Delfi.lt sukeltas ažiotažas dėl prieš mėnesį vykdytų kibernetinių atakų prieš šį naujienų portalą atskleidė keletą bėdų ir patvirtino keletą seniai žinomų tiesų.
Pirmoji tiesa: Lietuvoje iki šiol vis dar galioja socialistinis mąstymas, kad už viską turi atsakyti valstybė. Nors portalas delfi.lt priklauso privačiai bendrovei, jos pagrindinė IT paslaugų teikėja „Hostex“ ir jai interneto išteklius suteikianti „Teo“ taip pat yra privačios įmonės, galiausiai visi priekaištai buvo skirti valdžios institucijoms. „Kur žiūri valstybė?“ – bene pagrindinis klausimas, kuris prasiskverbdavo pro daugelį straipsnių ir interviu, skirtų kibernetinio saugumo problemai.
Šiam ažiotažui pasidavė ir prezidentė Dalia Grybauskaitė – neatsispyrė pagundai į savo metinį pranešimą įtraukti pulsuojančios aktualijos. „Pirmoji vieša ataka prieš Lietuvos internetinę erdvę – rimtas įspėjimas, kad būtina stiprinti savo gynybinius gebėjimus. Tokią ataką įvardyčiau tarptautinio terorizmo apraiška“, – metiniame pranešime teigė D. Grybauskaitė.
Teiginys netikslus: tai ne pirmasis kibernetinis išpuolis prieš Lietuvos objektus ir juo labiau sunkiai jį būtų galima apibūdinti kaip teroristinę veiklą. Žinia, terorizmo tikslas yra įbauginti visuomenę. Teroristai dažniausiai turi aiškius politinius siekius ir paprastai prisiima atsakomybę. Šiuo atveju tai, kad kelias dienas strigo vieno iš kelių svarbiausių Lietuvos informacinių portalų veikla, išgąsdino geriausiu atveju tik jo vadovus, bet ne visuomenę. Delfi.lt yra didžiausias, bet toli gražu nevienintelis interneto naujienų portalas ar juo labiau žiniasklaidos priemonė.
Kita tiesa, arba simptomas „dangus griūva“, vėl patvirtino: Lietuvoje problemos pripažįstamos tik apie tai padėjus trimituoti žiniasklaidai. Tuomet visi rimti politikai ima linksėti galvomis ir sutartinai žadėti, kad būtinai reikia spręsti šią problemą. Šį kartą užteko net ne dominuojančios dalies žiniasklaidos, o vieno interneto portalo ir kelių jam į taktą pritariančių ekspertų.
„Naujienų portalas labai „išsuko“ šį incidentą, – pripažino Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos direktorius Gintaras Čiurlionis. – Tačiau tai turi ir teigiamų, ir neigiamų padarinių. Dabartinis ažiotažas Lietuvoje man primena visuotinį skubėjimą po Rugsėjo 11-osios įvykių, kai taip pat buvo siekiama kuo greičiau priimti bet kokias kovos su terorizmu programas, nesvarbu, į ką jos nukreiptos ar kokių priemonių bus imtasi.“ Anot G. Čiurlionio, politikai dažnai nori sprendimų čia ir dabar, nors staigiai priimamos priemonės nebūtinai gali duoti trokštamą efektą.
Padės naujos institucijos?
Jau birželio 4 d. prezidentė D. Grybauskaitė sukvietė valstybės institucijų atstovus į specialų pasitarimą ir pageidavo išgirsti, kaip jie pasirengę užtikrinti valstybės informacinių išteklių apsaugą, kokios yra informacinės saugos spragos, taip pat kokių priemonių reikia imtis, kad būtų užtikrinta visapusiška valstybės informacinių išteklių apsauga. „Ryšių tinklų ir informacijos apsauga gyvybiškai svarbi – nuo stabilaus informacinių sistemų darbo priklauso valstybės gebėjimas veikti ir teikti būtinas paslaugas piliečiams. Padažnėjus išpuolių prieš Lietuvos kibernetinę erdvę, turi būti garantuota veiksminga ir operatyvi valstybės informacinės sistemos apsauga“, – išplatintame pranešime grėsmės nuotaikomis dalijosi D. Grybauskaitė.
Birželio 10 d. ir Vyriausybė surengė specialų pasitarimą. Jame buvo pritarta pasiūlymams organizuoti tinklų ir informacijos saugumo incidentų tyrimų grupės CERT darbą 24 valandas per parą, 7 dienas per savaitę ir tam skirti papildomus keturis etatus. Seimo Informacinės visuomenės plėtros komitetas pasiūlė Vyriausybei nedelsiant įkurti Operatyvinį kibernetinės saugos štabą.
