Įmonių darbui neišvengiamai persikeliant į internetą, kibernetinio saugumo problema tampa itin aktuali. Interneto nusikaltėliai nuolat tobulėja, o saugumą galinčių užtikrinti specialistų – trūksta. „ESET Lietuva“ IT specialistus kviečia tobulinti įgūdžius jau gegužės 27 d. vyksiančiuose kibernetinio saugumo mokymuose „ESET ON: Capture the flag“.
Kibernetiniai nusikaltėliai šiandien – profesionalesni
Užsitęsęs karantinas daugelio įmonių darbą perkėlė į namus, sukurdamas didesnį poreikį pasirūpinti kibernetiniu saugumu. Tapo svarbu ne tik užtikrinti įmonių kompiuterių saugumą nuo įvairių kenkėjiškų programų, tačiau ir reikšmingų įmonės duomenų, esančių „debesyje“, apsaugą.
„Norisi atkreipti dėmesį, kad pastaruoju metu viešumon iškilo tiek skirtingų atakų ir duomenų nutekėjimo atvejų, kad nelieka abejonių – atakos auka gali tapti kiekviena įmonė, nepriklausomai nuo jos dydžio ar veiklos pobūdžio. Atėjo laikai, kai IT saugai tiek privačios, tiek viešojo sektoriaus įstaigos privalo skirti gerokai daugiau dėmesio ir finansų, nes gyvename skaitmeniniame amžiuje, kuriame įmonės duomenys yra pagrindinė vertybė ir privalo būti prideramai saugoma“, – sako „ESET Lietuva“ vadovas Tomas Parnarauskas.
Olga Gricajenko, „Atea“ informacijos saugos specialistė pastebi, kad mažos ar vidutinės įmonės savo IT saugumu susirūpina per vėlai. Pasak jos, įmonės laikosi nuomonės, jog kibernetiniai incidentai jų nepalies ir laiku nesiima prevencinių priemonių, tačiau programišiai ar piktavaliai neretai pasinaudoja saugumo spragomis. Specialistė atkreipia dėmesį, jog bazinė IT kontrolė, tokia kaip slaptažodžių valdymas, turi būti sutvarkyta nuo pirmųjų įmonės dienų. Taip pat ji rekomenduoja diegti papildomus saugumo sprendimus – kelių faktorių autentifikaciją, apsaugą nuo socialinės inžinerijos atakų ir serverių apsaugą.
Vaidas Juteika, „IT Plasta“ direktorius atkreipia dėmesį į kibernetines grėsmes, kuriomis siekiama užvaldyti įmonių ir organizacijų naudojamas komunikacijos priemones, pasisavinti pinigus pakeičiant tikėtinų mokėjimo pavedimų gavėjus. Anot jo, didžioji dalis tokių atakų vykdomos pasitelkiant užšifravimo (angl. ransomware) kenkėjišką programinę įrangą: kompleksiškai nusitaikoma į įmonės IT sistemas, aptinkamas technologinis pažeidžiamumas, užvaldomi įrenginiai, išjungiamos rezervinės kopijos, o tuomet atliekami žalingi veiksmai.
Nors priemonės, padedančios apsisaugoti nuo kibernetinių nusikaltimų, nuolat tobulėja, nusikaltėliai, anot T. Parnarausko, taip pat tampa profesionalesni – taiko vis išradingesnius metodus, naudoja naujausias technikas ir galimybes, norėdami pasisavinti svetimus duomenis. Dėl šios priežasties ir įmonės turi nuolat kreipti dėmesį į kibernetinio saugumo klausimus, tobulinti duomenų apsaugos technologijas, o tam reikia specialių žinių.
„Čia puikiai tinka toks pavyzdys: anksčiau žmonės ir įmonės gyveno turėdamos paprastas medines duris, bet nusikaltėliai privertė galvoti apie šarvuotas, todėl naujos statybos butuose ir biuruose šarvuotos durys jau tapo standartu. Lygiai taip pat nusikaltėliai visus mus dabar verčia pasirūpinti specializuota kibernetine apsauga ir nepasitikėti vien tik su operacine sistema siūloma nemokama antivirusine programa“, – palygina T. Parnarauskas.
