Tai, kad karantino metu nepasitaikė garsesnių kibernetinių išpuolių, tėra apgaulinga ramybė. Tikrąją saugumo situaciją galėsime įvertinti tik po kurio laiko, ir ji didele dalimi priklausys nuo to, ar organizacijos mokosi saugumo pamokų, kurias pateikė COVID-19 pandemija, sako Vilniaus universiteto (VU) Matematikos ir informatikos fakulteto mokslininkas, dėstytojas dr. Linas Bukauskas.

Pokalbyje su „Blue Bridge“ komunikacijos specialiste Inga Glebova VU Informatikos instituto Kibernetinio saugumo laboratorijos vadovas doc. dr. L. Bukauskas dalijasi įžvalgomis apie tai, kaip sekėsi atremti saugumo iššūkius karantino situacijoje, kaip ši patirtis gali pasitarnauti užtikrinant saugų darbą iš namų ateityje ir ar įmanoma rasti pusiausvyrą tarp organizacijos duomenų saugumo ir naudotojų patogumo.

Kitaip nei prognozuota, per karantiną nei Lietuvos, nei užsienio žiniasklaidoje nepasirodė žinių apie kritinės reikšmės atakas prieš verslą ar valstybinį sektorių. Ar karantinui pasibaigus galime daryti prielaidą, kad esame saugesni nei jaučiamės? O gal rimtų saugumo iššūkių buvo, bet juos pavyko sėkmingai atremti?

Vilniaus universiteto Matematikos ir informatikos fakulteto docentas dr. Linas Bukauskas

Vilniaus universiteto Matematikos ir informatikos fakulteto docentas dr. Linas Bukauskas

Prasidėjus karantinui atakų skaičius tikrai išaugo – tą fiksavome ir savo Kibernetinio saugumo laboratorijoje. Daugiausiai tai buvo veikimas brutalia jėga: automatiniai žvalgybiniai skenavimai, bandymai atspėti slaptažodžius. Saugumo spragų aktyviai ieškota ir didžiulių lankytojų srautų sulaukiančiose svetainėse, ir stebint namų interneto IP adresus.

Reikia paminėti, kad darbas iš namų nebūtinai padėjo piktavaliams gauti vertingų duomenų. Pavyzdžiui, atakuoti konkrečią įmonę pasidarė sudėtingiau, nes visi darbuotojai „susislapstė“ po skirtingais IP adresais ir naudojo skirtingus interneto tiekėjus jungdamiesi prie organizacijos resursų. Tiesa, darbuotojai vis dar pasiekiami per tikslines atakas, socialinės inžinerijos metodus, tačiau tokios atakos – brangios ir reikalaujančios ilgo pasiruošimo.

Vis tik, norėdami įvertinti, kiek iš viso atakos buvo sėkmingos ir kokiomis saugumo spragomis buvo pasinaudota karantino metu, dar turime palaukti. Pasekmės didele dalimi priklausys ir nuo to, ką organizacijos darys toliau su kibernetinio saugumo klausimais.

Pastebėjau, kad dėl garsesnių atakų nebuvimo pasigirdo balsų, jog kibernetinės grėsmės pervertinamos, siūloma atsipalaiduoti, nes „visi jau saugūs“. Tai neraminantis ir neteisingas požiūris. Jei nieko neįvyko šiandien, nereiškia, kad neįvyks rytoj. Be to, gali būti ir dar neišaiškėjusių įsilaužimų atvejų.

Daugelis kibernetinio saugumo ekspertų darbą iš namų įvardydavo kaip vieną didžiausių saugumo rizikų. Tačiau, tikėtina, jis išliks populiarus ir ateityje. Tad iš kokių priemonių ir technologijų turėtų susidėti saugi nuotolinio darbo vieta?

Tai, kad dauguma darbuotojų galėjo namuose naudoti darbo kompiuterį, suteikė tik menamą saugumą. Aišku, gerai bent tiek, kad tokie kompiuteriai dažnai turi įmonės IT specialistų įdiegtas saugos sistemas, ugniasienes, virusų gaudykles, VPN (angl. Virtual private network) ryšio galimybes, užtikrinančias saugų ryšį su organizacija. Tačiau kibernetinis saugumas vien kompiuterio saugumu neapsiriboja.