Įdomu tai, kad šios priemonės ir valstybės institucijų pastangos reaguoti į tarsi staiga kilusias kibernetines grėsmes labai mažai ką bendro turi su jas paskatinusiu įvykiu. Naujienas ir pramogas siūlantis piktybines atakas patyręs informacinis portalas niekaip negali būti prilygintas esminiams valstybės saugumo objektams. Bent jau kol Lietuvos vieša informacinė erdvė nemonopolizuota ir gyventojai turi itin plačias galimybes, kokias žiniasklaidos priemones rinktis. Juo labiau, nors ir sveikintinas žingsnis padidinti CERT finansavimą, šios institucijos funkcijos iš esmės apima tik incidentų registravimą, bet ne problemų šalinimą ar saugumo lygio didinimą. „Perkeltine prasme, jie skaičiuoja tik „lavonus“ – registruoja jau įvykusius pažeidimus, bet nefiksuoja „ligos“ ar priežasčių, kodėl buvo pasinaudota viena ar kita saugumo skyle“, – teigė G. Čiurlionis.
Tačiau prezidentė teisi teigdama, kad nuo stabilaus informacinių sistemų darbo priklauso ir valstybės funkcionavimas. Mes jau įpratę daugelį darbų atlikti internetinėje erdvėje – nuo finansinių atsiskaitymų ar mokesčių deklaravimo iki registravimosi pas gydytoją ar užrašymo į vaikų darželius. Kuo daugiau valstybės ir privačių įmonių teikiamų paslaugų perkeliama į internetinę erdvę, tuo esame pažeidžiamesni galimų tyčinių ar netyčinių kibernetinių sutrikdymų.
Privačios atsakomybės trūkumas
Vis dėlto supratimas Lietuvoje apie kibernetinio saugumo problemas yra primityvus. Tai viena bėdų, kurią atskleidė aptariamas kibernetinių išpuolių sukeltas ažiotažas. Vien tai, kad neatskiriama, kas turėtų būti valstybės saugumo problema, o kas – elementarus privačių bendrovių paslaugų teikimas, liudija net ir aukščiausio lygio politikų menką informacinio saugumo problematikos išmanymą.
Visame pasaulyje kibernetiniai išpuoliai tampa vis rimtesnė verslo problema. Prieš keletą metų su kibernetinių išpuolių ar piktybinių informacijos praradimų grėsme dažniausiai susidurdavo tik didelės bendrovės ar įmonės, renkančios jautrią informaciją apie asmenis, jų finansus. Tačiau šiuo metu tai tampa ir mažų bei vidutinių bendrovių bėda. Lietuvoje iki šiol nevykdomi net elementarūs tyrimai, kokių nuostolių patiria privačios ar valstybės įmonės dėl kibernetinių išpuolių. Todėl apie galimas tendencijas tenka spręsti iš užsienio šalyje vykdomų tyrimų.
Šiemet balandį Junginės Karalystės verslo, inovacijų ir gebėjimų departamento paskelbti duomenys parodė, kad šioje šalyje net 87 proc. smulkiojo verslo ir 93 proc. stambių įmonių patyrė bent vieną kibernetinio saugumo pažeidimą per pastaruosius metus. Visam britų verslui kibernetinio saugumo pažeidimų sukeliami nuostoliai siekia milijardus svarų sterlingų ir per pastaruosius metus patrigubėjo. Rimčiausi pažeidimai smulkiosioms įmonėms atneša vidutiniškai 50 tūkst. svarų sterlingų, o didelėms įmonėms – 650 tūkst. svarų sterlingų žalos. Pakartotinių saugumo pažeidimų padaugėjo dvigubai: mažos įmonės vidutiniškai patyrė po 17, o didelės – po 113 kibernetinių pažeidimų per metus.
