Kibernetinio saugumo ir skaitmeninės rizikos apsaugos sprendimų įmonės „ID Agent“ atliktas tyrimas rodo, kad daugiau nei 80 proc. kibernetinių įsilaužimų įvyksta dėl to, kad programišiai lengvai atspėja slaptažodžius. Mantas Užupis, „Tele2“ IT saugumo ekspertas, dalijasi, ką reikėtų daryti, jeigu jūsų slaptažodis nutekinamas kibernetinio įsilaužimo metu. 

„Įsilaužėliai pirmiausia visuomet bandys atspėti slaptažodį pagal bet kokią jūsų asmeninę informaciją – jūsų vardą, pavardę, gimimo metus. Taip pat vertėtų kiekvienai paskyrai naudoti skirtingus slaptažodžius. Jeigu jie pasikartoja, tai labai palengvina programišių darbą, o jūs galite netekti duomenų, saugomų net keliose aplikacijose“, – sako M. Užupis.

Kas nutinka, kai jūsų slaptažodį atspėja? 

Kai jūsų išmaniojo ar kompiuterio asmeninius duomenis pasiekia įsilaužėlis, jis gali matyti jūsų susirašinėjimų istoriją, nuotraukas, darbo failus ar netgi gauti prieigą prie banko sąskaitos. Jeigu šie duomenys bei slaptažodis nutekinami, dažniausiai apie tai informuoja įmonė, kurios sukurtoje aplikacijoje registravotės ir kuri tvarko jūsų asmeninius duomenis. Pavyzdžiui, „Facebook“ apie tai informuoja elektroniniu laišku.  

Profesionalūs kibernetiniai nusikaltėliai jūsų asmeninius duomenis bei slaptažodžius neretai nutekina į tamsųjį žiniatinklį. Tamsusis žiniatinklis yra interneto vieta, kurios neįmanoma identifikuoti ar pasiekti tradicinėmis paieškos sistemomis. 

Ten duomenys parduodami kitiems kibernetiniams nusikaltėliams. Kibernetiniai įsilaužėliai tamsiajame žiniatinklyje ne tik parduoda jūsų asmeninius duomenis, bet panaudoja juos kitoms savo atakoms, pavyzdžiui, banko sąskaitos duomenų nutekinimui, klastotėms, išpirkoms.

Jeigu sužinojote, kad jūsų duomenys pakliuvo kibernetiniams vagišiams į rankas, turėtumėte nedelsiant pasikeisti visus savo slaptažodžius naujais. Taip pat galite įsijungti dvigubą apsaugą savo paskyroms – dviejų veiksnių autentifikaciją. Su ja jūsų slaptažodžiai apsaugomi papildomai.

Kaip sukurti stiprų slaptažodį?

Pirmiausia, geras slaptažodis turėtų būti pakankamai ilgas – tokiu būdu mažesnė tikimybė, kad jį atspės įsilaužėlis. Vadinasi, slaptažodyje naudokite ne tik raides, bet ir įvairius simbolius. Stiprus slaptažodis iš viso turėtų būti sudarytas iš bent 12 simbolių. Venkite trumpesnių slaptažodžių, pavyzdžiui, sudarytų tik iš kelių skaitmenų arba akivaizdžiai susijusių su jūsų asmenine informacija. 

Vien ilgesnio slaptažodžio jūsų anketos saugumui užtikrinti nepakanka. Slaptažodis saugesni tada, kai jame nėra bendrinių žodžių – tokiu būdu jį sunku intuityviai atspėti. Todėl jūsų slaptažodyje turėtų būti mažųjų raidžių, didžiųjų raidžių, skaičių ir atsitiktinių simbolių (pavyzdžiui, tinka tokie simboliai kaip klaustukas arba grotelės).

Slaptažodžio nebūtina kurti patiems

Kiekvienai savo paskyrai naudokite skirtingą slaptažodį. M. Užupio teigimu, nors ilgas ir iš atsitiktinų simbolių sukurtas slaptažodis yra stiprus, tačiau jeigu kibernetiniam įsilaužėliui pavyks jį atspėti, jis šiuo slaptažodžiu bandys atrakinti visas jūsų paskyras. Reikėtų ir reguliariai keisti slaptažodį – tai labai svarbu norint apsaugoti bankininkystės prisijungimo duomenis, elektroninio pašto paskyrą ir kitą svarbią informaciją.

