Programišiai didina apsukas – kokios verslo galimybės išlikti saugiam?

Gyvename laikmečiu, kai 12-metis paauglys, pažiūrėjęs filmuką internete, gali įsilaužti į įmonės IT sistemas, o dirbtinio intelekto sugeneruotas įmonės vadovo veidas skambučio metu gali paprašyti pervesti milijonines sumas į sukčių sąskaitą. Kokios verslo galimybės nepaslysti ir atsilaikyti pasaulyje, kuriame kibernetiniu nusikaltėliu gali tapti praktiškai bet kas, turintis priešiškų ketinimų?

Dainiaus Brandišausko, „Lietuvos draudimo“ Operacijų ir IT departamento direktoriaus, komentaras.

Apie augančias kibernetines grėsmes liudija ne tik realios nukentėjusių organizacijų istorijos. Naujausioje šių metų pradžioje pristatytoje ataskaitoje „Global Risk Report“, kurią pateikė Pasaulio ekonomikos forumas, kibernetinės grėsmės užima ketvirtą vietą tarp rizikų, kurios kels didžiausią pavojų per artimiausius dvejus metus.

Kibernetinės grėsmės savo svarba aplenkė infliacijos, karo, ekonominio nuosmukio rizikas. Pirmojoje didžiausių rizikų vietoje – dezinformacija ir klaidingos informacijos skleidimas, kurie taip pat iš dalies susiję su kibernetinių nusikaltėlių veikomis. 

Kibernetinių nusikaltimų sektoriaus tyrėjai „Cybersecurity Ventures“ skaičiuoja, kad kitąmet šios srities nusikaltėlių sukelta pasaulinė žala sudarys apie 10,5 trilijonų JAV dolerių, kai 2015 m. šis rodiklis siekė 3 trilijonus JAV dolerių. Palyginimui, dėl trečiosios pasaulio ekonomikos besivaržančių Vokietijos ir Japonijos BVP 2023 m. turėtų siekti apie 4 mlrd. JAV dolerių.

Toks žalos augimas nestebina, kai programišiumi šiandien gali tapti bet kas – „YouTube“ platformoje nesudėtinga rasti instrukcijų, kaip atlikti bazines atakas, kurios sukeltų realų pavojų verslams, vis dar atlaidžiai žiūrintiems į savo kibernetinį saugumą. Be to, nepamirškime dirbtinio intelekto progreso – jis ne tik leis automatizuoti ir lengviau rasti spragas įmonių apsaugos sistemose, bet ir prisidės prie naujų atakų tipų kūrimo. 

Pavyzdžiui, šiemet Honkongo policijos pareigūnai pranešė, kad vienos neįvardintos finansų įmonės darbuotojas nuotolinio vaizdo skambučio metu dirbtinio intelekto pagalba apsimetė aukštesnio rango vadovu ir įtikino sukčiams pervesti 25 mln. JAV dolerių. 

Lietuvoje taip pat periodiškai pasirodo pranešimų apie nutekintus klientų duomenis – stipri ir sparti mūsų šalies skaitmenizacija bei kibernetinio saugumo specialistų trūkumas sukuria palankią terpę kibernetinių sukčių veiklai. Naujausiais Nacionalinio kibernetinio saugumo centro duomenimis, per 2022 m. nusikalstamumas šalies kibernetinėje erdvėje išaugo daugiau nei 50 proc. Čia reikia nepamiršti ir karo Ukrainoje konteksto – Rusijos ir jai prijaučiantys programišiai aktyviai taikosi ir į mūsų šalies institucijas bei verslus. 

Tą pastebime ir mes – fiksuojame išaugusį paskirstytų paslaugos trikdymo (DDOS), socialinės inžinerijos ir kitų atakų kiekį. Pavyzdžiui, pernai vasarą didelė dalis Lietuvos gyventojų gavo „Lietuvos draudimo“ vardu prisidengusių sukčių žinutes. Jie informavo apie neva nutraukiamą draudimo sutartį ir kvietė prisijungti prie specialiai sukurto netikro mūsų vardą naudojančio puslapio. Užfiksavus tokią sukčių ataką, efektyviausias įrankis – vieša komunikacija ir klientų edukacija.

Žvelgiant bendrai, mūsų saugumo ekspertų vertinimu, pernai Lietuvoje dažniausiai kibernetinėje erdvėje vyravo DDOS, socialinės inžinerijos ir įvairių internetinių platformų spragų išnaudojimo atakos. Taip pat visuomenės dėmesio sulaukė „ransomware“ tipo ataka, kai sukčiai užšifravo vienos savivaldybės duomenis ir už tai prašė piniginės išpirkos. Įdomu tai, kad Lietuvos apskaitos reguliavimas įmonėms keltų iššūkių net ir norint „legaliai“ sumokėti išpirką kriptovaliuta.

Tad kokios organizacijų galimybės tokiame kontekste išlikti saugioms? Veikiant kibernetinio saugumo srityje verta vadovautis posakiu „negalvok, ar tave nulauš, verčiau galvok – kada tai įvyks“. Todėl didelė dalis resursų turi būti skirta kuo labiau sumažinti galimus nuostolius. 

Pirmiausia reikėtų pradėti nuo kibernetinio saugumo, kaip neatskiriamos bendrovės veiklos dalies, įvardinimo, ir šios srities rizikų įtraukimo į bendrą įmonės rizikų portfelį. Kiek įmanoma dažniau analizuoti galimas grėsmes, simuliuoti krizines situacijas, rastus trūkumus sparčiai šalinti ir būti pasirengus greitam veiklos atstatymui, įvykus kibernetinei atakai.

Be to, labai svarbu suprasti, kad šioje srityje silpniausia grandis visada bus žmogus. Todėl reikia investuoti į savo kibernetinio saugumo komandos žinias, edukuoti darbuotojus bei nepamiršti savo partnerių. Kaip rodo realių saugumo incidentų analizė, pastarieji gana dažnai tampa programišių keliu į įmonių vidų, todėl svarbi jų, ypač IT srities, patikra bei jiems taikomų aiškių kibernetinio saugumo reikalavimų nustatymas. 

Ir galiausiai, reikia nuolat stebėti savo verslo IT infrastruktūrą, įvairiais metodais testuoti jos patikimumą ir ieškoti naujų pažeidžiamumų, o radus nedelsiant juos šalinti. Būtina nuolat vykdyti į įmonę nutaikytų atakų pobūdžio ir jų geografijos stebėseną − iš gautų duomenų mokytis, o prieš dirbtinio intelekto grėsmes kovoti juo pačiu pagrįstomis saugumo technologijomis.