Edvinas Kerza, bendrovės „Ignitis grupė“ Verslo atsparumo tarnybos vadovas
Kiek saugus nuotolinis darbas
Džiugu, kad dirbdami nuotoliniu būdu pirmiausia išmokome kalbėti po vieną, bet lygiai taip pat kai kas už juodo ekrano išmoko per posėdį nusnausti ir nebūtinai sudalyvauti jame. Toks atsipalaidavimas gali nulemti ir kitas rizikas, kurios susijusios su skaitmeninės erdvės iššūkiais – kibernetinio saugumo incidentais. Kol buvome biure, turėjome IT specialistų pagalbą, kibernetinio saugumo žmonių techninę, programinę įrangą, kuri mus saugojo. Iškeliavę į Tenerifę prie jūros ar į namų virtuvę, ar prie lyginimo lentos, mes nebegalime taip pat jaustis saugiai, juk jungiamės prie savo tinklo. O ar jį kas nors saugo?
Kai esu biure, turiu kolegas su kuriais galiu pasikonsultuoti, pasitarti. Žiūrėk, keistą laišką gavau nuo boso, tu negavai netyčia? Namuose mes jaučiamės izoliuoti. Pamirštame, kad reikia konsultuotis, bendrauti, reikia įjungti kritinį mąstymą, o ne tik gulėti ant sofos ir atidarinėti bet kokį e. laiško priedą koks tik atkeliauja.
Inicijuoja kritinio mąstymo pratybas
Jei anksčiau piktavaliai lauždavosi į technologijas, į mūsų korporatyvinius tinklus, kompiuterius, serverius, tarnybines stotis, tai šiandien laužiasi į žmonių smegenis. Nes silpniausia grandis ir yra žmogus. Žmogaus psichologija, apgaulė, socialinė inžinerija, dabar yra naujas iššūkis ir nauja realybė. Matome, jog socialinės inžinerijos sritis kiekvienais metais paaugą 3-4 kartus. O tai reiškia, kad bet kuris iš mūsų šiek tiek per daug atsipalaidavęs ir išjungęs kritinį mąstymą, galime gauti tariamai direktoriaus laišką, kuris atrodys taip pat kaip tikras. Elektroninio pašto adresas bus tikras vardas, pavardė, tikras įmonės pavadinimas.lt. Laiške jūsų paprašys padaryti pavedimą, sakant, kad tai naujas partneris, bandomasis užsakymas, kuriam reikia pervesti avansą, kad užsakymas būtų patvirtintas. Finansų žmogus dirbdamas iš namų, žinoma, vykdys direktoriaus pavedimą. Vėliau informuos, kad atliko pavedimą, prekę galima paimti, o vadovas nustebs, nes tokio laiško jis nesiuntė.
Naujos galimybės – smagu, tačiau svarbu nepamiršti, jog internete yra piktų žmonių, kurie gali apgauti, bandyti užšifruoti kompiuterį, vėliau prašyti išpirkos, atsiuntę laišką – išvilioti pinigų. Tai nauja realybė.
Pateiktas pavyzdys nėra išgalvotas, tai tikras incidentas ir tokio tipo apgavystės – dažnos. Tenka stebėti, jog sumos, kurias finansų žmonės perveda sukčiams, nuolat auga. Ne viena įmonė jau ėmėsi mokyti savo darbuotojus, organizuoja pratybas, kuria realias situacijas, kad žmones būtų pasirengę.
Eksperimentas. Ar tikrai užsisakėte siuntinį?
Vienoje įmonėje atlikome eksperimentą, atsiuntėme laišką sakydami, jog darbuotojui ateina siuntinys, paprašėme nurodyti savo vardą, pavardę, namų adresą, paspausti nuorodą, įvesti savo e. pašto adresą, slaptažodį ir siuntinys bus pristatytas. Deja, didžioji dalis įmonės darbuotojų paspaudė nuorodą, suvedė duomenis ir taip atidavė savo asmens duomenis piktavaliams. Gerai, kad tai buvo eksperimentas. Aptariant jo rezultatus uždavėme klausimą, kodėl paspaudėte nuorodą, nors nieko nebuvote užsisakęs? Dažniausias atsakymas buvo „o gal kas nors man atsiuntė“.
Ar tikrai mes tokie patiklūs, aplink pilna žmonių, kurie siunčia mums dovanas, palieka užgyventą turtą net kitame pasaulio krašte – Afrikoje, tereikia pervesti tūkstančio eurų niekingą administracinį mokestį. Tokiomis sąlyginai nedidelėmis sumomis, piktavaliai pelnosi.
