Svarbiausios kibernetinio saugumo tendencijos

Tebesitęsiant karui Ukrainoje, nemažiau už realias karines grėsmes aktualios ir hibridinės grėsmės, susijusios su kibernetiniu saugumu. Pastaruoju metu tiek Lietuvos valstybės institucijoms, tiek privačiam verslui susiduriant su kibernetinėmis  atakomis, užtikrinti kibernetinį saugumą tampa vis svarbiau. Birželio pabaigoje buvo bandymų laužtis į Lietuvos valstybinės kritinės infrastruktūros sistemas, praėjusią savaitę buvo sutrikdytas kai kurių „Ignitis grupės“ svetainių darbas, o įsilaužus į „Švaros brolių“ skaitmenines sistemas pavogti ir nutekinti dešimčių tūkstančių klientų duomenys. Už šias atakas viešai atsakomybę prisiėmė Rusijos kibernetinių nusikaltėlių grupuotė „KillNet“.

Kibernetinio saugumo sektoriui keičiantis nepaprastai sparčiai nuo galimų išpuolių organizacijoms ir kiekvienam iš mūsų saugotis savarankiškai tampa itin sudėtinga, todėl neretai būtina išorės specialistų pagalba. Nors praėjusiais metais plačiai nuskambėjusi klientų duomenų nutekinimo istorija turėjo tapti pamoka daugeliui, tačiau privatus sektorius dažnai į kibernetinį saugumą žiūri pro pirštus, nors galimiems išpuoliams reikia ruoštis atsakingai – samdyti specialistus, daryti auditus, įvertinti galimas grėsmes, paruošti įrangą ir darbuotojus, parengti kritinių atvejų sprendimo planus. Kibernetinio saugumo tema aktuali ne tik organizacijoms, ar viešosioms institucijoms, kibernetinių atakų taikiniu galime tapti kiekvienas, jei bent kiek naudojamės skaitmeniniais ar mobiliaisiais įrenginiais, todėl bent elementarios žinios ir sąmoningumas šioje srityje yra būtinas.

Atsižvelgiant į pastaruosius įvykius išskirtinos šios kibernetinio saugumo tendencijos, kurios bus aktualios ir ateityje.

Pandemijos metu įsigalėjęs darbas iš namų privertė naujai pažvengti į kibernetinio saugumo iššūkius. Darbo vietos namuose, deja, dažnai mažiau apsaugotos nei centralizuoti biurai, kuriuose paprastai veikia saugesnės ugniasienės, maršrutizatoriai ir prieigos valdymas, kuriam vadovauja IT saugumo komandos. Prasidėjus pandemijai įmonės skubėjo užtikrinti veiklos tęstinumą ir įprasti saugumo patikrinimai dažnai buvo ne tokie griežti, todėl ši spraga tapo puikiu taikiniu kibernetiniams nusikaltėliams.

Tikėdamosi apsisaugoti nuo galimų grėsmių organizacijos įsidiegė dviejų etapų autentifikavimą, tačiau jam atlikti daugelis darbuotojų naudojasi asmeniniais įrenginiais, be to, gali būti, kad jie taip pat naudojasi ir mobiliosiomis susirašinėjimo programėlėmis, pavyzdžiui, „Skype“, „Microsoft Teams“ ar „Zoom“, o tai didina kibernetinį pažeidžiamumą. Išnykusi riba tarp asmeninio ir profesinio gyvenimo taip pat didina riziką, kad slapta informacija gali patekti į netinkamas rankas. Todėl dabar organizacijoms svarbiausia įvardyti naujas saugumo spragas ir sumažinti galimybes jomis pasinaudoti, tobulinti skaitmeninio saugumo sistemas, diegti saugumo kontrolės priemones ir užtikrinti tinkamą stebėseną bei dokumentavimą, o kilus grėsmei, gebėti tinkamai reaguoti.

Išpirkos reikalaujanti programinė įranga (angl. ransomware) nėra naujiena – ji egzistavo jau kelis dešimtmečius, tačiau jos grėsmė vis auga. Manoma, kad šiuo metu esama daugiau kaip 120 atskirų išpirkos reikalaujančių programas naudojančių grupuočių, be to, įsilaužėliai labai gerai moka užmaskuoti kenkėjišką kodą. Vykdant tokius išpuolius nusikaltėliai vagia įmonės duomenis, juos užšifruoja, kad niekas negalėtų prie jų prieiti, dažnai trina arba šifruoja ir rezervines duomenų kopijas. Po to, kibernetiniai nusikaltėliai šantažuoja organizaciją, grasindami atskleisti verslo ar privačius duomenis, jei nebus sumokėta išpirka. Ši kibernetinė grėsmė organizacijoms atsieina brangiai, nes rizikuojama netekti slaptų duomenų, be to, išpirkos suma dažnai būna nemenka. Įsilaužėliai paprastai reikalauja išpirką sumokėti kriptovaliutomis, kurių pervedimus sunku atsekti. Artimiausiu metu galime tikėtis daugiau išpirkos reikalaujančių programų atakų prieš organizacijas, kurios nesirūpina kibernetiniu saugumu.

