Pasauliui vis labiau skaitmenizuojantis, kibernetinis saugumas tampa neatsiejama kompiuterinio raštingumo ir kasdieninio gyvenimo internete dalimi. Elgiantis neapdairiai, galima prarasti savo duomenis, patirti finansinių nuostolių ar net pakenkti organizacijos reputacijai.
 

Siekiant patikrinti, kaip Lietuvos mokyklos reaguoja į potencialius fišingo (ang. phishing, liet. duomenų viliojimo) ir scamo (ang. scam., liet. suktybė, apgaulė) laiškus, kurie pasitarnauja kibernetiniams sukčiams pavagiant asmens arba įmonių duomenis, VILNIUS TECH kartu su kitais LITNET techniniais centrais atliko eksperimentą. 866 Lietuvos mokykloms VILNIUS TECH Informacinių technologijų ir sistemų centro (ITSC) komanda išsiuntė kvietimą užpildyti formą, neva padėsiančią ateityje lengviau surasti mokytojus. Eksperimento rezultatai verčia susimąstyti apie vadovų ir darbuotojų kibernetinį budrumą.
 

„Panašaus tipo laiškus siunčiame jau trečius metus, mokyklas prieš tai įspėdami. Taip siekiame paskatinti jų darbuotojus atidžiau elgtis internete ir kritiškiau įvertinti laiškais gaunamą informaciją. Vienas neatsargus neaiškios nuorodos paspaudimas ir atlikti prašomi veiksmai gali sukelti didelių nemalonumų visam mokyklos IT ūkiui ir nutekinti jautrius duomenis“, – pasakoja VILNIUS TECH ITSC vadovas dr. Justinas Rastenis.
 

Nepastebi nei siuntėjo, nei klaidų
 

Dr. J. Rastenis pasakoja, kad šiais laikais sukčiai tobulėja kartu su technologijomis, tad jų metodai nulaužiant sistemas ar pavagiant duomenis taip pat darosi vis efektyvesni. Pavyzdžiui, jei anksčiau siunčiami laiškai būdavo nesusiję su gavėjais asmeniškai („Nigerijos princo ir jo perleidžiamo turto jums“ atvejis), tai šiandien sukčiai jau žino, kokio turinio laiškus kam siųsti.
 

„Galvodami, koks turėtų būti šis eksperimentas, pasinaudojome tuo faktu, jog mokykloms labai trūksta mokytojų, taigi bendra sistema praverstų lengvesnei jų paieškai. Tam, kad mūsų siūloma sistema neva pradėtų veikti visu pajėgumu, paprašėme užpildyti formą, kurią jie turėjo atsidaryti paspaudę ant nuorodos ir suvesti savo duomenis.
 

Laišką siuntėme neegzistuojančios institucijos – Švietimo informacijos teikimo komandos (SITK) – vardu, specialiai padarėme gramatinių klaidų, o Švietimo, mokslo ir sporto ministeriją trumpinome kaip ŠMMS (tikrasis trumpinimas – ŠMSM). Kadangi sukčiai vis dar neretai padaro klaidų tekstuose, tai tampa vienu iš požymių, jog laiškas yra scamas arba fišingas. Tuo pasinaudojome ir mes, tikrindami mokyklos atstovų pastabumą“, – apie laišką pasakoja IT ekspertas.
 

Rezultatas – kas penktas mokyklos vadovas (167 iš 866), dokumentų valdymo skyrius ar administracija šią formą užpildė nepagalvodami, kad prie laiško nėra prisegto oficialaus ŠMSM rašto. Iš viso laišką atsidarė net 489 institucijos, ir tik 5 iš jų pranešė apie incidentą.
 

„Įdomu tai, jog vienas žmogus atrašė klausdamas, kodėl prašome tokių duomenų, kuriuos, akivaizdu, kad jau turime, nes siunčiame jiems laišką, tačiau jis vis tiek užpildė formą“, – pasakoja VILNIUS TECH ekspertas.

 

Dr. J. Rastenis tęsia, kad neretai žmonės institucijose „pasimauna“ ant fišingo arba scamo laiškų, nes gauna labai didelį informacijos srautą ir ne visada turi laiko į jį įsigilinti. Kartais pritrūksta ir internetinio raštingumo žinių.
 

Kartais užtenka tik vieno laiško
 

Deja, tačiau net ir didelius kiekius jautrių duomenų gaunančios institucijos vis dar neturi patikimų IT sistemų saugumui užtikrinti. Neretai tokioms sistemoms įsidiegti pritrūksta finansinių išteklių bei žmogiškųjų resursų, o dar dažniau – institucijų vadovų supratimo, kodėl tokios sistemos yra kritiškai reikalingos.

