Sėkmingas Suomijos psichinės sveikatos klinikų tinklas „Vastaamo“ pernai rudenį patyrė didelio masto ataką. Jos metu buvo pagrobti pacientų asmens duomenys, psichoterapeuto pastabos apie taikomą terapiją, kliento istorija ir kita jautri informacija. Netrukus apie 30 tūkst. klinikos pacientų gavo el. laiškus su grasinimu paviešinti jų terapijos informaciją, jei jie per 24 val. nesumokės 200 eurų išpirkos bitkoinais. Dauguma iš nukentėjusiųjų kreipėsi į policiją, o „Vastaamo“ klinikos vadovams atsisakius mokėti didžiausią – 40 bitkoinų išpirką – maždaug 300 pacientų istorijos buvo patalpintos internete.
Dėl savo masto ir nejautrumo – dauguma nukentėjusiųjų buvo žmonės, susiduriantys su psichologinėmis problemomis – šis nusikaltimas buvo pavadintas vienu baisiausių Suomijos istorijoje, o šių metų pradžioje „Vastaamo“ – vienas pažangiausių ir labiausiai skaitmenizuotų psichinės sveikatos centrų pasaulyje – paskelbė apie bankrotą.
„Vastaamo“ istorija – ne vienintelis hakerių kūrybiškumo pavyzdys, pritaikant iš įmonių pavogtus asmens duomenis“, – sako „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas Vaidas Virbukas ir įvardija pagrindinius piktavalių motyvus vogti klientų duomenis bei pasiūlo 3 paprastus žingsnius, padedančius sumažinti tokių vagysčių rizikas.
Duomenų vagysčių daugėjo ir Lietuvoje
Nacionalinio kibernetinio saugumo centro (NKSC) ataskaita už pirmąjį šių metų pusmetį atskleidė, kad Lietuvoje registruota 2 proc. daugiau kibernetinių incidentų nei tuo pačiu metu pernai. Daugiausiai, net 129 proc., paaugo įsilaužimų skaičius. Šioje statistikoje atsispindi ir pavasarį įvykę pasikartojantys asmens duomenų nutekėjimo atvejai, dėl kurių, NKSC skaičiavimais, vieši tapo šimtai tūkstančių asmens duomenų.
Net 129 proc. paaugo įsilaužimų skaičius.
Pasauliniu mastu, 2021 m. pirmąjį pusmetį pastebėtas ypač staigus „Ransomware“ atakų skaičiaus didėjimas. Tokių atakų metu duomenys užšifruojami reikalaujant išpirkos ir grasinant paviešinti konfidencialią informaciją. Įvairiais skaičiavimais, pernai pavasarį šio tipo atakų skaičius pašoko 146 proc., o šiemet per pirmąjį pusmetį – dar 93 proc. Tačiau ši statistika tik preliminari, kadangi užpultos įmonės ir net eiliniai interneto naudotojai ne visada praneša apie patirtą ataką.
Toks „Ransomware“ atakų suaktyvėjamas siejamas su nauja grėsme „triple extortion“ (liet. trigubas turto prievartavimas), kai išpirkos reikalaujama ne tik iš organizacijos, kurios duomenys užvaldyti, bet ir iš jos klientų, partnerių ir t. t. Ši taktika ir buvo panaudota prieš klinikų tinklą „Vastaamo“.
„Kadangi nuo 2017 m. pastebimas spartus „Ransomware“ skaičiaus augimas, šiandien duomenų užšifravimą siekiant išpirkos galime vadinti populiariausiu motyvu kėsintis į duomenis“, – komentuoja „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas V. Virbukas. Jis pastebi, kad, augant bendram tokių atakų skaičiui, daugėja ir sėkmingų atakų procentas, kai išpirka piktavaliams yra sumokama. O tai tik dar labiau skatina tobulinti „Ransomware“ atakų technikas.
Apsipirkimas el. parduotuvėje iš svetimos paskyros – tik ledkalnio viršūnė
Pavogti asmens duomenys – vardas, pavardė, adresas, gimimo data, mokėjimo duomenys, įvairūs slaptažodžiai ir t. t., gali būti naudojami tapatybės vagystėms. Pavyzdžiui, bandymams prisijungti prie įvairių naudotojo paskyrų, ieškant galimybių pasisavinti pinigus iš mokėjimo kortelių, apsiperkant interneto parduotuvėse nukentėjusio naudotojo sąskaita ir t. t. JAV pastebima tendencija, kai pavogus socialinio draudimo numerį arba mokesčių informaciją, ji panaudojama sudėtingesnėse schemose, pavyzdžiui, piktavaliai savo reikmėms išleidžia medicinos draudimo lėšas.
