Pasak „Mark Sign“ kvalifikuoto elektroninio parašo sprendimo IT vadovo Antano Palekio, paradoksalu, tačiau gyvenimą turinčios palengvinti išmaniosios technologijos yra vienas svarbiausių veiksnių, prisidedančių prie programišių įsilaužimų sėkmės ir ši tendencija ateityje tik ryškės. Jeigu visuomenė nedidins technologinio raštingumo ir nepasinaudos jo teikiamais privalumais.
Norint suvaldyti kibernetinę ataką, pirmiausia reikia suvaldyti darbuotojus
Kaip teigia IT specialistas, rizika būti „nulaužtiems“ programišių kasmet tik didėja, tad atliktos apklausos duomenys nė kiek nestebina. Ypač atsiradus hibridiniam darbo modeliui, kai beveik 41 proc. žmonių dirba nuotoliu: „Forbes“ statistika skelbia, kad šiuo metu iš namų dirba 12,7 proc. visą darbo dieną dirbančių darbuotojų, o dar 28,2 proc. dirba hibridiniu būdu.
„Be abejo, toks darbo pobūdis skatina kaip niekad anksčiau daug laiko praleisti internete – ir bendraujant su kolegomis, ir ieškant darbui būtinų dokumentų įmonės serveriuose, o tai tam tikrais atvejais kelia grėsmę visai organizacijos skaitmeninei infrastruktūrai. Deja, bet įmonės darbuotojai, ne technologiniai veiksniai vaidina didžiausią vaidmenį sukčių atakų metu: panagrinėjus bet kurį socialinės inžinerijos sukčiavimo atvejį, galima matyti, kad dažniausiai įsilaužta buvo kažkuriam darbuotojui užkibus ant „phishing‘o“ ar „smishing‘o“, kai siunčiami prisijungimo ar kitiems duomenims išgauti skirti elektroniniai laiškai arba SMS žinutės“, – įžvalgomis dalijasi A. Palekis.
Pasak jo, atsižvelgiant į tai, kad „Egress Software Technologies Ltd“ duomenimis, 2022 m. net 92 proc. įmonių vienaip ar kitaip nukentėjo dėl „phishing‘o“ laiškų, dabar kaip niekad svarbu, kad žmonės gebėtų tokius kabliukus pastebėti ir tinkamai sureaguotų. Ir, kad aklai nepasiduotų internete esančioms vilionėms.
Technologijos ir apdovanoja, ir baudžia
„Deja, vis dar yra įmonių, kuriose kibernetinis saugumas nėra traktuojamas konkurenciniu pranašumu ir tam neskiriamas tinkamas dėmesys, o juk sukčių išmonė neturi ribų. 2022 m. pabaigoje kibernetiniai nusikaltėliai pasinaudojo „Twitter“ mėlynos varnelės, patvirtinančios socialinės paskyros autentiškumą, funkcionalumu ir per sukurtą netikrą puslapį susirinko patiklių žinomų žmonių duomenis. Ne mažiau aktyviai sukčiai išnaudoja ir politinę įtampą – pasaulyje buvo nemažai atvejų, kai buvo fiksuoti neįprasti bandymai iš Rusijos prisijungti prie kitose šalyse gyvenančių žmonių asmeninių paskyrų arba sukurptos netikros paramos kampanijos, prisidengiant aukų rinkimu nuo karo bėgantiems vaikams.
Jeigu atrodo, kad tokiais paprastais metodais sukčiai jūsų neapgaus, pagalvokite dar kartą, nes jie nepamiršta pasinaudoti ir naujausiomis technologijomis. Kartais jas įvaldydami geriau nei kai kurie specialistai: pvz., pernai sukčiai sukūrė didžiausios kriptovaliutų biržos „Binance“ vadovo hologramą, siekdami nieko neįtariančias aukas įvilioti į apgaulingą susitikimą ir iš jų išgauti naudingos informacijos“, – pasakoja technologijų ekspertas A. Palekis.