Jungtinės Karalystės verslo, inovacijų ir gebėjimų valstybės sekretorius Vince’as Cable’as dienraščiui „Financial Times“ teigė, kad jį patį nustebino tyrimo rezultatai, ypač išaugęs kibernetinių saugumo pažeidimų mastas. „Anksčiau manėme, kad tai visų pirma didelių bendrovių rūpestis, tačiau dabar suprantame, kad ir smulkusis verslas vis labiau nuo to kenčia“, – teigė V. Cable’as. Vis dėlto, anot jo, daugiausia, kuo gali prisidėti valstybė, tai informacija bei skatindama verslą skirti ypatingą dėmesį savo IT saugumui. Norėdama paskatinti privačias įmones rimčiau žiūrėti į kibernetinį saugumą, Jungtinės Karalystės vyriausybė įsteigė specialų fondą, kuris gali suteikti iki 5 tūkst. svarų sterlingų paramą smulkiosioms įmonėms, siekiančioms investuoti į savo kibernetinio saugumo didinimą. Be to, nuolat rengiami informaciniai pranešimai ir leidiniai su patarimais, kaip kibernetinio saugumo užtikrinimą paversti kasdiene rutina.
Kiek kainuoja ataka?
Pastaruoju metu nesunku pogrindiniuose interneto forumuose tiesiog susitarti dėl DoS (Denial of Service) atakas vykdančių užkrėstų „Botnet“ kompiuterių „nuomos“.
Kainos jus nustebins: „Botnet“ tinklą, sudarantį nuo 80 iki 120 tūkst. užkrėstų kompiuterių, anot tokiuose forumuose esančių skelbimų, galima „išsinuomoti“ 24 valandoms vos už 200–500 JAV dolerių (apie 500–1250 litų). Toks „Botnet“ tinklas gali generuoti DoS atakas, siekiančias 10–100 Gb/s srauto. To užtektų bet kuriam interneto puslapiui ar net kompleksinėms interneto paslaugoms blokuoti.
Delfi.lt skelbė, kad per maksimalias atakas prieš portalą DoS srautas galėjo siekti apie 6 Gb/s.
Šaukiam, kai dega
Vis dėlto Lietuvoje kibernetinis saugumas vis dar tėra spontaniškas reiškinys. Nors incidentai kibernetinėje erdvėje registruojami jau seniai (vien CERT grupė nuo 2006 m. fiksuoja pranešimus apie kibernetinius incidentus), dauguma jų nesulaukia didesnio žiniasklaidos ar politikų dėmesio.
Vienas rimčiausių iki šiol užfiksuotų kibernetinių išpuolių buvo vykdytas prieš pusantrų metų, kai buvo atakuojamas Lietuvos bankas ir kai kurie mažesni komerciniai bankai. Tuomet vasario pradžioje vykdytos kibernetinės atakos taip pat buvo paremtos DoS principu, tačiau jos buvo vykdomos sudėtingais metodais – dažnai keičiant atakų šaltinius ir pobūdį.
„Tai buvo gerai organizuota ir, greičiausiai, gerokai brangiau kainuojanti ataka nei pastaroji prieš naujienų portalą, – teigė G. Čiurlionis. – Lietuvos banko veiklos specifika tokia, kad jis negali užkirsti visų internetinių užklausų iš užsienio, todėl reikėjo ieškoti specialių priemonių, specifinės įrangos. Tačiau per tris paras įvairių valstybės institucijų atstovai rinkosi net šešis kartus ir tikrai bendromis pastangomis padėjo atremti šiuos išpuolius.“
Anot kibernetinio saugumo eksperto, būtent Lietuvos banko atveju buvo naudojami ir visiškai nauji būdai atakų skaičiui padidinti. „Vėliau pasakojome apie tai ir kolegoms užsienyje – jie buvo apstulbę. Pasirodo, dar vykstant atakoms viename interneto forume buvo paskelbtos nuorodos į nelegaliai platinamus žaidimų įrenginių „Xbox“ žaidimus. O, žinia, Rusijoje, Rytų Europoje vis dar įprasta juos siųstis nelegaliai. Šia nuoroda pasinaudoję vartotojai ir į savo „Xbox“ žaidimų kompiuterius atsisiuntę žaidimą tapdavo naujais DoS atakų šaltiniais net nesuvokdami, kad jų įrenginiai atakuoja Lietuvos banką“, – pasakojo G. Čiurlionis.
Po šių atakų valstybės institucijos padidino prašomus biudžetus IT saugumui užtikrinti, tačiau po pusmečio, kai šie prašymai buvo svarstomi Finansų ministerijoje ir Vyriausybėje, galiausiai vėl liko nuliai. Tai liudija deklaratyvų Vyriausybės siekį rūpintis kibernetiniu saugumu: kai kyla bėdų, žadama jas spręsti, bet nurimus atakoms visada atsiranda svarbesnių išlaidų. Tačiau galbūt tai, ko nepavyko padaryti po Lietuvos banko atakų, bus įgyvendinta po informacinio portalo užpuolimo?
