„NordPass“ išleido šeštąjį kasmetinį 200 populiariausių slaptažodžių tyrimą, kuriame atskleidžiami dažniausiai visame pasaulyje naudojami slaptažodžiai. Šiais metais „NordPass“ taip pat patikrino, kaip slaptažodžiai, kuriuos žmonės naudoja darbinėms paskyroms apsaugoti, skiriasi nuo jų asmeninių paskyrų slaptažodžių. Tyrimas rodo, kad net 40 proc. asmeninių ir darbinių paskyrų slaptažodžių sutampa. Šiais metais populiariausias lietuvių naudojamas slaptažodis —  paprasta ir fantazijos nereikalaujanti klavišų kombinacija „qwerty123“.

Populiariausi slaptažodžiai 2024 m. – kas pasikeitė per metus?

Štai 20 populiariausių slaptažodžių Lietuvoje. Visą sąrašą rasite čia: https://nordpass.com/lt/most-common-passwords-list/
 

1. qwerty123
2. qwerty1
3. 123456
4. 123456789
5. lopas123
6. 12345678
7. labas123
8. qwerty
9. password
10. Qwerty123
11. lopas
12. 123123
13. nesakysiu
14. Qwerty123!
15. samsung
16. Qwerty1!
17. slaptazodis
18. Qwerty1234
19. Lopas123
20. lietuva
     

Bendrovė „NordPass“ atliko tyrimą bendradarbiaudama su „NordStellar“ ir nustatė, kad šių metų sąraše vėl puikuojasi blogiausi įmanomi slaptažodžiai. Tačiau pastebėta ir naujų tendencijų, kurias verta apžvelgti detaliau.
 

• Šiais metais beveik pusė pasaulyje dažniausiai naudojamų slaptažodžių buvo sudaryti iš paprasčiausių klaviatūros klavišų kombinacijų, pavyzdžiui, „qwerty“, „1q2w3e4r5t“ ir „123456789“. Lietuva ne išimtis – tokie slaptažodžiai pirmauja sąraše.
   
• Lietuvoje populiariausias slaptažodis yra „qwerty123“. Negana to, lietuviškame sąraše yra itin daug kitų “qwerty” kombinacijos variacijų.
   
• Tokie pasirinkimai kaip „lopas123“ ar „labas123“ rodo, kad žmonės dažnai renkasi slaptažodžius, susijusius su kasdieniais žodžiais ar frazėmis. Be to, patriotiškas pasirinkimas „lietuva“ taip pat pateko į sąrašą, pabrėždamas nacionalinio identiteto svarbą. Na o populiarūs ir standartiniai pasirinkimai, tokie kaip „slaptazodis“ ar „nesakysiu“, atspindi tendenciją rinktis lengvai įsimenamus, tačiau nesaugius slaptažodžius.
   
• „NordPass“ tyrimo duomenimis, 78 % pasaulyje dažniausiai naudojamų slaptažodžių gali būti nulaužti greičiau nei per sekundę. Palyginus su praėjusiais metais (70 %), situacija pablogėjo.
   

Įmonių darbuotojų slaptažodžiai – tokie pat silpni

Šių metų „NordPass“ tyrimas taip pat įvertino, kuo skiriasi asmeninėms ir darbinėms paskyroms naudojami slaptažodžiai. Rezultatai stebina – net 40 % dažniausiai naudojamų slaptažodžių nesiskiria.

Tačiau ekspertai pastebėjo ir keletą įdomių pokyčių. Vartotojai dažniau naudoja numatytuosius slaptažodžius, tokius kaip “newmember”, “admin”, “newuser”, “welcome” ir panašius, savo darbinėse paskyrose. Tokie slaptažodžiai, sukurti naujiems vartotojams, tikintis, kad šie juos pakeis („newpass“ ar „temppass“), dažnai nutekinami, nes vartotojai yra linkę pasilikti šiuos laikinus slaptažodžius, o ne pakeisti juos stipriais.