Spėjama, kad toks išpuolis galėjo būti surengtas ir prieš „Švaros brolius“, kai buvo įsilaužta į informacinę sistemą, pavogti duomenys, kuriais galimai bus pasinaudota darant kibernetinius ar finansinius nusikaltimus ateityje.

Nuotolinis darbas drastiškai išaugino debesijos paslaugų ir infrastruktūros poreikį, o tai neišvengiamai paveikė ir organizacijų saugumą. Nors debesijos paslaugos suteikia daug privalumų – leidžia greitai augti, siekti efektyvumo ir taupyti veiklos sąnaudas, tačiau jos taip pat tampa pagrindiniu užpuolikų taikiniu. Neteisingai sukonfigūruoti debesijos paslaugų ar duomenų persiuntimo nustatymai lemia svarbius duomenų saugumo pažeidimus ir nesankcionuotą prieigą, nesaugias sąsajas ir paskyrų perėmimą. Duomenų saugumo pažeidimų kaina organizacijoms didžiulė, todėl joms būtina imtis priemonių, kad sumažintų įsilaužėlių keliamas grėsmes vartotojų naudojamoms debesijos paslaugoms.

Socialinės inžinerijos atakos, tokios kaip „phishing“, nėra naujos, tačiau dėl nuotolinio darbo jos kelia vis daugiau rūpesčių. Užpuolikai taikosi į tuos, kurie prie darbdavio tinklo jungiasi iš namų, nes jie yra lengvesni taikiniai. Be įprastinių „phishing“ atakų, padažnėjo ir koordinuotų atakų, nukreiptų prieš organizacijų vadovybę. Manoma, kad pavogti „Švaros brolių“ klientų duomenys vėliau gali būti panaudoti būtent tokioms atakoms.

Dėl populiarėjančių susirašinėjimo programėlių, tokių kaip „WhatsApp“, „Skype“, „Signal“ ir Lietuvoje mažiau populiarių „WeChat“, „Slack“ ir kitų, vis labiau plinta SMS sukčiavimas, kartais vadinamas „smishing“. Užpuolikai pasinaudoja šiomis platformomis bandydami įtikinti atsisiųsti kenkėjiškas programas į telefonus. Prie šio tipo atakų priskiriamas ir telefoninis sukčiavimas (angl. voice phishing arba vishing). Lietuvoje populiarus investicinis vishingas, kai siūloma labai geromis sąlygomis investuoti į kriptovaliutas ar vertybinius popierius.

Dar viena sukčiavimo atmaina – SIM kortelės užgrobimas (angl. SIM jacking), kai sukčiai susisiekia su konkretaus kliento mobiliojo ryšio operatoriumi ir įtikina, kad įsilaužta į SIM kortelę, dėl to telefono numerį reikia perkelti į kitą kortelę. Jei apgaulė pavyksta, kibernetinis nusikaltėlis įgyja prieigą prie skaitmeninio taikinio telefono turinio ar turi galimybe skaityti mobiliųjų programėlių susirašinėjimo ar keitimosi failais istoriją.

Vis plačiau taikomas daugiapakopis autentiškumo patvirtinimas (MFA) laikomas auksiniu autentiškumo patvirtinimo standartu. Tačiau piktavaliai randa būdų apeiti net šią saugumo priemonę, o konkrečiai, SMS žinutėmis arba telefono skambučiais atliekamą autentifikavimą. Todėl dar 2020 m. „Microsoft“ patarė nebenaudoti telefono autentiškumo patvirtinimui, o rinktis autentifikavimą programėlėmis ir saugumo raktus.

Nors SMS žinutės yra kažkiek apsaugotos, tačiau jos nėra šifruojamos, tai reiškia, kad piktavaliai gali vykdyti automatines „Man-in-the-middle“ atakas ir gauti vienkartinius atviro kodo slaptažodžius. Tai tampa, pavyzdžiui, internetinės bankininkystės pažeidžiama grandimi, kai autentiškumas patvirtinamas SMS žinutėmis. Todėl bankai ir kitos organizacijos vis dažniau renkasi daugiapakopio autentiškumo patvirtinimo programėles, pavyzdžiui, „Google Authenticator“, „SmartID“ ir kitas.

