Ekspertai įžvelgia įvairių „ransomware“ atakų, kai užšifruojami įmonės duomenys ir reikalaujama išpirkos, dažnėjimo priežasčių. Štai, pavyzdžiui, pastebima, kad įvairių šalių teisėsaugos pareigūnams 2021 m. suskaldžius dideles programišių grupuotes „Revil“ ir „Darkside“, kibernetiniai nusikaltėliai pernai vėl susibūrė į mažesnes grupes ir ėmė vykdyti daugiau mažesnių atakų. Be to, dėl aktyvios paramos Ukrainai į Lietuvą ir kitas panašų požiūrį demonstruojančias Vakarų šalis dažniau taikosi Rusijos remiami programišiai.
Tačiau debesų kompiuterijos bendrovės „TeraSky“ kibernetinio saugumo ekspertas Giedrius Meškauskas, sako, kad pagrindinė ransomware populiarumo sprogimo priežastis pastaraisiais metais yra programinės įrangos ir infrastruktūros, skirtos vykdyti „ransomware“ atakas, komercializavimas.
„Tamsiajame internete labai išpopuliarėjo „ransomware as a service“. Anksčiau visi kurdavo savo programinę įrangą ir patys užsiimdavo atakų vykdymu. Šiandien atakų organizatoriai net neprivalo mokėti programuoti. Viską, tiek pačią kenkėjišką programinę įrangą, tiek infrastruktūrą, galima nusipirkti kaip paslaugą. Už tai šių paslaugų kūrėjai dažniausiai prašo nuo 10 iki 30 proc. išpirkos“ – pasakoja ekspertas.
Šiuos teiginius patvirtina ir kibernetinio saugumo bendrovės „Fortinet“ skelbiami duomenys. Anot bendrovės, vien pernai per pirmąjį pusmetį panaudota daugiau nei 10.000 skirtingų ransomware atakų programų.
Išpirka tik padrąsina nusikaltėlius
IT kompanijos „Atea“ Informacinės saugos grupės vadovas Tadas Dvarvytis sako, kad svarbiausia – apsaugoti IT infrastruktūrą, apmokyti darbuotojus ir nemokėti išpirkos.
„Norint apsaugoti IT infrastruktūrą naudokite naujos kartos ugniasienes, laiku atnaujinkite programinę įrangą įskaitant antivirusinę. Apsaugokite elektroninį paštą, naudokite spam filtrus ir turinio analizę, ypač jei laiškai iš išorės. Šifruokite duomenis, darykite jų atsargines kopijas atskirtose laikmenose ar debesijoje. Valdykite prieigas, nepamirškite privilegijuotų naudotojų. Užtikrinkite, kad naudojami saugūs ryšio kanalai, naudokite VPN. Reikia turėti ir aiškų incidentų valdymo planą, kuris sukurtas ir ištestuotas iš anksto“, – vardina kibernetinio saugumo ekspertas.
Nemokėti išpirkos rekomenduoja ir advokatų kontoros COBALT partneris ir Ginčų sprendimo departamento vadovas dr. Rimantas Simaitis.
Anot jo, Lietuvoje išpirkos mokėjimas savaime nėra neteisėtas veiksmas. Tačiau išpirkos reikalaujantys nusikaltėliai gali būti susiję su teroristinėmis organizacijomis ar asmenimis, kuriems taikomos sankcijos. Tokiu atveju išpirkos mokėjimas gali sukelti įtarimų priežiūros institucijoms ir užtraukti atsakomybę mokėtojui (įmonei ir/arba vadovui) pagal Pinigų plovimo ir teroristų finansavimo prevencijos įstatymą.
Be to, jei programišiai sunaikintų arba paviešintų duomenis, įmonė gali sulaukti kaltinimų pažeidus Bendrąjį duomenų apsaugos reglamentą (BDAR) ir sulaukti reikalavimų atlyginti žalą.
Apsunkintas bendradarbiavimas
Jis priduria, kad išpirkos reikalavimas, kitaip nei mokėjimas, yra neteisėtas veiksmas. Todėl su tuo susidūrusi įmonė turėtų nedelsdama kreiptis į teisėsaugos institucijas.
Dr. R. Simaitis teigia, kad ransomware atakų tyrimai dažnai būna ilgi ir sunkūs, nes programišiai paprastai veikia iš sunkiai pasiekiamų jurisdikcijų, su kuriomis Lietuvos pareigūnai ir diplomatai nepalaiko glaudžių ryšių. Arba, naudodami „Tor“ tinko ir VPN kombinaciją bei užgrobtus niekuo dėtų įmonių serverius, apsimeta, kad yra tose sunkiai pasiekiamose šalyse. Kad ir kaip būtų, pats pareiškimo pateikimo faktas yra geras reputacinis žingsnis, rodantis, jog nukentėjusi bendrovė neketina nieko slėpti ir nori problemą spręsti teisėtomis priemonėmis.
„Be to, Lietuvoje turime specialų kriminalinės policijos padalinį, kuris pagal Budapešto konvenciją (konvencija dėl el. nusikaltimų) laikomas informacijos apsikeitimo centru. Šis padalinys gali kreiptis į didžiąsias technologijų bendroves ir kitų šalių kompetentingas institucijas, įskaitant policiją. Pirminei informacijai gauti tokiu būdu nereikalingas net teisinės pagalbos prašymas, kurio procedūra yra gana ilga ir sudėtinga“, – sako COBALT partneris.
Užfiksavus incidentą svarbu greitai reaguoti
Asocijuotas COBALT teisininkas Prevencijos ir baudžiamosios teisės grupėje Arnas Trukšnys papildo, kad už skirtingas kenkėjiškas veikas numatyta skirtinga atsakomybė. Tad vos įvykus incidentui reikėtų nedelsiant informuoti savo IT ir teisės specialistus, kad jie įvertintų padėtį ir padėtų suformuluoti kokybišką pareiškimą policijai, prokuratūrai arba imtųsi kitų teisinių gynybos priemonių. IT specialistas turėtų surašyti visus žinomus faktus apie ataką, o teisininkas – tinkamai sudėlioti pareiškimo turinį ir teisinius akcentus.
„Svarbiausia – nepanikuoti, kuo anksčiau įtraukti reikiamus specialistus – IT ir teisininkus. Į policiją ar prokuratūrą su pareiškimu galima kreiptis ir el. būdu, pasirašius e. parašu. Tai geriausia padaryti vos tik aptikus incidentą, išanalizavus pirminius informacinių sistemų duomenis. Geroji žinia – jog vis daugiau įmonių taip ir daro. Nors daugėja ransomware atvejų, daugėja ir besikreipiančiųjų pagalbos į policiją, Nacionalinį kibernetinio saugumo centrą (NKSC), Valstybinę duomenų apsaugos inspekciją (VDAI) ir kitas įstaigas bei išorės konsultantus“, – reziumuoja A. Trukšnys.
Dr. R. Simaitis priduria, kad susidūrus su kibernetine ataka reikia nedelsiant imtis ir kitų techninių, teisinių ir organizacinių veiksmų ją sustabdyti bei mažinti žalą ir jos mastą. Tai gali būti reikšminga valdant rizikas, kylančias dėl asmens ar kitų jautrių duomenų praradimo, civilinės ar administracinės atsakomybės taikymo bei kitų teisinių aspektų, susijusių su duomenų praradimu ir galimu jų neteisėtu paviešinimu ar panaudojimu.