Lygiai taip pat yra ir kompiuterijos pasaulyje: kol kompiuteris veikia gerai, retas vartotojas galvoja apie IT saugumą ir kompiuterinę higieną – į tai atsigręžia tik kai pats nukenčia, ar susiduria su žala artimame rate.
Tad apie visa tai – IT saugumą, vartotojų požiūrį į jį, naujų grėsmių tendencijas ir kitas IT saugumo temas Lrytas.lt kalbasi su „NOD Baltic“ vykdančiuoju direktoriumi Tomu Parnarausku.
– Vienas įsimintiniausių atvejų IT saugumo sektoriuje – jau bene pusę metų nerimstantis „Kaspersky Lab“ atvejis, kai įmonė kaltinama pernelyg glaudžiais ryšiais su valstybinėmis žinybomis. Kaip Jūs tai pakomentuotumėte, kaip IT saugumo specialistas?
– Na, mes paprastai to nekomentuojame. Viešoje erdvėje, internete galima rasti faktų – ir labiau patikimų, ir mažiau – kurie rodo vienokius ar kitokius informacijos persiuntimo atvejus. Vis dėlto, didžiausia rizika, mano nuomone, yra susijusi ne su konkrečia įmone, o su ideologija – tai yra, kiek kas gali paveikti įmonės kuriamus produktus ir jais pasinaudoti.
Ir tu nebūtinai turi būti klasikinis blogietis – bet tavimi gali pasinaudoti. Prisiminkime kad ir Eugenijaus Kasperskio atvejį, kai buvo pagrobtas jo vaikas ir išgelbėtas ne visai aiškiomis ir skaidriomis aplinkybėmis. Kitais žodžiais tariant, kai turi įremtą į galvą pistoletą, sunku pasakyti, ką darytum ar ko nedarytum.
Rusijos žvalgybos tarnybos garsėja kibernetiniu išprusimu. Niekas nesako, kad jie gali vieną dieną ateiti į ofisą, išguldyti visus ant grindų ir kažką padaryti, bet tai yra teorinė rizika, o visas teorines rizikas yra geriau valdyti.
– Ar tai reiškia, kad bet kokias kompanijas iš Rusijos reikėtų vertinti kritiškai?
– Prisiminkime virusą „NotPetya“, kuris labai smarkiai pakenkė Ukrainai. Jis buvo padarytas tiesiog tobulai. Ukrainoje naudojama viena programa, skirta bendravimui su mokesčių inspekcija, dokumentų apsikeitimams – ji naudojama 100% visose tos šalies įmonėse. Tad įsilaužus ir užkrėtus serverius, buvo paleista kenksminga programa, ir ji išplito – nes pati programa juk patikima, tai automatiškai pasitikima ir jos atnaujinimais.
Tokiu būdu per kelias valandas visa šalies infrastruktūra buvo paralyžuota – bankai, ligoninės, oro uostai, geležinkelis, metro, kasos aparatai, bankomatai.
Tai čia yra tų pačių rizikų pavyzdys, kai pati programa nėra bloga, bet jos paplitimas ir pažeidžiamumas gali sukelti rimtų pasekmių.
Kitas pavyzdys – Lietuvoje naudojamas „ABB Form Filler“. Niekas nesako, kad ji savaime bloga, per ją atiduodami duomenys Valstybinei mokesčių inspekcijai, „SoDrai“, ją naudoja kiekvienos įmonės buhalterija – bet juk ji yra Rusijos gaminys. Ir kur garantija, kad negalėtų pasikartoti Ukrainos atvejis?
Be to, juk programiniai produktai nebūtinai yra kažkokie monolitiniai dariniai – galima išleisti atnaujinimą būtent vienam kuriam regionui, ar nauju atnaujinimu pakeisti anksčiau buvusį, taip panaikinant visus požymius.
– Kaip tikrinamas programinės įrangos patikimumas? Juk kilmės šalis nėra pagrindinis faktorius? Ar vis dėlto yra?