Atakas, kai pavagiamos didžiulės duomenų bazės, būtų galima vadinti duomenų vagysčių klasika.
„Pirmoji garsi tokio pobūdžio duomenų vagystė įvyko dar 2013 m., kai iš „Yahoo“ buvo pavogta 3 mlrd. naudotojų duomenų. Pavasarį Lietuvoje įvykusias atakas irgi galima priskirti šiam atakų tipui. Apskritai, atakas, kai pavagiamos didžiulės duomenų bazės, būtų galima vadinti duomenų vagysčių klasika. Įprastai tokiu būdu užvaldyti duomenys tiesiog paviešinami arba parduodami juodojoje rinkoje kaip medžiaga tolimesnėms atakoms“, – pasakoja V. Virbukas.
Pinigai – ne visuomet pagrindinis hakerių tikslas
Pašnekovas akcentuoja, kad duomenų vagysčių motyvu gali tapti ir noras sužlugdyti duomenis saugojusios organizacijos reputaciją ar kitaip jai pakenkti: „Įsilaužėlius gali motyvuoti keršto troškimas, kai kada – azartas, noras įrodyti, kad jie sugeba „nulaužti“ žinomą verslo įmonę“, – pastebi „Blue Bridge“ atstovas.
Pasitaiko atvejų, kai svarbūs duomenys prarandami arba sugadinami, nes įsilaužėliams reikia IT infrastruktūros.
Pasitaiko atvejų, kai svarbūs duomenys prarandami arba sugadinami, nes įsilaužėliams reikia IT infrastruktūros. „Serveriai, duomenų saugyklos ir net kompiuteriai yra brangus resursas. Todėl kai kada asmens duomenys yra prarandami ne dėl jų pačių, o dėl to, kad įmonės infrastuktūra patyliukais užgrobiama – įsilaužėliai gali ją išnaudoti savo duomenų saugojimui, aplikacijų veikimui, konkrečių užduočių atlikimui ir t. t. Geriausias tokios veiklos pavyzdys – prieš porą metų nuvilnijusi kriptovaliutų kasimo banga. Tuo metu ir eilinių naudotojų, ir įvairių organizacijų infrastruktūra buvo išnaudojama kriptovaliutų išgavimui. Atvejų, kai organizacijos aptikdavo savo IT infrastruktūroje kriptovaliutų kasėjų, pasitaikė ir Lietuvoje“,– komentuoja V. Virbukas.
Svarbiausi žingsniai mažinant duomenų vagystės rizikas
Vieno būdo apsisaugoti nuo atakų, kai gali būti užvaldyti arba kitaip paveikti asmens duomenys, nėra. „Bent iš dalies sumažinti „Ransomware“ atakų poveikį gali nuoseklus duomenų atsarginių kopijų darymas, jų saugojimas atskirai nuo pradinių duomenų. Jei duomenys bus piktavalių užšifruoti arba perkelti, jūs vis tiek turėsite priėjimą prie jų. Tačiau avarinis kopijavimas neapsaugo nuo užvaldytų duomenų paviešinimo arba jau minėtos „triple extortion“ grėsmės. Iš dalies duomenų vagystės poveikį taip pat mažina gerosios duomenų saugojimo praktikos, pavyzdžiui, reikėtų vengti saugoti perteklinius klientų duomenis. Tačiau pavienės priemonės veiksmingos tik tam tikra apimtimi“, – pastebi „Blue Bridge“ Tinklų ir saugumo sprendimų skyriaus vadovas V. Virbukas.
Panašiai kaip žmogaus organizmo imunitetą, įmonės kibernetinį saugumą reikėtų stiprinti kompleksiškai.
Pašnekovas sako, kad panašiai kaip žmogaus organizmo imunitetą, įmonės kibernetinį saugumą reikėtų stiprinti kompleksiškai. Tokiu bus sumažinamas atakos plotas ir potencialių atakų vektorių skaičius, t. y. užbėgama už akių dažniausioms saugumo spragoms, per kurias užvaldomi duomenys. Kokie veiksmai ir sprendimai padeda užtikrinti saugumą kompleksiškai, „Blue Bridge“ saugumo specialistai dažniausiai paaiškina per 3 paprastus žingsnius.