Kasdienis rūpestis
Viena svarbiausių užduočių, siekiant ne tik deklaratyviai parodyti susirūpinimą valstybės kibernetiniu saugumu – nuoseklus monitoringas ar bent jau savotiškas valstybės institucijų elektroninių išteklių ir tinklų būklės auditas. Šiuo metu, anot IT specialistų, net nėra elementaraus supratimo, kokių gali būti didžiausių pažeidžiamumo problemų ir kokiais ištekliais būtų galima remtis vykstant rimtam išpuoliui. Pradinė valstybės situacijos analizė leistų tiksliai įvertinti, kokių būtina imtis priemonių ir kiek skirti investicijų.
Dar 2011 m. Vyriausybės nutarimu buvo patvirtinta Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 m. programa. Ši, nors ir skubotai parengta, programa numatė nemažai kibernetinio saugumo būsenos vertinimo kriterijų ir įgyvendintinų priemonių. Pagal rengėjų skaičiavimus programai įgyvendinti iki 2019 m. būtų reikėję 92 mln. litų. Tačiau vien 2011–2012 m. numatytų išleisti 17 mln. litų taip ir nebuvo skirta. Kitaip tariant, programa yra, priemonės numatytos, tačiau valdžia vis dar mano, kad kibernetinis saugumas bus užtikrintas savaime.
Kai toks požiūris egzistuoja valstybiniu lygiu, nereikia stebėtis, kad ir bendras visuomenės bei verslo supratimas apie kibernetinio saugumo svarbą labai primityvus. „Kai net tarptautiniuose renginiuose, forumuose kalbama apie tai, kiek valstybė turi įsitraukti į bendrų informacinių sistemų saugumo didinimą, visuomet viskas susiveda į partnerystės principą – reikia dalytis atsakomybe ir išlaidomis, – teigė G. Čiurlionis. – Tačiau tai skamba gražiai, kol kyla konkrečių problemų, įvyksta incidentų. Tuomet ir prasideda kaltinimai – o kas turėjo investuoti į vienas ar kitas priemones?“
Anot G. Čiurlionio, valstybei visų pirma svarbu užtikrinti tinkamą kritinės infrastruktūros, strateginių objektų ir valstybės vykdomų paslaugų funkcionavimą. Verslui paprasčiau skaičiuoti ir planuoti savo investicijas, nes jis konkrečiau žino, kokių nuostolių gali patirti dėl sutrikdytos veiklos.
Vis dėlto net ir toks, atrodytų, elementarus principas, kad verslo įmonėms visų pirma pačioms privalu saugoti savo sistemas ir investuoti į informacinės apsaugos priemones, Lietuvoje dar nesuvoktas. Jau minėto Jungtinės Karalystės tyrimo duomenimis, privačios britų įmonės 2013 m. padidino IT saugumo priemonėms skiriamo biudžeto dalį nuo vidutiniškai 8 iki 10 proc. (nuo visų išlaidų, susijusių su IT priemonėmis), pusė apklaustų įmonių ketina lėšų atriekti dar daugiau. Be to, vis dažniau įsigali kompensacinių priemonių taikymas dėl IT incidentų nukentėjusiems klientams. Bendrovėms tiesiog pražūtinga neskirti deramo dėmesio tinklų saugumui, nes kompensacijos klientams būtų keleriopai didesnės nei investicijos į saugumą.
Tačiau, grįžtant prie pastarojo kibernetinio incidento Lietuvoje, galima tik stebėtis, kad privačios bendrovės norėtų permesti investicijas į valstybės biudžetą. Keista, kad verslo įmonėms, kurių pagrindiniai veiklos rezultatai priklauso nuo IT paslaugų kokybės, viešai skelbia tik apie tai, kaip jiems buvo sunku susidoroti su kilusiomis problemomis, tačiau nieko nepraneša apie klientų patirtų nuostolių kompensavimą ar bent jau planuojamas investicijas į papildomas priemones, kad tokių incidentų rizika būtų kuo mažesnė. Galbūt pastarųjų savaičių pamokos bus naudingos ne tik politikams, dar kartą prisiminusiems, kad kibernetinis saugumas reikalauja dėmesio, bet ir IT įmonėms bei jų klientams – gal kitą kartą šie pasidomės, o kaip ketinama reaguoti į būsimas kibernetines atakas.
