratų mokestis nėra didelis, todėl lengva apie jas pamiršti. Geriausia būtų visų jų įkainius susirašyti vienoje vietoje, reguliariai jungtis prie savo banko sąskaitos ir patikrinti, ar nuskaičiuojama suma sutampa su įsigytos paslaugos kaina. Pastaruoju metu vis dažniau girdime apie suintensyvėjusias atakas prieš asmenines paskyras. Vienas vis dažniau pasitaikančių ir aptarinėjimų sukčių metodų – socialinio tinklo „Facebook“ paskyrų vagystės“, – teigia V. Kamarevcevas.

Pasak komunikacijos agentūros „23:45 agency“ komandos vadovės Evelinos Mišeikytės, bandymų įsilaužti į „Facebook“ paskyras daugėja, nes socialiniams tinklams tapus vienu iš pigiausių ir efektyviausių reklamos kanalų, auga ir perkančiųjų reklamas skaičius. Tačiau priešingai nei kasdien iš to duonai uždirbantys specialistai, mažieji verslai dažnai nežino, kaip apsisaugoti nuo galimų kibernetinių vagysčių.

„Daugelis supranta, kad reklama socialiniuose tinkluose yra efektyvus, greitas ir paprastas būdas pritraukti norimą pirkėją. Tačiau ją perkant savarankiškai, o ne samdant specialistus, dažnai nepagalvojama apie kylančias rizikas“, – sako E. Mišeikytė.

Ji pasakoja, kad „Facebook“ reklamos apmokėjimo būdas panašus į anksčiau minėtų prenumeratų.

„Užsisakydami reklamą „Facebook“, mes suvedame mokėjimo duomenis vieną kartą, o vėliau pinigai dažniausiai yra nuskaitomi automatiškai be jokių patvirtinimų („Smart-ID“ ar kitos el. atpažinties priemonės reikia tik tada, kai už reklamą norima susimokėti iš anksto, nesulaukus mokėjimo nuskaičiavimo dienos). Skirtumas tik tas, kad vaizdo turinio ar muzikos platformų prenumeratos kaina fiksuota, o „Facebook“ reklamai išleidžiama suma gali kiekvieną mėnesį skirtis, priklausomai nuo reklamos užsakovo poreikių. Vis tik, jeigu reklama nustatyta ilgesniam laiko periodui, dažnas vartotojas akylai neseka automatiškai nuskaitomų mokėjimų, o tuo gali pasinaudoti į jūsų „Facebook“ paskyra įsilaužę sukčiai. Todėl siekiant apsaugoti savo duomenis, svarbu imtis atsargos priemonių“, – teigia komunikacijos agentūros atstovė.

Ji išskiria papildomus žingsnius, padėsiančius užtikrinti paskyrų ir asmeninių duomenų saugumą:

• Reguliariai keiskite soc. tinklų slaptažodžius ir naudokite kelių faktorių autentifikavimą savo „Facebook“ paskyrai. Sukčiams bandant prisijungti prie jos prisijungti, būsite apie tai informuoti ir galėsite imtis papildomų saugumo veiksmų.
• Nusimatykite konkrečius mokėjimų limitus. „Facebook“ leidžia juos nusistatyti ne tik atskiroms reklamoms, bet ir bendrą limitą reklamos paskyrai. Pasiekus pastarąjį, visos reklamos sustabdomos ir daugiau pinigų nebenuskaičiuojama, kol šis limitas neatnaujinimas arba padidinamas rankiniu būdu.
• Atidžiai tikrinkite reklamas. Kasdienis reklamų stebėjimas svarbus ne tik norint fiksuoti rezultatus, bet ir siekiant apsisaugoti nuo sukčių. Reguliariai tikrinkite „Facebook“ reklamos istoriją, analizuokite perkamas reklamas, kiek pinigų ir kokiai reklamai išleidžiama. Kartais gali atrodyti, jog viskas vyksta sklandžiai, tačiau paspaudus ant reklamos galite pastebėti neatitikimų. Pavyzdžiui, nuoroda, į kurią veda reklama, yra visai ne jūsų internetinė svetainė ir pan.
• Nepamirškite sekti išlaidų. Reguliariai tikrinkite, kiek lėšų buvo nuskaičiuota už reklamą, ar sumos sutampa su tomis, kurios nurodytos jūsų „Facebook“ reklamos paskyroje pateikiamose sąskaitose.  

