Tačiau tokios atakos tikriausiai tik dažnės. Ar esame tam pasiruošę? Pasiruošti turėtų ne tik valstybinės institucijos, kurios iki šiol atrodo itin prastai, bet ir vidutinės bei stambios įmonės, kurios dažnai valdo didelius kiekius kritinių duomenų. Prisimenant „CityBee“ skandalą, kuomet paaiškėjo, kad vartotojų duomenys buvo saugomi tiesiog tekstiniu formatu, sunerimti dėl mūsų saugumo atrodo ganėtinai natūralu.
Technologijos tobulėja, bet jų diegti niekas neskuba
Saugumo užtikrinimas – tai sritis, apie kurią daugelis nustoja galvoti tol, kol grėsmė netampa reali. „CityBee“ kažkada irgi, ko gero, svarstė duomenis perkelti į kokią nors saugesnę formą, tačiau tuo pat metu buvo galvojama: „o kam papildomos išlaidos, jeigu niekas mūsų nepuls?“
Panaši logika galioja ne tik šalies gynyboje, bet ir įmonėse, kurios delsia diegti naujoves. Taip yra dažnai kalbama ir apie šalies gynybą, taip iki šiol kalba ir įmonės, kurios nenori diegti jokių inovacijų. Tikrai nėra taip, kad technologinių sprendimų nėra ar jie nepasiekia Lietuvos. Virtualus pasaulis tuo ir ypatingas, kad jo naujovės ganėtinai lengvai gali pasiekti visus.
Štai, pavyzdžiui, dirbtinio intelekto (DI) gebėjimas apdoroti didžiulius duomenų kiekius leidžia nustatyti modelius ir anomalijas, kurių analitikas-žmogus gali nepastebėti. Tai ypač svarbu aplinkoje, kurioje kibernetinės grėsmės vystosi sparčiai.
Dirbtinio intelekto valdomos sistemos taip pat gali analizuoti tinklo srautą realiuoju laiku, todėl galima greičiau aptikti galimus pažeidimus ir reaguoti į incidentus. Kibernetinio saugumo srityje dirbtinį intelektą naudojančios organizacijos IBM apklausoje nurodė vidutiniškai net 39,3 proc. mažesnes vidutines su duomenų saugumo pažeidimais susijusias išlaidas.
Nepaisant to, reikalingos investicijos nėra didelės. Pavyzdžiui, nedidelei fintech bendrovei pakaktų infrastruktūros, kurios kaina siekia vos 3–4 tūkst. eurų, ir kelių valandų informacinių technologijų (IT) saugumo profesionalų darbo. Šie specialistai gali pasitelkti NVIDIA siūlomus iš anksto apmokytus saugumo sprendimų modelius, kurie yra lengvai pritaikomi.
Tačiau tai – vis tiek papildomos išlaidos. Daugeliui Lietuvos verslininkų jos vis dar atrodo nereikalingos. Nors štai rusų ar kinų programišiai naujoves tikrai išnaudoja. JAV kibernetinio saugumo ekspertų įmonės „Home Security Heroes“ atliktas tyrimas parodė, kad 51 proc. standartinių slaptažodžių dirbtinis intelektas gali nulaužti greičiau nei per minutę.
Dar blogiau – užpuolikai vis dažniau naudoja DI sudėtingesnėms atakoms. Pavyzdžiui, prisitaikančioms kenkėjiškoms programoms, kurių tradicinės sistemos aptikti negali. Arba nuotraukų, vaizdo įrašų klastojimui.
Prof. dr. Paulius Pakutinskas teisingai pastebėjo, kad DI geba geriau už bet kokį žmogų rasti įvairių sistemų saugumo spragas, leidžia lengviau manipuliuoti žmonėmis, o ypač didelį pavojų kelia DI treniravimui skirtų duomenų klastojimas: „Pavyzdžiui, įsilaužęs į autonominio vairavimo programinę įrangą kuriančios įmonės duomenų bazę, nusikaltėlis gali 30 km/val. greitį nurodančių kelio ženklų nuotraukų etiketę pakeisti į 80 km/val. Todėl į gyvenvietę įvažiavęs automobilis, užuot sulėtinęs greitį, spustels akceleratoriaus pedalą ir galimai trenksis į kitus eismo dalyvius“, – įspėjo profesorius.