– Programinės įrangos testai daromi ir priklausomose, ir nepriklausomose laboratorijose. Jas tikrina ir „Gartner“. Beje vertinami ir netikro pavojaus (angl. false positive) atvejai. Juk būna, kad kokia visiškai gerybinė programa, sukurta kad ir Lietuvoje, tarkime, patikimam duomenų trynimui, gali būti palaikyta piktybine, nes techniškai ji gali atlikti tuos pačius veiksmus, kaip ir piktybinė.
Vis dėlto manau, renkantis produktą, visada verta atsižvelgti ir į gamintoją. Štai pavyzdžiui, „ESET“ yra kuriamas Europoje – tad Europa gali ir kontroliuoti, prižiūrėti, matyti, kaip viskas veikia.
Iš kitos pusės, žmonės juk renkasi racionaliai – kas yra pigiau, kas yra brangiau. Bet kalbant apie kainos faktorių, kaip žinia, programavimas nėra mažiausiai apmokama specialybė, tad jų darbas, programinės įrangos kūrimo darbai ir kainuoja. Tuo tarpu nemokami sprendimai praktiškai yra testavimo bazė tiems patiems mokamiems sprendimams, tad galiausiai renkiesi iš to, ar labiau nori būti bandomuoju triušiu ir stebėti, ar apsauga suveiks, ar nesuveiks – ar renkiesi mokamą versiją su gerokai sumažinta rizika.
– Tad teigiate, kad visi nemokami IT apsaugos sprendimai yra rizikingesni?
– Besirenkantys nemokamus produktus neįvertina, kas ir kuo už produktą moka. Nes kaip ir visur kitur versle, taip ir čia – tu esi arba prekė, arba pirkėjas. Arba – ar tu nori matyti ne tik portalų rodomas reklamas, bet dar kad tau cypsėtų, pypsėtų ir grotų dar ir antivirusas? Ar nori ramiai ir netrukdomas dirbti savo darbus, net nepastebėdamas, kad turi IT saugumo sprendimą?
– Gerai, pakalbėkime apie bendrą lietuvių IT higieną. Kaip vertintumėte jos lygį?
– Lapkričio mėnesį darėme apklausą, tyrimą apie tai, kaip žmonės naudojasi antivirusine programine įranga. Labiausiai nuliūdino tai, kad 40% respondentų šiuo klausimu išvis nieko negalėjo pasakyti. Tenka konstatuoti, kad daugeliui Lietuvos vartotojų tai yra tolimas ir svetimas dalykas. Bet tai yra visai suprantama – juk dabar yra nemažai senjorų, kurie naudojasi kompiuteriais, bet technologijos savaime jiems yra tolimas ir sunkiai suprantamas dalykas.
– Bet juk ir nelabai adekvatu būtų tikėtis, kad senjoras imtų lyginti, testuoti, specialiai rinktis IT sprendimus?
– Todėl yra labai geras dalykas, kai bibliotekos, kitos viešos prieigos užsiima IT švietimu. Be to, tyrimai rodo, kad IT klausimais senjorai dažniausiai kreipiasi į šeimynykščius ar pažįstamus, kurie daugiau patyrę technologijose – anūkus, vaikus ir t.t.
– Ar verslas, parduodantis kompiuterius, čia nerodo iniciatyvos – pasiūlydami, leisdami pasirinkti iš galimų IT saugumo variantų?
Jei verslas, parduodamas kompiuterį pirkėjams, nuteiktų pirkėjus, kad kompiuteriui reikia ne tik procesoriaus ir operacinės sistemos, bet ir apsaugos, pačiam verslui būtų geriau. Bet šiuo metu turime pavyzdžių, kaip parduotuvės salės darbuotojas, parduodantis kompiuterį, dar konsultuoja ir fotoaparatų bei televizorių klausimais – tad vargu ar verta tikėtis iš jo plačių visų sričių žinių, kad jis paaiškintų skirtumus tarp skirtingų saugumo sprendimų.
