60 proc. kibernetinių incidentų lemia žmogaus klaidos, o DI situaciją dar labiau komplikuoja

 

„Atea“ reklama

“Pastarosiomis savaitėmis Lietuvą supurtė net keli didelio masto kibernetinio saugumo incidentai, dar kartą išryškinę, kokių pasekmių gali turėti kibernetinės saugos spragos ir nepakankama duomenų apsauga. Tuo tarpu iššūkiai kibernetinio saugumo srityje tik auga. Sparčiai tobulėjantis dirbtinis intelektas suteikia naujų galimybių ne tik organizacijoms, bet ir kibernetiniams nusikaltėliams – jiems tampa vis lengviau kurti įtikinamas apgaulės schemas ir paveikti žmonių elgesį. Be to, prasidedantis vasaros atostogų laikotarpis, kai darbuotojų budrumas tradiciškai sumažėja, tokių grėsmių poveikį gali dar labiau sustiprinti. Didžiausios IT sprendimų ir paslaugų teikėjos Baltijos šalyse „Atea“ IT sprendimų architektas Ramūnas Sasnauskas tvirtina, kad žmogus vis dar išlieka pažeidžiamiausia kibernetinio saugumo grandis, ir pataria, kaip organizacijoms mažinti žmogaus klaidų keliamas rizikas.

 

Vienoje didžiausių pasaulyje kibernetinio saugumo tyrimų ataskaitų „Verizon Data Breach Investigations Report 2025“ nurodoma, kad apie 60 proc. kibernetinių incidentų vienaip ar kitaip susiję su žmogiškuoju faktoriumi. Ši išvada gauta išanalizavus daugiau nei 22 tūkst. saugumo incidentų ir 12 tūkst. patvirtintų duomenų pažeidimų iš 139 šalių.

 

Žmogiškasis faktorius kibernetinio saugumo kontekste apima socialinę inžineriją, silpną prieigų valdymą, klaidingą sistemų konfigūraciją, saugumo taisyklių apeidinėjimą bei per vėlai pastebėtus incidentus. „Net ir turint pažangias technologines apsaugos priemones, daug kas priklauso nuo to, kaip žmonės jomis naudojasi, kokius sprendimus priima ir kaip greitai reaguoja į galimas grėsmes“, – sako R. Sasnauskas.

Socialinės inžinerijos grėsmes stiprina DI

 

Paklaustas, kuris iš žmogiškųjų faktorių šiandien organizacijoms kelia didžiausią riziką, „Atea“ ekspertas nedvejodamas įvardina socialinę inžineriją. 

 

„Ir nebūtinai todėl, kad ji dažniausia. Paveikti žmogų yra daug lengviau nei nulaužti gerai apsaugotą informacinę sistemą. Nusikaltėliams nereikia ilgų ir sudėtingų procesų ieškant pažeidžiamumų. Daug paprasčiau siųsti apgaulingus laiškus ar žinutes ir tikėtis, kad žmogus pats atskleis prisijungimo duomenis“, – teigia R. Sasnauskas.

 

Šiandien sukčiai naudoja ne tik tradicinius vadinamuosius „phishing“ laiškus. Vis dažniau pasitelkiami ir tokie apgaulės būdai kaip „smishing“ (apgaulingos SMS žinutės), „vishing“ (telefoninis sukčiavimas) ar „quishing“ (sukčiavimas naudojant QR kodus). „Pastarieji ypač sparčiai populiarėja, nes el. pašto filtrams sunkiau analizuoti QR kodus nei įprastas interneto nuorodas. Be to, QR dažniausiai nuskaitomas telefonu, kuris dažniausiai turi silpnesnes apsaugas nei kompiuteris“, – perspėja R. Sasnauskas.

 

Papildomų galimybių nusikaltėliams suteikia ir dirbtinis intelektas. „Su DI pagalba iš esmės dingo kalbos barjeras. Jei anksčiau sukčiavimo laiškus dažnai išduodavo gramatinės klaidos ar keistos formuluotės, šiandien DI leidžia sugeneruoti taisyklinga lietuvių kalba parašytus laiškus ar personalizuotas žinutes, apsimetant kolega ar vadovu“, – pasakoja ekspertas.

 

Dirbtinis intelektas taip pat leidžia kurti itin įtikinamas originalių interneto svetainių kopijas. Dar didesnį pavojų gali kelti vadinamieji „deepfake“ sprendimai, kai dirbtinio intelekto pagalba atkuriamas konkretaus žmogaus balsas ar vaizdas ir taip, pavyzdžiui, imituojamas vadovo nurodymas atlikti tam tikrus veiksmus. Anot R. Sasnausko, Lietuvoje apie tokias atakas dar neteko girdėti, tačiau Europoje, JAV ir Azijoje tokių atvejų jau pasitaiko.

 

Iš esmės DI nekeičia pagrindinio kibernetinių nusikaltėlių tikslo – paveikti žmogų, tačiau jis leidžia kurti vis labiau įtikinamus sukčiavimo scenarijus, todėl organizacijoms tampa dar svarbiau stiprinti darbuotojų budrumą ir gebėjimą atpažinti galimas grėsmes.

Saugumas dažnai aukojamas dėl patogumo

 

Vis dėlto socialinė inžinerija – tik viena dėlionės dalis. Reikšmingos ir kitos rizikos, kylančios dėl žmonių sprendimų bei kasdienių įpročių. Organizacijos vis dar susiduria su perteklinėmis ar netinkamai valdomomis prieigomis, klaidomis konfigūruojant sistemas, per vėlai pastebimais incidentų požymiais bei darbuotojų polinkiu apeiti saugumo taisykles, siekiant greičiau atlikti kasdienes užduotis.