Pirmasis žingsnis norint užtikrinti duomenų saugumą yra dabartinės situacijos analizė.
„Pirmasis žingsnis norint užtikrinti duomenų saugumą yra dabartinės situacijos analizė. Ją galima atlikti pasitelkus automatinį žinomų pažeidžiamumų identifikavimą IT infrastruktūroje arba „rankinį“ įsilaužimų testavimą (angl. pentest). Šios priemonės padeda nustatyti potencialių grėsmių sėkmingumą ir organizacijos atsparumą atakoms. Svarbu pažymėti, kad įsilaužimų testavimas, kai atliekami išorinės bei vidinės IT infrastruktūros patikrinimai, leidžia pamatyti, kokia IT infrastruktūra bei duomenys gali būti pasiekti, o tai reiškia – ir užvaldyti – per internetą“, – akcentuoja pašnekovas.
Pažangių sprendimų įsigijimas – tik pusiaukelė
Antrasis žingsnis yra opiausių organizacijos saugumo spragų taisymas pasitelkiant atitinkamus saugumo sprendimus ir procedūras. Tarp tokių sprendimų – tinklo ugniasienės, el. pašto apsauga, kelių faktorių autentifikavimo sprendimas (MFA), privilegijuotų naudotojų valdymas, galutinių įrenginių apsaugos ir saugumo įvykių valdymo (angl. Security Information and Event Management, SIEM) sprendimas.
Privilegijuotų naudotojų valdymo sprendimas gali iškart pagerinti bazinį saugumą
„Iš savo patirties matome, kad slaptažodžiai, ypač privilegijuotų naudotojų, yra opi problema. Todėl privilegijuotų naudotojų valdymo sprendimas gali iškart pagerinti bazinį saugumą. Šis sprendimas leidžia užtikrinti didesnį svarbiausių prieigų prie aplikacijų, duomenų bazių, kitos IT infrastruktūros saugumą. Taip pat užtikrina veiksmų, atliekamų su aplikacijomis ir IT infrastruktūra, atsekamumą. IT branda pasižyminčioms organizacijoms aktualus ir SIEM sprendimas. Jis realiu laiku kaupia bei analizuoja įmonės IT tinklo žurnalinius įrašus (angl. Logs), todėl operatyviai užkertamas kelias nesankcionuotiems veiksmams“, – komentuoja pašnekovas.
Užkamšyti dažniausias saugumo spragas nėra sudėtinga
Trečiasis žingsnis, kurį žengus bus galima mažiau jaudintis dėl duomenų saugumo, yra kokybiška saugumo sprendimų priežiūra. Tokia priežiūra turėtų apimti ir reguliarius praktinius mokymus darbuotojams apie kibernetinį saugumą ir socialinės inžinerijos metodus.
„Galiausiai, vis daugiau organizacijų ne tik pasaulyje, bet ir Lietuvoje domisi Saugumo operacijų centro (SOC) paslaugomis. Bet kokio dydžio verslui tokios paslaugos leidžia užtikrinti jautrių duomenų apsaugą nuo plataus spektro išorinių ir vidinių grėsmių. Beje, SOC paslaugos ypač reikalingos, jei blogiausio scenarijaus išvengti nepavyksta ir duomenys pavagiami. SOC analitikai ir jų naudojami įrankiai padeda greičiau nustatyti įvykių seką, nutekintų duomenų apimtį, imtis veiksmų ir išvengti ilgalaikių atakų, kai duomenys vagiami ilgą laiką, pavyzdžiui, metus“, – pasakoja V. Virbukas.
Kibernetinio saugumo higiena gali išgelbėti ne tik nuo svarbių duomenų praradimo, bet ir išvengti to, kas gali sekti vėliau.
Pašnekovas akcentuoja, kad užkamšyti dažniausias saugumo spragas nėra sudėtinga, o tokios pastangos atsiperka su kaupu: „Kibernetinio saugumo higiena gali išgelbėti ne tik nuo svarbių duomenų praradimo, bet ir išvengti to, kas gali sekti vėliau – reputacijos žlugimo, ieškinių iš trečiųjų šalių, o kai kuriais atvejais – net bankroto.“