Geriausiai pasaulyje parduodamų automobilių gamintoja turėjo sustabdyti keturiolika gamyklų, o tai jai kainavo apie 375 mln. JAV dolerių, rodo apytiksliai pardavimų ir gamybos duomenų skaičiavimai. Net ir pasibaigus pradinei krizei, prireikė kelių mėnesių, kol „Kojima“ pavyko priartinti veiklos mastą prie įprasto lygio.
Ši bendrovė yra tik viena iš ilgo pastarųjų kibernetinių aukų Japonijoje sąrašo.
Vien išpirkos reikalaujančios programinės įrangos atakų pernai padaugėjo 58 proc., palyginti su ankstesniais metais, skelbia Nacionalinė policijos agentūra (angl. National Police Agency – NPA), o įsilaužimo incidentai atskleidė įvairių trūkumų – nuo lėto reagavimo į incidentus iki skaidrumo trūkumo. Šalyje, kuri pernai eksportavo lustų komponentų už 42,3 mlrd. JAV dolerių – ir kuri dominuoja kai kurių medžiagų tiekimo srityje, – tiekimo grandinės problemos gali turėti pasaulinių padarinių.
Palyginamųjų duomenų apie kibernetines atakas rasti sudėtinga. Tačiau Japonijos telekomunikacijų bendrovės „NTT Corp.“ vyriausioji kibernetinio saugumo strategė Mihoko Matsubara teigia, kad ši šalis išgyvena itin nelengvus laikus.
„Japonijoje daugėja ne tik išpirkos reikalaujančios programinės įrangos atakų. Pirmąjį praėjusių metų ketvirtį šalyje daugiau nei bet kur kitur buvo užfiksuota „Emotet“ atakų, – sakė ji, turėdama galvoje kenkėjiškų programų tipą, dažnai platinamą per melagingus elektroninius laiškus (angl. phishing). – Japonijai šie metai buvo sudėtingi, nes padaugėjo kibernetinių išpuolių prieš pramonę, vyriausybę ir sveikatos priežiūros sektorių.“
Ir nors Japonija turi savo specifinių problemų su įsilaužėliais, daugelis jos pažeidžiamumų būdingi ir Jungtinėms Valstijoms bei kitoms technologijų požiūriu stiprioms šalims. Kaip rodo grupė įvairių kibernetinių išpuolių – nuo „Colonial Pipeline“ atakos JAV iki įsilaužimo į Australijos telekomunikacijų tinklus, per kurį buvo atskleisti 10 mln. vartotojų asmeniniai duomenys, – turtingosios valstybės ne kartą buvo pričiuptos nepakankamai įvertinusios žiaurią kibernetinių nusikaltimų realybę.
Tuo tarpu atakos prieš gyvybiškai svarbias paslaugas, pavyzdžiui, Japonijos ligonines, – dėl kurių buvo atidėtos operacijos ir kitos procedūros, – primena, kad taikomasi ne tik į pinigus.
„Išpirkos reikalaujančios programinės įrangos atakos japonams buvo rimtas įspėjimas, – sakė M. Matsubara. – Nes dabar kyla grėsmė žmonių gyvybėms.“
2022 metų vasario 26 dieną įvykdyta „Kojima“ ataka buvo vadinamasis įsilaužimas į tiekimo grandinę. Programišiai įsilaužė į trečiosios šalies verslo partnerio sistemas ir pasinaudojo jomis, kad prisijungtų prie „Kojima“ duomenų serverių. Iki 21 val. jie užkodavo kai kurių serverių ir kompiuterių terminalų duomenis, sakė „Kojima“ atstovas spaudai.
Pažeidimas aptiktas apie 23.00 val. Įsilaužėliai išsiuntė išpirkos reikalavimą, bet „Kojima“ inžinieriai nepalaikė jokio bendravimo su įsilaužėliais, sakė atstovas spaudai.