„Nesvarbu, ar esu darbe ir dėviu kostiumą bei kaklaraištį, ar vilkėdamas pižamą naršau socialiniuose tinkluose, aš esu tas pats žmogus. Nepriklausomai nuo aplinkos, slaptažodžio pasirinkimą nulemia tie patys veiksniai, dažniausiai – patogumas, asmeninė patirtis ir kultūrinė aplinka. Verslai, nepaisydami šių faktų ir palikdami slaptažodžių valdymą darbuotojų rankose, rizikuoja tiek įmonės, tiek klientų saugumu internete“, – sako Karolis Arbačiauskas, „NordPass“ verslo produktų vadovas.

Slapti pavojai

Anksčiau atliktos „NordPass“ apklausos duomenimis, vienas interneto vartotojas vidutiniškai turi 168 slaptažodžius asmeniniam naudojimui ir 87 slaptažodžius darbui. Ekspertai pastebi, kad valdyti tokį skaičių daugeliui tiesiog per sudėtinga, todėl natūralu, kad žmonės susikuria silpnus slaptažodžius ir naudoja juos pakartotinai.

Deja, silpni darbuotojų slaptažodžiai pasitarnauja įsilaužėliams, kurie kibernetinėmis atakomis gali lengvai pasiekti įmonės vidines IT sistemas. Programišiai neretai įsilaužia į įmonių sistemas pasinaudodami nutekintais asmeninių darbuotojų paskyrų duomenimis, nes šie naudoja tuos pačius slaptažodžius ir asmeninėms, ir darbo paskyroms.

Kaip tinkamai tvarkyti slaptažodžius darbinėse ir asmeninėse paskyrose

Kad dėl neatsakingo slaptažodžių valdymo netaptumėte kibernetinių atakų auka, Arbačiauskas rekomenduoja laikytis kelių paprastų, bet veiksmingų kibernetinio saugumo taisyklių.
 

1. Susikurkite patikimus slaptažodžius arba slaptafrazes. Saugų slaptažodį sudaro bent 20 simbolių – atsitiktinių skaičių, raidžių ir specialiųjų simbolių derinys. Arba galite naudoti slaptafrazę. Tai turėtų būti ilga atsitiktinių žodžių eilutė, o ne reikšmę turintis sakinys.
    
2. Niekada nenaudokite to paties slaptažodžio kitoms paskyroms. Kiekviena paskyra turi turėti unikalų slaptažodį, nes jei nusikaltėliai įsilauš į vieną jūsų paskyrą, jie galės panaudoti tuos pačius slaptažodžius, kad patektų ir į kitas paskyras.
    
3. Jei galite, rinkitės slaptarakčius. Pastarieji laikomi perspektyviausia alternatyva slaptažodžiams, kada nors visiškai juos pakeisianti. Dauguma šiuolaikinių interneto paslaugų teikėjų, įskaitant „Google“, „Microsoft“ ir „Apple“, klientams jau siūlo slaptarakčius, kaip naują slaptažodžių alternatyvą.
    
4. Savo organizacijoje įveskite slaptažodžių politiką. Nustatykite slaptažodžių valdymo taisykles, pavyzdžiui, naudokite slaptažodžių tvarkykles, kurios padės apsaugoti ir efektyviai valdyti visus slaptažodžius. Taip pat slaptažodžių politikoje numatykite kelių veiksnių autentifikavimo (MFA) praktiką.
    

Ar manėte, kad išpirkos reikalaujama tik už žmones? Deja, pastaruoju metu smarkiai padaugėjo incidentų, kai programišiai pinigų prašo už pavogtus duomenis. Tai patvirtina ir naujausia „Microsoft“ saugumo ataskaita. Šios tendencijos kelia grėsmę tiek žmonėms, tiek organizacijoms ir kviečia rimčiau žiūrėti į kibernetinį saugumą. Edgaras Simonaitis, „Tele2“ Verslo klientų skyriaus vadovas, atsako, kaip apsaugoti savo verslą.

„Vienas didžiausių nuostolių, kurį įmonės patiria po kibernetinių atakų – tai reputacinė žala. Kibernetinės atakos kelia abejones dėl įmonės patikimumo, o tai gali privesti prie klientų pasitikėjimo praradimo ir netgi teisinių iššūkių“, – sako Edgaras Simonaitis, „Tele2“ Verslo klientų skyriaus vadovas.