Šiuo metu daugybė elektronikos prietaisų – telefonai, planšetės, laikrodžiai, o ir kai kurie buitiniai prietaisai – kaupia naudotojų duomenis arba reikia prie jų prisijungti suvedus vardą ir slaptažodį. Kas nutinka su duomenimis, kai tokie prietaisai sugenda arba tampa mums nebereikalingi ir kai juos išmetame? Kaip tokiais atvejais apsaugoti savo duomenis? Atsako kibernetinio saugumo ir elektronikos specialistai.

„Elektronikos prietaisų vartotojų duomenų saugumas yra ypač svarbus ir turėtų būti atsižvelgiama į tam tikrus veiksmus, kai prietaisai sugenda, tampa nereikalingi arba bandoma jais atsikratyti. Yra keletas žingsnių, kuriuos mūsų specialistai rekomenduoja atlikti, jeigu norite apsaugoti savo duomenis“,  – sako IT paslaugų įmonės „Heximus“ vadovė Giedrė Ruginytė-Čepienė ir išvardija svarbiausius punktus, kuriuos reikėtų įsidėmėti.

1. Atsijungimas nuo paskyros. Prieš išmetant arba atiduodant prietaisą, pirmas ir svarbiausias žingsnis yra atsijungti nuo visų susietų paskyrų (pvz., el. pašto, socialinių tinklų, „cloud“ paslaugų). Tai padės išvengti neautorizuotos prieigos prie jūsų duomenų.
2. Duomenų atsarginė kopija. Prieš ištrindami duomenis arba atsikratydami prietaisu, atlikite atsarginę duomenų kopiją. Ji gali būti išsaugoma kompiuteryje, debesyje arba kitame įrenginyje. Tai užtikrins, kad jūsų svarbūs duomenys nebus prarasti.
3. Duomenų ištrynimas. Patikrinkite prietaiso nustatymus arba gamintojo instrukciją, kaip atlikti duomenų ištrynimą. Kiekvienas prietaisas gali turėti skirtingus būdus, kaip ištrinti duomenis ir atstatyti gamyklinius nustatymus.
4. Fizinis įrenginio saugojimas. Jei nusprendėte išsaugoti ar parduoti prietaisą, geriausia jį saugoti saugioje vietoje, kuri būtų nepasiekiama kitiems asmenims. Jei planuojate parduoti, visada rekomenduojama išvalyti duomenis ir atstatyti prietaiso gamyklinius nustatymus.
5. Įrenginių atjungimas nuo kitų. Jei prietaisas (pvz., laikrodis) yra susijungęs su kitais įrenginiais (pvz., telefonu), prieš atsikratant vieno iš jų, geriausia atjungti susietąjį prietaisą nuo pagrindinio. Taip pat patikrinkite, ar susijungimo duomenys ir leidimai yra pašalinti.
6. Fizinis sunaikinimas. Jei esate tikri, kad prietaisas nebebus naudojamas ir jame nebelieka jokių jums svarbių duomenų, galite pasirinkti prietaiso fizinį sunaikinimą. Tai gali būti ypač naudinga tada, kai jūsų duomenų saugumas yra itin svarbus.

Saugumui užtikrinti – keli patarimai

„Visada būkite budrūs dėl savo asmeninių duomenų saugumo ir atidžiai sekite gamintojo nurodymus dėl prietaiso priežiūros, sunaikinimo, saugojimo arba pardavimo“, – priduria G. Ruginytė-Čepienė ir dalijasi dar keliais naudingais patarimais.

Slaptažodžių keitimas. Po to, kai atsijungėte nuo paskyros ir pasidarėte duomenų atsarginę kopiją, rekomenduojama pakeisti slaptažodžius susietoms paskyroms. Tai padės apsisaugoti nuo neleistinos prieigos.

Duomenų šifravimas. Jei jūsų prietaise yra jautrių duomenų, verta apsvarstyti duomenų šifravimą. Tai užtikrins, kad net jei prietaisas pateks į nepageidaujamas rankas, duomenys bus saugūs.