 

„Kalbant apie polinkį apeiti saugumo taisykles, pagrindinė problema vis dažniau yra ne darbuotojų žinių stoka, o tai, kad pasirinkti saugumo įrankiai ar procesai būna nepatogūs, todėl juos ignoruoti tampa paprasčiau nei jais naudotis“, – sako R. Sasnauskas.

 

Prie to prisideda ir spaudimas, kai užduotis reikia atlikti kuo greičiau, taip pat rizikos nesuvokimas ar psichologiniai aspektai, tarkime, tikėjimas, kad „man nieko nenutiks“. Nemažai klaidų lemia nuovargis ar neatidumas.

 

Rizikas didina ir specialistų kompetencijų trūkumas projektuojant, diegiant, konfigūruojant ar prižiūrint saugumo sprendimus. Todėl vien technologijų įsigijimas savaime dar nereiškia didesnio saugumo – ne mažiau svarbu užtikrinti, kad jos būtų tinkamai pritaikytos ir valdomos.

Kaip sumažinti žmogiškojo faktoriaus keliamas rizikas?

 

Nors visiškai eliminuoti žmogiškųjų klaidų neįmanoma, organizacijos gali gerokai sumažinti jų sukeliamą riziką. R. Sasnauskas rekomenduoja pradėti nuo kelių esminių žingsnių.

 

Pirmiausia svarbu atlikti kibernetinio saugumo auditą, kuris padėtų įvertinti esamą situaciją, identifikuoti silpnąsias vietas ir nustatyti prioritetus.

 

Kitas ne mažiau svarbus žingsnis: nuolatinė darbuotojų edukacija. Darbuotojus reikėtų reguliariai informuoti apie naujas atakų rūšis, tarp jų ir DI pagalba kuriamas socialinės inžinerijos atakas, saugaus darbo principus, organizacijoje diegiamus saugumo sprendimus ir veiksmus, kurių reikia imtis pastebėjus incidentą. Edukacija turėtų apimti ne tik teorinius mokymus, bet ir praktines incidentų simuliacijas, pavyzdžiui, „phishing“ atakų imitavimą. Tokios pratybos leidžia darbuotojams geriau atpažinti grėsmes ir pasirengti realioms situacijoms.

 

„Atea“ ekspertas taip pat rekomenduoja organizacijoms nusimatyti ilgalaikius saugumo tikslus bei strategiją, reguliariai vertinti silpnąsias vietas ir stiprinti tas sritis, kuriose rizika didžiausia. Rizikas mažinti padeda ir konkretūs technologiniai sprendimai, pavyzdžiui, vienas ekonomiškiausių ir efektyviausių yra MFA („multifactor autentificator“), kai net praradus prisijungimo duomenis sunku juos panaudoti be papildomo patvirtinimo. Taip pat tapatybių ir prieigų valdymo sistemos (IAM), privilegijuotų prieigų valdymo sprendimai (PAM).

 

„Bendras patarimas: saugumo sprendimus reiktų daryti kuo paprastesnius. Vertėtų automatizuoti procesus ten, kur žmonės dažniausiai klysta. Taip pat labai svarbu kurti atsakomybės, o ne baimės kultūrą ir vertinti ne tik technologijas, bet ir darbuotojų elgseną“, – pabrėžia ekspertas.

 

Būtent organizacijos kultūrą R. Sasnauskas įvardija kaip vieną svarbiausių veiksnių, lemiančių, ar kibernetinis saugumas taps natūralia kasdienės veiklos dalimi, ar liks tik formalių taisyklių rinkiniu.

Vadovo vaidmuo – svarbesnis nei atrodo

 

Pasak R. Sasnausko, kuriant kibernetinio saugumo kultūrą itin svarbus vaidmuo tenka organizacijų vadovams. „Vadovai turi laikytis tų pačių taisyklių kaip ir visi darbuotojai, naudotis tais pačiais saugumo įrankiais ir raginti organizaciją kruopščiai laikytis nustatytų procesų“, – tvirtina ekspertas.

 

Tačiau vadovų vaidmuo neapsiriboja asmeniniu pavyzdžiu. Remiantis gerosiomis praktikomis bei tarptautiniais standartais, tokiais kaip NIST ar ISO 27001, už kibernetinį saugumą atsakingi specialistai turėtų būti tiesiogiai pavaldūs organizacijos vadovybei arba turėti galimybę be biurokratinių kliūčių tiesiogiai su vadovais aptarti kibernetinio saugumo klausimus. Tai svarbu ne tik kalbant apie esamas rizikas ar įvykusius incidentus, bet ir planuojant saugumo strategiją, nustatant prioritetus, skiriant reikalingus resursus bei priimant sprendimus dėl investicijų į saugumo sprendimus ir priemones.

 

„Atea“ atstovo teigimu, vadovai taip pat turėtų atvirai kalbėti apie saugumo rizikas ir incidentus, dalintis patirtimis bei skatinti darbuotojus kuo greičiau pranešti apie pastebėtas grėsmes ar galimus incidentus be baimės būti apkaltintiems ar nubaustiems.

 

Kibernetinis saugumas neturėtų būti suvokiamas tik kaip IT skyriaus atsakomybė. Saugumo klausimai turi pasiekti aukščiausią organizacijos vadovų lygmenį ir būti vertinami kartu su kitomis veiklos rizikomis.”