Apie tai, kas Lietuvoje ir pasaulyje darosi su IT saugumu, daiktų internetu ir tai, koks netikėtas požymis gali išduoti, kad jūsų telefonas slapta kasa bitkoinus (4)
Žmogus apie skausmą negalvoja, kol jam nieko neskauda – ir tik susirgęs prisimena, kaip viskas buvo gerai, kol jis buvo sveikas. Lygiai taip pat yra ir kompiuterijos pasaulyje: kol kompiuteris veikia gerai, retas vartotojas galvoja apie IT saugumą ir kompiuterinę higieną – į tai atsigręžia tik kai pats nukenčia, ar susiduria su žala artimame rate. Tad apie visa tai – IT saugumą, vartotojų požiūrį į jį, naujų grėsmių tendencijas ir kitas IT saugumo temas Lrytas.lt kalbasi su „NOD Baltic“ vykdančiuoju direktoriumi Tomu Parnarausku.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
– Vienas įsimintiniausių atvejų IT saugumo sektoriuje – jau bene pusę metų nerimstantis „Kaspersky Lab“ atvejis, kai įmonė kaltinama pernelyg glaudžiais ryšiais su valstybinėmis žinybomis. Kaip Jūs tai pakomentuotumėte, kaip IT saugumo specialistas?
– Na, mes paprastai to nekomentuojame. Viešoje erdvėje, internete galima rasti faktų – ir labiau patikimų, ir mažiau – kurie rodo vienokius ar kitokius informacijos persiuntimo atvejus. Vis dėlto, didžiausia rizika, mano nuomone, yra susijusi ne su konkrečia įmone, o su ideologija – tai yra, kiek kas gali paveikti įmonės kuriamus produktus ir jais pasinaudoti.
Ir tu nebūtinai turi būti klasikinis blogietis – bet tavimi gali pasinaudoti. Prisiminkime kad ir Eugenijaus Kasperskio atvejį, kai buvo pagrobtas jo vaikas ir išgelbėtas ne visai aiškiomis ir skaidriomis aplinkybėmis. Kitais žodžiais tariant, kai turi įremtą į galvą pistoletą, sunku pasakyti, ką darytum ar ko nedarytum.
Rusijos žvalgybos tarnybos garsėja kibernetiniu išprusimu. Niekas nesako, kad jie gali vieną dieną ateiti į ofisą, išguldyti visus ant grindų ir kažką padaryti, bet tai yra teorinė rizika, o visas teorines rizikas yra geriau valdyti.
– Ar tai reiškia, kad bet kokias kompanijas iš Rusijos reikėtų vertinti kritiškai?
– Prisiminkime virusą „NotPetya“, kuris labai smarkiai pakenkė Ukrainai. Jis buvo padarytas tiesiog tobulai. Ukrainoje naudojama viena programa, skirta bendravimui su mokesčių inspekcija, dokumentų apsikeitimams – ji naudojama 100% visose tos šalies įmonėse. Tad įsilaužus ir užkrėtus serverius, buvo paleista kenksminga programa, ir ji išplito – nes pati programa juk patikima, tai automatiškai pasitikima ir jos atnaujinimais.
Tokiu būdu per kelias valandas visa šalies infrastruktūra buvo paralyžuota – bankai, ligoninės, oro uostai, geležinkelis, metro, kasos aparatai, bankomatai.
Tai čia yra tų pačių rizikų pavyzdys, kai pati programa nėra bloga, bet jos paplitimas ir pažeidžiamumas gali sukelti rimtų pasekmių.
Kitas pavyzdys – Lietuvoje naudojamas „ABB Form Filler“. Niekas nesako, kad ji savaime bloga, per ją atiduodami duomenys Valstybinei mokesčių inspekcijai, „SoDrai“, ją naudoja kiekvienos įmonės buhalterija – bet juk ji yra Rusijos gaminys. Ir kur garantija, kad negalėtų pasikartoti Ukrainos atvejis?
Be to, juk programiniai produktai nebūtinai yra kažkokie monolitiniai dariniai – galima išleisti atnaujinimą būtent vienam kuriam regionui, ar nauju atnaujinimu pakeisti anksčiau buvusį, taip panaikinant visus požymius.