Didžiausias turtas – asmens duomenys
Lyg ir nieko ypatingo, juk atrodytų neprašo asmens kodo, banko kortelės slaptažodžio, tik e. pašto slaptažodžio. Tačiau sužinoję šią informaciją, piktavaliai gali prieiti prie jūsų pašto, taip pat prie jūsų socialinių paskyrų, gali perimti tapatybę ir jūsų vardu daryti negerus darbus.
Jūsų pašto gal ne tiek jiems ir svarbi, nors, jei esate, pavyzdžiui, įmonės direktorius, sukčius gali sudominti su kuo bendraujate, kas yra jūsų klientai, su kuo esate sudaręs sutartis, nes pramoninis šnipinėjimas šiandien labai aktualus, juk vyksta nuožmi konkurencinė kova ir įvairios valstybės meta nemažus resursus, kad įgytų technologinį pranašumą, pavogtų naujas temas, pasinaudotų moksliniais tyrimais. Jūsų pašto dėžutė yra be galo vertinga, nes tai duomenų bazė, kurioje galima rasti asmens duomenų, verslo duomenų, asmeninės informacijos, kurią praradus mažiausias nuostolis – konkurencinis pranašumas.
Viena pagrindinių klaidų – manyti, kad aš niekam nesvarbus
Klaidinga galvoti, kad mano telefone ar kompiuteryje nieko nėra vertingo, kas būtų įdomu piktavaliams. Taip manydami, dažnai tą patį slaptažodį naudojame jungtis prie įvairių paskyrų. Parkuose ar kavinėse lengva ranka jungiamės prie belaidžio (Wi-Fi) tinklo, net nesusimąstydami kokios gali būti rizikos.
Nusprendėme padirbėti iškeliavę į kitą šalį, naudodami savo darbo kompiuterį ar planšetę jungiamės prie viešbučio belaidžio tinklo. Bet ką mes žinome apie tą tinklą? Kas jį valdo? O gal kaimyniniam kambaryje kažkoks piktavalis paleidęs netikrą (fake) maršrutizatorių, kad prisijungus galėtų perimti duomenis.
Vienas svarbiausių saugumo elementų – patikimas ryšys. Jei tik yra galimybė, naudokite mobilius duomenis, nes visi belaidžiai tinklai, išskyrus biuruose, kuriuos prižiūri patyrę IT specialistai arba namuose, kuriuos įrengė patikimi specialistai, nėra visiškai saugūs.
Jei mes namuose, tikėtina jungiamės patikimoje erdvėje, jei esame parke ar kitoje viešoje vietoje, tuomet bandome jungtis per savo mobilius duomenis. O jei iškeliavome į kitą šalį, tai arba įsigykime tarptinklinio ryšio mobilių duomenų paketą, arba nusipirkime toje šalyje patikimo tiekėjo kortelę su mobiliais duomenimis.
Netikri maršrutizatoriai
Įsivaizduokime, kad esame, pavyzdžiui, Sigapūro parke, tai moderni šalis ir dažnu atveju dalijasi nemokamu belaidžiu ryšiu. Bet sukčiams tai labai gera galimybė. Tarkime esate parke, kur norite pasinaudoti nemokamu (free) arba draugišku (friendly) belaidžiu ryšiu Singapura Wi-Fi, o koks nors sukčius, su turimu maršrutizatoriumi, gali sukurti belaidį ryšį su labai panašiu pavadinimu, pavyzdžiui, Big smile in Sigapura Wifi, ar kažkas panašaus. Miesto svečias nežino, kuris internetas yra tikrasis, kuris jų saugus dovanojamas miesto jums kaip svečiui, o kuris – apgaulė.
To nustatyti iš ties neįmanoma, nes IT specialistui panašų pavadinimą sukurti yra labai paprasta. O žala, gali būti didžiulė. Nes galima perimti jūsų susirašinėjimą, duomenis, kuriais jūs jungiatės prie banko, jei tai telefonas, tai jame juk dabar visas gyvenimas. Nuo e. parašo iki laiškų, nuotraukų ar GPS duomenų.
Yandex programėlė – slaptas duomenų rinkikas?
Mes nesusimąstome ir ką diegiame į savo telefonus. Anksčiau telefoną naudodavome tik asmeninėms reikmėms – nuotraukoms, bėgimo aplikacijoms, o dabar čia yra visa verslo informacija, paštas, kontaktai, prisijungimai prie vidinių įmonių sistemų ir programėlės, kurių veikla mums nėra žinoma.