„Microsoft“ spalio mėn. paskelbtoje skaitmeninės gynybos ataskaitoje „Digital Defense Report“ pranešė, kad įmonės klientai per vienerius metus susidūrė su beveik tris kartus didesniu išpirkos reikalaujančių atakų skaičiumi (angl. ransomware). Ataskaita apima laikotarpį nuo 2023 m. liepos iki 2024 m. birželio.

Išpirkos reikalaujančių programų atakos yra viena pavojingiausių kibernetinių grėsmių šiandieniniame skaitmeniniame pasaulyje. Tai yra kenkėjiškos programos, kurios įsilaužia į jūsų kompiuterį ar tinklą ir už svarbią informaciją, pavyzdžiui, dokumentus, nuotraukas ar duomenų bazes, reikalauja išpirkos. 

Kenkėjiškų programų kūrėjai vis dažniau grasina nutekinti pavogtus duomenis specializuotose svetainėse. Šių metų pirmojo pusmečio „Rapid7“ tyrimas rodo, kad tokių atvejų skaičius išaugo net 67 proc.

„Dingę ar užrakinti duomenys gali paralyžiuoti įmonės veiklą, todėl tokios atakos kelia didelę grėsmę tiek privatiems asmenims, tiek organizacijoms. Be to, net sumokėjus išpirką nėra garantijos, kad pavyks atgauti duomenis nepažeistus. Išpirkos sumos dažnai būna labai didelės, o jų mokėjimas tik skatina kibernetinius nusikaltėlius tęsti savo veiklą“, – teigia „Tele2“ Verslo klientų skyriaus vadovas. 

Išpirkos programos taikosi ten, kur duomenys jautriausi, pavyzdžiui, sveikatos priežiūros sektoriuje. Per pastaruosius metus sukčiai pakenkė 389 sveikatos priežiūros institucijoms. „Microsoft“ ataskaitoje nurodoma, kad šie išpuoliai sustabdė įstaigų veiklą, išjungė sistemas ir atidėjo medicininės pagalbos teikimą.

„Microsoft“ duomenimis, pernai daugiausiai kibernetinių atakų buvo vykdoma pasitelkiant socialinės inžinerijos atakas kaip fišingą, taip pat tapatybės vagystes bei išnaudojant viešai žinomas pažeidžiamas programas ir neatnaujintas operacines sistemas.

Kokių saugumo sprendimų imtis?

„Siekdamos apsaugoti savo verslą, įmonės turėtų į kibernetinį saugumą žiūrėti kompleksiškai ir užtikrinti ne tik techninių priemonių įgyvendinimą, tačiau nepamiršti ir žmonių. Reguliarūs darbuotojų mokymai, skirti atpažinti ir reaguoti į potencialias grėsmes, yra ne mažiau svarbūs nei pažangūs saugumo sprendimai“, – sako E. Simonaitis.

„Tele2“ Verslo klientų skyriaus vadovo teigimu, kiekvienas įmonės darbuotojas yra svarbi saugumo grandis. Dažniausiai saugumo incidentai įvyksta dėl žmogaus klaidos, remiantis daugelio ataskaitų skaičiavimais, tokių atvejų skaičius siekia daugiau nei 80 proc. Todėl būtina investuoti į darbuotojų švietimą ir sąmoningumą. Be to, turint gerai apgalvotą incidentų valdymo planą, įmonės gali greičiau reaguoti į ataką ir sumažinti jos padarinius.

Pasak E. Simonaičio, norėdamos sumažinti saugumo rizikas, įmonės turėtų bendradarbiauti su kibernetinio saugumo ekspertais, kurie gali padėti įvertinti pažeidžiamumą ir pasirinkti tinkamas apsaugos priemones.

Šiaurės ir Baltijos šalyse kibernetinis saugumas tapo esminiu prioritetu. Apie trečdalis apklaustų IT vadovų iš viešojo ir privataus sektorių tai įvardijo kaip pagrindinį iššūkį. Tai lems ir augantį saugumo ekspertų poreikį – pusė respondentų teigė, kad šių specialistų IT srityje trūks labiausiai. Tyrimas taip pat atskleidė, kad IT sektoriuje vis dar egzistuoja lyčių nelygybė ir, kad tvarumo klausimai IT vadovams tampa vis svarbesni.