Apyaušriu „Kojima“ išjungė sistemas, kurias naudoja komunikacijai su išorės tiekėjais, o kitą dieną „Toyota“ paskelbė sustabdysianti veiklą visose savo šalies gamyklose. Dėl šio pažeidimo įmonės padaliniai, įskaitant „Daihatsu Motor Co.“ ir „Hino Motors Ltd.“, taip pat turėjo sustabdyti gamybą.
„Atakų Japonijoje daugėja, ir vis daugiau įmonių ima suvokti rizikas“, – teigė „Sompo Japan Insurance Inc.“ draudimo agentas Shinpei‘us Izumo. Jo vertinimu, kibernetinio draudimo pardavimai, palyginti su ankstesniais metais, išaugo 20–30 procentų.
Smulkesnės įmonės turi mažiau apsaugos mechanizmų, pridūrė jis. „Jos nežino, ką daryti kritinės padėties ar incidento atveju, ir nieko nedaro, kad užkirstų kelią žalos plitimui.“
Įsilaužimai į tiekimo grandines turi didžiulį potencialą sutrikdyti ekonomiką. Nors daug gamybos ir surinkimo operacijų atliekama pigesnėse rinkose, Japonija yra rinktinių aukštos klasės prekių gamybos lyderė. Tokių produktų kaip telefonai, kompiuteriai ir elektriniai dantų šepetėliai gamyboje dažnai naudojamos japoniškos dalys.
Ši šalis pagamina apie 80 proc. elektronikai skirtų smulkių cheminių medžiagų ir dominuoja kaip pasaulinė fotorezisto – šviesai jautrios medžiagos, naudojamos puslaidininkių lustų gamyboje, – tiekėja, teigia Ulrike Schaede, San Diege įsikūrusio Kalifornijos universiteto Pasaulinės politikos ir strategijos mokyklos Japonijos verslo profesorė. Jei šios pramonės šakos būtų pažeidžiamos kibernetinėms atakoms, tai turėtų neišmatuojamą poveikį.
„Nebūna nė dienos, kad nenaudotumėte daikto, kuris neegzistuotų, jei jo gamyboje nebūtų japoniško indėlio“, – pažymėjo U. Schaede.
„Japonijos bendrovės yra svarbi pasaulinės tiekimo grandinės dalis, – pridūrė ji. – Kuo aukštesnė pakopa, tuo daugiau ten bus Japonijos.“
Pernai visa grupė gamintojų – „Fujimi“, „Denso“, „Nichirin“ ir „TB Kawashima“, – kurioms priklauso Japonijos intelektinė nuosavybė, susidūrė su kibernetinėmis atakomis prieš užsienio padalinius. Japonijos drabužių ir baldų gamintojai, kredito kortelių bendrovės, bibliotekos ir socialinės žiniasklaidos paslaugų operatorė taip pat tapo įsilaužėlių taikiniu. O rugsėjį prorusiška programišių grupė „Killnet“ per paskirstytojo paslaugų trikdymo kibernetinę ataką (DDoS) paralyžiavo 20 Japonijos vyriausybinių svetainių.
Reaguodama į tai, Japonijos vyriausybė pareiškė, kad priims naujus įstatymus, leidžiančius vykdyti puolamąsias kibernetines operacijas ir „pradėti stebėti potencialius užpuolikus bei įsilaužti į jų sistemas, vos tik nustačius galimos rizikos požymių.“
Tai akivaizdi vyriausybės požiūrio į kibernetinį saugumą, kuris anksčiau, po Antrojo pasaulinio karo, buvo grindžiamas Japonijos konstitucinio įsipareigojimo laikytis pacifizmo dvasia, eskalacija. Pokyčiai atsispindi naujoje kibernetinėje vadavietėje, kuriamoje Japonijos gynybos pajėgose.
Vakarų sąjungininkai laukia, kada šalis pripažins, jog turi padaryti daugiau, sako saugumo bendrovės „Blackpanda“ vykdomasis direktorius Japonijos klausimais Davidas Suzukis.
