Mus nulaužė kibernetiniai įsibrovėliai – mokėti ar ne?

Kovo 29 dieną vykusiame technologijų centro „Intechcentras“ praktiniame seminare „Kibernetinė sauga pramonės įmonėse 2023” „Transcendent Group Baltics“ kibernetinės ir skaitmeninės rizikos vadovas Tomas Beinaravičius teigė, kad dažniausiai kibernetiniai įsilaužimai įvyksta būtent dėl blogos kibernetinės higienos, kuriai vis dar nepakankamai dėmesio skiria net ir didelės įmonės, kurių veiklai tokio pobūdžio įsilaužimai gali turėti itin didelę žalą – kartais net siekiančią milijoninius nuostolius.

Kokios sritys paveikiausios?

Anot eksperto, dažniausiai nukenčiančios sritys yra sveikatos apsauga, edukacija, savivalda, gamyba ir paslaugų sektorius. „2022 metais atlikto „RiskRecon“ tyrimo metu paaiškėjo, kad įsibrovėliai dažniausiai prašo išpirkų sveikatos apsaugos sektoriuje – net 18 proc, švietimo – 15, 4 proc., savivaldos struktūrose – 11,4 proc., gamybos srityje – 9,9 proc ir 6,6 proc. – paslaugų sektoriuje. Tad ši statistika įrodo, kad šie penki sektoriai turi didžiausias kibernetinio saugumo spragas ir yra labiausiai pažeidžiami “, – teigia T. Beinaravičius.

Mokėti ar ne?

Natūralu, verslininkui ar kitos institucijos atstovui kyla klausimas – mokėti ar ne išpirką, jei netyčia papuoliau į tokią nemalonią situaciją. Ar tai išvis legalu? Kibernetinės saugos ekspertas tikina, kad visos oficialios institucijos ragina nemokėti ir jokiu būdu nebendradarbiauti su nusikaltėliais. Tačiau esi tokių atvejų, kada tai, deja, vienintelė išeitis. „Paskutiniais duomenimis,  63 proc. įmonės neketina mokėti ir derėtis, 37 proc. – svarsto tokią galimybę. Lyginant su 2020 metų duomenimis, tuo metu net 60 proc. apklaustųjų buvo linkę derėtis. Jei įsibrovėliai jums negrįžtamai sunaikino viską įrangą ir neturite jokių kopijų ir tai jums patvirtina IT skyrius, o šie nuostoliai gali jums kainuoti bankrotą – tuomet greičiausiai neturėsite kitos išeities tik kaip derėtis su piktavaliais“, – sako T. Beinaravičius.

Tačiau anot specialisto, yra ir situacijų, kurios patenka į pilkąją zoną, kuomet apsispręsti labai sunku. Pavyzdžiui, nusikaltėliai jums grasina paviešinti nutekintus įmonės duomenis: ,,Tokiu atveju greičiausiai bus gėda, tai kainuos reputaciją, bet ne bendrovės veiklą. Rasime ir Lietuvoje žiniasklaidoje nušviestų atvejų, kuomet buvo nutekinti duomenys, tačiau tai nenugramzdino kompanijų į pražūtį. Visgi visada geriau apsisaugoti prieš, kad nereiktų tokių klausimų spręsti išvis”, – šypsosi pašnekovas.

Saugos eksperto teigimu, niekada neverta mokėti, jei jums grasinama vadinama ,,DDoS“ ataka, tai kibernetinė ataka, skirta informacinių sistemų užvaldymui, sutrukdyti vartotojų prisijungimui prie serverių. Neverta mokėti ir jei duomenys atšifruojami ar duomenys nebuvo užšifruoti. Be to, seminaro pranešėjas pastebi, kad statistika rodo, kad kiekvienais metais mokančiųjų išpirką skaičius vis mažėja: „Tai nėra vien tik vertybinis klausimas. Dažnai tai  tiesiog geresnės higienos rezultatas. Elementariai saugumui skiriama daugiau resursų.“

 

Jei apsisprendėte mokėti?

T. Beinaravičius tikina, kad išpirkos prasideda nuo keliasdešimt iki kelių šimtų tūkstančių eurų. „Iš principo mokėjimas pagal Lietuvos Respublikos įstatymus yra teisėtas, bet yra papildomų sąlygų. Mokėjimai visada yra atliekami kriptovaliutomis. Dalis įsibrovėlių yra patekę po JAV, Didžiosios Britanijos ar Europos Sąjugos sankcijomis, todėl jiems mokėjimai yra negalimi. Taip pat įmonė turi turėti kriptovaliutų krepšelį, o tai greitai padaryti yra gana sudėtinga. Be to, išpirka nėra priskiriama leidžiamiems pelno mokesčio atskaitymams. Tad to daryti nereikia skubėti ir tikrai geriau rūpintis prevencija, kad tokių klausimų vėliau nereiktų spręsti“, – patirtimi dalinasi ekspertas.

Anot jo, iškart po incidento visada svarbu nedelsiant pradėti derybas. Tai nereiškia, kad jas reikia užbaigti. Tačiau tai duos laiko, o laikas jūsų sąjungininkas. Derybų metu galima tikėtis ir 25-30 proc. ,,nuolaidos”. Taip pat reikia būti budriems ir įsitikinti ar įsibrovėliai tikrai turi svarbius jūsų duomenis arba gali juos atšifruoti.

