„Svarbu pabrėžti ir neapsigauti. 80 proc. sumokėjusių išpirką patiria antrą ataką. Įsibrovėlių pateiktos dešifravimo programos ne visada veikia. Tad jokiu būdu negalima skubėti mokėti nusikaltėliams“, – pastebi jis.
Didžioji dalis kibernetinių incidentų nepatenka į viešąją erdvę, nes įmonės linkusios tai slėpti, bijo reputaciją tepančios dėmės. Daugelis net nepraneša apie tai atitinkamoms institucijoms – pavyzdžiui, policijai ar Nacionaliniam kibernetinio saugumo centrui, rašoma technologijų centro „Intechcentras“ atsiųstoje informacijoje.
T. Beinaravičius pateikia pavyzdį, kaip įsibrovimai atrodo konkrečiai – buvo įsilaužta į akademinės institucijos pašto serverį.
Visai kitas pateikiamas atvejis – įmonė, į kurią įsibrovimas buvo atliktas per klientams pasiekiamą serverį. Nusikaltėliai nebuvo pastebėti kelias savaites, jie pavogė mažą dalį duomenų ir užšifravo visus serverius, o po to reikalavo 100 BTC (apie 2 mln. eurų). Įsibrovėliai pradėjo šantažuoti ir teigti, kad paviešins duomenis. Visgi įmonė pasirinko nemokėti, kadangi duomenys nebuvo kritiniai.
Kibernetinės saugos ekspertų komanda plušėjo gerą savaitę, po kurių įsibrovėliai buvo „išvyti“ iš bendrovės infrastruktūros.
„Svarbiausia nepasiduoti panikai, nes ji blogas patarėjas“, – kovo 29 dieną vykusiame technologijų centro „Intechcentras“ praktiniame seminare „Kibernetinė sauga pramonės įmonėse 2023” „Transcendent Group Baltics“ kalbėjo T. Beinaravičius.
JIs apibendrina, kad dažniausiai kibernetiniai įsilaužimai įvyksta būtent dėl blogos kibernetinės higienos, kuriai vis dar nepakankamai dėmesio skiria net ir didelės įmonės, kurių veiklai tokio pobūdžio įsilaužimai gali turėti itin didelę žalą – kartais net siekiančią milijoninius nuostolius.
Mokėti ar ne?
Natūralu, verslininkui ar kitos institucijos atstovui kyla klausimas – mokėti išpirką ar ne, jei netyčia papuoliau į tokią nemalonią situaciją. Ar tai išvis legalu?
Kibernetinės saugos ekspertas tikina, kad visos oficialios institucijos ragina nemokėti ir jokiu būdu nebendradarbiauti su nusikaltėliais. Tačiau būna ir tokių atvejų, kada tai, deja, vienintelė išeitis.
„Paskutiniais duomenimis, 63 proc. įmonės neketina mokėti ir derėtis, 37 proc. – svarsto tokią galimybę. Lyginant su 2020 metų duomenimis, tuo metu net 60 proc. apklaustųjų buvo linkę derėtis. Jei įsibrovėliai jums negrįžtamai sunaikino viską įrangą ir neturite jokių kopijų ir tai jums patvirtina IT skyrius, o šie nuostoliai gali jums kainuoti bankrotą – tuomet greičiausiai neturėsite kitos išeities tik derėtis su piktavaliais“, – sako T. Beinaravičius.
Tačiau, anot specialisto, yra ir situacijų, kurios patenka į pilkąją zoną, kuomet apsispręsti labai sunku. Pavyzdžiui, nusikaltėliai jums grasina paviešinti nutekintus įmonės duomenis.
„Tokiu atveju greičiausiai bus gėda, tai kainuos reputaciją, bet ne bendrovės veiklą. Rasime ir Lietuvoje žiniasklaidoje nušviestų atvejų, kuomet buvo nutekinti duomenys, tačiau tai nenugramzdino kompanijų į pražūtį. Visgi visada geriau apsisaugoti prieš, kad nereiktų tokių klausimų spręsti išvis“, – vertina pašnekovas.