Specialisto teigimu, dabar nebūtina ilgo slaptažodžio galvoti patiems, nes galite pasinaudoti automatinėmis slaptažodžių kūrimo programomis. Viena iš tokių programų, kuri internete pasiekiama visiems, yra „1Password“. Ši programėlė gali sugeneruoti tokius stiprius slaptažodžius, kuriuos naudoja tik bankai ar valstybinės institucijos. Kita slaptažodžių tvarkyklė, kurią, M. Užupio teigimu, verta išbandyti yra „Dashlane“. Šioje aplikacijoje slaptažodžiai generuojami ir saugomi specialioje saugykloje. Jei į saugyklą bando patekti įsilaužėlis, jis turi pereiti net 3 saugos autentifikacijas.

Ukrainoje jau daugiau nei metus tęsiantis Rusijos invazijai, karas paraleliai vyksta ir virtualioje erdvėje. Apie šį, kibernetinį, karą girdime mažiau nei apie karinius veiksmus ant žemės. Natūralu, vienetų ir nulių erdvėje nėra žuvusių kareivių, sunaikintos karinės technikos, prarastų ar atkovotų žemių. Čia patiriami kitokie nuostoliai ir, kitaip nei fiziniame pasaulyje, nėra sienų, ribų, o kariai – tapatybes užslapstę programišiai.  

Teisybės dėlei yra svarbu pažymėti, kad pernai prasidėjo būtent Rusijos invazija į Ukrainą, tačiau faktiškai karas – tiek ant žemės, tiek virtualioje erdvėje – vyksta dar nuo 2014-ųjų. Tai liudija reguliarios Rusijos valstybės remiamų kibernetinių nusikaltėlių atakos, kurių taikiklyje – ne tik Ukraina, bet ir kitos Europos šalys, demokratiškos valstybės bei jų valstybinės institucijos, įmonės ar net kritinė infrastruktūra.  

Atakų suintensyvėjimas yra ypač pastebimas po „aštresnių“ politinių komentarų, įvykių ar veiksmų, pavyzdžiui, priėmus Rusijai nepalankius teisės aktus, naujus sankcijų paketus ir panašiai. Lietuva savo kailiu tai geriausiai pajuto pernai vasarą, kuomet su Rusija siejama programišių grupuotė „Killnet“ surengė virtinę atakų prieš mūsų šalies institucijas ir įmones, taip esą keršydama už draudimą per Lietuvos teritoriją gabenti sankcijomis suvaržytą krovinį į Kaliningradą. Nors atakos nebuvo labai sudėtingos ar įmantrios, panikai sukelti ir organizacijų veiklai sutrikdyti to užteko. 

Nesnaudė ir kita pusė: dar prasidėjus plataus masto kariniams veiksmams ne viena garsi kibernetinių nusikaltėlių grupuotė paskelbė aktyvius veiksmus prieš Rusijos valstybę, reikalaudama atsitraukti. Vienos atakos pavyko ir turėjo didelį poveikį, pavyzdžiui, sutrikdytas el. ryšys, televizijų transliacijos, nepasiekiamos Rusijos interneto svetainės ar valstybinės informacinės sistemos, pavogti duomenys. Bet būta ir blefų, pavyzdžiui, taip ir neišpildytų grasinimų paviešinti slaptą informaciją. 

Programišių prigimtis nesikeičia 

Bendrai kibernetinių atakų, kurios turėjo reikšmingą įtaką ir Lietuvos gyventojams, pastaraisiais metais buvo daugybė: nuo įsilaužimo į „BankingLab“ ir jos klientų naudojamas sistemas, iki atakų prieš „LastPass“, „Revolut“, „Uber“, „WhatsApp“. Ir jos nebūtinai susijusios su karu Ukrainoje.  

Pirma, nėra žinoma, kiek programišių Rusijos valdžia remia bei kokie yra jų pajėgumai. Kibernetiniai nusikaltėliai kruopščiai slepia bet kokius savo duomenis, stengiasi išlikti nesusekami, taigi jie gali būti bet kokios šalies piliečiai. 