Įsibrovimo anatomija

Daugeliui kyla klausimas – tai kaipgi tas įsibrovimas išvis atrodo ir ko galima tikėtis? T. Beinaravičius sako, kad tipinė kibernetinio incidento chronologija yra gana paprasta – pirmiausia nusikaltėliai susiranda jūsų sistemos saugumo spragą ir gauna prieigą prie jūsų duomenų, tuomet įvykdo duomenų vagystę ir veiklos sutrikdymą, o tada pradeda derybas. „Svarbu pabrėžti ir neapsigauti. 80% sumokėjusių išpirką patiria antrą ataką. Įsibrovėlių pateiktos dešifravimo programos ne visada veikia. Tad jokiu būdu negalima skubėti mokėti nusikaltėliams“, – pastebi pašnekovas.

Reikia pripažinti, kad didžioji dalis kibernetinių incidentų nepatenka į viešąją erdvę, nes įmonės linkusios tai slėpti, bijo reputaciją tepančios dėmės. Daugelis net nepraneša apie tai atitinkamoms institucijoms – pavyzdžiui, policijai ar Nacionaliniam kibernetinio saugumo centrui. Visgi pranešėjas seminaro metu pasidalino savo patirtimi, kaip tie įsibrovimai atrodo konkrečiai. Vienas iš pavyzdžių – įsilaužta į akademinės institucijos pašto serverį.

„Po įsilaužimo serveris užšifruotas ir panaikinti visi atsarginiai duomenys. Ši situacija įdomi tuo, kad įsibrovėliai paprašė 300 eurų per pirmąsias 24 val. Visgi įstaigos atstovai to nepamatė. Ir per ateinančią parą sulaukė kitos išpirkos užklausos – 30 tūkst. eurų išpirkos. Visgi įstaiga nebuvo to linkusi daryti, nes neturėjo tam reikiamų instrumentų. Ir pasirinko išpirkos nemokėti“, – patirtimi dalinasi ekspertas.

Visai kitas pateikiamas atvejis – įmonė, į kurią įsibrovimas buvo atliktas per klientams pasiekiamą serverį. Nusikaltėliai nebuvo pastebėti kelias savaites, jie pavogė mažą dalį duomenų ir užšifravo visus serverius, o po to reikalavoeikalavo 100 BTC (apie 2 mln. eurų). Įsibrovėliai pradėjo šantažuoti ir teigti, kad paviešins duomenis. Visgi įmonė pasirinko nemokėti, kadangi duomenys nebuvo kritiniai. Kibernetinės saugos ekspertų komanda plušėjo gerą savaitę,  po kurių įsibrovėliai buvo ,,išvyti” iš bendrovės infrastruktūros. „Svarbiausia nepasiduoti panikai, nes ji blogas patarėjas“, – savo pranešimą besišypsodamas užbaigė ekspertas.

Ką daryti, kad panika neužvaldytų?

Technologijų centro „Intechcentras“, kuris jau daugiau nei 16 metų teigia paslaugas didinančias inžinerinės pramonės įmonių kuriamą pridėtinę vertę ir darbo našumą, direktorius Audrius Jasėnas teigia, kad visuomet geriau užsiimti prevencija, tuomet tokių atvejų nepasitaikys ir panika neužvaldys.

„Kol viskas ramu reiktų klausti savęs – o ką darysime mes, jei mes patirsime ataką? Reikia ne tik rūpintis kibernetinės saugos higiena, bet ir turėti incidentų valdymo planą. Kitaip tariant šis planas atspindi, kaip organizacija reaguos į nutikusius incidentus“, – sako pašnekovas ir priduria, kad bendraudamas net ir su pramonės lyderiais, kurie kasmet investuoja nemenkas sumas į savo IT ūkį ir kibernetinę saugą, sužino, jog jie ne visada turi atskirą pareigybę, atsakingą už kibernetinius incidentus ir nėra pasirengę jokio plano.

„Vyriausiasis informacijos saugumo pareigūnas yra atsakingas už reagavimo į incidentus plano parengimą ir palaikymą, taip pat už reagavimo į incidentus koordinavimą. Jis taip pat yra atsakingas už pranešimus apie incidentus atitinkamoms institucijoms​. Deja, šių dienų realybė yra tokia, kad dažnu atveju įmonės yra klaidingai įsitikinusios, jog jų turimas vidinis IT ūkio specialistas, arba IT ūki aptarnaujanti išorės įmonė tinkamai pasirūpins įmonės kibernetiniu saugumu ir imsis visų reikiamų prevencinių priemonių. Taip pat dažnu atveju įmonėse nėra sutarimo dėl kibernetinės saugos procedūrų ir tvarkos tarp IT specialistų ir gamybinės įmonės automatikų, prižiūrinčių pramonės automatizavimo valdymo sistemas, pavyzdžiui, „SCADA““, – tikina A. Jasėnas.

Tad technologijų centro vadovas ragina kiekvienam atsakyti į klausimus – ar įmonė turi oficialią IT bei kibernetinio saugumo politiką ir procedūras? Jei taip, ar jose yra numatytas incidentų valdymo planas?​ Ar šie procesai yra aiškiai apibrėžti ir dokumentuoti?​ Ar įmonė yra turėjusi IT ar kibernetinio saugumo incidentų praeityje? Jei taip, ar buvo įgyvendintas incidentų valdymo planas ir ar buvo atliktas tyrimas, kad būtų išaiškintos incidento priežastys ir priimtos atitinkamos priemonės?​ Ir tik atsakius į šiuos klausimus ir juos įgyvendinus galima jaustis ramiau, kad įmonės veikla nebus taip lengvai sutrikdoma.