Kibernetinio saugumo grėsmių apimtis yra per didelė, kad organizacijos pačios galėtų su jomis susidoroti, todėl siekdamos tobulinti saugumo infrastruktūrą vis dažniau pasitelkia dirbtinį intelektą ir mašininį mokymąsi. Dirbtinis intelektas buvo itin svarbus kuriant automatizuotas saugumo sistemas, natūralios kalbos apdorojimą, veidų atpažinimą ar automatinį grėsmių nustatymą. Be to, dirbtinis intelektas leidžia daug greičiau analizuoti didžiulius informacijos duomenų kiekius. Tai naudinga tiek didelėms įmonėms, dirbančioms su didžiuliais duomenų kiekiais, tiek mažoms ar vidutinio dydžio įmonėms, kurių IT saugumo komandos neturi pakankamų išteklių rizikas valdyti pasitelkiant tik žmonių žinias bei laiką, į pagalba ateina kibernetinio saugumo automatizavimo produktai bei nuotoliniai saugumo operacijų centrai.

Nors dirbtinis intelektas leidžia patikimiau aptikti grėsmes, nusikaltėliai, deja, taip pat naudojasi šia technologija atakoms automatizuoti. Kadangi vis dar ieškoma būdų pritaikyti dirbtinį intelektą praktiškai, tikimės, kad saugumo priemonės, sukurtos pasitelkus dirbtinį intelektą ir mašininį mokymąsi toliau tobulės bei didės jų pritaikymo galimybės versle.

Išpopuliarėjęs nuotolinis darbas išaugino ir mobiliojo ryšio poreikius. Nuotoliniu būdu dirbantys darbuotojai paprastai naudojasi ne vienu mobiliuoju įrenginiu, pavyzdžiui, planšetiniu kompiuteriu ir telefonu, jungiasi prie viešųjų bevielio ryšio tinklų, naudojasi nuotolinio bendradarbiavimo priemonėmis, tai didina ir mobiliąsias grėsmes. Šiuo metu diegiama 5G technologija taip pat sukuria potencialių saugumo spragų, kurias teks taisyti. Mobiliosios grėsmės apima specializuotas šnipinėjimo programas, skirtas šnipinėti užšifruotų žinučių siuntimo programas, esminėmis „Android“ saugumo spragomis besinaudojančius nusikaltėlius, kenkėjiškas mobiliąsias programas ir įvairius jų taikymo scenarijus – nuo DDoS atakų iki nepageidaujamų SMS žinučių ir duomenų vagysčių.

Pandemijos metu ypač išplitę melagienos (angl. Fakenews) ir klaidinanti informacija tapo viena svarbiausių kibernetinių grėsmių, turinčių didžiulį poveikį tiek politiniams įvykiams, tiek kasdieniam žmonių gyvenimui ir verslui. Vykstant sparčiai verslo skaitmenizacijai dezinformacijos sklaida tapo gerokai paprastesnė, o organizacijų patiriama reputacinė žala gerokai didesnė. Netikrų naujienų „infodemija“ paveikė finansų sektorių, JAV prezidento rinkimų rezultatus, pakenkė pavienes įmones ir asmenis. Melagienos ir klaidinanti informacija naudojama siekiant pakenkti valstybių saugumui, geopolitinei įtampai didinti, taip pat naudojama, kaip hibridinė kovos priemonė.

Augant kibernetinio saugumo svarbai auga ir duomenų apsaugos svarba. Daugybė plačiai nuskambėjusių kibernetinių atakų, kurių metu buvo nutekinta daug asmeninių duomenų ir griežtesni duomenų apsaugos reikalavimai visame pasaulyje, pavyzdžiui, ES BDAR, padidino dėmesį duomenų apsaugai ir privatumui. Organizacijoms, kurios nesilaiko duomenų apsaugos reglamentavimo ir nepateisina vartotojų lūkesčių, gresia baudos, neigiama reklama ir rizika netekti vartotojų pasitikėjimo. Duomenų apsauga susijusi beveik su visais organizacijos veiklos aspektais, todėl vis dažniau organizacijos sukuria duomenų apsaugos specialisto pareigybę, daugiau dėmesio skiria prieigos kontrolės pagal vaidmenis užtikrinimui, daugiapakopiam autentiškumo patvirtinimui, šifravimui perdavimo ir ramybės režimu, tinklo segmentavimui ir išoriniam vertinimui, bei siekia nustatyti tobulintinas sritis.

Kibernetinis saugumas ypač sparčiai besivystanti sritis, kuri nuolat tobulėja ir kinta. Nors organizacijos stengiasi diegti pažangias saugos sistemas ir būti priešakyje, tačiau įsilaužėliai randa būdų sukčiauti vis gudriau ir rafinuočiau, tad šioje srityje niekuomet negalima prarasti budrumo. Reikia atidžiai sekti naujausias tendencijas, nuolat kruopščiai vertinti galimas grėsmes, aptikti saugumo spragas ir stengtis jas kiek galima efektyviau pašalinti.

Marius Pareščius, „KPMG Baltics“ kibernetinio saugumo ekspertas