Antra, vykstant karui Rusijos remiamų programišių pagrindinis tikslas yra remti karius ir trikdyti ukrainiečių veiklą, ekonominį ir socialinį gyvenimą. Nuo invazijos pradžios skelbta apie ne vieną kibernetinę ataką, kai, pasinaudojant kenksmingu kodu ar pažeidžiamumu, buvo bandoma paveikti energetinę infrastruktūrą, pavogti valstybės paslaptį ar sutrikdyti valstybės veiklą. Kad veiksmai karo zonoje ir virtualioje erdvėje yra koordinuojami, bene geriausiai patvirtina pernai lapkritį, kartu su masinėmis oro atakomis prieš energetinę infrastruktūrą, vykdytos kibernetinės atakos prieš kritinę informacinę infrastruktūrą, siekiant padaryti maksimalų neigiamą poveikį paprastiems Ukrainos gyventojams.  

Trečia ir svarbiausia, nors idėjinių programišių yra, absoliučios daugumos kriminalinių veikėjų internete pagrindinis tikslas nesikeičia – jie siekia užsidirbti. Tad ir kibernetinės atakos kaip buvo vykdomos, taip ir vyksta, nuo socialinės inžinerijos atakų, iki bandymų įsilaužti į įvairių įmonių ar valstybės institucijų informacines sistemas, vidinius tinklus, atkirtimo atakas (DDoS) prieš internetu pasiekiamus įmonių puslapius ir sistemas.  

Kibernetinis saugumas – ne veiksmas, o procesas 

Vertinant bendrai atakos pastaraisiais metais netapo nei ypatingai galingesnės, išmanesnės ar nukreiptos tik prieš vieną ar kitą taikinį. Kibernetiniai nusikaltėliai toliau atakuoja didžiąsias įmones, korporacijas, ypatingos svarbos infrastruktūrą, finansinį sektorių – taikinius, kurių veiklos sutrikdymas ar duomenų vagystė turėtų didelę įtaką, o nusikaltėliams leistų „uždirbti“ didesnę pinigų sumą. 

Be to, programišiai net nebūtinai renkasi specifinį taikinį. Didelė dalis atakų yra nukreiptos į lengvai pažeidžiamas įmones ir įstaigas, kurios skiria nepakankamą dėmesį saugumo stiprinimui. Atsitiktinai aptikus pažeidžiamumą, pirmiausia įvykdoma ataka, o jau tuomet vertinama, kokie duomenys buvo pavogti ar kokios įmonės veiklą pavyko sutrikdyti ir pagal tai sprendžiama, kokios išpirkos prašyti ar kaip kitaip būtų finansiškai naudingiausia realizuoti „grobį“. 

Kibernetinės atakos vyksta visada, o virtualių nusikaltėlių taikiniu gali tapti bet kas. Tad reikėtų tikėtis geriausio, ruoštis blogiausiam, kadangi apleidus virtualios saugos sritį nusikaltėliai tuo gali kaip mat pasinaudoti. Todėl svarbu suprasti, kad kibernetinis saugumas nėra vienkartinis veiksmas, tai – procesas, kurį apima nuolatinis saugumo situacijos ir rizikų vertinimas, priežiūra bei potencialių pažeidžiamumų taisymas, įskaitant visų darbuotojų sąmoningumo ugdymą.  

Komentaro autorius Tomas Stamulis, „Baltic Amadeus“ Informacijos saugumo architektas 

„Baltic Amadeus“ – unikalius IT sprendimus kurianti ir skaitmenizacijos klausimais konsultuojanti bendrovė siekia užtikrinti geriausią patirtį savo klientams, naudotojams bei darbuotojams. Daugiau nei 250 kvalifikuotų profesionalų kuria naujausiomis technologijomis paremtus daugiakanalės prekybos, mobiliosios bankininkystės, duomenų bei verslo analitikos sprendimus, teikia individualios programinės įrangos kūrimo, IT konsultavimo, informacijos saugumo ir debesijos paslaugas. Per 34 veiklos metus „Baltic Amadeus“ bendrovė yra įgyvendinusi jau daugiau nei 2000 IT sprendimų Šiaurės Europos finansų, energetikos, telekomunikacijų, logistikos ir kitų sektorių įmonėms.  