– Kaip tikrinamas programinės įrangos patikimumas? Juk kilmės šalis nėra pagrindinis faktorius? Ar vis dėlto yra?
– Programinės įrangos testai daromi ir priklausomose, ir nepriklausomose laboratorijose. Jas tikrina ir „Gartner“. Beje vertinami ir netikro pavojaus (angl. false positive) atvejai. Juk būna, kad kokia visiškai gerybinė programa, sukurta kad ir Lietuvoje, tarkime, patikimam duomenų trynimui, gali būti palaikyta piktybine, nes techniškai ji gali atlikti tuos pačius veiksmus, kaip ir piktybinė.
Vis dėlto manau, renkantis produktą, visada verta atsižvelgti ir į gamintoją. Štai pavyzdžiui, „ESET“ yra kuriamas Europoje – tad Europa gali ir kontroliuoti, prižiūrėti, matyti, kaip viskas veikia.
Iš kitos pusės, žmonės juk renkasi racionaliai – kas yra pigiau, kas yra brangiau. Bet kalbant apie kainos faktorių, kaip žinia, programavimas nėra mažiausiai apmokama specialybė, tad jų darbas, programinės įrangos kūrimo darbai ir kainuoja. Tuo tarpu nemokami sprendimai praktiškai yra testavimo bazė tiems patiems mokamiems sprendimams, tad galiausiai renkiesi iš to, ar labiau nori būti bandomuoju triušiu ir stebėti, ar apsauga suveiks, ar nesuveiks – ar renkiesi mokamą versiją su gerokai sumažinta rizika.
– Tad teigiate, kad visi nemokami IT apsaugos sprendimai yra rizikingesni?
– Besirenkantys nemokamus produktus neįvertina, kas ir kuo už produktą moka. Nes kaip ir visur kitur versle, taip ir čia – tu esi arba prekė, arba pirkėjas. Arba – ar tu nori matyti ne tik portalų rodomas reklamas, bet dar kad tau cypsėtų, pypsėtų ir grotų dar ir antivirusas? Ar nori ramiai ir netrukdomas dirbti savo darbus, net nepastebėdamas, kad turi IT saugumo sprendimą?
– Gerai, pakalbėkime apie bendrą lietuvių IT higieną. Kaip vertintumėte jos lygį?
– Lapkričio mėnesį darėme apklausą, tyrimą apie tai, kaip žmonės naudojasi antivirusine programine įranga. Labiausiai nuliūdino tai, kad 40% respondentų šiuo klausimu išvis nieko negalėjo pasakyti. Tenka konstatuoti, kad daugeliui Lietuvos vartotojų tai yra tolimas ir svetimas dalykas. Bet tai yra visai suprantama – juk dabar yra nemažai senjorų, kurie naudojasi kompiuteriais, bet technologijos savaime jiems yra tolimas ir sunkiai suprantamas dalykas.
– Bet juk ir nelabai adekvatu būtų tikėtis, kad senjoras imtų lyginti, testuoti, specialiai rinktis IT sprendimus?
– Todėl yra labai geras dalykas, kai bibliotekos, kitos viešos prieigos užsiima IT švietimu. Be to, tyrimai rodo, kad IT klausimais senjorai dažniausiai kreipiasi į šeimynykščius ar pažįstamus, kurie daugiau patyrę technologijose – anūkus, vaikus ir t.t.
– Ar verslas, parduodantis kompiuterius, čia nerodo iniciatyvos – pasiūlydami, leisdami pasirinkti iš galimų IT saugumo variantų?
– Jei verslas, parduodamas kompiuterį pirkėjams, nuteiktų pirkėjus, kad kompiuteriui reikia ne tik procesoriaus ir operacinės sistemos, bet ir apsaugos, pačiam verslui būtų geriau. Bet šiuo metu turime pavyzdžių, kaip parduotuvės salės darbuotojas, parduodantis kompiuterį, dar konsultuoja ir fotoaparatų bei televizorių klausimais – tad vargu ar verta tikėtis iš jo plačių visų sričių žinių, kad jis paaiškintų skirtumus tarp skirtingų saugumo sprendimų.