Programinės įrangos atnaujinimai. Prieš atsikratydami prietaiso, įsitikinkite, kad visos programinės įrangos atnaujinimai yra atlikti. Tai padės užtikrinti gerą prietaiso veikimą ir saugumą.

Išvalymas prieš pardavimą/perdavimą. Jei planuojate parduoti elektronikos prietaisą, rekomenduojama jį išvalyti, net nuvalyti nuo jo asmeninius pirštų antspaudus.

Elektronikos gamintojų ir importuotojų organizacijos direktorė Veronika Masalienė pažymi, kad tinkamai pasirūpinę nebenaudojamais elektronikos prietaisais, apsaugosime ne tik savo duomenis, bet ir aplinką.

„Bet kur išmesti elektronikos prietaisai irdami į aplinką gali paskleisti medžiagų, kurios kenkia žmonėms, gyvūnams, augalams. Todėl nebereikalingų telefonų, laikrodžių ir kitų elektronikos prietaisų bei baterijų vieta – ne mišrių atliekų konteineris, o specialios talpos, kurias galima rasti kone bet kuriame prekybos centre ar biure. Iš talpų elektronika keliauja pas licencijuotus atliekų tvarkytojus, kurie ją sutvarko pagal aukščiausius standartus. Beje, jeigu prietaisas yra tinkamas pakartotiniam naudojimui, atliekų tvarkytojai taip pat pasirūpina duomenų pašalinimu bei saugumu. Be to, elektronikos atliekose yra ir vertingų medžiagų – aukso, sidabro, vario bei kitų. Jeigu elektronikos atliekos patenka pas teisėtus atliekų tvarkytojus, šias medžiagas galima atgauti, panaudoti naujiems gaminiams ir taip sutaupyti vertingų gamtos išteklių bei prisidėti prie aplinkos taršos mažinimo“, – teigia V. Masalienė. 

Atliekų svoris – įspūdingas 

Pasak V. Masalienės, skaičiuojama, kad šiemet elektronikos ir baterijų atliekos sudarys 61,3 mln. tonų – daugiau nei sveria Didžioji kinų siena, tačiau tik 17,4 proc. šių atliekų  bus tinkamai surinkta ir perdirbta. Todėl labai svarbu prisiimti asmeninę atsakomybę ir dėti pastangas, kad kuo daugiau mums nebereikalingų prietaisų būtų panaudota pakartotinai ar perdirbta. 

Informaciją, kur ir kaip priduoti nebereikalingas baterijas, akumuliatorius, kitą seną elektros ir elektronikos įrangą ar buitinę techniką, arba užsiregistruoti, kad ji būtų nemokamai išvežta, galima „Man rūpi rytojus“ svetainėje www.manrupirytojus.lt.

Elektronikos, baterijų ir akumuliatorių atliekos taip pat renkamos kasmet visoje Lietuvoje, įvairiose šalies ugdymo ir švietimo įstaigose, bendruomenėse ir įmonėse  vykdomo aplinkosauginio projekto „Mes rūšiuojam“ metu.

Priešingai įprastai nuomonei, kad kibernetiniai nusikaltėliai pirmiausia taikosi į dideles korporacijas, iš tiesų vienodą riziką patiria tiek didelės įmonės, tiek smulkusis verslas. Skirtumas tas, kad kol korporacijos gali investuoti į visą kibernetinio saugumo infrastruktūrą, vidutinio dydžio ar mažos įmonės šiai sričiai skiria mažiau dėmesio arba saugumo priemonėmis nepasirūpina visai. Anot eksperto, vertinant modernių atakų tobulėjimą ir galimas pasekmės, verslas turėtų pasirūpinti kibernetiniu saugumu iš anksto.

Kodėl verslas nepasirūpina saugumu?

Raimondas Mikalajūnas, „Tele2“ verslo projektų vadovas, sako, kad tai, jog kibernetiniam saugumui skiriama per mažai resursų, lemia kelios priežastys. Pirmiausiai, vis dar vyrauja klaidinga nuomonė, kad programišiai taikosi tik į stambias įmones. Naujausi pasauliniai tyrimai rodo, kad daugiau nei pusė kibernetinių atakų yra nutaikytos į vidutinio dydžio ir mažas įmones bei jų darbuotojus.