Lietuvos vienaragiui „Nord Security“ priklausančios slaptažodžių tvarkyklės „NordPass“ verslo ir individualūs klientai savo programėlėse jau gali laikyti slaptarakčius (angl. passkeys) bei dalintis jais su kitais. Tai pirmoji lietuvių įmonė, savo produktui pritaikiusi slaptarakčių technologiją, kuri, ekspertų nuomone, palaipsniui visai pakeis slaptažodžius.

Technologijų gigantės „Microsoft“, „Google“, „Apple“ ir kelios dešimtys kitų progresyvių įmonių pasaulyje (pavyzdžiui, „PayPal“, „KAYAK“, „eBay“) savo vartotojams jau pristatė galimybę paskyras internete pasiekti ne su slaptažodžiais, o slaptarakčiais. Tai nauja ir lig šiol pažangiausia sukurta asmens autentifikacijos internete technologija. Galimybė saugoti turimus skirtingų svetainių sugeneruotus slaptarakčius „NordPass“ virtualioje saugykloje padės naudotojams lengviau ir saugiau rūpintis turimomis paskyromis.

„Jei vos tik atsiradus slaptažodžiams žmonės būtų turėję technologinių įrankių patogiai jais rūpintis, galbūt ir nebūtume įsigudrinę naudoti silpnų slaptažodžių, dėl kurių įvyksta per daug kibernetinio saugumo incidentų. Asmens autentifikacija internete pereina į visai kitą, kur kas brandesnį, etapą ir mes džiaugiamės, galėdami iš anksto pasiūlyti pažangių įrankių rūpintis slaptarakčiais”, – sako Tomas Smalakys, „NordPass“ technologijų vadovas.

Pasak jo, vartotojui jungiantis prie slaptarakčių technologiją naudojančios interneto svetainės, jo įrenginys sugeneruoja du prieigos raktus – viešąjį ir privatųjį. Privatusis saugomas pačiame vartotojo įrenginyje, viešasis – interneto svetainės serveryje. Vienas be kito jie neveikia, todėl atskirai yra kur kas mažiau vertingi programišiams.

„NordPass“ sukurtas sprendimas leis privačiuosius raktus saugoti naudotojo saugykloje, todėl interneto vartotojai galės pasiekti visus savo slaptarakčius skirtinguose įrenginiuose ir nepriklausomai nuo operacinės sistemos. Taip pat, jais bus galima saugiai dalintis su kitais naudotojais.

Dar šiais metais „NordPass“ ketina pristatyti ir daugiau naujienų. Viena jų – produkto naudotojai galės prie „NordPass“ prisijungti be slaptažodžių. Verslams

„Apple“ skelbia apie visiškai naują saugumo funkciją (angl. „Advanced Data Protection“), kuri jau netrukus atsiras jūsų išmaniajame „iPhone“ ir „iPad“. Ši funkcija papildomai apsaugos telefono duomenis taip, kad jų niekaip negalės pasiekti įsilaužėlis ar netgi valstybinės institucijos darbuotojas. Mantas Užupis, „Tele2“ IT saugumo ekspertas sako, kad naujoji funkcija padės dar geriau apsaugoti asmeninius duomenis ir paaiškina, kaip ją aktyvuoti.

„Įsijungus naująją apsaugos funkciją, vadinamą „Advanced Data Protection“, asmeninių duomenų iššifruoti negalės net pats „Apple“. Šis atnaujinimas padės užtikrinti dar didesnį duomenų saugumą, net jei patys tam papildomo dėmesio įprastai neskiriate“, – teigia M. Užupis.

Papildoma apsauga jūsų duomenims

Visai neseniai gamintojas paskelbė, kad visuose „Apple“ įrenginiuose dar šiais metais atsiras nauja saugumo funkcija, kuri vadinsis „Advanced Data Protection“. Ji suteiks papildomą apsaugą visiems „iCloud“ atmintinėje esantiems failams – nuotraukoms, užrašams, slaptažodžiams ir kitiems duomenims. Tokiu būdu jūsų „iPhone“ ar „iPad“ saugomi asmeniniai failai nebus pasiekiami pašaliniams. Prieigos prie šių duomenų neturės niekas, net pati bendrovė „Apple“.

Paprasta naudoti

Ši funkcija bus pasiekiama tik tokiu atveju, jeigu jūsų išmanusis „iPhone“ arba „iPad“ bus atnaujintas. Tai reiškia, kad jame turės būti įdiegta naujausia programinės sistemos versija  –  „iOS 16.2“. Šiuo metu ji prieinama tik kai kuriuose „Apple“ įrenginiuose, tačiau gamintojas žada, kad atnaujinimai netrukus turėtų pasiekti visus įrenginius. 

