– Kokius sukčiavimo būdus dabar dažniausiai taiko nusikaltėliai?
– Yra keli principai. Visų pirma, nusikaltėliai visai neblogai išmano psichologiją, naudoja staigumo faktorių, kai prašo kažką padaryti kuo greičiau. Žmogus tada pasimeta, patiria stresą ir greitai atlieka prašomą veiksmą. Kitas dalykas – naudojama įtikinama informacija. Apie save internete juk pasakojame absoliučiai viską – kur lankomės, kur dirbame, ką veikiame, tad piktavaliams, jei jau pasirinko jus, visai nesudėtinga surinkti informaciją, kurios užteks apgaulei. Dar vienas dalykas – subordinacijos faktorius, tokio tipo atakos net vadinamos direktoriaus laišku, kai surinkus tam tikrą dalį realios informacijos siekiama paveikti ir apgauti. Pavyzdžiui, gaunate laišką iš direktoriaus, jog jūsų naujam partneriui reikia pervesti tam tikrą sumą pinigų iki vakaro, prašoma tą atlikti kol direktorius iki 17 val. bus verslo derybose. Bėda ta, kad buhalterė žino, kad direktorius išties iki 17 val. bus derybose. Taigi, čia veikia trys dalykai: greitis, tikra informacija ir autoritetas, nes laiškas gautas iš vadovo. Tokiu atveju mūsų kritinis mąstymas dažnai būna „išjungtas“ ir nepatikriname informacijos – užtektų tik parašyti direktoriui laišką ir perklausti, jei kyla įtarimų.
– Iš kokių ženklų galima suprasti, kad gavome sukčiaus žinutę? Kaip apsisaugoti?
– Pirma ir esminė taisyklė – nieko nedarykite čia pat ir iš karto. Nieko nereikia spausti ar daryti, reikia šiek tiek atsitraukti nuo tos informacijos. Sukčiai bando mus užtikti psichologiškai nepasiruošusius, nesvarbu, ar gavome laišką, ar skambutį vidury nakties. Bloga žinia mums yra ta, kad piktavaliai jau gali pasinaudoti dirbtinio intelekto įrankiais, kurie labai kokybiškai išverčia tekstą, tad vis mažiau atvejų, kai gauto laiško ar žinutės tekstas yra netvarkingas, su klaidomis. Jei perskaitėte laišką, jog gavote siuntą, atkreipkite dėmesį apie kokią siuntų tarnybą kalbama, ar ji išvis veikia Lietuvoje? Ar siuntėjo pavadinimas ir el. pašto adresas sutampa? Užvedus pelytę ant nuorodos, bet jos nepaspaudus – pamatysite tikrą kelią iki tos svetainės vietos, į kurią jus nori nuvesti siuntėjas, tad jei matote, kad nuorodos pavadinimas nesutampa – tai iš karto ženklas, kad kažkas čia ne taip. Galiausiai, tiesiog paskambinkite į siuntų įmonę ir paklauskite, ar galėjote gauti tokį laišką, ar jums yra siuntinys.
– Paminėjote dirbtinį intelektą. Kaip jis pasitarnaus ateityje sukčiaujant, arba atvirkščiai – apsisaugant nuo sukčių?
– Jau esu matęs ne vieną startuolį, kuris naudodamas dirbtinį intelektą iš įvairiausių interneto kampelių surenka visą informaciją apie mus. Juk viskas, ką dedame į internetą – lieka, nesvarbu, kiek metų praeina. Tad šiandien jau kuriami produktai, kurie surenka tokią informaciją ir tą daro žymiai greičiau nei tai galėtų padaryti žmogus. Sugeneruojama tarsi ataskaita apie asmenį, kurioje matyti, kur jo stipriosios ir silpnosios pusės, ką jis mėgsta ir panašiai. Taigi, jei esu pardavėjas, man ši ataskaita gali labai pasitarnauti siekiant sudaryti gerą pirmąjį įspūdį ir parduoti savo prekę ar paslaugą. Esu matęs tokią ataskaitą apie save, kuri tikrai gana tiksliai sudaryta. Sakytum, kas čia tokio blogo? Ataskaitoje pateikiami ne tik pozityvūs dalykai, kiekvienas mūsų kažko nemėgsta, kažkur yra paslydę, galbūt mūsų duomenys yra kažkur nutekėję. Visa tai sujungus atsiranda erdvės veikti piktavaliams: reikalauti pinigų, šantažuoti ar sugadinti reputaciją.
