Kibernetinio saugumo pagrindai kiekvienam

Kodėl kibernetinis saugumas – ne tik IT specialistų reikalas

Dar prieš dešimt metų žodžiai „kibernetinis saugumas” skambėjo kaip kažkas iš Holivudo trilerių – tamsi patalpa, ekranai su skrendančiu kodu, vyrukas su kapišonu. Realybė 2024-aisiais yra visiškai kitokia ir, tiesą sakant, daug nuobodesnė, bet tuo pačiu ir daug pavojingesnė. Nes dabar taikinys – ne tik korporacijos ar vyriausybės. Taikinys – tu, tavo mama, tavo draugas, kuris vis dar naudoja tą patį slaptažodį „123456″ visur.

Statistika kalba pati už save: kasmet kibernetiniai nusikaltimai pasauliui kainuoja trilijonus dolerių. Lietuvoje situacija irgi ne rožinė – Nacionalinis kibernetinio saugumo centras kasmet fiksuoja tūkstančius incidentų, ir didžioji dalis jų nutinka ne dėl sudėtingų įsilaužimų, o dėl paprasčiausio žmogiško neatsargumo. Kažkas paspaudė netinkamą nuorodą. Kažkas naudojo per silpną slaptažodį. Kažkas patikėjo, kad laiškas tikrai iš banko.

Šiame straipsnyje nesiruošiame skaityti paskaitų apie TCP/IP protokolus ar šifravimo algoritmus. Čia – praktiniai dalykai, kuriuos gali pritaikyti šiandien, net jei paskutinį kartą kompiuterį atidarei tik tam, kad pažiūrėtum „Netflix”.

Slaptažodžiai: ta skausminga tema, kurios niekas nenori liesti

Pradėkime nuo pačio pagrindo. Slaptažodžiai yra kaip durų spynos – galima turėti aukso vertės butą, bet jei prie durų kabo spyna iš žaislinės parduotuvės, viskas prarasta. Ir vis dėlto kasmet „NordPass” skelbia populiariausių slaptažodžių sąrašą, ir kasmet toje sąraše dominuoja „password”, „123456″ ir panašūs šedevrai.

Štai kaip turėtų atrodyti geras slaptažodis:

• Ilgis – svarbiau nei sudėtingumas. 16 simbolių frazė iš atsitiktinių žodžių yra saugesnė nei 8 simbolių „P@ssw0rd”. Matematika čia paprasta – kuo daugiau simbolių, tuo daugiau laiko reikia ją nulaužti.
• Unikalumas kiekvienai paskyrai. Jei naudoji tą patį slaptažodį „Facebook”, banke ir el. pašte, tai reiškia, kad vieno nutekėjimo pakanka, kad prarastum viską.
• Jokių asmeninių duomenų. Gimimo data, šuns vardas, miesto pavadinimas – visa tai hakeriai bando pirmiausia, ypač jei turi prieigą prie tavo socialinių tinklų.

Praktinis patarimas: naudok slaptažodžių tvarkyklę. „Bitwarden” yra nemokama ir atviro kodo – tai reiškia, kad bet kas gali patikrinti jos kodą ir įsitikinti, kad ji nesaugo tavo duomenų kažkur serveryje. „1Password” ar „Dashlane” yra mokamos alternatyvos su papildomomis funkcijomis. Slaptažodžių tvarkyklė generuoja ir saugo sudėtingus slaptažodžius, o tu turi atsiminti tik vieną – pagrindinį. Tai ne tingumas, tai protinga higiena.

Dviejų faktorių autentifikacija: antroji gynybos linija

Gerai, tarkime, kažkas vis tiek gavo tavo slaptažodį. Gal per duomenų nutekėjimą, gal per „phishing” ataką (apie tai – vėliau). Čia į žaidimą įeina dviejų faktorių autentifikacija, arba 2FA. Principas paprastas: net žinodamas slaptažodį, įsilaužėlis negali prisijungti, nes sistema reikalauja antro patvirtinimo – kodo iš telefono, pirštų atspaudų ar fizinio rakto.

Yra kelios 2FA rūšys, ir jos nėra vienodai saugios:

• SMS kodai – geriau nei nieko, bet ne idealas. Egzistuoja „SIM swapping” atakos, kai nusikaltėliai įtikina operatorių perkelti tavo numerį į jų SIM kortelę. Retai, bet nutinka.
• Autentifikavimo programėlės (Google Authenticator, Authy, Microsoft Authenticator) – žymiai geriau. Kodai generuojami tiesiai telefone ir galioja tik 30 sekundžių. Net jei kas nors matytų kodą, po pusės minutės jis jau nenaudingas.
• Fiziniai saugumo raktai (YubiKey) – aukso standartas. Mažas USB įrenginys, kurį reikia fiziškai prijungti. Jokia nuotolinė ataka čia nepadės. Kainuoja apie 30–50 eurų ir verta kiekvieno cento, jei turi ypač jautrių paskyrų.