Specialistas pabrėžia, kad išpuoliams surengti dabar naudojamos pačios naujausios technologijos, kurių paprasta antivirusinė apsauga nesugeba aptikti ir blokuoti, o įmonių darbuotojai lengvai patenka į nusikaltėlių paspęstus „socialinės inžinerijos“ spąstus. Vadinasi, viena pagrindinių grėsmių išlieka lėšų taupymas, neskiriant pakankamai dėmesio kibernetinio saugumo mokymams įmonių viduje.
Kibernetinio saugumo specialistų trūksta
Tam, kad pavyktų efektyviai apsisaugoti nuo kibernetinių atakų, įmonėms rekomenduojama pasirūpinti visapusišku saugumu – tiek tinkamai apsaugoti įrenginius, tiek ir pasirūpinti darbuotojų žiniomis apie saugumą internete.
„Įmonės duomenų saugumui užtikrinti patarčiau naudotis kelių faktorių autentifikacija, kai vartotojo tapatybė patvirtinama keliais slaptažodžiais, naudojantis skirtingais įrenginiais. Taip pat saugiausia įmonėms yra kiek įmanoma riboti vartotojų veiksmus darbiniuose įrenginiuose – iš esmės viską drausti, o leisti tik tai, kas reikalinga. Be abejo, nepamiršti reikia ir antivirusinių programų, nuolat įdiegti įvairius atnaujinimus“, – saugumo užtikrinimo būdus vardija „Atea“ sistemų administratorius Gintaras Pacevičius.
Pacevičiui pritaria ir „Greiti.lt“ direktorė, Gražina Kazlauskienė. Pasak jos, organizacijoms reikėtų įsivertinti, kokie duomenys yra kaupiami, kur šie duomenys laikomi ir kaip jie saugomi, kas turi prieigą prie jų, ar ši prieiga tikrai yra būtina. Kitas, pasak G. Kazlauskienės, svarbus žingsnis – nuolatinis darbuotojų švietimas, saugaus darbo taisyklių priminimas, tinkami programinės įrangos sprendimai, kurie padeda išvengti žmogiškųjų klaidų.
Darbuotojams prie įmonės tinklo patariama jungtis naudojant šifruoto kanalo priemones. Dirbant nuotoliniu būdu, ypač svarbu kurti VPN tunelius saugiam prisijungimui ir duomenų pasiekiamumui užtikrinti. Vis dėlto įmonė, norėdama užtikrinti saugumą, turi pasirūpinti ir kibernetinio saugumo specialistais, galinčiais nuolat atnaujinti įmonės technines saugumo priemones.
„Lietuvoje, kaip ir visame pasaulyje, labai jaučiamas kibernetinės saugos specialistų trūkumas. Geriausi specialistai turi aiškią savo srities specializaciją, todėl vieno specialisto visapusiškam saugumo užtikrinimui gali ir nepakakti. Jų paklausa tokia didelė, kad gerą specialistą išlaikyti įmonei kartais gali tapti sudėtingu uždaviniu, todėl sumanesni vadovai renkasi pirkti specializuotos įrangos gamintojų paslaugas ir savo IT specialisto neturi. Tačiau net ir vidutinio lygmens specialistas, pasinaudodamas gerais įrankiais ir konsultuodamasis su kitais savo srities profesionalais, gali užtikrinti įmonės kibernetinę saugą, todėl verta klausti patarimų ir prisiminti lietuvių liaudies išmintį – šykštus moka du kartus“, – sako T. Parnarauskas.
Pašnekovas rekomenduoja įmonėms investuoti į IT specialistų žinias ir skatinti šios srities specialistus nuolat mokytis, atnaujinti įmonės saugos priemones domintis naujausiomis technologijomis.
IT specialistus kviečia saugumo mokymai
Gegužės 27 dieną „ESET Lietuva“ rengia kibernetinio saugumo mokymus „ESET ON: Capture the flag“, skirtus IT specialistams. Šie mokymai – tai įvairių situacijų simuliacija. Dalyviai ne tik stebės galimus kibernetinių atakų, kenkėjiškų programų įsibrovimo bandymus, bet ir mokysis tinkamai reaguoti į panašias situacijas.
