KAM atstovas: per didelę „botnet“ ataką Lietuvai turbūt tektų atsijungti nuo interneto (1)
Po kibernetinės atakos prieš Estiją apie kibernetinį saugumą garsiai ėmė kalbėti ir Lietuvos pareigūnai, tačiau ekspertai sako, kad nuo kalbų iki darbų dar reikia nueiti ilgą kelią.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Kol kas nežinant, kiek valstybės institucijų informacinės sistemos yra atsparios kibernetinėms grėsmėms, esama padėtis vadinama „vienu dideliu incidentu“. Pastarąjį kartą Lietuvoje ataka įvykdyta penktadienį prieš Lietuvos banką.
Nacionalinio kibernetinio saugumo plėtros programą politikai patvirtino dar pernai birželį, bet Vyriausybei 2011-ųjų pabaigoje skubiai sumažinus asignavimus valstybės įstaigoms, lėšų šiam dokumentui įgyvendinti kol kas neskirta.
Skubus biudžeto mažinimas užkirto kelią investicijoms
Vienas iš 2011 metų birželį patvirtintos Elektroninės informacijos saugos programos rengėjų, Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos direktorius Gintaras Čiurlionis sakė, kad programa buvo parengta siekiant užtikrinti kibernetinį saugumą valstybės valdymo aparate ir ypatingos svarbos objektuose.
Daugiau nei 15 metų Valstybės saugumo departamente dirbęs pareigūnas teigė, kad nustatant institucijų atsparumą kibernetinėms atakoms pirmiausia būtinas visuotinis valdžios institucijų informacinių sistemų patikrinimas.
„Šiandien nepadarę analizės, mes galime tik spėlioti. Niekas negali - ar būdamas ekspertu, ar ne ekspertu - spekuliuoti, kad atsparumo būsena yra tokia ar kitokia. Nors vieną padarytume, žinotume, kokia yra būsena. Tai yra kaip sveikata, dėl būklės negali spekuliuoti, kol neatlikti tyrimai“, - sakė G.Čiurlionis.
Pasak jo, šiemet planuota investuoti į tokius tyrimus, tačiau kelią užkirto skubus Vyriausybės sprendimas 4 proc. mažinti asignavimus visoms valstybės institucijoms. Ketinta įdiegus specialią programinę įrangą pradėti vertinti valstybės institucijų informacinių sistemų saugumo būseną. Tam žadėta pasitelkti realią patikrą ir periodiškai lyginti sistemų pasikeitimus.
„Reikia tam tikrų investicijų, mes jas planavome nuo 2012 metų, bet krizė nutolino tuos dalykus. Turime parengę investicinį projektą, ir tai teoriškai kainavo per 1 mln. litų. Čia valstybės mastu per dvejus metus. Deja, finansai nukeliami į 2013 metus“, - teigė jis.
Specialistai ragina imtis priemonių
Lietuvos Respublikos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys CERT-LT praėjusią savaitę paskelbė 2011 metais ištyręs 21,8 tūkst. pranešimų apie incidentus elektroninėje erdvėje - dukart daugiau nei 2010 metais.
G.Čiurlionio teigimu, esamos padėties dabar realiai nežino ir patys sistemų valdytojai.
„Paimk vadinamąjį sistemos administratorių iš bet kurios įstaigos, pakalbink, jis sakys: „pas mane incidentai ir atakos pagal įrašus yra dieną-naktį“. Bet kai paklausi, ar filtruoja, ar tiria, ar atmeta visas klaidas, šiukšles tinkle ir žiūri į atakas, kurios yra tikslinės ir kurių metu prarandama informacija, jis patraukys pečiais ir pasakys: nediegta, nediegta, nediegta“, - pasakojo G.Čiurlionis.
Informatikos ir ryšių departamento vadovas svarstė, jog būtų tikslinga įtvirtinti nuostatą, kad dalis valstybės investicijų į informacines technologijas turėtų būti skiriama būtent saugai. Kibernetinio saugumo programoje numatyta, kad 2015 metais IT investicijų dalis saugai sudarytų bent 10 proc., o 2019 metais ši dalis turėtų siekti 15 procentų.