Norint įgalinti naująją duomenų apsaugos funkciją, reikia atnaujinti ne tik operacinę sistemą „iOS“, bet ir visuose „Apple“ įrenginiuose esančią privačią asmeninę paskyrą „Apple ID“. Kartu turėtų būti atnaujintos ir su „Apple ID“ susijusios programos – „Apple Watch“, „Apple TV“ ir pan. Patikrinti, ar šioms programoms reikalingas atnaujinimas, galima nustatymuose paspaudus „Settings“. 

Kai naujoji funkcija atsiras jūsų telefone, ją įgalinti bus galima nuėjus į nustatymus („Settings“), nukeliavus į atnaujintą „Apple ID“, tuomet spustelėjus „iCloud“ ir ten suradus mygtuką, kuris vadinasi „Advanced Data Protection“. Taigi, naujoji saugos funkcija „Apple“ įrenginiuose bus įgalinama vos vieno mygtuko paspaudimu.

Papildoma apsauga bus ir kitoms programoms

Be naujosios „iCloud“ duomenų saugos gamintojas „Apple“ atnaujins ir kelias kitas, vartotojams puikiai pažįstamas funkcijas – „Apple ID“ ir „iMessage“. Saugos kodai nuo šiol bus apsaugoti dviguba apsaugos funkcija kiekvieno „Apple“ įrenginio naudotojo paskyroje, dar vadinamoje „Apple ID“. Tai reiškia, kad galėsite pasirinktinai apsaugoti savo „Apple ID“ asmeninę paskyrą ne tik slaptažodžiu, bet ir fiziniu rakteliu, panašiu į USB. Vienas tokių sprendimų, jau esančių rinkoje – tai dviejų žingsnių autentifikacijos funkciją siūlantis „YubiKey“. 

Jeigu pasirinksite savo „Apple“ įrenginį apsaugoti ir su fiziniu rakteliu, jums reikės jį įgalinti savo įrenginyje. Tam reikia atidaryti „Apple“ meniu, nueiti į „Settings“, viršuje spustelti savo „Apple ID“ anketą su vardu, pasirinkti „Password and Security“ ir spustelti „Add Security Keys“. Tuomet sekite atsiradusias instrukcijas ir susiekite savo fizinį raktelį su „Apple“ įrenginiu.

Taip pat „Apple“ atnaujina ir privačių žinučių („iMessage“) apsaugą. Ši funkcija vadinasi „Contact Key Verification“ ir yra skirta jūsų asmeninių žinučių apsaugai. Ši sistema automatiškai atpažįsta visus pašalinius, matančius jūsų žinutes, ir apie tai įspėja atskiru pranešimu.

 Bet kuris verslas gali tapti brangiai kainuojančio kibernetinio incidento auka. Įmonėms tenka nuolat balansuoti tarp saugumo, greičio, kokybės ir klientų pasitenkinimo, o kibernetinių incidentų sparčiai daugėja. Todėl tik laiko klausimas, kada įmonė patirs kibernetinę ataką ar nukentės nuo žmogiškos klaidos, dėl kurių įvyksta iki pusės visų kibernetinių incidentų.

„EBV Finance“ IT vadovas Arminas Grigonis sako, kad per pastaruosius metus kibernetinių incidentų skaičius padvigubėjo, todėl didžiausia klaida yra manyti, kad esi pakankamai saugus ir niekas negresia, net jeigu atlieki rekomenduojamus  veiksmus.

„Tokia iliuzija sumažina budrumą, atsargumą, lemia įvairias darbo organizavimo ir technines klaidas“, – tikina ekspertas.

Kibernetiniai nusikaltimai pirmiausia yra verslas

A. Grigonio teigimu, labiausiai nusikaltėlių dėmesį traukia „brangiausi“ duomenys, kurie turi didžiausią komercinę, reputacinę ar su asmens duomenimis susijusią vertę. Kibernetiniai nusikaltimai yra verslas, kuriam svarbiausia gauti kuo didesnį pelną įdedant mažiausiai pastangų, pasinaudojus kitų verslų silpnybėmis.

