Nors vis daugiau įmonių įvertina kibernetinių incidentųpavojus, supratimas apie galimas grėsmes dar yra nepakankamas. Informacijos saugumu mažiau rūpinasi smulkios ir vidutinės įmonės, tačiau ir jos turėtų būti atsargesnės, nes į įmonės tinklą įsilaužiama vis paprasčiau – tereikia, kad į interneto naršyklę įdiegti abejotiną įskiepį arba naudoti „Adobe Flash“ programinę įrangą.
Šiuos ir kitus kibernetinio saugumo iššūkius įvardijo viena didžiausių pasaulio informacinių technologijų (IT) bendrovių „Cisco“, pristačiusi kasmetinį tyrimą „Cisco Annual Security Report 2016“.
Šiame tyrime akcentuojama, kad dvikova tarp kibernetinių įsilaužėlių ir saugumo specialistų tampa vis nuožmesnė ir abi pusės naudoja naujus „ginklus“. Kompiuterinių tinklų „gynėjai“ turi vis labiau pasitempti, nes „puolėjai“ tampa vis išradingesni.
Kokius pagrindinius saugumo iššūkius įvardija „Cisco“ specialistai?
- Smulkusis ir vidutinis verslas – ypač pažeidžiamas
Remiantis tyrimo duomenimis, smulkios ir vidutinės įmonės yra kur kas mažiau pasirengusios atremti kibernetinių užpuolikų atakas nei didelės korporacijos.
„Cisco“ apklausus įmonių atstovus didžiausiose rinkose, paaiškėjo, kad smulkių ir vidutinių įmonių vadovų mano, kad jie yra per maži taikiniai įsilaužėliams (taip mano beveik kas ketvirtas apklaustas verslininkas). Paaiškėjo, kad dažnai mažose įmonėse net nėra specialisto, kuris būtų atsakingas už informacijos saugumą.
Atsainus požiūris į grėsmes ir pernelyg didelis pasitikėjimas savimi lemia tai, kad daug verslininkų nėra linkę investuoti į saugumo sprendimus. Kai kuriose srityse rūpestis saugumu net mažėja.
Pavyzdžiui, 2014 m. interneto saugumo (web security) sprendimus teigė naudojantys 59 proc. įmonių, kai šiemet jų sumažėjo iki 48 procentų. Nors mobiliųjų įrenginių versle naudojama vis daugiau, mobilių įrenginių saugumo sprendimus naudojančių įmonių skaičius per kelerius metus sumažėjo nuo 52 proc. iki 42 procentų.
- Senstanti įranga nuo grėsmių neapsaugo
„Cisco“ pabandė išanalizuoti, kaip su saugumo uždaviniais susidoroja „Cisco“ įranga įvairių verslo sričių įmonėse. Iš viso buvo testuota 115 tūkst. įrenginių, vieną dieną analizuojant jų veiklą „iš išorės“.
Testo rezultatai parodė, kad net 106 tūkst. įrenginių susidūrė su programinės įrangos pažeidimais. Paaiškėjo, kad pagrindinė problemos priežastis – pasenusi ir neatnaujinta programinė įranga. Kai kurios programinės įrangos įmonės neatnaujino 3 ar net 6 metus.
Pasak „Cisco“, senstančios infrastruktūros problema yra didelė ir ateityje ji bus vis aktualesnė – juk ateinančiame „Daiktų interneto“ (Internet of Things) ar „Visa apimančio interneto“ (Internet of Everything) amžiuje tinklo saugumas įmonėms kritiškai svarbus.
Tyrimo autorių teigimu, įmonės turėtų reguliariai atnaujinti programinę įrangą ir aktyviai rūpintis saugumu – nelaukiant, kol bus įsilaužta į tinklą.
- Duomenų šifravimą (data encryption) naudoja vis daugiau įmonių, tačiau visko užšifruoti nepavyksta
Tyrime teigiama, kad pasiektas lūžio taškas, nes vis daugiau įmonių supranta, kad viena iš efektyviausių priemonių duomenų saugumui ir konfidencialumui užtikrinti yra duomenų šifravimas.
„Cisco“ atliktas tyrimas parodė, kad vis didesnę dalį interneto srauto dalį sudaro svetainės, kuriose duomenys yra specialiai užšifruoti (šifruotą svetainę išduoda naršyklės lange matomas spynos ženklas ir https:// priešdėlis prieš domeną).
„Cisco“ skaičiavimais, 2015 metų spalį HTTPS duomenų srautas sudarė 57 proc. viso interneto srauto, kai pernai sausį jis neviršijo pusės srauto (46 proc.).