Todėl, nors ir stengiamės edukuoti tokius pardavėjus, vis dėlto man atrodo naudingiau, kai pats gamintojas įdiegia IT saugos sprendimą į naują kompiuterį.
– Kaip atsakytumėte į tokį klausimą: kam paprastam žmogui, o ypač – senjorui – išvis specialiai rūpintis savo IT saugumu? Jei jis neturi jokios gyvybiškai būtinos informacijos, o svarbiausia informacija jo kompiuteryje – anūkų nuotraukos, kurias, reikalui esant, vaikai galėtų dar kartą atsiųsti?
– Kažkada, Nepriklausomybės pradžioje Kaune būdavo populiarus toks „verslas“: nugvelbi automobilį, ir skambini jo savininkui – „laba diena, jums kartais nereikia jūsų automobilio“? Šiais laikais lygiai taip pat elgiasi kriptovirusai, kurie įkaitais paima duomenis ne tam, kad jų reikėtų pagrobėjui, o tam, kad jie brangūs vartotojui.
Mums dažnai atneša kompiuterius, kuriuose ar standusis diskas sugriuvęs, ar duomenys viruso užšifruoti – ir prašo atstatyti. Ten kartais būna studento kursinis darbas, kartais laisvai samdomo, iš namų dirbančio buhalterio duomenys, o gal fotografo fotoarchyvas. Būna, ir įmonės atneša.
Čia kaip su danties skausmu – kol neskauda, tol apie tai nė nesusimąstai, kol duomenų neprarandi, tol nė negalvoji, koks bus stresas supratus, kad viską praradai. IT saugumo sprendimas yra apsidraudimas nuo to, minimizuojantis riziką.
O senjorai patenka dar ir į kitą kategoriją. Gerai, jei jie gyvena didmiestyje, kur kompiuterių taisyklų pilna. O kas, jei vieni gyvena kaime ar miestelyje, ir kompiuteris jiems – vienintelė ryšio priemonė su toli esančiais artimaisiais? Juk yra daug atvejų, kai artimieji išvykę į artimą ar tolimą užsienį, o pažįstamų žmonių, specialistų nėra. Vaikas iš Londono meistro neatsiųs.
Be to, ne kiekvienas IT specialistas ir imsis taisytis kokios senutės kompiuterį, kuriam jau 10 metų ar daugiau. Ir dar – remontas kainuoja žymiai daugiau, nei apsauga. Apsauga – tai keli eurai per mėnesį, o taisymo darbai, perinstaliavimas, duomenų atstatymas ir kita gali kainuoti net ir šimtus.
Žodžiu, duomenų praradimas yra tik vienas iš aspektų. O kas, jei pavyzdžiui, dėl viruso ir jo įtakoto gedimo nespėji laiku dar ir mokesčių sumokėti?
– O kokia padėtis yra versle? Čia vartotojai turėtų būti labiau išprusę ir suinteresuoti?
– Lietuvoje yra daug įmonių nukentėjusių nuo sukčių, kurie parašo laišką paprastuoju būdu tiekėjui, kad atseit pasikeitė mano sąskaita ir dabar apmokėk visas sąskaitas į naują sąskaitą – ir buhalterė vieną kitą pavedimą atlieka.
Tai yra tas elementarus socialinės inžinerijos dalykas – dėl ko aš visada sakau, kad vien antiviruso neužtenka. Nes antivirusas to nepagaus – reikia iš šiukšlių filtrų, kurie turi galimybę atpažinti pagal įvairius požymius – siuntimo dažnį ir t.t., krūva algoritmų ten veikia padeda.
Verslo įmonėms mes darome mokymus, ir vienuose tokiuose atlikome eksperimentą. Generalinio vardu, iš jo „Gmail“ nusiuntėme laišką aukščiausio lygio vadovams, kad 8 val. ryto, salėje visi susirenkame, visų padalinių vadovai – nes bus svarbus kritiškai pranešimas, kuris pakeis įmonės tolimesnę ateitį. Truputį pafantazavome, truputį prikūrėme spaudimo ir išsiuntėme iš „Gmail“.