Rekomendacija: įjunk 2FA bent jau el. paštui, bankininkystei ir socialiniams tinklams. El. paštas ypač svarbus, nes per jį dažniausiai atkuriamos kitos paskyros – jei kas nors kontroliuoja tavo el. paštą, jis gali atkurti slaptažodžius beveik visur kitur.

Phishing: kaip atpažinti, kai kas nors bando tave apgauti

„Phishing” – tai sukčiavimas, kai nusikaltėliai apsimeta patikimais šaltiniais, kad išvilioti jautrią informaciją. Ir čia reikia būti sąžiningam: šios atakos tapo labai sofistikuotos. Nebėra tų juokingų laiškų su klaidomis iš „Nigerijos princo”. Šiandieniniai „phishing” laiškai atrodo identiškai tikrų bankų ar „PayPal” komunikacijai.

Keletas ženklų, kurie turėtų sukelti įtarimą:

• Skubumas ir baimė. „Jūsų paskyra bus užblokuota per 24 valandas!” – klasika. Sukčiai nori, kad reaguotum greitai, nepamanęs. Tikros institucijos retai siunčia tokius ultimatumus el. paštu.
• Siuntėjo adresas. Laiškas gali atrodyti iš „Swedbank”, bet pažiūrėk į tikrąjį adresą – gali būti kažkas kaip „[email protected]”. Oficialūs domenai paprastai trumpi ir aiškūs.
• Nuorodos. Prieš spausdamas, užvok pelę ant nuorodos ir pažiūrėk, kur ji iš tikrųjų veda. Jei URL atrodo keistai arba turi daug atsitiktinių simbolių – nepaspausk.
• Priedai iš nežinomų siuntėjų. Niekada neatidaryti. Tiesiog ne. Net jei atrodo kaip sąskaita faktūra ar svarbus dokumentas.

Yra ir sudėtingesnė versija – „spear phishing”, kai ataka nukreipta konkrečiai į tave, naudojant asmeninę informaciją iš socialinių tinklų. Gali gauti laišką, kuriame minimas tavo vardas, darbovietė ar neseniai buvęs renginys. Tai jau rimtesnis lygis, bet principai tie patys – prieš spausdamas bet ką, sustok ir pagalvok.

Viešieji „Wi-Fi” tinklai: patogumas su kaina

Kavinė, oro uostas, viešbutis – viešas „Wi-Fi” yra patogus, bet tai viena iš labiausiai neįvertintų grėsmių. Problema ta, kad prisijungdamas prie atviro tinklo, tu iš esmės siunti duomenis per erdvę, kurią gali stebėti bet kas tame pačiame tinkle. „Man-in-the-middle” atakos – kai įsilaužėlis atsistoja „tarp” tavęs ir interneto – viešuose tinkluose yra techiškai nesudėtingos.

Ką daryti:

• VPN (Virtual Private Network) – šifruoja visą tavo interneto srautą, todėl net jei kas nors „klauso”, mato tik beprasmį šifruotą tekstą. „Mullvad”, „ProtonVPN” ar „ExpressVPN” yra patikimi pasirinkimai. Venkite nemokamų VPN – dažnai jie patys renka ir parduoda tavo duomenis.
• HTTPS visur. Įsitikink, kad svetainės, kurias lankau, naudoja HTTPS (naršyklėje matysi spynelę prie URL). HTTP – nešifruotas, HTTPS – šifruotas. Skirtumas esminis.
• Jautrios operacijos – tik namų tinkle. Internetinė bankininkystė, mokėjimai, darbiniai dokumentai – tai ne viešo „Wi-Fi” reikalai. Jei būtina, naudok telefono mobilųjį duomenų ryšį vietoje viešo tinklo.

Programinės įrangos atnaujinimai: tas mygtukas, kurį visi ignoruoja

„Atnaujinti dabar ar vėliau?” – ir visi spaudžia „vėliau”. Suprantama, nes atnaujinimai dažnai ateina pačiu blogiausiu metu ir trunka ilgiau nei norėtum. Bet čia slypi viena iš didžiausių saugumo spragų.

Kodėl atnaujinimai tokie svarbūs? Programinėje įrangoje nuolat randamos saugumo spragos – tai normalu, nes kodas rašomas žmonių, o žmonės klysta. Kai spraga randama, kūrėjai išleidžia pataisą. Bet jei tu neatnaujini, ta spraga lieka atvira, ir hakeriai tai žino. Yra net terminai „zero-day exploit” – tai ataka, naudojanti spragą, apie kurią kūrėjai dar nežino. Bet dažniausiai atakos naudoja jau žinomas spragas, kurioms pataisos jau išleistos – tik žmonės jų neįdiegė.