„Šiuose mokymuose IT specialistai dalyvaus vėliavos užgrobimo rungtyje „Capture the flag“ – dalyviai bus suskirstyti į komandas, kurias sudarys IT saugumo ekspertai ir IT saugumo inžinieriai. Dalyviams susidūrus su sunkumais, „ESET Lietuva“ pagalbos tarnybos ir ESET partnerių įmonių inžinierių komanda padės susidoroti su iškilusiomis sudėtingomis situacijomis. Komandos turės atsekti kenkėjiškų įvykių seką, nagrinės įvykius, o kiekvienas išspręstas galvosūkis komandoms pelnys taškus“, – renginio idėja dalijasi T. Parnarauskas.
Renginio metu dalyviai turės išnagrinėti vieną iš kompleksinių užduočių: „ESET Enterprise Inspector“ (EEI) aptiks kenkėjišką veiklą, pradėjusią plisti prijungus modifikuotą USB atmintinę. „ESET Protect“ nuotolinio valdymo aplinkoje ir EEI konsolėje mokymų dalyviai ieškos grėsmių, užregistruotų prijungus neleistiną USB įrenginį, stengsis nustatyti įsilaužėlio veiksmus ir po to juos sėkmingai pašalinti.
Šių metų renginys bus orientuotas ir į moterų vaidmenį bei galimybių ugdymą, kovojant prieš kibernetinius nusikaltėlius. Renginį atidarys „Women4Cyber Lietuva“ koordinatorė Inga Žukauskienė.
„Stengiamės paskatinti moteris rinktis karjerą kibernetinio saugumo srityje. Specialistų, dirbančių kibernetinio saugumo srityje, trūksta, todėl būtų per didelė prabanga nepasinaudoti tais gebėjimais, kuriuos į kibernetinio saugumo sritį gali atnešti moterys. Greitai besivystantis technologijų sektorius kuria naujas galimybes ir saugumo iššūkius, tačiau kartu susiduriame ir su sustabarėjusiu požiūriu į šią sritį, todėl svarbu parodyti, kad inovatyvus IT pasaulis yra atviras“, – sakė I. Žukauskienė.
„Women4Cyber Lietuva“ koordinatorei pritaria ir „Heximus“ direktorė Giedrė Ruginytė-Čepienė. Pasak ekspertės, IT sauga ir kibernetinis saugumas yra itin aktuali tema šiandienos technologijų pasaulyje, o naujų atakų ir grėsmių kilmė bei įvairovė sparčiai kinta, tad domėtis naujovėmis būtina kasdien.
„Jaunas žmogus jau „užprogramuotas“ dideliam informacijos srautui, tad kibernetinė sauga jiems itin „patogi“ ir įdomi tema. Džiugu, kad moteris šioje srityje pradedame sutikti vis dažniau, juolab, kad verslo ir rinkos paklausa šioms pozicijoms yra didžiulė ir auganti. Verslo organizacijų dėmesys kibernetinei saugai sparčiai augo po 2018 metais pradėto taikyti Bendrojo duomenų apsaugos reglamento ir, žinoma, po visiems gerai žinomų duomenų nutekinimo įvykių rinkoje“, – Heksimus direktorė G. Ruginytė-Čepienė.
Kasmet vykstančiuose kibernetinio saugumo mokymuose laukiami IT priežiūros specialistai, siekiantys susipažinti su ESET programine įranga, norintys suprasti įmonės kibernetinio saugumo valdymo principus ir produktus. Dalyviams susidūrus su sunkumais, juos realiu laiku padės išspręsti ESET Lietuva pagalbos tarnybos ir ESET partnerių įmonių inžinierių komanda, kurią šiemet sudaro Lietuvoje pripažintų IT saugumo įmonių ekspertai, tarp kurių yra ir Heximus specialistai. Platesnę informaciją apie renginį galite rasti čia.