Dvejopas dirbtinio intelekto naudojimo pobūdis reiškia, kad jis didina saugumo pajėgumus, bet kartu ir plečia grėsmių lauką. Jeigu mes netobulinsime savo gynybos, patobulėję užpuolikai tai išnaudos, nes, patikėkite, jie į tai tikrai investuoja.
Turime ruošti ir savo žmones
Nors kibernetinio saugumo infrastruktūra svarbi, dar svarbiau yra paruošti specialistus. Nėra taip, kad jų rinkoje trūktų, bet, kad ir kaip būtų keista, dažna įmonė tokių net nesamdo, nors jų dydis, atrodytų, to reikalauja. Šiais laikais įmonėje su daugiau kaip 100 žmonių neturėti kibernetinio saugumo specialisto (bent jau išorinio) atrodytų tas pats, kas neturėti žmogiškųjų išteklių žmogaus.
Vėlgi, tai yra problema, nes programišių mums nedraugiškos šalys ruošia vis daugiau, o mes tokių specialistų turime nepakankamai. O kai įmonė tokį žmogų ir pasamdo, dažnai daugiau investuoti nenori. „Pasamdėme, tai tu ir daryk“, – dažnai yra tiesiog galvojama, kad tokie dalykai nereikalauja piniginių investicijų, tereikia žmogaus, mokančio programuoti, ir tiek.
Kibernetinės gynybos specialistai dažnai turi mokytis užsienyje, nes Lietuvoje neturime pakankamai tokio tipo švietimo įstaigų, pakankamai resursų. Tuomet specialistai dažnai ten ir lieka. Ir mes vėl turime daugybę saugumo spragų.
Kai pagaliau susiprasime, galėsime pirkti IT įrangos nors ir už šimtus tūkstančių. Tačiau nesvarbu, ar nedidelė įmonė įsigijo „NVIDIA Jetson Nano“ už kelis šimtus eurų, ar „NVIDIA DGX H100“ už daugiau kaip 400 tūkst. Eur, be tinkamo programinės įrangos paruošimo abu pirkiniai bus beveik beverčiai ir neapsaugos nei mažos įmonės, nei svarbios valstybinės institucijos. O norint tinkamai paruošti programinę įrangą, reikia ir specialistų, kurie su tuo dirbo daugybę metų.
Valstybinėms institucijoms bei didžiausioms mūsų bendrovėms tų specialistų, kurie galėtų tinkamai išnaudoti brangios įrangos pajėgumus duomenų apsaugai, reikėtų nuolatos. Dabar jų paprasčiausiai nepakaktų ir karo (virtualaus ar ne tik) padėtyje mūsų silpnosios vietos būtų atrastos nesunkiai, nes jų – tiesiog per daug.
Ruošimės dabar ar kai bus per vėlu?
Ar Lietuva pagaliau supras, kad antraštės apie nuolat nulaužiamas sistemas yra toks pat rimtas signalas, kaip žinios apie artėjančius tankus? Kada pagaliau pabusime? Susimąstyti turi ir verslai, ir valstybė – mūsų kibernetinis saugumas kažkodėl yra visiškai apleistas.
Norėčiau, kad Lietuva taptų kibernetinio saugumo lydere. Nedidelės investicijos iš verslų, kibernetinio saugumo švietimo skatinimas išnaudojant naujausias technologijas ir kiek rimtesnės investicijos į pažangią IT infrastruktūrą iš valstybinių institucijų – viskas, ko mums reikia. Su šitokiomis ganėtinai nedidelėmis pastangomis jau po kelerių metų galėtume visiškai apsiginti patys, o savo žinias eksportuoti svetur.