Saugos eksperto teigimu, niekada neverta mokėti, jei jums grasinama vadinamąja „DDoS“ ataka – tai kibernetinė ataka, skirta informacinių sistemų užvaldymui, sutrukdyti vartotojų prisijungimui prie serverių. Neverta mokėti ir jei duomenys atšifruojami ar duomenys nebuvo užšifruoti. Be to, seminaro pranešėjas pastebi, kad statistika rodo, kad kiekvienais metais mokančiųjų išpirką skaičius vis mažėja: „Tai nėra vien tik vertybinis klausimas. Dažnai tai tiesiog geresnės higienos rezultatas. Elementariai saugumui skiriama daugiau resursų.“
Apsisprendus mokėti: pelno mokesčio susimažinti nepavyks
T. Beinaravičius tikina, kad išpirkos prasideda nuo keliasdešimt iki kelių šimtų tūkstančių eurų.
„Iš principo mokėjimas pagal Lietuvos Respublikos įstatymus yra teisėtas, bet yra papildomų sąlygų. Mokėjimai visada yra atliekami kriptovaliutomis. Dalis įsibrovėlių yra patekę po JAV, Didžiosios Britanijos ar Europos Sąjugos sankcijomis, todėl jiems mokėjimai yra negalimi. Taip pat įmonė turi turėti kriptovaliutų krepšelį, o tai greitai padaryti yra gana sudėtinga. Be to, išpirka nėra priskiriama leidžiamiems pelno mokesčio atskaitymams. Tad to daryti nereikia skubėti ir tikrai geriau rūpintis prevencija, kad tokių klausimų vėliau nereiktų spręsti“, – patirtimi dalinasi ekspertas.
Anot jo, iškart po incidento visada svarbu nedelsiant pradėti derybas. Tai nereiškia, kad jas reikia užbaigti. Tačiau tai duos laiko, o laikas šiuo atveju yra sąjungininkas. Derybų metu galima tikėtis ir 25-30 proc. „nuolaidos“. Taip pat reikia būti budriems ir įsitikinti ar įsibrovėliai tikrai turi svarbius jūsų duomenis arba gali juos atšifruoti.
Ką daryti, kad panika neužvaldytų
Technologijų centro „Intechcentras“ direktorius Audrius Jasėnas teigia, kad visuomet geriau užsiimti prevencija, tuomet tokių atvejų nepasitaikys ir panika neužvaldys.
Jis, bendraujant net ir su pramonės lyderiais, kurie kasmet investuoja nemenkas sumas į savo IT ūkį ir kibernetinę saugą, pastebi, jog įmonės ne visada turi atskirą pareigybę, atsakingą už kibernetinius incidentus ir nėra pasirengusios jokio plano.
„Vyriausiasis informacijos saugumo pareigūnas yra atsakingas už reagavimo į incidentus plano parengimą ir palaikymą, taip pat už reagavimo į incidentus koordinavimą. Jis taip pat yra atsakingas už pranešimus apie incidentus atitinkamoms institucijoms. Deja, šių dienų realybė yra tokia, kad dažnu atveju įmonės yra klaidingai įsitikinusios, jog jų turimas vidinis IT ūkio specialistas, arba IT ūki aptarnaujanti išorės įmonė tinkamai pasirūpins įmonės kibernetiniu saugumu ir imsis visų reikiamų prevencinių priemonių. Taip pat dažnu atveju įmonėse nėra sutarimo dėl kibernetinės saugos procedūrų ir tvarkos tarp IT specialistų ir gamybinės įmonės automatikų, prižiūrinčių pramonės automatizavimo valdymo sistemas, pavyzdžiui, „SCADA“, – tikina A. Jasėnas.
Tad technologijų centro vadovas ragina kiekvienam atsakyti į klausimus – ar įmonė turi oficialią IT bei kibernetinio saugumo politiką ir procedūras? Jei taip, ar jose yra numatytas incidentų valdymo planas? Ar šie procesai yra aiškiai apibrėžti ir dokumentuoti? Ar įmonė yra turėjusi IT ar kibernetinio saugumo incidentų praeityje? Jei taip, ar buvo įgyvendintas incidentų valdymo planas ir ar buvo atliktas tyrimas, kad būtų išaiškintos incidento priežastys ir priimtos atitinkamos priemonės? Ir tik atsakius į šiuos klausimus ir juos įgyvendinus galima jaustis ramiau, kad įmonės veikla nebus taip lengvai sutrikdoma.
Kokios sritys paveikiausios?
Anot ekspertų, dažniausiai nukenčiančios sritys yra sveikatos apsauga, edukacija, savivalda, gamyba ir paslaugų sektorius.
„2022 metais atlikto „RiskRecon“ tyrimo metu paaiškėjo, kad įsibrovėliai dažniausiai prašo išpirkų sveikatos apsaugos sektoriuje – net 18 proc, švietimo – 15, 4 proc., savivaldos struktūrose – 11,4 proc., gamybos srityje – 9,9 proc ir 6,6 proc. – paslaugų sektoriuje. Tad ši statistika įrodo, kad šie penki sektoriai turi didžiausias kibernetinio saugumo spragas ir yra labiausiai pažeidžiami “, – teigia T. Beinaravičius.