Tai tikrai gavome daug velnių už tokį pokštą, bet į kitą panašų įmonės darbuotojai jau nebereagavo. Reiškia, pamoka buvo išmokta.
– Jūsų, kaip specialisto patarimas – ką daryti, jei įmonė užfiksuoja kibernetini incidentą?
– Pirmas dalykas – paprastam, nepatyrusiam vartotojui svarbu neliesti kompiuterio. Nes dažnai būna, kad darbuotojas bando aiškintis pats – arba toliau dirba ignoruodamas incidentą. Tokiu būdu informacija užrašoma ant viršaus ir tampa nebepasiekiama, kai prireikia tyrimui. Jeigu jau kažkas atsitiko – išjungti tą kompiuterį ir palieki ramybėje, kol specialistai ateis.
Antra – pranešti apie tai įmonės IT ūkiui, specialistui. Turėtų būti informuotas ir įmonės vadovas- kadangi jis yra atsakingas už visą duomenų nutekėjimą ir GDPR (angl. General Data Protection Regulation, liet. Bendrasis duomenų apsaugos reglamentas, red. past.).
Trečia – reikėtų pranešti RRT ir e-policijai. Net jei jūsų atvejo galiausiai ir neištirs, padėties neišgelbės, bet galbūt imsis priemonių viso tinklo mastu ir užtikrins, kad kitiems to nebenutiktų.
– Šiais laikais dauguma turi ir dar vieną įrenginį – kuris irgi yra kompiuteris, bet iš įpročio dar vis laikomas telefonu. Kaip pakomentuotumėte išmaniųjų apsaugos lygį?
– Ten apsaugą išvis mažai kas naudoja – nors telefonais šiais laikais atliekame ko gero nemažiau funkcijų, nei su kompiuteriu.
O juk pavyzdžiui, retai kas susimąsto, kad telefonas gali būti pati geriausia blakė, kad galima sužinoti, kas kur naršo internete – tam pilna įrankių, iš esmės pakanka aukai nusiųsti SMS žinutę. O motyvų tam, net ir paprastiems žmonėms – per akis: panikos priepuolis, pavydus vyras ar draugė.
– Šiemet RRT skelbta ataskaita rodo, kad virusų aktyvumas praėjusiais metais buvo 10% didesnis, nei anksčiau. Čia gera žinia ar bloga? Daugiau jų sugauname, ar auga virusų kiekis?
– Atakų skaičius auga eksponentiškai. Laboratorijose aptinkama ir ištariama milijonai virusų versijų, atmainų ar unikalios žalingos programinės įrangos.
Tie 10% rodo, kad kad vis dėlto Lietuvos gyventojų bent iš dalies naudoja gerus apsaugos sprendimus ir mažiau papuola į incidentus. Bet kaip mėgstu sakyti – pereiti bet kurią pagrindinę Vilniaus gatvę viduryje miesto anksčiau būdavo pakankamai saugu, nes važiuodavo vos vienas kitas automobilis. Dabar kokioje Geležinio Vilko gatvėje eismas juda trim juostom, tad pereiti gatvę neužkliudytam yra jau daug sudėtingiau. Su virusais yra panašiai – kai yra vienas, kitas, trečias – tada dauguma apsaugos nenaudoja tokios. O va čia ir galima prisiminti garsųjį Černobylio virusą, kuris 2000-aisias sukėlė tikrą epidemiją.
– 2016 metų rudenį elektroninį pasaulį sukrėtė „Dyn“ kiberataka, ir kaip paaiškėjo netrukus – jos įvykdymui buvo pasitelktas daiktų internetas. Ar pasaulis iš to pasimokė? Ar dabar kuriami IT saugumo sprendimai daiktams, kurie jungiasi prie interneto?