Pavyzdžiui, buvo atliktas nuodugnus tyrimas, apie programėlę Yandex. Jis atskleidė, jog ją įdiegus programėlė gauna prieiga prie absoliučiai visų duomenų, kurie yra telefone. Tai reiškia ir prie nuotraukų, ir prie kameros, ir prie žinučių, kontaktų, mikrofono, GPS, net prie slaptažodžių ir saugios atminties, kuri yra telefone. Kas dar įdomu, jog ši programėlė veikia net ir tada kai mes ja nesinaudojame. Tai reiškia, mes šnekame konferencijoje, o ji sėkmingai siunčia duomenis ir siunčia ne į ES, o į Rusiją. Nustatyta, kad į du Rusijos miestus – Jekaterinburgą ir Maskvą. Taigi, jei įsidiegčiau Yandex programėlę, didelė tikimybė, jog savo verslo duomenų kopijos jau nebeturėčiau.
Psichologinio spaudimo galia
Diegiant programėlę svarbu kritiškai įvertinti kokius sutikimus duodate. O gal verčiau nesutikti, jei, pavyzdžiui, taksi programėlė prašo prieigos prie jūsų nuotraukų? Tuomet pasitelkiamas kūrėjų psichologinis manipuliavimas. Juk žmogus nori žaisti, ar save pasendinti, tačiau programėlė neįsidiegia, todėl jis numoja ranka į saugumą ir spaudžia diegti.
Tikriausiai atsimenate programėlę Face app, kuria mes iš arti save fotografuodavome, po to socialiniuose tinkluose dalinomės pasendintomis nuotraukomis, bet ar susimąstėme ką iš tiesų mes padarėme? Galingomis mūsų telefonų kameromis nusifotografavome visą savo biometriką ir išsiuntėm į debesį. Tyrimo metu nustatyta, kad Face app programuotojai – Yandex kompanijos darbuotojai.
Ar reikėtų apie tai pagalvoti dirbant nuotoliniu būdu? Būtinai! Nuotoliniame darbe mes naudojame nuotolines priemones. Ir retai dabar žmogus turi keletą telefonų. Jei turime planšetę, kompiuterį, telefoną ir jungiame prie nesaugių tinklų, į juos diegiame nesaugias aplikacijas, keliame riziką ne tik sau, bet ir savo darbdaviui, verslui. Nes per darbuotojo įrenginį į korporatyvinį tinklą patekęs virusas, gali pridaryti daug žalos, užšifruoti ar pavogti informaciją ar ją išsiųsti.
Atsisakykite stručio sindromo
Išgirdę informaciją apie saugų elgesį internete, didžioji dalis žmonių yra linkę naudoti stručio sindromą – įkišti galvą į smėlį ir apsimesti, kad tai niekaip su jais nesusiję. Tačiau problema niekur nedingo. Turime išmokti save apsaugoti. Kaip? Galime pradėti nuo to – nueiti į Nacionalinį kibernetinio saugumo centro tinklapį ir pasinaudokite nemokamomis programėlėmis, kurios patikrins jūsų namų įrangą ar nėra žinomų pažeidžiamumų.
O taip pat, patikrins ar jūsų IP adresas (skaitmeniniame pasaulyje IP adresas, tai kaip namų adresas), nedalyvavo kažkokioje piktybinėje veikloje skaitmeninėje erdvėje. Tai atlikę pasirūpinsite ne tik savo saugumu, bet aplinkinių, draugų, kolegų ar artimųjų.
Nacionalinis kibernetinio saugumo centras Lietuvoje yra pagrindinė institucija, kuri saugo mūsų skaitmeninę erdvę, teikia patarimus, valdo incidentus, turi nemažai mokomosios medžiagos ir įrankių, programėlių, kurių net nereikia diegti, jos patikrina ar jūsų kompiuteris ir namų tinklas neturi žinomų pažeidžiamumų. Arba nedalyvavo kokioje neleistinose veikloje internete.
Technologijos yra progreso dalis, jos naudingos, jos efektyvios, mes turime jas išbandyti, išmokti jomis naudotis, kad įgautume konkurencinį pranašumą. O jei susidūrėme su keista situacija, eikime ir ieškokime pagalbos, spręskime problemą, bet nenumokime į ją ranka.
Visą interviu galite žiūrėti https://www.youtube.com/watch?v=USTKpH34QLA&t=1s