„Tai yra tarptautinis standartas. Būna ir daugiau, priklauso nuo įstaigos kritiškumo. Aš pats dirbau specialiojoje tarnyboje, pas mus investicijos saugai siekdavo iki 30 procentų. Kas yra informacijos sauga? Konfidencialumas, vientisumas ir pažeidžiamumas - kad būtų nepavogta ir nepakeista. Norint tai užtikrinti, turi išleisti 30 procentų. Mes pasakėme, kad turime susitarti, jog tam tikra IT išlaidų dalis turi būti atskirta ir dedikuota saugai“, - sakė jis.
G.Čiurlionis tvirtino girdėjęs, jog investicijoms į IT sektorių Lietuvoje valstybiniame sektoriuje per metus išleidžiama nuo 200 iki 240 mln. litų, todėl saugai kasmet galėtų būti skiriama 20-24 mln. litų.
Specialisto teigimu, verta galvoti apie visų valstybės institucijų kibernetinės saugos padėtį prižiūrinčio techninio centro steigimą. Anot jo, šiuo metu prie Ryšių reguliavimo tarnybos veikiančio nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio pajėgumų tam neužtenka.
Pasak G.Čiurlionio, valstybiniame sektoriuje būtina sukurti išankstinio įspėjimo sistemą ir realiai veikiančią incidentų tyrimo laboratoriją. „Valstybiniu lygiu reikia, kad saugos įrankiai būtų suvienodinti, o ataskaitos eitų centralizuotai. Jeigu, pavyzdžiui, vien tik „Sodra“ mato, kad tinkle yra kažkokių pakitimų, tai jie ir daro išvadą, kad tai tik jie vieni. Jei tą patį mato Valstybinė ligonių kasa, Valstybinė mokesčių inspekcija, Gyventojų registro tarnyba, tada mes skelbiame aliarmą, kad turime kompleksinę ataką. Bet tam reikia, jog programinė įranga būtų standartizuota“, - kalbėjo jis.
Ryšių ir informacinės tarnybos prie Krašto apsaugos ministerijos direktoriaus pavaduotojas Rimtautas Černiauskas sutiko, kad valstybės institucijų informacinėms sistemoms reikalingi atsparumo testų, tačiau pridūrė, jog tai nebūtina absoliučiai visose institucijose.
„Reikėtų žinoti sistemų svarbą, nes viena sistema yra vietinės reikšmės, kita - regioninės, o tik trečia valstybinės. Daryti visoms sistemoms patikrinimus kainuoja, mažesniam skaičiui būtų pigiau. Svarbiausioms sistemoms atsparumo testus ar tiesiog kibernetinės situacijos įvertinimą iš tiesų reikėtų daryti, jei galvojame, kad norime kaip nors planingai pasiruošti atakoms ar jas atremti. Jei tokių testų nedarysime, realiai nežinosime, kokia yra situacija“, - teigė jis.
Kariai savo sistema pasitiki
Kalbėdamas su BNS, R.Černiauskas dabartinę situaciją kibernetinėje erdvėje palygino su standartiniu koviniu parengtumu. Pasak jo, būtų netinkama galvoti, kad Lietuva yra neįdomi užsienio žvalgybos tarnyboms.
Jis sakė, jog siekiant didesnio saugumo, USB raktais vadinamomis laikmenomis krašto apsaugos sistemos institucijose naudotis negalima.
„USB raktais naudotis negalima. Amerikiečiai tokią taisyklę gynybos struktūrose įsivedė 1997 ar 1998 metais. Kitos šalys Europoje pasekė jų pavyzdžiu. Mes vėliau nei 1998 metais, bet iš principo panašiai pasielgėme. Kompaktiniais diskais naudotis galima. Bet kalbant apie tuos pačius USB raktus, mes esame pereinamajame laikotarpyje - šiuo metu negalima naudotis, bet galvojame, kad registruotais USB raktais ateityje bus galima naudotis“, - pasakojo KAM atstovas.
Jis tikino, kad krašto apsaugos sistemos specialistai savo vidaus tinkle kontroliuoja situaciją, o kariai yra pasirengę naudotis senomis ryšių sistemomis, jei sutriktų interneto ryšys.
„Interneto ryšys nieko bendro neturi su vidiniais ryšiais. Nors nėra interneto, krašto apsaugos sistema pilnai funkcionuoja ir nejaučia jokio sutrikimo išskyrus tai, kad mes neišsiunčiame ir negauname elektroninių laiškų. Kelių valandų sutrikimas labai retais atvejais turėtų didesnės įtakos. O šiaip tinklai yra autonomiški ir mes nelabai nukentėtume“, - sakė specialistas.
