Kibernetinės saugos ekspertai rėžia tiesiai: išpirka yra blogiausia įmanoma investicija, po kurios įmonės lieka ir be pinigų, ir be duomenų, o hakeriai už gautus pinigus perka dar galingesnius įrankius kitam puolimui.
Hakeriai nebesirenka: Lietuva jau nebe saugi zona
Ilgą laiką Lietuva buvo laikoma saugia užuovėja nuo kibernetinių nusikaltėlių, tačiau situacija pasikeitė iš esmės. Kibernetinės saugos ekspertų asociacijos (KSEA) duomenimis, kibernetinių incidentų skaičius šalyje per pastaruosius metus išaugo net 63 proc. KSEA narys Arūnas Girdziušas pabrėžia, kad Lietuva nebėra „saugi zona“.
„Nusikaltėliai vis dažniau įtraukia Lietuvą į savo taikinių sąrašus. Šalyje aptikta daugiau nei 6700 pažeidžiamų sistemų rodo reikšmingą saugumo spragų mastą. Ypač pažeidžiami –kritinės infrastruktūros sektoriai, naujos Lietuvoje besikuriančios užsienio įmonės, valstybinės įstaigos ir universitetai“, – teigia jis.
Pasak ekspertų, mitas, kad hakeriai domisi tik didelėmis ir žinomomis organizacijomis, seniai nebeatitinka realybės. Mažos ir vidutinės įmonės dažnai tampa automatizuotų masinių atakų aukomis, nes jų saugumas silpnesnis, o apsaugai skiriami mažesni resursai ir dėmesys.
„Šiandien visos Lietuvos įmonės hakerių sąrašų eilėje. Klausimas ne „ar pas mus įsilauš“, o „kada tai įvyks“ ir „ką darysime, ar esame pasirengę“. Hakeriai jau veikia kaip verslininkai – automatizuoja savo veiklą, nuolat skenuoja įmones, ieško pažeidžiamumų ir, radę, jais pasinaudoja“, – sako IT priežiūros bendrovės „Altic IT“ vadovas Marijus Strončikas.
Sumokėjo – bet neatgavo: kodėl išpirka nieko negarantuoja?
Tiek pasaulyje, tiek Lietuvoje populiarėja vienas pavojingiausių kibernetinių incidentų – vadinamosios „ransomware“ atakos, kai įmonių duomenys užkoduojami ir prašoma išpirkos už jų atkūrimą. Sumos gali svyruoti nuo keliasdešimt tūkstančių iki milijonų eurų.
„Globaliai maždaug kas trečia įmonė pasirenka mokėti išpirką, o gamybos įmonėse šie skaičiai gali siekti ir iki 51 proc., tačiau tai nėra garantija, kad jos atgaus duomenis. Dažnai atkūrimas būna tik dalinis, failai sugadinami negrįžtamai, o nusikaltėlių suteikti raktai tiesiog nesuveikia. Be to, įmonėms tai tampa milžiniška teisine bėda – mokėjimas gali būti traktuojamas kaip nusikalstamos veiklos finansavimas, kurį vėliau labai sunku paaiškinti mokesčių inspekcijai“, – įspėja A.Girdziušas.
Pasak jo, pasitaiko ir situacijų, kai įmonės moka ne vieną kartą. Pirmiausia prašoma sumokėti už duomenų atkūrimą, vėliau – už jų neviešinimą, o kartais reikalaujama papildomų sumų dėl naujai rastų jautrių duomenų.
„Esame matę atvejų, kai tokios atakos sustabdo įmonių veiklą kelioms dienoms ar net savaitėms – nebeveikia užsakymų sistemos, nepasiekiami klientų duomenys, stringa atsiskaitymai, o kai kuriais atvejais darbuotojai negali dirbti apskritai. Todėl įmonės, norėdamos kuo greičiau atstatyti veiklą, renkasi mokėti išpirkas. Tačiau tokiu būdu jos ne tik dažnai neatgauna duomenų, bet ir finansuoja nusikaltėlių veiklą“, – sako M.Strončikas.
Kiekviena išpirka finansuoja kitą ataką
Ekspertai pabrėžia, kad „ransomware“ atakos jau seniai nebėra pavienių hakerių veikla. Tai – globali, gerai organizuota industrija, veikianti panašiai kaip įprastas verslas.
Veikia programuotojai, derybininkai, finansų specialistai ir net „pagalbos komandos“. Taip pat plačiai naudojamas vadinamasis RaaS („ransomware as a service“) modelis, leidžiantis atakas vykdyti globaliu mastu.
„Įmonių mokamos išpirkos tiesiogiai prisideda prie tokio verslo plėtros. Surinktos lėšos investuojamos į naujus įrankius, infrastruktūrą ir dirbtinio intelekto naudojimą atakose. Vienos įmonės mokėjimas finansuoja kitą ataką“, – teigia A.Girdziušas.
Pasak jo, būtent todėl oficiali rekomendacija išlieka aiški – išpirkų nemokėti ir bendradarbiauti su teisėsaugos institucijomis bei Nacionaliniu kibernetinio saugumo centru.
Trys kritinės klaidos, už kurias hakeriai lieps sumokėti
M.Strončikas pasakoja, kad dažniausiai kelias iki duomenų užšifravimo prasideda nuo, atrodytų, nekalto darbuotojo veiksmo – paspaustos nuorodos ar atidaryto prisegto failo. Kita dažna problema – neatnaujintos sistemos, silpni slaptažodžiai ir papildomų apsaugų, tokių kaip MFA autentifikacija, nebuvimas.
„Pagrindinės klaidos, dėl kurių įmonės atsiduria aklavietėje, yra trys: edukacijos trūkumas, kai suveikia žmogiškoji klaida, silpna technologinė sauga, dėl kurios nusikaltėliams tampa lengva įsilaužti, ir netinkama duomenų kopijavimo strategija, kai kopijos daromos per retai, nėra „atjungtos“ nuo tinklo, netestuojama, ar jos apskritai atsistato“, – sako M.Strončikas.
Ekspertai sutaria, kad efektyviausia apsauga prasideda dar prieš incidentą. Tarp svarbiausių priemonių įvardijamas darbuotojų edukavimas, MFA autentifikacija, stiprūs slaptažodžiai ir tinkamai parengtos atsarginės kopijos.
„Investicija į prevenciją visada kainuos nepalyginamai mažiau nei bandymas išsipirkti savo verslą iš nusikaltėlių rankų. Reikia suprasti, kad išpirka yra tik ledkalnio viršūnė – tikrieji nuostoliai prasideda su paralyžiuota veikla, prarastu partnerių pasitikėjimu ir klientų išėjimu. Tad saugumas šiandien yra ne prabanga, o būtina kasdienė higiena“, – apibendrina M.Strončikas.
