Kibernetinio saugumo suvokimas Lietuvoje yra nepakankamas. Tokia frazė per pastaruosius metus skambėjo ne sykį. Tačiau, nepaisant tokių įspėjimų ir, regis, elementarių savisaugos ar darbo taisyklių nesilaikymo, vis dar pasitaiko atvejų, kai valstybinių įstaigų darbuotojai ne savo noru tampa hibridinio karo dalyviais.
Tyrimai rodo, kad net trečdalis kibernetinėmis atakomis, dezinformacija vis labiau atakuojamų lietuvių iki šiol neatpažįsta grėsmių, iki 75 proc. visų Lietuvos interneto svetainių yra lengva arba labai lengva įsilaužti turint žemą kvalifikaciją ir be papildomų išteklių. O atakų tik daugėja.
Pavyzdžiui, 2016 m. atpažinta ir sulaikyta 106 tūkst. kenkėjiškų elektroninių laiškų, siunčiamų vien Krašto apsaugos sistemos adresatams – trigubai daugiau, nei 2015. Bet pernai jų buvo dar daugiau.
„Naujoje kibernetinio saugumo ataskaitoje pažymėta, kad tokių laiškų buvo 188500, tad tendencija tokia, kad grėsmė auga“, – DELFI teigė „Kurk Lietuvai“ projektų vadovė Eglė Vasiliauskaitė. Liepos 6-8 dienomis vyksiančio Pasaulio lietuvių jaunimo susitikimo metu diskusijoje „Troliai elektroninėje erdvėje – realus pavojus?“ ji plačiau pristatys Lietuvai kylančias kibernetines grėsmes.
Išskyrė tris pažeidžiamiausias sritis
Be to, „Kurk Lietuvai“ atstovė kartu su kolega Tadu Jakštu Vyriausybės kanceliarijoje vykdė projektą, kuriuo siekiama kelti valstybės tarnautojų kibernetinio saugumo sąmoningumo lygį, didinti žiniasklaidos kibernetinės erdvės saugumą ir užtikrinti organizacijų kibernetinio saugumo reikalavimų laikymąsi. Projekto metu išskirtos sritys, kur Lietuvos pažeidžiamumas yra didžiausias, tad pateiktos ir rekomendacijos.
„Mes identifikavome skaudžiausias vietas kibernetinėje srityje. Viena jų – socialinės inžinerijos grėsmės. Pavyzdžiui, į pašto dėžutę įkrenta fiktyvios žinutės su užkrėstomis nuorodomis, kurios naudojamos, kaip šnipinėjimo ar užkrato įrankis. Paspaudus tas nuorodas užkrečiama visa sistema.
Tuo pat metu pastebėjome, kad valstybės tarnautojų sąmoningumo lygis yra žemas: 30 proc. darbuotojų neatpažįsta grėsmių. O juk sėkmingai kibernetinei atakai tereikia vieno žmogaus pažeidžiamumo. Būtent todėl į tokius tarnautojus labiausiai ir taikomasi, nes jie gali dirbti ir su slapta informacija“, – sakė E. Vasiliauskaitė.
Jos manymu, ypač geras yra nesenas pavyzdys su Krašto apsaugus ministru Raimundu Karobliu. Šių metų sausį įsilaužus į naujienų portalą tv3.lt, jame paskelbta išgalvota melaginga žinia esą R. Karoblis priekabiavo prie Žinių radijo žurnalisto Rido Jasiulionio ir prisipažino esąs gėjus.
Pati žinutė iš pirmo žvilgsnio atrodė, lyg eilinė melaginga naujiena, kurią platina troliai - samdyti komentatoriai, kurių tikslas - skleisti dezinformaciją, kiršinti ir kurstyti tą visuomenės grupę, kuri pasirinkta taikiniu.
Tokių informacinių atakų prieš R. Karoblį ar kitus aukštus valstybės pareigūnus vien šiemet yra pasirodę ir daugiau. Pavyzdžiui, kovo mėnesį sukurpta žinutė, kad Lietuvos Krašto apsaugos ministras esą pripažino Krymą Rusijai. Tačiau daug svarbiau, nei pati melaginga žinutė gali būti pats atakos pobūdis: laiškas su melaginga naujiena platintas adresatams valstybiniame sektoriuje.
„Šiame laiške buvo kenksminga programinė įranga – kenksmingas kodas. Jei atsidarai laišką, tavo sistema užkrėsta. Tik keli žmonės atidarė, o ir Nacionalinis kibernetinio saugumo centras (NKSC) labai greitai viską užfiksavo ir suveikė, tad nebuvo didelės žalos“, – sakė E. Vasiliauskaitė, bet kartu pabrėžė, jog tokių ir dar sumanesnių pavyzdžių yra buvę ir daugiau.