Grėsmių sąrašas ilgėja
Ekspertai pabrėžia, kad šiandien esama specifinių kibernetinių atakų, kurių informacinės sistemos, administruojamos nepatyrusių specialistų, gali tiesiog nepajusti, neaptikti.
Pasak G.Čiurlionio, nesirūpinant saugumu, kenkėjiškiems tikslams nesunku panaudoti tokius šaltinius kaip viešąsias bibliotekas, prijungtas prie kaimiškųjų vietovių informacinių technologijų plačiajuosčio ryšio tinklo RAIN.
„Prie kiekvienos bibliotekos pagirdžius „bičą“ „bambaliu“ ir pasakius, kokią programinę įrangą reikia su kompaktu įdėti, galima „nuversti“ bet kokius renginius, bet kokias valstybės duombazes. Kai RAIN vystė, sakiau - įdėkite saugą. Ne apie tai kalba, kad čia viskas vieša. Tą viešą gali panaudoti kaip įrankį“, - sakė kitą pavyzdį pateikė ekspertas.
Siekiant didesnio kibernetinio saugumo, reikia sukurti ir adekvačią teisinę bazę. G.Čiurlionio teigimu, ypač tai aktualu politikams svarstant apie balsavimo internetu įteisinimą.
„Sakau: „klausimas jums - rinkimų metu sistema parodo, kad išrinko tą žmogų, kurio nebuvo sąrašuose“. Žiūri į mane: „kaip taip gali būti?“ Aš sakau: „jums kompiuteris parodys, ką kaltinsite - kompiuterį?“ - pasakojo jis ir pridūrė, kad atliekant ikiteisminį tyrimą dėl to atvejo reikia surinkti daug įrodymų.
„Tas pats dalykas galioja ir elektroninam parašui. Kodėl mes tiek metų turime įstatymą, o jis iki šiol nepilnai funkcionuoja? Todėl kad yra juridinis ir kultūrinis nepasitikėjimas. Bet kokią klastotę ištirti, pripažinti teismuose yra labai sudėtinga, nes neveikia visa grandinė“, - teigė G.Čiurlionis.
Grėsmės kibernetiniam saugumui didėja dėl vis plačiau vykdomo elektronizavimo - šalies institucijos vis daugiau paslaugų ir informacijos perkelią į elektroninę erdvę, o daugelis procesų įvairiose gyvenimo srityse apskritai yra kompiuterizuoti.
„Kas būdavo anksčiau ant popieriaus, keliauja į elektroninę erdvę, net pažymių knygelės ir jos tampa elektroninės. Kadangi informacijos daugėja, daugėja ir grėsmių. Jos gal nėra ypač didelės, bet suma išeina didelė. Kad ir kokia degalinė - ten siurbliai tikriausiai valdomi kompiuteriu, kuris prijungtas prie įmonės centrinio kompiuterio. Jei būtų gedimas, tai tiesiog neveiktų degalinė arba degalinių tinklas. Geras pavyzdys yra bankai. Pavyzdžiui, nėra ryšio ir neveikia bankai, o iš to seka, kad negalime nusipirkti maisto, negalime sumokėti už komunalines paslaugas“, - sakė KAM atstovas R.Černiauskas.
Pavojingiausios „botnet“ atakos
Lietuvos internetinio ryšio galimybės, nors ir gerai atrodo pasauliniame kontekste, vis dėlto yra suprojektuotos ir apskaičiuotos Lietuvos poreikiams. Tokia specifika didina grėsmę, kad ataka gali būti paremta plataus kenkėjiško tinklo veikimu.
„Mes čia turime labai neblogus parametrus, bet tai yra kaip ir magistralė Vilnius-Kaunas. Labai gera, kol nedaug mašinų važiuoja, tegu suvažiuoja trečdalis Lenkijos, viskas sustos, užsikimš. Tas pats ir su tinklais“, - palygino G.Čiurlionis.
Pasak jo, pavojus kyla, kai į kenkėjišką tinklą sujungti tūkstančiai ar net milijonai kompiuterių, jų savininkams dažnai apie tai nežinant, vienu metu bando atidaryti ar siųsti užklausas į valstybės institucijų interneto svetaines.
