Šiurpą keliantys magiški žodžiai ” kibernetinis saugumas „. Vyraujančia nuomone, tai reikalas „aukščiausio kalibro” IT profesionalų – “hakerių”. Bet ar tikrai? Pakalbėkime apie kur kas žemiškesnį saugumą. Jei, tarkime, aš esu piktavalis Jūsų konkurentas ir žinau, kad šiuo metu ruošiamės dalyvauti stambaus užsakymo konkurse, informaciją ką, už kiek ir iš ko ruošiatės siūlyti, man svarbi tiek, kiek vertas konkurso užsakymas. Žinau, kad Jūsų vadybininkas vežasi savo darbinį nešiojamą kompiuterį namo. Žinau, kad jis užsuka į parduotuvę vakarienės. Kaip manote, kas pigiau – pasamdyti hakerius už keliasdešimt tūkstančių eurų, rizikuoti “užkibti” ant nesąžiningų sukčių, arba patekti į teisėsaugos akiratį, be to, rezultato niekas negarantuos, už tuos pinigus gali tik pabandyti. Ar sumokėti “vietinės reikšmės” asocialiam plėšikėliui, kuris kompiuterį yra matęs tik per saugų atstumą, bet jis praktiškai patikimai “nuhakins” kompiuterį tiesiai iš rankų ar bagažinės ir atneš jį man? Pats kompiuteris man nerūpi, diską nusikopijuoti pasiruošęs trukčiau kelioliką minučių, po ko kompiuteris atsidurtų kur lombarde ar “pilietiškų žmonių” rankose, kurie operatyviai grąžintų kompiuterį savininkui, kad sumažinti įtarumą duomenų vagystei. Ar tokia duomenų vagystė patenka po “kibernetinio saugumo” sąvoka?
Kartą teko lankytis vienoje Valstybės įmonėje jos kvietimu, kibernetinio saugumo klausimais. Užėjus į pirmą aukštą – nė gyvos dvasios, kabinetai su numeriais ir šalia kortelės su kabineto funkcija. Ant pirmojo kabineto užrašas “Serverinė”. Smalsumas nugalėjo, atidariau duris. Kokių 12 kvadratinių metrų kabinetas su “IT tvarka” viduje, rašomuoju stalu prie lango ir gražuoliu HP ML350e serveriu ant stalo. Palikau viską savose vietose. Susitikimo metu su vadovybe ir IT žmogumi sužinojau, kad visas administracinis personalas dirba antrame aukšte, o pirmajame – darbo metu beveik nieko nebūna. Bandžiau suskaičiuoti kiek turėčiau laiko ramiu žingsniu užeiti į įstaigą, atsidaryti duris, atjungti serverio 3 kabelius, pasikišti po pažastimi ir ramiu žingsniu iškulniuoti. Pirmieji skambučiai IT specialistų, geriausiu atveju, prasidėtų tik po kelių minučių. IT žmonės yra tingūs – jie geriau pabandys jungtis tinklu ir sužinoti daug daugiau informacijos, užuot kulniuos į pirmą aukštą patikrinti ar serveris vietoje ir be šios informacijos negaus jokios kitos. Priėjome bendros išvados, kad nuo 10 iki 15 minučių kol susivoktų kas įvyko, mano ir pėdsakai būtų ataušę po tokios “duomenų vagystės”. Ar serverio išsinešimas telpa po “duomenų vagystės” sąvoka?
Girdėjau istoriją iš pirmų lūpų, kai rimta ir galinga įmonė pasisamdė IT saugumo ekspertus įvertinti jų pasiruošimą IT saugumo klausimais. Per pirmą susitikimą buvo aišku, kad ieškoti spragų sudėtingose elektroninėse sistemose – praktiškai beprasmiška, jie tikrai gerai pasiruošę. Užuot “puolę” juos internetu, -teigė pašnekovas, nusprendėme imtis kiek kitokios taktikos. 2 savaites šiukšles nuo jų ofiso pasiimdavo ne įprasti šiukšliavežiai, bet mūsų darbinis “kablūkas” ir niekam tai nesukėlė įtarimo. Sekančio susitikimo metu, samdytojų pasitenkinimo savimi “atrėmus hakerių ataką internetu” veido išraiškas pakeitė sumišimo, kai jiems ant stalo paklojome iš vos kelių “puzzle” suklijuotą akcininkų sąrašą su dividendų sumomis, vidinius įsakymus ir t.t. Per 2 savaites šiukšlių konteineryje buvo surinkta tiek ir tokios egzotinės informacijos, kad tokią pačią surinkti užsakant profesionalius įsilaužėlius tikrai kainuotų dešimtimis tūkstančių. Ar tai galėtume vadinti duomenų saugumu?