„Kibernetiniai nusikaltėliai skenuoja visą interneto tinklą ir ieško pažeidžiamumų. Jeigu jūsų sistemos ar interneto svetainės yra ilgai neatnaujintos, jeigu nėra apribotas tinklo srautas, naudojate nešifruotus duomenų perdavimo kanalus, rizikuojate tapti lengvu grobiu, nepriklausomai nuo jūsų duomenų turinio ar įmonės dydžio“, – kalba A. Grigonis.

Todėl, pasak eksperto, mažas ar, atrodytų, niekam neįdomus verslas taip pat neturėtų būti labai ramus.

Kita pažeidžiama vieta – žmonės. Techninės saugumo priemonės ne visada apsaugo nuo, iš pirmo žvilgsnio, „mažų“ klaidų, tokių kaip atidarytas netinkamas el. laiškas ar visur naudojamas tas pats slaptažodis, juo labiau jeigu jis užrašytas ant lapelio ir padėtas matomoje vietoje.

Tikslai gali būti ir ne finansiniai

Siekdami gauti prisijungimo duomenis ir prieigą prie jautrių duomenų, nusikaltėliai dažnai naudoja vadinamąjį „phishingą“, arba duomenų viliojimą. Terminas „phishing“ yra kilęs iš anglų kalbos žodžių „password fishing“ – slaptažodžių žvejyba.

„Paprastai aukoms yra siunčiamas suklastotas elektroninis laiškas, atrodantis kaip tikras laiškas, gautas iš banko ar kitos organizacijos, kuriame bandoma įtikinti paspausti nuorodą į suklastotą puslapį ir atlikti papildomus veiksmus, dažniausiai – suvesti banko sąskaitos duomenis, slaptažodžius ar kitus jautrius duomenis“, – kalba A. Grigonis.

Kiti dažnai pasitaikantys būdai, pasak eksperto, yra atakos, kurių metu užkoduojami įmonės duomenys ir prašoma išpirkos (angl. Ransomware attacks), vadinamoji SQL injekcija (angl. SQL injection) – tinklalapių ir programų, dirbančių su duomenų bazėmis, užvaldymo būdas, pagrįstas specialaus SQL kodo įterpimu į užklausą.

Nusikaltėliai ne visada veikia vedami finansinių tikslų. Kai kada veikiama valstybių, politinių ar kitų suinteresuotų grupių užsakymu.

„Tokiais atvejais interesas yra ne pelnas, o veiklos sutrikdymas ar duomenų panaudojimas šnipinėjimo tikslams. Tam naudojamos, pavyzdžiui, paskirstytųjų paslaugų trikdymo (DdoS) atakos, kurių metu įvairių įstaigų ir įmonių sistemos bombarduojamos užklausomis iš daugybės užkrėstų kompiuterių, telefonų ir kitų įrenginių, tokiu būdu siekiant jas padaryti nepasiekiamas teisėtiems vartotojams“, – sako „EBV Finance“ ekspertas.

Pataria niekada nemokėti išpirkos

A. Grigonio teigimu, kibernetinių incidentų dėl atakų ir žmogiškųjų klaidų riziką ir žalą galima sumažinti taikant kelias paprastas priemones.

Pirmiausia – naudoti mažiausiai dviejų žingsnių autentifikavimą (angl. Multifactor authentificaton), antra – daryti atsargines sistemų ir duomenų kopijas, kurios būtų techniškai atskirtos nuo pagrindinių serverių. Galų gale kibernetinio saugumo užtikrinimu turi rūpintis specialiai tam dedikuoti patyrę specialistai, o ne kitas atsakomybes turintys įmonės darbuotojai, kurie mokytųsi dirbdami.

„Besimokančio specialisto klaidos kaina yra tiesiog per didelė. Kibernetinio saugumo mokymai turėtų būti privalomi visiems įmonės darbuotojams – jiems turi būti rengiami reguliarūs mokymai, taip pat reguliariai turi būti testuojami krizių valdymo ir veiklos atkūrimo planai“, – kalba A. Grigonis.

Specialistas taip pat rekomenduoja niekada nemokėti išpirkos už duomenis. Verslo požiūriu tai gali būti brangus sprendimas, tačiau geriausia priemonė užkirsti kelią nusikalstamai veiklai yra neskatinti jos papildomu finansavimu.