„Su Ryšių reguliavimo tarnybos ekspertais ir tarptautiniais kolegomis skaičiuojame, kad šiandien sujungus ketvirtadalį pasaulyje dabar identifikuojamų „botnet“ užkrėstų kompiuterių, tokią šalį kaip Lietuva būtų galima „nuversti“ iškart. DDoS ataka yra didžiausias iššūkis, tai yra problema visoms šalims. Klausimas, ką pastatyti prieš tai. Tai yra tik rezervinės jungtys. Tai yra labai brangu, bet tai yra nacionalinis lygmuo“, - teigė G.Čiurlionis.
Pasak R.Černiausko, „botnet“ ataką, kokia 2007 metais įvykdyta prieš Estiją, galima priskirti prie nekontroliuojamų grėsmių.
„Jei būtų gerai koordinuota ataka, galbūt reikėtų ir atsijungti. Estai galų gale atsijungė. Tą sunku numatyti ir sunku pasiruošti. Gali pasiruošti 1 tūkst. kompiuterių atakai ir ją atremsi. Didžiausias botnetas yra apie 10 mln. kompiuterių. Jei toks sugalvotų pajuokauti, įtariu, kad tai būtų daugoka Lietuvai. Jei būtų daroma koordinuojamai ir dar pora tokių botnetų prisidėtų, galbūt ir Jungtinės Valstijos imtųsi daugiau veiksmų, nei tik pasyvaus atakos atrėmimo“, - sakė R.Černiauskas.
CERT-LT praėjusią savaitę paskelbė, kad 53,9 proc.2011 metais tirtų pranešimų apie Lietuvos interneto naudotojų patiriamas problemas buvo susiję su kenkėjiška programine įranga. Tarp jų daugiausia incidentų buvo susiję su programine įranga, kuri įtraukia kompiuterį į „botnet“ tinklą.
Šios tarnybos duomenimis, 2011 metais 18 kartų padaugėjo incidentų, susijusių su informacinių sistemų užvaldymu. Pernai ištirta 8,5 tūkst. tokio pobūdžio incidentų, 2010 metais fiksuoti 477 atvejai. Pasak ataskaitos, 2011 metais Lietuvoje kasdien buvo fiksuojama vidutiniškai 8 tūkst. aktyvių kompiuterių „zombių“.
Pasaulinėje kibernetinėje erdvėje įtampa didėja
Kalbėdamas apie pasaulines tendencijas, R.Černiauskas pabrėžė, kad nusikalstamumas kibernetinėje erdvėje, palyginti pagal finansinius srautus, šiuo metu yra didesnis už narkotikų verslą. Jo teigimu, kibernetinio nusikalstamo pasaulio atstovų tikriausiai yra ir Lietuvoje, tačiau grėsmė valstybei dėl nėra labai didelė.
„Aš nemanau, kad tos nusikalstamos grupuotės, kurioms rūpi pinigai, stengtųsi diskredituoti valstybės instituciją. Čia didesnė žala būtų bankams, kadangi mažėtų pasitikėjimas jais. Rimčiausi yra priešiškų valstybių veiksmai. Estijos ir Gruzijos pavyzdys rodo, kad tai gana efektyvu - kibernetinėje erdvėje imtis priemonių, diskredituoti ar nesuteikti galimybės valstybei tinkamai funkcionuoti. Ko gero, tai yra didžiausia grėsmė. Galbūt taip yra dėl to, kad aš dirbu institucijoje, kuri taip žiūri į galimus įvykių scenarijus“, - teigė ekspertas.
Kibernetinio saugumo ekspertų sluoksniuose jau kurį laiką kalbama, kad pastaraisiais metais išsivystė nauja ir, kaip manoma, grėsmingiausia kibernetinių nusikaltėlių rūšis - tų, kurie turi valstybinį palaikymą. Vis daugiau geriausius įgūdžius turinčių kompiuterių įsilaužėlių ima arba yra priverčiami bendradarbiauti su įvairių valstybių specialiosiomis struktūromis. Ypač daug gerų vadinamųjų „hakerių“, pasak ekspertų, turi Rusija ir Kinija.