Didžiausią Šiaurės ir Baltijos šalių IT vadovų nuomonės tyrimą atliko IT sprendimų ir paslaugų teikėja „Atea“ grupė. Pirmąkart nuo 2018 m. į šį tyrimą įtraukti ir Baltijos šalių IT Vadovai. Tyrime dalyvavo 1 001 respondentas iš Švedijos, Norvegijos, Danijos, Suomijos ir Baltijos šalių. 60 proc. jų atstovavo privatų, o 40 proc. – viešąjį sektorių.

„Mūsų regiono geopolitinė padėtis skatina IT vadovus pirmiausia dėmesį skirti saugumui. Galime matyti, kad  ypač išsiskiria Švedija, kuri pastaraisiais metais patyrė  rimtų kibernetinių atakų. Po saugumo – IT vadovų prioritetų eilėje rikiuojasi verslo plėtra ir skaitmenizacija“, – tyrimo rezultatus komentuoja Adomas Nenartovičius, „Atea“ Strategijos ir operacijų vadovas Baltijos šalims.

Įdomu, kad Baltijos šalių viešasis sektorius išsiskiria dvigubai didesniu dėmesiu inovacijoms nei bendras vidurkis. „Tai leidžia prognozuoti, kad mes kaip visuomenė sulauksime daugiau skaitmeninių paslaugų, didės jų prieinamumas“, – sako A. Nenartovičius.

Vis dėlto itin svarbu rasti balansą tarp saugumo ir inovacijų. „Jei koncentruojamės tik į saugumą, galime stipriai sulėtinti inovacijų pažangą ir ilgainiui mažinti mūsų konkurencinį pranašumą. Jei  norime pasinerti į inovacijas, labai svarbu skirti pakankamą dėmesį saugumui, kad užsitikrintume organizacijos atsparumą“, – įspėja A. Nenartovičius. 

Daugiau nei pusė – 55 proc. tyrime dalyvavusių IT vadovų turi nenumatytų situacijų planus, tačiau Baltijos šalyse tokius planus turi tik 46 proc. organizacijų atstovų.  „Panašu, kad Baltijos šalių viešasis sektorius gana kukliai vertina savo pasirengimą kibernetinėms atakoms. Iš to ir kyla didžiulis saugumo ekspertų poreikis. Tai, kad labiausiai organizacijoms trūks saugumo ekspertų, nurodė net 77 proc. Baltijos šalių viešojo sektoriaus atstovų“, – komentuoja „Atea“ atstovas. 

IT vadovo vaidmuo: strateginis lyderis ir verslo partneris

Tyrimo dalyvių nuomonė atskleidžia, kad geras IT vadovas privalo būti ne tik technologinių sprendimų priėmėjas, bet ir stiprus strateginis lyderis, kartu su vadovų komanda vedantis  organizaciją į priekį.

„Strateginis mąstymas yra kertinis šiuolaikinio IT vadovo bruožas. Toks vadovas turi ne tik gerai suprasti verslo tendencijas, bet ir įvertinti ilgalaikes pasekmes, kurias sukelia technologiniai sprendimai“, – pabrėžia pašnekovas.

Tyrime buvo vertinama ir tai, koks vaidmuo IT padaliniui skiriamas organizacijos viduje. „Amžinas klausimas: IT organizacijoje yra kaštai ar vertės kūrimas? Bendrai tyrime daugeliu atvejų IT padalinio rezultatai vertinami ir matuojami per išlaidų eilutę. Žvelgiant į atskiras šalis, džiugu, kad būtent Baltijos šalyse IT padaliniai labiau vertinami pagal indėlį siekiant organizacijos tikslų“, – pažymi A. Nenartovičius.

Iki lyčių lygybės dar toli, bet rūpi tvarumas

Nepaisant lyčių lygybės skatinimo politikos, IT padaliniuose dirbančių moterų dalis išlieka žema. Viešajame sektoriuje ji siekia 26 proc., privačiame – 19 proc. Mažuose, iki 10 žmonių IT padaliniuose, moterų praktiškai nėra.