– Vis dažniau jungiantis įvairiose paskyrose reikia biometrinių duomenų. Kokias čia rizikas matote?
– Nežinau, ką reikėtų daryti, kad mūsų biometriniai duomenys nepakliūtų ar mažiau pakliūtų į skaitmeninę erdvę, nes ir dabar mūsų nuotraukos ar vaizdo įrašai yra skaitmeninėje erdvėje, kokybė yra pakankamai gera, tad veido bruožus nuskaityti nėra sudėtinga. Jau nekalbu apie programėles kaip, pavyzdžiui „FaceApp“, kuri vienu metu buvo labai populiari. Programėlė nuskanuodavo veidą ir jį pasendindavo, o kadangi kameros telefonuose yra labai galingos, tai tuo pačiu ir rainelė bei veido bruožai labai tiksliai perkeliami į debesį, o kas tada jų savininkas, tai niekas nežino. Tiesa, atlikus tyrimą, paaiškėjo, kad tai – rusų programuotojai, kurie tą aplikaciją sukūrė. Tad jei naudojote šią programėlę – jūsų veido biometriniai duomenys jau yra ten, o jei telefoną atrakinėjate veidu ar akies rainele atidarote duris, tai piktavaliams ne taip sudėtinga tuos biometrinius duomenis gauti.
Tad reikia labai atidžiai žiūrėti, kokias programėles naudojate ir kaip leidžiate joms elgtis su savo duomenimis. Taip pat ir piršto antspaudas, kurį naudojame telefonui atrakinti. Tyrimo metu, kur buvo analizuojami Kinijoje pagaminti 5G telefonai, buvo nustatyta, kad kai kurios programėlės iš kiniškos parduotuvės atkeliauja jau su virusais. Tai reiškia, kad jie telefone gali daryti ką tik nori: prieiti prie įvairiausių nustatymų, aparatinės įrangos, kameros, mikrofono, slaptažodžių ir t.t. Tokiu atveju ir tą piršto antspaudą galima pavogti, o čia ir vėl turime iššūkį, jei, pavyzdžiui, savo seifą ar biuro duris atrakiname piršto antspaudu.
– Ką kiekvienas turime padaryti, kad būtume saugesni ir mūsų paskyros nepagrobtų?
– Pirmas dalykas, nenaudoti to paties slaptažodžio visur. Suprasti, kad pašto sistemoje turėtų būti vienas slaptažodis, o jungiantis prie soc. tinklų – kitas. Taip pat slaptažodžio kompleksiškumas – kuo jis ilgesnis ir sudėtingesnis, tuo sunkiau piktavaliui atspėti. Pavyzdžiui, rašykite ne „slaptažodis“, o „$l@pt@zod1$“ – tai ir pakankamai ilgas, ir su simboliais, ir lengvai įsimenamas slaptažodis. Galite naudoti ir kelių žodžių junginius. Kitas dalykas, ir, manau, jis būtinas tiek el. pašte, tiek soc. tinkluose – įjungti 2 faktorių autentifikavimą. Tai reiškia, kad net jei ir kažkas nužiūrės slaptažodį ar sugebės atspėti, vis tiek negalės įeiti į jūsų paskyrą, nes būsite ją sujungę su savo telefonu, kurio piktavaliai neturi. Ir tai nėra sudėtinga, kiekvienas be specifinio ar gilaus žinojimo gali tai susikonfigūruoti ir tai gali išgelbėti paskyrą, duomenis ir gal net verslą, jei kalbame apie paskyras su keliasdešimt tūkstančių sekėjų.
– Vis dažniau girdime apie kibernetines atakas, neseniai apie ataką skelbė vienas universitetas, dar didesnę ataką patyrė Vilniaus rajono savivaldybė. Ar tai neapdairumas ir nepasiruošimas atakoms, ar vis dėlto sukčiai tiek ištobulėjo, jog nuo atakų pilnai apsisaugoti tiesiog neįmanoma?