Pradėkime nuo tol, kad ne visi namuose turi aukštos kokybės maršrutizatorius. Pavyzdžiui, keturių asmenų šeimai vienu metu prisijungus prie vaizdo konferencijų, maršrutizatorius gali „nebepavežti“ tokio apkrovimo arba ryšys gali būti nestabilus. Antra, maršrutizatorius namuose atstoja ugniasienę ar kitas saugumo priemones, taikomas organizacijos tinklams ginti, tačiau jis dažnai lieka su paprasčiausiais, „gamyklinio nustatymo“ parametrais, nėra atsparus DOS (angl. Denial of service, liet. Atsisakymo aptarnauti) atakoms. O jei namų maršrutizatorius nėra tinkamai sukonfigūruotas, pastangos užtikrinti saugų darbą iš namų sumenksta.

Karantinas taip pat parodė, kad ne visi žmonės turi namuose laidinį internetą. Kai kurie naudoja mobilųjį, kiti išvis neturi. Kartais tai pačių žmonių pasirinkimas, kartais – kitos aplinkybės. Antra, tie, kas turi internetą, nebūtinai naudoja kokybišką aukšto pralaidumo ryšį. Todėl ateityje interneto klausimas darbdaviams turėtų būti svarbus. Pavyzdžiui, reikėtų nuspręsti, ar darbuotojas namuose darbui naudos mobilųjį ar kabelinį internetą, pagalvoti, ar darbdavys galėtų pasirūpinti, jeigu ne pagrindiniu, tai bent atsarginiu interneto ryšiu, dalinai kompensuoti kokybiškesnio ryšio naudojimą ir t. t.

Apibendrinant, ilgalaikėje perspektyvoje nuotolinės darbo vietos paketą turėtų sudaryti programinė, kompiuterių technologinė, ryšio įranga ir organizacijos saugumo politika grįsti susitarimai. Aišku, toks paketas iškelia kaštų pasidalinimo tarp darbuotojo ir darbdavio klausimą, kuris gali būti sudėtingas.

Dar svarbu pastebėti, kad bijoti klausimo, ar darbuotojai, dirbantys su organizacijai svarbia informacija, tikrai gali saugiai tai daryti iš namų. Manau, sąžiningas atsakymas dažnai yra „ne“ – dalis darbo vietų negali būti iškeltos už organizacijos ribų užtikrinant duomenų konfidencialumą. Kai kuriais atvejais atsakymas yra „taip, bet su daug papildomų sąlygų“. Dėl visų šių priežasčių, vėl iškilus COVID-19 rizikai, prie jautrios informacijos dirbančių darbuotojų saugumu reikėtų pasirūpinti kitaip. Pavyzdžiui, geriau izoliuojant jų darbo vietas organizacijos viduje, peržiūrint saugumo protokolus, įvertinant žmogiškąsias rizikas.

Karantinas dar kartą išryškino priešpriešą tarp to, kas patogu, veikia „čia ir dabar“, ir saugumo. Iš technologijų pirmiausia tikimės greičio ir patogumo, tačiau viską darant pagal aukščiausius saugumo reikalavimas, tam tikras procesų sulėtėjimas neišvengiamas, ypač darbo iš namų sąlygomis. Kai kurias organizacijas tai verčia atsisakyti pažangesnių saugumo sprendimų. Apskritai, ar įmanoma rasti balansą tarp saugumo ir galutinių naudotojų patogumo?