„Lyčių lygybei IT sektoriuje turime skirti daugiau dėmesio. Tai vienas geriausiai apmokamų ir perspektyviausių sektorių, todėl moterims verta rinktis šią profesiją ir ateiti čia dirbti. Be to, įtraukę daugiau moterų, kursime vertę ne tik joms pačioms, ekonomikai, bet ir savo organizacijoms“,  – įsitikinęs A. Nenartovičius. 

Paklausti apie tvarumą, 56 proc. IT vadovų nurodė, kad jų padaliniai siekia tvarumo tikslų. Šis skaičius, A. Nenartovičiaus nuomone, artimiausiais metais tik didės. Atsiradęs tvarumo reglamentavimas ir tai, kad didesnė įmonės turės teikti tvarumo ataskaitas, didins ir IT padalinių įsitraukimą į šią sritį. „IT padaliniai gali ir turi imtis lyderystės ir taip prisidėti  prie organizacijos tvarumo tikslų siekimo”, – pastebi A. Nenartovičius.

IT ateitis: dirbtinis intelektas ir debesijos sprendimai

Pašnekovas pabrėžia ir dirbtinio intelekto (DI) reikšmę organizacijoms. Pasak jo, DI tampa svarbia inovacija, kurios poreikis auga ne tik privačiame, bet ir viešajame sektoriuje. „Šiai inovacijai vystyti organizacijoms reiks ne tik duomenų mokslininkų, bet ir saugumo ekspertų.  DI sprendimų ir įrankių kokybė tiesiogiai priklauso tiek nuo duomenų kokybės, tiek nuo jų saugumo,“ – akcentuoja jis.

Debesijos sprendimai taip pat tampa vis populiaresni, ypač Suomijoje ir Norvegijoje, kur matomas  ir didžiausias šių kompetencijų poreikis . „Baltijos šalys turi visas galimybes pasivyti Šiaurės šalis debesijos ir DI sprendimų srityje,  tačiau tam būtina investuoti į darbuotojų kompetencijų ugdymą“, – tvirtina A. Nenartovičius.

„Apibendrinant, spartus technologijų vystymasis ir geopolitinė padėtis  augina ir ateityje dar labiau augins IT vadovų atsakomybę. IT vadovai turi gebėti matyti platų vaizdą: nuo technologijų galimybių iki kibernetinio saugumo užtikrinimo bei talentų ar paslaugų paieškos. Sėkmės pagrindas bus bendradarbiavimas ir kompetencijų auginimas“, –  įžvalgomis dalijasi „Atea“ atstovas.

Manote, kad programišiams jūsų asmeninė informacija neįdomi? Naujausi tyrimai atskleidžia, kad net 9 iš 10 žmonių nepakeičia pirminio savo maršrutizatoriaus slaptažodžio. Numodami ranka į maršrutizatoriaus saugumą, paliekate savo duomenis pasiekiamus programišiams. Mantas Užupis, „Tele2“ IT saugumo ekspertas, atskleidžia paprastus dalykus, kurie padės apsaugoti maršrutizatorių ir taip užtikrinti jūsų asmeninių duomenų saugumą. 

Naujausias „Broadband Genie“ maršrutizatorių saugumo tyrimas, paskelbtas 2024 m. rugsėjo mėn., nustatė, kad 86 proc. apklaustųjų pripažino, jog niekada nepakeitė gamyklinio slaptažodžio. Taip pat 52 proc. žmonių, kurie naudoja maršrutizatorius, niekada nesigilino į įrenginio nustatymus. Lyginant su ankstesnėmis apklausomis, 2018–2022 m. šis skaičius laipsniškai mažėjo, tačiau šiemet grįžo į lygį prieš 6 metus.