„Kodas gali būti ne tik laiške ar prisegtame dokumente. Galima apsimesti įstaigos vadovu, kuris siunčia savo darbuotojams informaciją apie atlyginimus. Tarkime, viskas labai panašu – vardas, pavardė, pats laiškas, net rašysena, parašas. Gali būti tik smulkūs neatitikimai, pavyzdžiui, gramatinės klaidos arba skiriasi viena adresato raidė“, – teigė pašnekovė. Jos tvirtnimu, socialinė inžinerija taiko būtent į žmogiškąjį veiksnį.
„Retai kada bandoma rašyti bet kam. Priešingai: strategiškai identifikuojama auditorija arba kas jai rūpi. Pavyzdžiui, prieš Kalėdas gali būti rašoma, kad atėjo siuntinys, gali būti žinutės dėl atlyginmo, Darbo kodekso pakeitimų temos. Taip pat kuriamos svetainės, kurios labai panašios į valstybinių institucijų svetaines“, – sakė E. Vasiliauskaitė.
Rengs mokymus žiniasklaidai
Antroji jos įvardyta kryptis – žiniasklaidos kibernetinis pažeidžiamumas. Būtent prieš žiniasklaidą įvykdyta didelio masto kibernetinė ataka turėtų rimtų padarinių: įsilaužus į pagrindinius ir milijonines auditorijas turinčius Lietuvos portalus bei paskleidus melagingą informaciją, pavyzdžiui, apie būtiną evakuaciją iš Vilniaus dėl esą pasklidusių radioaktyvių medžiagų kiltų panika.
Net ir pripažįstant, kad atakos prieš žiniasklaida pernai buvo sudėtingesnės, labiau koordinuotos, net suvokiant, kokia yra žiniasklaidos svarba, kad jos vaidmuo svarbus ne tik kasdieniniame gyvenime, visuomenės informavime, bet ir krizės, karo atveju, E. Vasiliauskaitės teigimu, iki šiol žiniasklaidos kibernetinis saugumas buvo paliktas savisaugai.
„Šiuo metu visuomenės informavimo priemonės nepriskirtos prie ypatingos svarbos informacinės infrastruktūros, jiems neteikiami organizaciniai ir techniniai reikalavimai. O jei vyktų masinė ataka, pirmiausiai dėmesys į ypatingos svarbos infrastruktūrą“, – teigė E. Vasiliauskaitė.
Kita vertus, anot pašnekovės, daugiau svarbiau pirmiausiai būtų užtikrinti efektyvesnį bendradarbiavimą su valstybinėmis institucijomis. Pavyzdžiui, KAM viceministras Edvinas Kerza pasiūlė, kad žiniasklaidos atstovai galėtų būti įtraukti į tam tikrus kibernetinio saugumo tarybos posėdžius. Tai galėtų vykti nuo kitų metų.
Be to, KAM galėtų teikti tam tikrą techninę pagalbą arba organizuoti mokymus žiniasklaidos įmonių darbuotojams. Galiausiai šiemet planuojamas žiniasklaidos dalyvavimas Nacionalinėse kibernetinio saugumo pratybose, kuriose identifikuojamos spragos, pagal numatytą scenarijų mokomasi, kaip galima užkardyti grėsmes. Tokios pratybos „Kibernetinis skydas“ jau vyko pernai spalį, o šiemet turėtų būti intensyvesnės.
Kuria testavimo sistemą
Vis dėlto E. Vasiliauskaitė pripažino, kad savo namų darbus turės atlikti ir valstybinės institucijos. Tai reiškia, jog gali tekti keisti kai kuriuos teisės aktus, juos papildant konkretesnėmis formuluotėmis arba pašalinant perteklinius reikalavimus.
Pavyzdžiui, 33% Nacionalinio kibernetinio saugumo centro apklaustų organizacijų nėra išnagrinėję ir suplanavę, kaip įgyvendins kibernetinio saugumo reikalavimus, nustatytus ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams. Galiausiai, anot E. Vasiliauskaitės, itin svarbus ir koordinacijos veiksnys.
„Identifikavus, kad grėsmės yra, kad darbuotojų sąmoningumo lygis yra žemas, viskas palikta ministerijų kompetencijų lygyje – ir švietimas, ir sąmoningumo kėlimas. Tad mes galime didžiuotis savo pasiekimu: kuriama kibernetinio saugumo pagrindų testavimo sistema, o šiuo metu kuriamas turinys, už kurį atsakingas NKSC“, – teigė pašnekovė.
Sistemos tikslas yra valstybės tarnautojų sąmoningumo kibernetinio saugumo srityje kėlimas. Be to, sistema bus centralizuota, koordinuojant su Valstybės Tarnybos Departamentu - taip sprendžiama problema, kad kibernetinio saugumo mokymai darbuotojams iki šiol buvo palikti atskiroms ministerijoms.