„Mažesnių įmonių savininkai dažnai nesuvokia, kokie pažeidžiami yra kibernetiniams nusikaltimams. Kibernetiniai sukčiai vis dažniau taikosi į mažąsias įmones, nes jos turi ribotus išteklius ir dažnu atveju nediegia pažangių kibernetinio saugumo priemonių. Mažesnės įmonės taip pat rečiau apmoko savo darbuotojus, kaip atpažinti programišių atakas, todėl šie yra labiau pažeidžiami, kas kenkia ir bendram įmonės saugumui“, – sako R. Mikalajūnas.

Antroji priežastis, priduria ekspertas, yra ta, kad įmonės kibernetinio saugumo strategijos kūrimas – ilgas ir brangus procesas. Bendrovėms tenka kurti atskirą departamentą, samdyti šios srities specialistus, kurti visą informacinių technologijų infrastruktūrą, kas kainuoja tūkstančius eurų.

„Kai esi, pavyzdžiui, tarptautinė korporacija, tokios sumos neatrodo labai didelės ir jau yra tapusios savotiška verslo „higiena“. Tačiau vidutinio ar mažo verslo savininkams tokios investicijos yra labai skaudžios ar net neįmanomos“, – tikina jis.

Vis dėlto, aplaidumas gali kainuoti dar daugiau – kibernetinių atakų padariniai kai kurioms įmonėms gali būti itin nuostolingi. Tai gali būti finansiniai nuostoliai, ilgalaikės prastovos, klientų pasitikėjimo praradimas ir ilgalaikė žala reputacijai – visa tai gali lemti net verslo žlugimą. 

Remiantis bendrovės „IBM“ 2022 m. duomenų saugumo pažeidimo ataskaita, vidutinis sėkmingos kibernetinės atakos nuostolis verslui yra 4,35 mln. JAV dolerių, o jei verslas veikia pačiose Jungtinėse Amerikos Valstijose, šis skaičius išauga daugiau nei dvigubai. Tad akivaizdu, kad, nepaisant įmonės dydžio, vis tiek būtina apsaugoti jautrią informaciją ir užtikrinti sklandžią veiklą.

Reikalauja išpirkos, pasisavina pinigus

Dažniausiai pasitaiko kelios kibernetinių nusikaltimų, nukreiptų į vidutines ir mažas įmones, rūšys. Vienos populiariausių – išpirkos reikalaujančios programos (angl. „Ransomware“). Tai kenkėjiškos programinės įrangos rūšis, kuria naudodamiesi sukčiai užšifruoja aukos duomenis ir reikalauja išpirkos mainais už iššifravimo raktą. JAV 2021 m. atliktas tyrimas parodė, kad net 70 proc. tokių atakų buvo nukreiptos būtent į mažąsias ir vidutines įmones.

Dar viena dažnai pasitaikanti kibernetinė grėsmė – verslo el. pašto pažeidimas (angl. „BEC“). Šios atakos būna nukreiptos prieš darbuotojus, turinčius prieigą prie įmonės finansų ar slaptos informacijos. Kibernetiniai nusikaltėliai dažnai apsimeta aukšto lygio vadovu ir prašo pervesti pinigų arba suteikti konfidencialios informacijos. 2020 m. pabaigoje nuo „BEC“ atakos nukentėjo JAV benamių labdaros organizacija „One Treasure Island“, kuri prarado daugiau kaip 650 tūkst. JAV dolerių. Apsimetę teisėtais partneriais, įsilaužėliai sėkmingai pavogė milžinišką sumą pinigų, o labdaros organizacija neturėjo jokių teisinių gynimo priemonių.

Trečia dažniausiai pasitaikanti sukčių priemonė – internetinių slaptažodžių atakos. Bendrovės „Verizon“ tyrimas parodė, kad daugiau kaip 80 proc. visų sėkmingų įsilaužimų įvyksta praradus prisijungimo duomenis. Kibernetiniai nusikaltėliai naudoja įvairius metodus, kad gautų prieigą prie prisijungimo duomenų, o tam pasitelkia įvairius metodus, pavyzdžiui, „fišingą“ (angl. „phishing“). Turėdami naudotojo duomenis, nusikaltėliai gali gauti prieigą prie slaptos informacijos ar net finansų.