„Londone ir Berlyne lapkritį ir gruodį per dvi didelės kibernetinio saugumo konferencijas ekspertai tiesiai šviesiai parodė, kad mes visi esame kibernetinio karo išvakarėse, o įrodymai ir priemonės tam jau yra. Iš principo kibernetinė erdvė yra pasidalyta. Įtakos tarp Rytų, Kinijos ir Vakarų yra taip įtemptos ir vyksta tokie „užmetimai“ ir bandymai, kad klausimas, kada ir kur kokia krizė įvyks“, - situaciją pasaulyje apibūdino G.Čiurlionis.
Ten, kur prasideda dalijimasis dėl pasaulinės įtakos, anot jo, baigiasi galimybės ištirti kibernetinius išpuolius.
„Saugą užtikrinti yra įmanoma, viską galima ištirti. Klausimas, ar tam pakanka resursų, ar yra geografiniai susitarimai. Jei tai daroma iš tokių šalių, su kuriomis nėra sutarčių - labas, atvažiavome. Tyrėjai atranda atėjusių signalų maršrutą ir sako: „duokite mums duomenis“, o jie atsako: „nieko mes jums neduosime“. Tuo ir baigiasi ištyrimas“, - sakė G.Čiurlionis.
Neįvardytais norėję likti ekspertai sakė, kad kai kurios Lietuvos valstybės institucijos ugdo specialistus, galinčius iš nežymių kompiuterių darbo nukrypimų atpažinti viruso požymius ar patikrinti naujų programų atitikimą saugos standartams. Tai daroma pirmiausia dėl to, kad didžioji dalis net ir mokamos programinės įrangos turi saugumo spragų. Todėl tenka skirti lėšų brangiems kursams, kuriuose specialistai mokomi rasti virusų darbo požymius, žinomas saugumo spragas ir jas taisyti, kol to nepadarė įsilaužėliai iš išorės.
Geri saugumo specialistai valstybei per brangūs?
Pasak G.Čiurlionio, valstybės institucijose yra problemų ir dėl personalo. Žmonių, dirbančių su kibernetiniu saugumu ir incidentų tyrimu, kompetencija yra iš aukščiausių, tačiau viešojo sektoriaus atlyginimai nekonkurencingi.
„Jie turi pereiti brangius mokymus, jie turi būti lojalūs, jie prieina prie jautriausių duomenų. Jie negali viena ranka dirbdami kita ranka pildyti gyvenimo aprašymus ir ieškoti darbo. To negali būti. Reikia baigti spekuliacijas, pavydėjimus. Tam tikri ekspertai turi uždirbti daugiau negu įstaigų vadovai. Šiandien tai yra sunkiai suderinama, nes yra valstybės tarnybos apmokėjimo tvarka. Privačiame sektoriuje tokio lygio žmonių irgi nėra daug, jie yra suskaičiuoti ir kiekviena įmonė juos saugo“, - sakė jis.
Tuo metu R.Černiauskas šiuo atžvilgiu nusiteikęs optimistiškai. Nors atlyginimai krašto apsaugos sistemoje yra mažesni nei privačiame sektoriuje, žmones motyvuoja kariams taikomos specialios socialinės garantijos. Pasak jo, dauguma IT specialistų krašto apsaugos sistemoje yra kariai.
„Mūsų specialistas gauna mažiau nei didelio banko analogiškas specialistas. Kita vertus, krašto apsaugos sistema yra unikali, dalis mūsų darbuotojų yra kariškiai, jie yra savo šalies patriotai, Tėvynės gynėjai ir ne visi jie dirba tik dėl pinigų. Didesnė dalis žmonių dirba dėl to, kad mato savo pašaukimą, tradicijas, kilnų tikslą, ir jiems pinigai yra antroje vietoje, tarkime, iš penkių“, - sakė jis.
G.Čiurlionio teigimu, politikams nevertėtų priimti sprendimų pagal pavienius incidentus, o reikėtų susitelkti į sisteminius dalykus.
„Buvo tokia diskusija - kas yra incidentas. Kokie apibrėžimai bebūtų, yra paprastas dalykas - veikimas, neatitinkantis saugumo. Jei tu neturi saugumo politikos informacinei sistemai, tai pas tave iš pat pradžių vienas didelis incidentas, nes tu neturi su kuo lyginti“, - reziumavo jis.