– Ko gero, yra ištisas kompleksas. Iš vienos pusės, institucijos tikrai neskiria pakankamai dėmesio kibernetiniam saugumui. Iš kitos pusės – nusikaltėliai dieną ir naktį ieško silpnų vietų, tikrina mūsų kompiuterių tinklus, ar juose nėra kažkokių spragų, nes juk žmogus kuria visą įrangą, o kai kuria, tai ir klaidų palieka, tad kitam žmogui tereikia jas surasti. Tai sakyti, kad yra tiek pinigų ir tiek žmogiškųjų resursų, kad galima pilnai apsisaugoti, nebūtų tiesa. Vis tiek yra tikimybė, kad įsilauš į mūsų tinklą, į tarnybinių stočių vidų ar užšifruos duomenis, juos pavogs, ar tiesiog padarys netvarką. Dėl to ypatingai svarbi elementari IT higiena darant rezervines kopijas. Ir čia svarbu pasakyti, kad reikia ne tik padaryti kopiją, bet ir būtinai patikrinti, ar ją galima atstatyti. Teko susidurti su atvejais, kuomet po sudėtingos kibernetinės atakos net ir iš esamų kopijų duomenų nepavyko atstatyti, nes duomenys nekorektiškai įsirašė, negalėjo būti atstatytos į kitą technologinę erdvę ir panašiai. Svarbu suprasti, kad vis tiek yra įsilaužimo tikimybė ir reikia pasirūpinti veiklos atstatymo planu.
– Kokius žingsnius turėtų padaryti verslas? Ko gero, darbuotojų apmokymas čia vaidina svarbų vaidmenį? Gali sudėti visas apsaugas, o darbuotojas paspaus tą „direktoriaus“ atsiųstą nuorodą.
– Įsivaizduokite, kad kieme stovi du automobiliai, jie vienodi, tačiau viename yra signalizacija, o kitame nėra. Naktį eina piktavalis, spardo padangas ir žiūri, kuris automobilis kaukia. Lygiai taip pat vagys namus renkasi – kam eiti ten, kur yra įdiegtos apsaugos sistemos gali būti nufilmuotas, gal atvažiuos apsaugos automobilis, jei šalia yra visiškai neapsaugotos durys, kur galėsi ramiai užeiti? Tai panašus principas galioja ir mūsų IT sistemoms. Pirmiausia įmonės vadovybė turi žinoti, kokia yra jos IT ūkio būsena, kokios yra turimos sistemos, kaip jos apsaugotos, ar įdiegti naujiniai, gal čia išvis yra didžiulė spraga ir reikia iš esmės susitvarkyti, o gal tiesiog reikia pritaikyti gerąsias IT praktikas ir pakankamai nedideliais resursais IT ūkis taps nepatrauklus programišiams arba bus jau labiau apsaugotas ir jie čia tiesiog neįlįs.
Dažnas sakys, kad šiam darbui reikia samdyti žmones, tai reta specialybė ir brangiai kainuoja, tačiau yra nemažai besispecializuojančių įmonių, kurios patikrins ir pasiūlys žingsnius, kaip valdyti rizikas, bei procedūras, kad grėsmės nebūtų tokios aktualios. Iš kitos pusės labai taikliai paminėtas darbuotojų mokymas, nes tai jie naršo svetainėse, į jų kompiuterį gali atkeliauti virusas, jie gali įkišti į kompiuterį USB laikmeną ir panašiai. Darbdavys turėtų nustatyti taisykles, kaip elgtis, o darbuotojas jų laikytis. Be to, kiekvienas turi turėti bazines žinias, kaip atpažinti „spam“ laišką, ką daryti, kai iššoka lentelė ir kt. Manau, kad mūsų kiekvieno asmeninė atsakomybė yra rūpintis savo IT higiena ir atitinkamai tą patirtį pritaikyti darbe.
– Paminėjote, kad tai gana reta specialybė, ar užtenka Lietuvoje kibernetikos specialistų?
– Iš tikrųjų tenka labai dažnai dalyvauti konferencijose bei šnekėtis su įmonių vadovais, iš kurių aišku, jog technologijos smarkiai daro įtaką mūsų gyvenimams, verslams ir tų žmonių, kurie turi inžinerinį, techninį išsilavinimą – labai trūksta. Na, o kibernetika dar yra papildoma specializacija, kurios ypatingai trūksta ne tik Lietuvoje.