Atsakymo į šį klausimą ieško ir akademinė bendruomenė. Kol kas matome, kad privertę žmones dirbti labai sudėtingomis sąlygomis, jie greitai ras būdą tokius saugumo reikalavimus apeiti. Pavyzdžiui, visiems žinoma rekomendacija kurti kompleksinius slaptažodžius ir juos keisti kas 90 dienų. O kas, jei siekdami maksimalaus saugumo, paprašysime darbuotojo tokį slaptažodį keisti kiekvieną dieną? Žmonės pradės keisti kelias raides, sugalvos prisilipdyti visą savo slaptažodžių sąrašą ant ekrano ir pradės naudoti kitas gudrybes. Ilgalaikėje perspektyvoje tas pats gali pasikartoti ir su 90 dienų terminu. Tad, ar toks reikalavimas didina saugumą ne tik teoriškai, bet ir praktiškai? Žinoma, kad ne. Tad išeitimi galėtų būti ne griežtesnė slaptažodžių politika, o kelių faktorių dinaminiai slaptažodžių generatoriai.

Apskritai, vienas iš efektyviai saugumo ir patogumų iššūkių sprendžiančių principų, mano nuomone, yra koncepcija „saugumas per izoliaciją“. Tai reiškia, kad darbuotojas turi turėti, pavyzdžiui, du išmaniuosius telefonus – vieną darbui, kitą – asmeniniam gyvenimui. Tas pats galioja ir kompiuteriams, operacinei aplinkai.

Pavyzdžiui, Vakaruose išpopuliarėjęs BYOD modelis (angl. bring your own device), kai darbuotojas gali darbe naudoti savo įrenginius, atnešė daug industrinio šnipinėjimo atvejų. Siekiant maksimalaus saugumo, darbo įrenginiai turėtų būti ne kuo prabangesni, o priešingai – turėti tik ribotas funkcijas darbui atlikti.

Idealiu atveju, visi darbui naudojami įrenginiai, operacinės sistemos ir programos turi būti organizacijos patikrintos, prižiūrimos ir, žinoma, naudojami pagal paskirtį. Kuo daugiau atskyrimo tarp profesinio ir asmeninio gyvenimo įrenginių bei juos lydinčių įpročių – tuo geriau, nes atsiranda mažiau sudėtingų taisyklių, darbuotojų laiką gaišinančių patikrinimo procedūrų ir rimtų saugumo rizikų, kai nepatikrintas įrenginys tampa organizacijos tinklo dalimi.

Kurios saugumo technologijos Jums atrodo daugiausiai žadančios artimiausių 5-10 metų perspektyvoje?

Esu atviro kodo šalinininkas ir jau beveik 30 metų naudoju tik atviro kodo sprendimus. Gali nuskambėti keistai, bet saugumą, mano nuomone, gali garantuoti tik didesnis skaidrumas – aparatūrinio mikrokodo, operacinių programinio ir taikomųjų programų kodų, duomenų šifravimo algoritmų ir duomenų struktūrų standartų atvirumas bei patikrinamumas.

Nesvarbu, ar kalbame apie vaizdo kameras, turinčias prieigą prie interneto, ar apie lustus, operacines ir kitas sistemas – be galimybės pamatyti išeities kodą ir įsitikinti, kad programa neturi nedokumentuotų lusto funkcijų, neperduoda duomenų trečiosioms šalims ir t. t., visiškas saugumas nėra įmanomas. Geriausia būtų, jei gavę įrenginį ar sistemą, visi galėtume matyti visą programinį sprendinį be užslaptintų kodo dalių.

Didžiausią įtaką programinio kodo saugumui, kodo kūrimo demistifikavimui, jo išskaidrinimui, galėtų turėti valstybės reguliavimas dėl kodo ar aparatūros komponentų atvirumo. Kalbant bent jau apie viešajame sektoriuje naudojamus sprendimus, ekspertai turėtų turėti galimybę pamatyti visą kodą, peržiūrėti gamybos procesus, atlikti analizę ir tik tuomet rekomenduoti arba nerekomenduoti naudoti šį sprendimą. Pavyzdžiui, Vokietija jau aktyviai vysto atvirojo kodo politiką ir valstybinės institucijos plačiau naudoja atvirojo kodo produktus, kurie yra patikrinti profesionalių bendruomenių ir nepriklausomų ekspertų.

Sustiprinkite nuotolinio darbo IT saugumą su „Blue Bridge“ kibernetinio saugumo specialistais. Parašykite mums!