Taigi, šiandien įmonėms – ir net paprastiems vartotojams – iškyla daug klausimų: ką drausti, ką leisti bei kaip apsisaugoti nuo duomenų praradimo ar įsilaužimo? Ypatingai, kai keičiasi saugojimo objektas ir organizacijos turi saugoti darbuotojų tapatybę bei užtikrinti, kad būtent ji nebus pasisavinta nusikaltėlių.
Asmens tapatybė – programišių „visraktis“
Pradėti reikėtų nuo to, kad įsilaužimo atvejus ne visada paprasta nustatyti. Tai atsispindi ir tyrimuose: organizacijoms nuo kibernetinio įsilaužimo iki incidento nustatymo dažnai užtrunka daugiau nei 200 parų. Taip yra todėl, kad dažiausiai įsilaužėliai pasisavina svetimą tapatybę ir bando apsimesti tos organizacijos vartotoju. Tai reiškia, kad kibernetinių įsilaužimų metu gali būti naudojami pasisavinti vartotojų vardai bei slaptažodžiai.
Dažniausias būdas pasisavinti tapatybę yra fišingas (angl. phishing), kai vartotojas suklaidinamas ir jis pats suteikia perteklinę informaciją, kuri gali būti panaudota prieš organizaciją. Laimei, šiandien turime ir būdų, kaip tokus įsilaužėlius sustabdyti: tam skirti įrankiai, kurie nuolat stebi nuokrypius nuo standartinių veikimo modelių ir leidžia identifikuoti potencialų vartotoją-įsilaužėlį.
Kita vertus, šiuo metu pastebime, kad nemažai organizacijų paprasčiausiai nepasirūpina net elementariausiomis ekspertų rekomendacijomis. Pavyzdžiui, sukonfigūruoti elektroninio pašto tarnybą taip, jog nusikaltėliai negalėtų pasinaudoti organizacijos saugos spraga bei apsimetus tos organizacijos vartotoju atsiųsti kitiems darbuotojams elektroninius laiškus, skatinančius suaktyvinti kenkėjišką nuorodą ar suteikti jautrios informacijos. Tad programišiai gali apgauti ir pakenkti įmonei elementariu būdu, tiesiog pasinaudodami prastai sukonfigūruoto bendrovės elektroninio pašto tarnybos spraga.
Iššūkius apkartina rizikos
Kalbant apie apsisaugojimo būdus, nėra vieno teisingo kelio ar recepto, tinkančio visiems. Kita vertus, pasitaiko tam tikrų bendrų iššūkių. Pavyzdžiui, didelė dalis įmonių pandemijos metu buvo tiesiog priverstos skaitmenizuoti savo darbo vietas ir suteikti darbuotojams įrankius, įgalinančius bendradarbiauti nuotoliniu būdu. Visgi šiandien neretai tai apsiriboja vien vaizdo konferencijomis ir neišsivysto į realų bendradarbiavimą elektroninėje erdvėje. Bet paraleliai nuolat ieškoma būdų, kaip organizacijose pakelti produktyvumo lygį, o IT skyriuose – optimizuoti valdymo kaštus.
Todėl šiuo metu ryškėja dar dvi tendencijos – organizacijos aktyviai vertina galimybes kelti į debesiją naudojamus serverių resursus, verslo aplikacijas ir išnaudoti debesijos verslo analitikos galimybes bei pasirengti dirbtinio intelekto (DI) ateities projektams.
Nuo ko reikėtų pradėti kalbant apie saugų duomenų skaitmenizavimą arba kėlimąsi į „debesį“? Paprastai organizacijos pirmiausiai vertina savo veiklos optimizavimo ir produktyvumo poreikius beikaštus, susijusius su turimų IT resursų perkėlimu į „debesis“ ir tik priėmusios sprendimą keltis į debesiją, vertina ir saugumo klausimus.
Kita vertus, neretai pastebimas ir „lazdos perlenkimas“ į kitą pusę – įmonės viską patiki debesijai ir pamiršta, kad duomenų saugojimas yra pačios organizacijos atsakomybė arba reikia deramai apsaugoti ir vidinius resursus. Žinoma, šiandien kai kurios bendrovės vis dar nepasitiki debesijos sprendimais ir visiškai pervertina nuosavo duomenų centro saugą. Šiuo atveju teisingiausias kelias, kaip visada, yra per vidurį – reikia keltis į debesis, tačiau paraleliai rūpintis ir savo IT resursų apsauga, patikimumu, našumu bei priežiūra.
Dažnai pasitaikančios klaidos yra susijusios būtent su elementaria saugos higiena. Pavyzdžiui, serverių atnaujinimas, jų palaikymas, bereikalingų privilegijų suteikimas darbuotojams, dviejų faktorių autentifikacijos apsaugos nenaudojimas, taupymas stebėsenos sąskaita ir t. t. Bet ko gero didžiausias iššūkis ir iš jo kylančios rizikos yra vidinių procesų ir procedūrų – ypatingai realios grėsmės atveju – nebuvimas.
Kol kibernetinės atakos apsimokės – jų tik daugės
Vienas rizikingiausių dalykų šiomis dienomis yra galvoti, kad kibernetinės atakos pasiekė piką ir ateityje jų mažės. Naivu būtų tikėtis, kad su naujomis technologijomis neatsiras ir naujų rizikų. Pavyzdžiui, šiuo metu vis labiau populiarėja vadinamoji „deepfake“ technologija, kai pasisavinama asmens vizualinė tapatybė. Todėl jau dabar galime sumodeliuoti labai grėsmingų situacijų, kai nuotoliniu būdu surengtame įmonės valdybos posėdyje sudalyvaus dirbtinio intelekto valdomas botas.
Žinoma, šiuo metu tai dar tik pati pradžia, bet analitikai šią grėsmę jau įtraukia į savo ataskaitas ir potencialių rizikų sąrašą. Taip pat specialistai kaip grėsmę įvardina ir daiktų interneto saugumo grėsmes, kurios vis dar nėra pilnai suvokiamos. Todėl ir matome pranešimus apie įsilaužimus į vienos ar kitos pasaulio savivaldybės kritinės infrastruktūros tinklus (vandentiekio, išankstinio perspėjimo sistemas), o pagaliau ir į automobilių vaizdo kameras ar pan. atvejus. Prieš tai aptartas Floridos vandentiekio išpuolis yra būtent toks pavyzdys.
Taigi, programišių atakų ar jų bandymų daugės ir ateityje. Be to, viską lems ir ekonominis aspektas: ar laiko ir kaštų kaina bus priimtina daryti tokias atakas, o gal tikimybė būti pagautam taps per didelė ir todėl paprasčiausiai neapsimokės daryti nusikaltimo? Čia, kaip ir bet kurioje kitoje srityje, nusikaltėliai pirmiausiai vertina riziką ir galimą naudą, o nebaudžiamumas gali tik paskatinti daryti nusikaltimą. Todėl viešumas, nusikaltimų išaiškinimas ir adekvatus teisinis atsakas, kartu su techninėmis apsaugos ir stebėsenos priemonėmis, gali padėti suvaldyti šią situaciją ateityje.
O pačios įmonės, be protingos savo IT resursų priežiūros bei apsaugos tiek „debesyje“, tiek ir savo serveriuose, turėtų orientuotis į nuolatinį darbuotojų švietimą, mokymus ir proaktyvius patarimus. Svarbiausia užduotis šiandien – kad vartotojai sugebėtų patys atpažinti grėsmę ir žinotų kaip turėtų elgtis konkrečioje situacijoje.