2017 metų „WannaCry” išpirkos reikalaujančio viruso ataka paveikė šimtus tūkstančių kompiuterių visame pasaulyje. „Microsoft” buvo išleidusi pataisą likus dviem mėnesiams iki atakos. Tie, kurie atnaujino – buvo saugūs. Tie, kurie spaudė „vėliau” – ne.

Praktinis patarimas: įjunk automatinius atnaujinimus operacinei sistemai ir pagrindinėms programoms. Taip, kartais tai nepatogu. Bet tai vienas paprasčiausių dalykų, kurį gali padaryti savo saugumui. Ir tai taikoma ne tik kompiuteriui – telefono programėlės, naršyklės plėtiniai, net maršrutizatoriaus programinė įranga (firmware) turi būti atnaujinti.

Socialiniai tinklai ir skaitmeninis pėdsakas

Čia tema, apie kurią kalbama mažiausiai, bet kuri yra labai aktuali. Kiek informacijos apie save tu dalinies internete? Gimimo data, miestas, darbovietė, šeimos nariai, atostogų planai, mėgstamos vietos – visa tai, kas atrodo nekalta, gali būti panaudota prieš tave.

Socialinė inžinerija – tai manipuliavimas žmonėmis, o ne sistemomis. Ir ji veikia, nes žmonės yra linkę pasitikėti. Jei sukčius žino tavo vardą, darbovietę ir kad neseniai grįžai iš Ispanijos, jo laiškas ar skambutis atrodys daug įtikinamiau.

Keletas dalykų, kuriuos verta apsvarstyti:

• Privatumo nustatymai. Peržiūrėk, kas mato tavo įrašus socialiniuose tinkluose. Ar tikrai reikia, kad visi matytų tavo gimimo datą ir telefono numerį?
• Vieta realiuoju laiku. Skelbti, kad šiuo metu esi atostogose, reiškia skelbti, kad tavo namai tušti. Gal geriau pasidalinti nuotraukomis po grįžimo.
• Trečiųjų šalių programėlės. Tos viktorinos „Sužinok, koks esi personažas” – jos dažnai prašo prieigos prie tavo paskyros ir renka duomenis. Ar tikrai verta?
• „Google” save. Paieškokite savo vardo ir pažiūrėkite, ką randa. Gali nustebti, kiek informacijos yra viešai prieinama.

Kai viskas dėl to, kad mes, žmonės, esame silpniausia grandis – ir kaip tai pakeisti

Kibernetinis saugumas nėra tik technologijų klausimas. Tyrimai rodo, kad daugiau nei 80% sėkmingų kibernetinių atakų prasideda nuo žmogiškos klaidos. Ne nuo sudėtingų įsilaužimų, ne nuo kvantinių kompiuterių, o nuo to, kad kažkas paspaudė netinkamą nuorodą arba patikėjo įtikinamu sukčiumi.

Tai nereiškia, kad esame kvaili – tai reiškia, kad esame žmonės. Mes esame sukurti pasitikėti, reaguoti į skubumą, padėti kitiems. Sukčiai tai žino ir naudoja. Todėl svarbiausia priemonė yra ne antivirusinė programa ar ugniasienė, o kritinis mąstymas ir sveika paranoja.

Keli principai, kurie gali tapti antra prigimtimi:

• Sustok prieš spausdamas. Viena sekundė apmąstymo gali išgelbėti nuo didelių problemų. Ar tikrai žinau, kas tai siuntė? Ar tikrai reikia spausti šią nuorodą?
• Patikrink per kitą kanalą. Jei bankas skambina ir prašo patvirtinti duomenis, padėk ragelį ir pats paskambink oficialiu banko numeriu. Tikras bankas supras.
• Kalbėk apie tai. Papasakok tėvams, draugams, kolegoms apie „phishing”, apie silpnus slaptažodžius. Kibernetinis saugumas stiprėja, kai apie jį žino daugiau žmonių.
• Daryk atsargines kopijas. Jei vis tiek atsitiks blogiausia – išpirkos reikalaujantis virusas, sugadintas diskas – atsarginė kopija gali reikšti skirtumą tarp katastrofos ir nepatogaus vakaro. „3-2-1″ taisyklė: 3 kopijos, 2 skirtingose laikmenose, 1 ne toje pačioje vietoje (pvz., debesyje).

Kibernetinis saugumas nėra tobulybės siekimas – niekas nėra 100% saugus. Tikslas yra tapti pakankamai sunkiu taikiniu, kad nusikaltėliams būtų lengviau eiti ieškoti kito. Kaip su spyna ant dviračio – ji nesustabdys ryžtingo vagies, bet sustabdys oportunistą. Ir dauguma kibernetinių atakų yra būtent oportunistinės – automatizuotos, masinės, ieškančios lengviausio kelio. Pasirūpink pagrindiniais dalykais, ir jau esi žymiai saugesnis nei vidutinis interneto naudotojas. O tai, realiame pasaulyje, reiškia labai daug.