– Taip, daiktų internetas – galima sakyti, dar viena atakų rūšis.
2017 m. buvo aptiktas vienas virusas, kuris kiberatakoms naudojo interneto kamerų procesorius, nes kameros neturėjo apsaugos.
Šiais laikais mes jau siūlome antivirusinę programą televizoriams. Nes net jei ir apkarpyta, išmaniajame televizoriuje vis tiek yra operacinė sistema, procesorius, atmintis. Išmaniuoju televizoriumi jungiamės prie interneto, naršome puslapius, žiūrime srautines transliacijas.
O juk tinklalapyje gali būti įdėtas piktybinis programos kodas, kuriuo galima įsakinėti įrenginio procesoriui, valdyti patį įrenginį.
Daiktų internetas yra sritis, apie kurį girdėsime vis daugiau – ir išgirsime visokių naujų, sofistikuotų jo panaudojimo būdų. Elektrinės turbinų stabdymas pasinaudojant jų programiniais valdikliais, šviesoforų kontrolės perėmimas – tai tik keli galimi pavyzdžiai.
Ir jei kiekvienam įrenginiui atskiro IT sprendimo nėra, tai egzistuoja tinklo stebėsenos produktai – kurie stebi vartotojo tinklo srautus, jų augimą ir kitimą. Tokie gali įspėti, tarkime, kad srautas iš interneto kameros staiga išaugo, tad ženklas, kad galbūt ne tu vienas ja naudojiesi. Gal kaimynas retkarčiais pasižiūri, kas tavo miegamajame dedasi, o gal kamera „Bitkoinus“ kasa.
Iš tiesų, pasakojame kaip anekdotinį atvejį, bet esame aptikę ir tokią žalingą programinę įrangą, kuri įsijungia tada, kai telefonas prijungiamas krautis, kasa kažkam kriptovaliutą, o kai atjungi telefoną nuo srovės – išsijungia, kad nepastebėtum. Sumąstyta gerai: paėmei ryte telefoną, jis toks truputį šiltas? Na bet čia juk nuo krovimosi visą naktį, ar ne? O paskui paaiškėja, kad ne nuo krovimosi.
– Kokia dabar padėtis su vadinamaisiais botnetais?
– Jie mutavo. Anksčiau tai buvo „kompiuterių zombių“ tinklai – t. y. bukai darydavo tai, kas liepiama, ir viskas. Dabar jau linkstama tai vadinti „spiečiais“ – nes dabar tokiame užkrėstame tinkle esantys kompiuteriai mokosi vienas iš kito.
Tokius pirmuosius aptikome tik šiemet. Ir tokius aptikti – gerokai sunkiau. Nes tradicinį „zombių tinklą“ galima aptikti pagal tai, kad daugybė įrenginių bendrauja su vienu – centriniu – kompiuteriu.
Tuo tarpu „spiečiai“ yra decentralizuoti. Jie veikia kaip torrentai, kaip blokų grandinės (angl. blockchain). Aptikti tokį – nepalyginamai sunkiau.
– Pakalbėkime apie IT saugumą ir etiką. Prieš keletą mėnesių Lietuvoje nuskambėjo atvejis, kai moksleivis aptiko saugumo spragą elektroniniame dienyne ir paviešino patį spragos buvimo faktą. Tarp straipsnio komentuotojų buvo tokių, kurie teigė, kad žalą padarė ne dienyno kūrėjai, bet pats moksleivis – nes jis sąmoningai pasinaudojo skyle. Kokia Jūsų nuomonė šiuo klausimu?
– Teoriškai, moksleivis žalą padarė – žinyną prižiūrinčios įmonės reputacijai, ir jie gali į tai apeliuoti. Bet iš kitos pusės – kodėl niekas netiria, kokią žalą padarė dienynas, kuris tinkamai neapsaugojo duomenų.