„Kai tik įsigyjate naują maršrutizatorių, pirmas dalykas, kurį privalote padaryti, – pakeisti numatytąjį slaptažodį. Palikdami pirmą gamyklinį saugos kodą, jūs tarsi savanoriškai kviečiate įsilaužėlius į savo  įrenginius, prijungtus prie „Wi-Fi“. Jeigu tinkle yra pažeidžiamų prietaisų, pavyzdžiui, robotas dulkių siurblys, programišiai gali užkrėsti ir juos. Stiprus slaptažodis yra apsauga nuo nepageidaujamų svečių“, – įspėja M. Užupis.

Patarimas pakeisti slaptažodį nėra toks skubus, jei jūsų maršrutizatorius yra naujesnio modelio ir turi bent jau unikalų administratoriaus slaptažodį, o ne standartinį, kuris taikomas visiems vartotojams. Pasak kibernetinio saugumo eksperto, būtina pasigilinti į administratoriaus nustatymus, nes gali būti, jog pirminis slaptažodis yra trumpas ir labai lengvai nuspėjamas, pavyzdžiui, „admin“ arba „password“.

Silpni slaptažodžiai – ne vienintelė saugumo spraga

Tyrimas atskleidžia ir daugiau nerimą keliančių tendencijų. Beveik devyni iš dešimties, 89 proc., apklaustųjų teigė, kad nė karto neatsinaujino savo maršrutizatoriaus programinės įrangos. 

„Kibernetiniai nusikaltėliai lengviau pasiekia jūsų asmeninius duomenis per maršrutizatorius. Įsilaužimas į tinklą nebūtinai reiškia duomenų perėmimą, tačiau įsilaužus į maršrutizatorių, procesas tampa paprastesnis. Programišiai dažniausiai taikosi į elektroninės bankininkystės, el. pašto prisijungimus ir slaptažodžius. Svarbu žinoti, kad atakos dažniausiai vykdomos automatiniais botais, todėl apsauga būtina kiekvienam. Reguliariai atnaujinant programinę įrangą, sumažėja pažeidžiamumų ir sustiprinama apsauga“, – sako M. Užupis.

Prijungus įrenginį prie interneto, pirmasis robotas, arba automatizuota ataka, gali pasiekti maršrutizatorių per labai trumpą laiką – nuo kelių minučių iki kelių valandų. Šis laikotarpis priklauso nuo kelių veiksnių, tokių kaip maršrutizatoriaus saugumo lygis, jo modelis ir gamintojas, taip pat interneto ryšio greitis.

Ką galite padaryti? 

Anot „Tele2“ IT saugumo eksperto, maršrutizatoriaus apsauga nėra techniškai sudėtinga – nereikia kreiptis į IT specialistą, kad atliktumėte privalomus saugumo veiksmus. Pirmiausia, reikia atjungti maršrutizatorių nuo interneto, kad būtų išvengta bet kokių rizikų, kol atliekami nustatymų pakeitimai.

„Toliau svarbu atlikti maršrutizatoriaus nustatymų atstatymą, kad pašalintumėte galimas kenkėjiškas konfigūracijas. Tam dažniausiai naudojamas fizinis atkūrimo mygtukas arba galima sekti gamintojo pateiktas instrukcijas. Po to būtina pakeisti numatytąjį administratoriaus slaptažodį į unikalų ir sudėtingą“, – vardija M. Užupis.

Dauguma naujausių „Wi-Fi“ maršrutizatorių yra susieti su gamintojo mobiliąja programėle, naudojama įrenginiui konfigūruoti. Per šias programėles dažnai galima atlikti automatinius programinės įrangos atnaujinimus ir stebėti, kokie įrenginiai jungiasi prie jūsų namų tinklo.

Pasak M. Užupio, svarbu nepamiršti atsinaujinti maršrutizatoriaus. Naujas įrenginys pirmiausia užtikrins geresnį interneto greitį ir sklandesnį bendrą ryšio našumą. Tai labai svarbu žiūrint filmus, žaidžiant internetinius žaidimus ir dalyvaujant vaizdo skambučiuose.

„Jei norint naudotis kokybišku interneto ryšiu, jums tenka vis iš naujo perkrauti marštutizatorių ir jaučiate, kad jūsų internetas sulėtėjo, greičiausiai atėjo laikas atsinaujinti įrenginį“, – teigia „Tele2“ IT saugumo ekspertas.