„2015 ir 2016 m. „hakeriai“ (liet. programišiai) įsilaužė į Ukrainos energetikos valdymo sistemą per fišingo laiškus. Darbuotojams buvo atsiųstas fišingo laiškas su prisegtu .xls failu, kurį pasileidus reikėjo įgalinti makrokomandas, kurios toliau vykdo reikalingus veiksmus, kad „hakeriai“ galėtų prisijungti ar valdyti kompiuterius. Pirmosios atakos metu buvo perimta valdymo kontrolė, todėl elektros neturėjo daugiau nei 200 tūkstančių žmonių. Antroji ataka buvo mažesnė, tačiau jos metu „hakeriai“ gavo prieigą prie energetikos valdymo sistemų ir galėjo vykdyti instrukcijas, kurios leido perjungti elektros tinklus, atjungti jos tiekimą bei trukdyti Ukrainos specialistams susigrąžinti kontrolę. Be to, jie naudojo įvairias kenkėjiškas programas, siekdami perimti ir valdyti pramonines kontrolės sistemas, ir netgi ištrynė kai kuriuos duomenis, kad apsunkintų energetikos įmonių bandymus greitai atkurti sistemas“, – pasakoja VILNIUS TECH IT ekspertas.
 

Dr. J. Rastenis pataria, jog skaitant laiškus svarbu atkreipti dėmesį į siuntėją, kadangi dažnai siuntėjo-apgaviko adresas vizualiai atrodo vienaip, tačiau užvedus pelytę arba paspaudus „atsakyti“, adresas pasikeičia. Dar viena įprasta apgavikų taktika – skubinti gavėją kuo greičiau atlikti kažkokį veiksmą, pavyzdžiui, pasiimti dovaną, kuri bus pasiekiama tik tam tikrą laiką arba susimokėti baudą, todėl visuomet geriausia neskubėti atlikti prašomų veiksmų. Suabejojus laiško tikrumu, galima nukopijuoti nuorodą jame ir patikrinti to puslapio autentiškumą specialiose svetainėse. 
 

„Visuomet geriau galvoti, jog tai, ką matai, yra netikra, ir pasitikrinti, nei galvoti atvirkščiai ir vėliau nukentėti“, – sako ekspertas.
 

Kalbant apie IT sistemų apsaugą, vienas iš paprasčiausių būdų yra dviejų veiksnių autentifikacija: darbuotojui jungiantis prie sistemos, ši prašo ne tik slaptažodžio, bet ir papildomų autentifikavimo veiksnių, pavyzdžiui, vienkartinio kodo arba biometrinių duomenų. Kitas būdas – prieigos kontrolės mechanizmai (ang. identity and Access Management, IAM), kurie prie įvairių IT sistemų dalių leidžia prieiti tik tam įgaliotus asmenis.
 

Sudėtingesnė ir daugiau kainuojanti, tačiau labai svarbi yra tinklo ir perimetro apsauga: antivirusinių, ugniasienių (ang. firewall) naudojimas, blokuojantis neautorizuotą srautą į institucijų tinklą ir iš jo; VPN ir tinklo segmentavimas, šifruojantis prisijungimus prie tinklo ir leidžiantis apriboti prieigą prie jo dalių; ir taip pat įsilaužimo aptikimo ir prevencijos sistemos, kurios leidžia aptikti įtartiną veiklą bei automatiškai blokuoti potencialiai pavojingus veiksmus.

Tam, kad duomenis būtų sunkiau pavogti, arba, jiems jau patekus į piktavalių rankas, juos būtų sunkiau panaudoti, rekomenduojama duomenis šifruoti bei kurti atsargines kopijas ir atkūrimo planus. Pravartu atsargines kopijas saugoti atskirose vietose, ir taip pat pasirengti atkūrimo nuo incidentų planą atakos atveju.
 

„Šios priemonės reikalingos kiekvienam – tiek eiliniam vartotojui, tiek organizacijoms. Geriausiai apsaugo žinojimas, kaip elgtis internete, todėl įmonėms rekomenduojama apmokyti savo darbuotojus atpažinti kenkėjiškas atakas bei rengti simuliacines atakas. Be to, nemažiau svarbu organizacijoms reguliariai vykdyti savo IT infrastruktūros patikras ir saugumo auditą, vykdyti įsilaužimo testavimą, skenuoti pažeidžiamumus, padedančius identifikuoti spragas“, – pataria VILNIUS TECH IT ekspertas dr. Justinas Rastenis.