Neabejotinai, mokyklos turėtų rinktis kitą paslaugų teikėją – nes čia elementari neatsakingumo demonstracija – beje, tos pačios klaidos, kaip ir buvusios rinkimų komisijos puslapyje.
Be to, čia dar ne mažiau kaltos ir tos institucijos, kuri tikrino ir priėmė tą daiktą, lygiai taip pat, kad nesužiūrėjo tokius dalykus.
– Lietuvoje veikia kibernetinio saugumo treniruočių erdvė „CyberGym“, kur IT specialistai gali išbandyti savo jėgas ir lavintis simuliuojamoje aplinkoje. Ar ką nors tokio siūlo ir ESET?
- „CyberGym“ yra virtualistų imituota aplinka, maksimaliai artima aplinkai ar ne? Ir ten tada tave puola, o tu realiai giniesi. Vyksta treniruotė – tarsi karate. Eini į treniruotę konkrečią valandą, dirbi.
Bet tu uždarei duris ir tu esi realiame gyvenime – o ten jau kiek sportininkų yra nukentėjusių nuo elementarių chuliganų. Ir nesvarbu, kiek esi valandų praleidęs sporto salėje, sutikus kokį išgėrusį pilietį, jis neįspės, kad va, aš tau dabar pilsiu į šoną.
Mes taip pat organizuojame mokymus, bet dalyviams nesakome kada, ką ir kaip darysime. Tada kovinė parengtis yra labiau realistiška. Mes susitariame dėl žaidimo taisyklių, ką norime pratestuoti, kokias savybes praugdyti – bet ataka daroma bet kada, kada tik mums šauna į galvą, mūsų sugalvotu būdu. Tad šiuo atveju ta kovinė parengtis yra labai reali gyvenimo situacijose, nes mes įtakojame klientų infrastruktūrą, jų žmones, pavyzdžiui, pietų metu. Nes tada kai bus realus pavojus, niekas nesakys – „dar palauk 5 minutes po pietų, tada mes jau čia pulsim“. Tad šiuo aspektu mūsų treniruotės yra mažiau dokumentuotos, bet suformuluojamas tikslas ir mes realiai parodome pažeidžiamus – ir ką realiai galime padaryti.
– Iki šiol kalbėjome apie grėsmės. Bet pabaigai – negi Lietuvoje nėra ir kažkokių teigiamų IT saugumo sektoriaus aspektų?
- Yra. Kartais aš juokiuosi – IT saugumo atžvilgiu Lietuvos pranašumas yra jos geografija.
Kriptovirusai yra juodasis verslas. Tyrimai yra parodę, kad visokia žalinga programinė įranga ir kriptovirusai generuoja tiek, kiek prekyba heroinu, kokainu ir visais kitais narkotikais kartu sudėjus.
Šitame juodosios programinės įrangos versle yra programuotojų, dirbančių pilnu etatu. T.y. taip – internete galima prisirankioti visokių jau pagamintų įrankių, bet kad tikrai apeitum naujausius IT sprendimus, reikia gerų IT saugumo žinių.
Šioje juodojoje rinkoje norint pelno, veikti reikia žaibiškai – nes tuoj pat gi kuriami antivirusų atnaujinimai, lopomos skylės. Ir taikomais dažniausiai į tuos žmones, kurie tuo metu kompiuteriu dirba – ir kurie turi pinigų. Taigi, taikiniu dažniausiai tampa Amerika.
Bet kai Amerikoje yra diena ir dirba kompiuteriai, kyla kriptoepidemijos, Lietuvoje tuo metu yra naktis, vartotojai nėra prie kompiuterių – tad mus gelbsti lokacija. O iki lietuviško ryto jau sulaukiame ir atnaujinimų.
Vis dėlto, kažkiek jų prasprūsta ir pas mus. Ir ryšių reguliavimo tarnyba skelbia oficialius duomenis, surinktus žmonių, kurie kreipiasi – bet juk kiek yra žmonių, įmonių, kurios nesikreipia.