Skeptikams jis primena ir tai, kad internetinio saugumo analitikai jau reiškia susirūpinimą „ChatGPT“ suteikiamomis galimybėmis net nepatyrusiems sukčiams gauti įtikinamą konkretaus verslo elektroninio laiško kopiją bei „phishing’o“ pavyzdį ar net susikurti kenkėjišką kodą, įterpiamą į aukai siunčiamą laišką.
„Su „Chat GPT“ susijusi ir santykinai nauja grėsmė – tai šio produkto funkcija, kurią „OpenAI“ pristatė šių metų gegužės 24 d. ir kuri leidžia savo pokalbius bendrinti su kitais, sugeneruojant unikalų konkretaus pokalbio URL. Tai ypač naudinga dalijantis ilgais dialogais, nes tai yra efektyviau nei ekrano kopija. Tačiau, kaip pastebi ekspertai, šiai funkcijai trūksta prieigos kontrolės mechanizmo, nes kiekvienas, gavęs bendrinamą URL, gali pasiekti jo turinį – net ir tie, kurie nepriklauso numatytai auditorijai. Be to, be išsamios prieigos analizės neįmanoma sekti vartotojų, kurie pasiekė URL bei kiek kartų jis buvo atidarytas, todėl „OpenAI“ pataria nesidalyti konfidencialia informacija. Tai ypač svarbu įmonėms, kurių darbuotojai savo kasdienėje veikloje jau įdarbino šį dirbtinį intelektą“, – pavyzdžius vardija IT specialistas.
Kaip užkirsti kelią kibernetinėms atakoms?
Ir tai – tik pradžia. Europos Sąjungos kibernetinio saugumo agentūra (ENISA) nustatė 10 didžiausių kibernetinio saugumo grėsmių, kurios iškils iki 2030 metų ir su kuriomis visi privalės išmokti susidoroti. Tai yra:
- Programinės įrangos sąveikų pažeidimai
- Dezinformacijos kampanijos
- Didėjantis skaitmeninio stebėjimo autoritarizmas/ privatumo praradimas
- Žmogiškosios klaidos ir senųjų sistemų spragos
- Tikslinės kibernetinės atakos, paremtos surinktais išmaniųjų įrenginių duomenimis
- Kosminės infrastruktūros analizės bei kontrolės trūkumas
- Pažangių hibridinių atakų gausa
- Įgūdžių trūkumas
- Tarpvalstybinių IRT (informacinių ryšių technologijų) paslaugų teikėjų silpnybės
- Piktnaudžiavimas dirbtiniu intelektu
„Duomenų šaltiniai dabar yra neišsemiami, todėl sukčiai „deep fake“, kurie žmogaus akiai yra beveik neatskiriami nuo realaus atvaizdo, gali lengvai konstruoti iš viešai prieinamų vaizdo ir balso įrašų bei nuotraukų. Tokių pavyzdžių pramogos forma matė, turbūt, visi, kai internete paplito mados namų „Balenciaga“ stiliumi dirbtinio intelekto sukurti vaizdo įrašai su žinomais žmonėmis. (Beje, toks vaizdo įrašas buvo sukurtas ir su Lietuvos prezidento bei žinomų politikų atvaizdais). Tačiau „deep fake“ technologija naudojama ir ne tokiems linksmiems vaizdeliams – ją jau išnaudojo Rusija karo su Ukraina pradžioje, sukurdama Volodymyro Zelenskio „deep fake“ atvaizdą, kuris ragino ukrainiečius pasiduoti, ir, deja, tokių geopolitinių kampanijų ateityje tik daugės. Užkirsti kelią bent daliai duomenų nutekėjimo atvejų galima, tačiau tam reikia susidaryti strateginį planą, savo naudai įdarbinti esamas technologijas ir laikytis tam tikrų taisyklių“, – pataria A. Palekis.