Vis dėlto tyrimo autoriai pastebi, kad šifruodamos duomenis įmonės tarsi susikuria klaidingą saugumo pojūtį. Dažnai yra užšifruojama tik dalis informacijos, o likusi informacijos dalis, esanti vidinėse įmonės sistemose ar duomenų centruose, nėra užšifruojama. Būtent neapsaugota informacija ir tampa taikiniu įsibrauti į įmonės duomenų bazes.
- „Flash“, „Wordpress“ ir kitos saugumo spragos
Visi žino, kad iš abejotinų svetainių atsisiųsta programinė įranga gali būti vartai įsilaužėliams į įmonės tinklą. Tačiau „Cisco“ tyrimas pabrėžia, kad reiktų ypač atsargiai naudotis žinomų gamintojų programine įranga. Pavyzdžiui, „Adobe Flash“ technologija yra įdiegta daugelyje kompiuterių, tačiau pastaruoju metu „Flash“ aptikta daug saugumo spragų, kuriomis naudojasi programišiai.
Dėl neužtikrinamo saugumo „Flash“ technologijos atsisako tokios bendrovės, kaip „Google ar „Amazon“ (blokuojamos „Flash“ reklamos). „Cisco“ prognozuoja, kad ateityje šios technologijos naudojimas ir toliau mažės, o įsitvirtins alternatyvios technologijos, pavyzdžiui, sparčiai populiarėjanti HTML5.
Kita grėsmė – nesaugi svetainių turinio valdymo platforma „WordPress“. Šią populiarią platformą pamėgo interneto nusikaltėliai, kurie „WordPress“ sukurtas apgaulingas svetaines naudoja bankų ir kitų institucijų duomenims vilioti (phishing) ar ransomware kategorijos virusams platinti.
Galiausiai, „Cisco“ specialistai pataria atsargiai naudoti abejotinus interneto naršyklių plėtinius, kurie tyrime įvardijami pagrindiniu šaltiniu duomenų vagystėms. Dažnai tokie plėtiniai slapta fiksuoja jūsų veiklą kompiuteryje – lankomas svetaines, įvedamus slaptažodžius ar vargina jus nepageidaujame reklama.
BAIP: svarbu pasirūpinti net tik įranga, bet ir darbuotojų žiniomis
Pasak kritinės IT infrastruktūros įmonės BAIP vadovo Gyčio Umanto, kibernetinių incidentų kiekis pasaulyje sparčiai auga. Remiantis „Symantec“ duomenimis, naujų „nulinės dienos“ virusų (zero-day vulnerabilities) skaičius per metus išaugo 125 proc., o „phishing“ duomenų vagysčių – 55 procentais. Dėl įsilaužimų į kompiuterius pavogta ar prarasta bent 429 mln. informacijos vienetų. Be to, nustatyta, kad pažeidžiamumo problemų turi 3 iš 4 interneto svetainių.
Lietuva – ne išimtis. CERT-LT duomenimis, pastaruoju metu kibernetinių incidentų skaičius auga, o 40 proc. visų incidentų buvo susiję saugumo spragų turinčiais kompiuterių naudotojų tinklo įrenginiais. Ketvirtadalį visų incidentų sudarė kenkimo programinė įranga.
Nors didelio dėmesio sulaukė pastarosios DDoS atakos prieš Seimo ir Užsienio reikalų ministerijos svetaines, tačiau nusikaltėlių taikiklyje gali atsidurti kiekviena Lietuvos įmonė.
Tačiau jei valstybės institucijoms, bankams ir kitoms svarbioms organizacijoms kyla didesnė rizika dėl didelių ir koordinuotų kibernetinių atakų, mažesnių bendrovių problema – per menkai įvertinama kompiuterinių įsilaužimų grėsmė.
Pastebime, kad dar nemažai bendrovių nepasirūpina elementariais duomenų saugumo reikalavimais – pradedant ugniasienėmis, antivirusinėmis ar brukalų (spam) filtravimo programomis. Kita vertus, net ir moderniausia saugumo įranga nebus veiksminga, jei įmonės darbuotojai nesilaikys pagrindinių saugumo virtualioje erdvėje taisyklių.
Taigi, įmonės turėtų pasirūpinti, kad darbuotojai aiškiai suvoktų grėsmes ir laikytųsi taisyklių dėl slaptažodžių saugumo, naudojamos programinės įrangos, nerizikuotų atidarinėti įtartinus failus ir panašiai.