Mokslininkai nustatė, kad bendruose ofisuose žmonės su baltais šalmais ir šviesą atspindinčiomis liemenėmis tampa nematomais. Rimtai. Praeina toks žmogus, mandagiai pasisveikina, visi mandagiai atsako linktelėjimu. Apsisukęs su kompiuteriu po pažastimi iškulniuodamas mandagiai atsisveikina, aplinkinių reakcija tokia pati. Į klausimą – kur dingo kompiuteris, visi atsakys, kad matė kaip išsinešė. Retas kuris pasiteiraus kas, kur ir kodėl nešasi, tiesa?
Lankiausi vienoje Klaipėdos gydymo įstaigoje. Liepė palaukti koridoriuje už durų, ir įspėjo, kad laukti teks ilgokai. -Nieko, atsakiau, dirbti aš galiu iš bet kur, net ir iš ligoninės koridoriaus. Koridoriuje radau nemokamą vienos gerai uostamiestyje žinomos bendrovės tiekiamą Wifi skirtą svečiams. Aš nebūčiau aš, jei nepatikrinčiau ar tikrai jis tik svečiams. Nė kiek nenustebau, jog taip ir buvo, juk tai rimta kompanija. Kiek vėliau mano dėmesį patraukė internetinio tinklo rozetė. Prisijungiau. Gavau adresą, bet jau ne iš “svečių” dalies. Uolia, aš darbiniame ligoninės tinkle. Gerai, kad aš ne koks pažeidėjas, nes tokiame tinkle, tikriausiai, galima rasti labai jautrios informacijos. Aišku, apie tai informavau personalą. Iš reakcijos supratau, kad ne to čia personalas susirinko. Apskritai, svečius įsileisti į bendrą tinklą, arba turėti atskirą Wifi svečiams, bet, prie jo prisijungus paaiškėja, kad esame tame pačiame tinkle – žanro klasika. Retoje įstaigoje būna kitaip. Čia vaizdingai galima pasakyti, kad į parduotuvės sandėlį padarytos 2 atskiras duris viena šalia kitos, per vienas vaikšto personalas, o per kitas įleidžiami svečiai pasėdėjimui ir palaukimui. Kokia čia logika – vieni autoriai tik gali atsakyti.
Apibendrinkime ką sužinojome apie kibernetinį saugumą: jis ne toks jau ir brangus kaip gali pasirodyti. Pirmiausia apsaugokime reikiamą įrangą fiziškai. Tiesiog užrakinkime duris, pasirūpinkime, kad įrangos nebūtų galima išsinešti greitai. Kontroliuokime kokie nepažįstami žmonės vaikšto ofise ir nešiojasi Jūsų daiktus. Kompiuterių gebėjimas šifruotis duomenis – nėra kažkokia utopija, tai standartinė Windows Pro funkcija, reikia ją tik įjungti ir pasirūpinti šifro rakto išsaugojimu. Tokį kompiuterį pagrobę blogiečiai niekaip neprieis prie svarbių duomenų, kad ir kiek stengtųsi. Tinklą įmonėje turėtų diegti tinklo specialistai, ne apskaitininkės vienuoliktokas. Jis ten supranta apie kompus. Su visa pagarba apskaitininkei ir būsimajam specialistui. Po įmonės tinklo diegimo ir svečių dalies paleidimo būtinas testavimas vietoje, kad svečiai negali patekti į darbinį tinklą. Ypač po didžiausių ir galingiausių įmonių specialistų darbo. Patikėkite, žinau ką sakau. Pirminio IT saugumo auditas pas mus kainuoja nuo 500€.