„Mano nuomone, Japonijoje pagaliau suvokta, kad kibernetinis saugumas – tai ne informacinių technologijų problema. Tai saugumo klausimas, tiesa? – samprotavo jis. – Nes tai nėra mašina, kuri įsilaužia į jus. Tai žmogus-blogiukas, naudojantis mašinas.“
Duomenų atkūrimo sąnaudos
Nepaisant visų pažangių technologinių žinių, Japonija taip pat yra vieta, kurioje giliai įsišakniję tradiciniai verslo vykdymo būdai. Išpirkos reikalaujančios programinės įrangos atakų atveju, įmonės dažnai sugeba tęsti veiklą naudodamosi popieriniais inventoriais ir autonominėmis atsarginėmis duomenų bazės kopijomis – patikimomis ir neįveikiamomis, bet kartu lėtomis ir nepatogiomis. O kadangi įmonės lėtai atkuria savo sistemas, apie pažeidimus ne visada pranešama, teigia pramonės pareigūnai ir kibernetinių technologijų ekspertai.
Anksčiau Japonijos bendrovės vengdavo mokėti išpirkas, pasikliaudamos neleistinai lėto duomenų atkūrimo įmonėmis, kurios padėdavo sujungti į vieną visumą pažeistus tinklus, sako Tatsuhiro Tanaka, į atsargą išėjęs generolas majoras, šiuo metu einantis „Fujitsu System Integration Laboratories Ltd.“ mokslinių tyrimų direktoriaus pareigas. Tačiau dėl vis dažnesnių atakų auga ir duomenų atkūrimo sąnaudos.
„Yra labai nedaug įmonių, įtraukiančių į savo personalo struktūrą vadinamojo incidentų vadovo – asmens, atsakingo už kibernetinę ataką ir verslo tęstinumą – pareigybę, – teigė T. Tanaka. – Turime keisti požiūrį.“
Kai kurios Japonijos bendrovės priešinasi raginimams atskleisti atakas ir atnaujinti sistemas, – tai iš dalies paaiškinama visuomenės normomis, susijusiomis su kaltės priskyrimu, sakė kibernetinės bendrovės „CrowdStrike“ strateginių grėsmių konsultavimo grupei vadovaujantis Scottas Jarkoffas, daugiau nei tris dešimtmečius gyvenantis Japonijoje.
Tokia kultūra trukdo šaliai suburti vietinius saugumo ekspertus, teigė Hiroshis Sasakis, Japonijos Nagojos technologijų instituto gamybos ir inovacijų docentas.
„Įvykus kibernetinio saugumo incidentui, jie turi būti tiek atskaitingi, tiek atsakingi. Kitos valstybės, skiriančios dėmesio savo ypatingos svarbos infrastruktūrai, iš Japonijos situacijos pasimokys, kokio svarbumo yra tiekimo grandinė“, – pažymėjo jis.
Nors Japonija gali būti priskiriama prie kraštutinių tokio pažeidžiamumo pavyzdžių, ji toli gražu nėra vienintelė šalis, susidurianti su panašiomis rizikomis.
Jungtinėse Valstijose kibernetinio saugumo reguliavimas yra fragmentiškas, o vyriausybė paprastai tikisi, kad įmonės savanoriškai laikysis kibernetinio saugumo gairių. Tačiau kovo mėnesį paskelbusi nacionalinę kibernetinę strategiją, Joe Bideno administracija pritarė griežtesnėms priemonėms, ragindama federalines agentūras pasinaudoti esamais įgaliojimais ir nustatyti minimalius kibernetinio saugumo reikalavimus ypatingos svarbos sektoriuose.