Specialistas pataria vadovautis šiomis taisyklėmis:
1. „Nulinis pasitikėjimas“
Viską patikrinti ir niekuo nepasitikėti – svarbiausia kibernetinio saugumo taisyklė, todėl ne tik įmonėms, bet ir paprastiems vartotojams derėtų šią taisyklę išmokti atmintinai.
2. Edukuokite darbuotojus apie saugumą internete
„Nuotolinis darbas sukėlė kibernetinio saugumo grėsmę daugeliui technologijų neišmanančių darbuotojų, nes dėl nesaugių „Wi-Fi“ tinklų ir darbo iš namų politikos jie tapo pažeidžiami. Įmonės privalo edukuoti savo darbuotojus šia tema ir užtikrinti, kad jiems būtų prieinami visi būtini įrankiai, kad ši grėsmė būtų sumažinta iki minimumo“, – sako A. Palekis.
3. Kai bendrinate dokumentus, duomenis užšifruokite
Kitas būdas neleisti kibernetiniams nusikaltėliams perimti jūsų duomenų dalinantis dokumentais – naudotis VPN paslauga ir dokumentus užšifruoti arba naudoti debesies saugyklą, kuri taip pat užtikrina duomenų šifravimą.
4. Sukurkite sudėtingus slaptažodžius
Įprastai darbuotojams sunku atsiminti sudėtingus vartotojo prisijungimo duomenis, ypač, jeigu jų yra ne vienas, todėl dažniausiai kuriami itin paprasti ir todėl lengvai „nulaužiami“ slaptažodžiai. Būtent todėl įmonės turi imtis veiksmų ir sukurti sistemą, kad darbuotojų prisijungimai būtų neįveikiami.
5. Apsaugokite informaciją apie savo darbuotojus
„Įsilaužėliai dažnai naudoja socialinę inžineriją, kad manipuliuotų žmonėmis ir iš jų pavogtų konfidencialią informaciją, todėl įmonės turėtų apriboti informacijos, kuria dalijasi internete apie savo darbuotojus ir verslą, kiekį. Lengvai prieinami duomenys yra atviras kvietimas kibernetiniams nusikaltėliams ateiti ir jais pasinaudoti, todėl, kuo mažiau „taikinių“ jie žinos, tuo mažesnė rizika, kad kuris nors darbuotojas užkibs ant sukčių sukurto „phishing‘o“ kabliuko“, – patirtimi dalijasi IT specialistas.
6. Stebėkite ir kontroliuokite, kas turi prieigą prie jūsų įrangos vidinių sistemų
Kaip teigia ekspertas, nekontroliuojant ir kelių žingsnių autentifikavimo būdais neužtikrinus, kad prie įmonės vidinių sistemų bei dokumentų galėtų prisijungti tik leidimą tam turintys asmenys, galima patekti į precedento neturinčias situacijas, todėl pasinaudoti prieinamomis technologijomis turėtų būti įmonės higiena.
„Tai gali būti ir įdiegta galimybė prisijungti kvalifikuotu elektroniniu parašu, kai asmens tapatybė ir dokumento autentiškumas patvirtinami M. Parašo ar Smart-ID programėlės duomenimis, galimybė verslo partnerio ir kliento tapatybę patvirtinti nuotoliniu būdu su asmens tapatybės kortele, pasu, vairuotojo pažymėjimu ar leidimu gyventi šalyje, taip pat įvairios platformos, kuriose dokumentai pasirašomi saugiai. Šie įrankiai sumažina tikimybę, kad nuotoliu prisijungęs asmuo galės apsimesti jūsų klientu arba darbuotoju“, – pataria A. Palekis.
7. Duomenų apsaugą patikėkite kibernetinio saugumo specialistams
Kibernetinio saugumo iššūkis gali būti sudėtingas verslui, ypač tam, kuris turi ribotą biudžetą, tačiau profesionali pagalba vieną dieną gali atsipirkti. Žinodami, kad IT specialistai rūpinasi jūsų duomenų saugumu ir padeda sumažinti kibernetinės atakos riziką, galėsite ramiai susitelkti į savo verslą.