Kaip apsisaugoti?

Pasak R. Mikalajūno, turėdamos reagavimo į incidentus planą, mažesnės įmonės gali padidinti savo kibernetinį atsparumą, o tam nebūtinai prireiks milžiniško biudžeto. Ekspertas teigia, kad kiekvienas verslas turėtų pirmiausia pasirūpinti kibernetinio saugumo strategija: „Gerai apibrėžta kibernetinio saugumo strategija suteikia holistinį požiūrį į organizacijos saugumo padėtį, įvertina grėsmių aplinką ir prieinamus skaitmeninius išteklius, apibrėžia apsaugos priemones. Svarbu, kad kibernetinio saugumo strategija būtų išsami, lanksti ir pritaikoma, atsižvelgiant į nuolat kintantį kibernetinių grėsmių pobūdį.“

Pasak jo, yra keli žingsniai, kuriuos be didelių investicijų gali savo veikloje praktikuoti vidutinio dydžio ir mažosios įmonės:

1. Reguliariai rengiami darbuotojų mokymai. Būtina reguliariai apmokyti savo darbuotojus, kaip atpažinti ir reaguoti į galimas kibernetines atakas, taip pat kaip sukurti saugius slaptažodžių ir el. pašto apsaugą. Kibernetinio saugumo aplinka nuolat keičiasi, todėl laiku edukuoti savo komandos narius yra itin svarbu.

2. Kelių žingsnių autentiškumo patvirtinimas. Sudėtingo slaptažodžio ne visuomet pakanka apsiginti nuo programišių. Kelių žingsnių autentifikavimas suteikia papildomą saugumo lygmenį, nes naudotojai, norėdami prisijungti prie sistemų ar informacijos, privalo pateikti daugiau nei vieną identifikavimo įrodymą.

3. VPN. Įmonės išteklius gali apsaugoti virtualus privatus tinklas – VPN. Tai ne tik veiksminga, bet ir paprasta naudoti priemonė. Naudojant VPN sukuriamas privatus šifruotas tinklas, per kurį naudotojo įrenginys gali pasiekti internetą, o jo asmeninė informacija, buvimo vieta ir kiti duomenys slepiami.

4. Nuolat atnaujinama programinė įranga. Svarbu nepraleisti reguliarių techninės ir programinės įrangos saugumo atnaujinimų. Kibernetiniai nusikaltėliai dažnai pasinaudoja pasenusios programinės įrangos pažeidžiamumais, kad gautų prieigą prie jautrių sistemų ar duomenų. 

5. Investicijos į išorės įrankius. Įmonėms, kurios pačios negali sukurti kibernetinio saugumo, gali išbandyti technologijų verslo siūlomus įrankius. Pavyzdžiui, „Tele2“ paslauga „Interneto apsauga PRO“ padeda apsaugoti įmonės įrenginius nuo potencialių įsilaužėlių veiksmų, duomenų vagystės, gali aptikti įtartiną arba kenksmingą veiklą. Paslauga susideda iš penkių skirtingų saugumą tinkle užtikrinančių dalių: ugniasienės, įsilaužimo aptikimo ir įsilaužimo užkardymo sistemų, interneto adresų filtravimo, programėlių naudojimo filtravimo ir statinio IP adreso.

6. Reagavimo į incidentus planavimas. Nors svarbu imtis prevencinių priemonių, įmonių savininkai taip pat turėtų turėti reagavimo į incidentus planą tam atvejui, jei kibernetinė ataka vis dėlto įvyktų (o šiais laikais ji beveik neabejotinai įvyks).

„Verslas, kuris rūpinasi kibernetiniu saugumu, daug išlošia. Tai užtikrina sklandesnį verslo tęstinumą, konfidencialios, jautrios klientų informacijos apsaugą, suteikia didesnį klientų pasitikėjimą ir geresnę prekės ženklo reputaciją. Be to, nors iš pradžių reikalauja bent minimalių investicijų, vėliau padeda verslui sutaupyti pinigų kibernetinių atakų žalos ištaisymui“, – sako R. Mikalajūnas.