Australijoje verslovėms, kurios nesugebėjo sumažinti lengvai išvengiamų saugumo pažeidimų, iki praėjusių metų grėsė minimalios finansinės baudos: vyriausybė buvo nustačiusi baudas iki 50 mln. Australijos dolerių (30,2 mln. eurų), arba 30 proc. įmonės pakoreguotos apyvartos per atitinkamą laikotarpį. Tuo tarpu Europos Sąjunga neseniai paskelbtoje ataskaitoje pažymėjo, kad didžioji dalis jos programinės įrangos yra sukurta JAV ir kad jos pačios kibernetinio saugumo pramonė turi plėstis, kad būtų galima pašalinti pažeidžiamumus.
2022 metais, palyginti su ankstesniais, kibernetinių atakų regione padaugėjo 26 proc., teigia programinės įrangos bendrovė „Check Point Software Technologies Ltd.“. Vyriausybinė agentūra, atsakinga už Japonijos tinklų saugumo priežiūrą, tvirtina, kad šalies informacijos atskleidimo taisyklės per daug nesiskiria nuo kitų išsivysčiusių šalių taisyklių.
„Nė viena šalis nereikalauja iš įmonių privalomąja tvarka viešai skelbti savo kibernetinio saugumo atakų ataskaitas, – teigė Nacionalinio pasirengimo incidentams ir kibernetinio saugumo strategijos centro (angl. National Center of Incident Readiness and Strategy for Cybersecurity – NISC) pareigūnas, paprašęs neviešinti jo pavardės. – Taip yra todėl, kad jose pateikiama informacija, kuri gali turėti įtakos jų verslo operacijoms.“
Japonija veikiau prašo bendrovių, atsakingų už ypatingos svarbos infrastruktūrą, pavyzdžiui, telekomunikacijas, elektrą, dujas ir geležinkelius, savanoriškai pranešti apie bet kokius kibernetinio saugumo incidentus. Į šią kategoriją patenka daugiau kaip tūkstantis įmonių, o 2021 metais iš viso buvo pateiktos 407 ataskaitos.
„Nors tai ir nėra privalomas įpareigojimas, ataskaitos rengiamos deramai ir yra dalijamasi būtina informacija, – pažymėjo NISC pareigūnas. – Viena unikali japonų kultūros savybė yra ta, kad kartą įsipareigoję žmonės laikosi to, ko iš jų prašoma, nepriklausomai nuo to, ar toks prašymas pagrįstas savanoriškumu.“
Japonija gali pasidžiaugti keliomis kibernetinėmis pergalėmis. „NTT Corp.“ kibernetinio saugumo strategė M. Matsubara pabrėžia, kad šalis be fanfarų atrėmė dešimtis tūkstančių kibernetinių atakų, kurių taikinys buvo 2020 metų Tokijo olimpinės žaidynės. Pastaruosius dvejus metus Japonija taip pat buvo įtraukta į kasmetines NATO kibernetines pratybas, nors ir nėra NATO narė, pažymėjo ji.
„Net japonai, su kuriais bendrauju, to nežinojo, – sakė ji. – Tačiau šiemet visi labiau domisi kibernetiniu saugumu, nes nerimauja dėl finansiškai motyvuotų ar geopolitinių kibernetinių atakų.“
Japonija – toli gražu ne vienintelė šalis, nenorinti pripažinti savo kibernetinio saugumo spragų. Bet pastaraisiais mėnesiais nesiliaujančios atakos, nuo kurių nukentėjo jos gamybos pramonė, yra pamokoma istorija kitoms turtingoms valstybėms, turinčioms tiekimo grandines, kurias svarbu apsaugoti. Japonijos įmonių vadovai, palyginti su kitų šalių panašaus rango pareigūnais, „vis dar tebėra neryžtingi“, teigia informacinių paslaugų bendrovės „Segue Group Co.“ saugumo skyriaus vadovas Koujis Moris. „Japonijos darbdaviai nelinkę manyti, kad kibernetinės atakos yra kažkaip susijusios su jais, nebent jie patys būtų atakuojami. Turime pakeisti požiūrį“, – sakė jis.