Todėl, nors ir stengiamės edukuoti tokius pardavėjus, vis dėlto man atrodo naudingiau, kai pats gamintojas įdiegia IT saugos sprendimą į naują kompiuterį.
– Kaip atsakytumėte į tokį klausimą: kam paprastam žmogui, o ypač – senjorui – išvis specialiai rūpintis savo IT saugumu? Jei jis neturi jokios gyvybiškai būtinos informacijos, o svarbiausia informacija jo kompiuteryje – anūkų nuotraukos, kurias, reikalui esant, vaikai galėtų dar kartą atsiųsti?
– Kažkada, Nepriklausomybės pradžioje Kaune būdavo populiarus toks „verslas“: nugvelbi automobilį, ir skambini jo savininkui – „laba diena, jums kartais nereikia jūsų automobilio“? Šiais laikais lygiai taip pat elgiasi kriptovirusai, kurie įkaitais paima duomenis ne tam, kad jų reikėtų pagrobėjui, o tam, kad jie brangūs vartotojui.
Mums dažnai atneša kompiuterius, kuriuose ar standusis diskas sugriuvęs, ar duomenys viruso užšifruoti – ir prašo atstatyti. Ten kartais būna studento kursinis darbas, kartais laisvai samdomo, iš namų dirbančio buhalterio duomenys, o gal fotografo fotoarchyvas. Būna, ir įmonės atneša.
Čia kaip su danties skausmu – kol neskauda, tol apie tai nė nesusimąstai, kol duomenų neprarandi, tol nė negalvoji, koks bus stresas supratus, kad viską praradai. IT saugumo sprendimas yra apsidraudimas nuo to, minimizuojantis riziką.
O senjorai patenka dar ir į kitą kategoriją. Gerai, jei jie gyvena didmiestyje, kur kompiuterių taisyklų pilna. O kas, jei vieni gyvena kaime ar miestelyje, ir kompiuteris jiems – vienintelė ryšio priemonė su toli esančiais artimaisiais? Juk yra daug atvejų, kai artimieji išvykę į artimą ar tolimą užsienį, o pažįstamų žmonių, specialistų nėra. Vaikas iš Londono meistro neatsiųs.
Be to, ne kiekvienas IT specialistas ir imsis taisytis kokios senutės kompiuterį, kuriam jau 10 metų ar daugiau. Ir dar – remontas kainuoja žymiai daugiau, nei apsauga. Apsauga – tai keli eurai per mėnesį, o taisymo darbai, perinstaliavimas, duomenų atstatymas ir kita gali kainuoti net ir šimtus.
Žodžiu, duomenų praradimas yra tik vienas iš aspektų. O kas, jei pavyzdžiui, dėl viruso ir jo įtakoto gedimo nespėji laiku dar ir mokesčių sumokėti?
– O kokia padėtis yra versle? Čia vartotojai turėtų būti labiau išprusę ir suinteresuoti?
– Lietuvoje yra daug įmonių nukentėjusių nuo sukčių, kurie parašo laišką paprastuoju būdu tiekėjui, kad atseit pasikeitė mano sąskaita ir dabar apmokėk visas sąskaitas į naują sąskaitą – ir buhalterė vieną kitą pavedimą atlieka.
Tai yra tas elementarus socialinės inžinerijos dalykas – dėl ko aš visada sakau, kad vien antiviruso neužtenka. Nes antivirusas to nepagaus – reikia iš šiukšlių filtrų, kurie turi galimybę atpažinti pagal įvairius požymius – siuntimo dažnį ir t.t., krūva algoritmų ten veikia padeda.
Verslo įmonėms mes darome mokymus, ir vienuose tokiuose atlikome eksperimentą. Generalinio vardu, iš jo „Gmail“ nusiuntėme laišką aukščiausio lygio vadovams, kad 8 val. ryto, salėje visi susirenkame, visų padalinių vadovai – nes bus svarbus kritiškai pranešimas, kuris pakeis įmonės tolimesnę ateitį. Truputį pafantazavome, truputį prikūrėme spaudimo ir išsiuntėme iš „Gmail“.
Tai tikrai gavome daug velnių už tokį pokštą, bet į kitą panašų įmonės darbuotojai jau nebereagavo. Reiškia, pamoka buvo išmokta.