Ilgiau kaip savaitę, birželio 20–29 d., vykusi intensyvi paslaugų trikdymo ataka prieš Saugųjį valstybinį duomenų perdavimo tinklą, kitas Lietuvos valdžios institucijas ir privačias įmones, per kurią sutrikdytas per 130 interneto svetainių darbas, praėjusį trečiadienį nuslopo.
„Bet išlaikome didesnį budėjimo lygį“, – sako Nacionalinio kibernetinio saugumo centro (NKSC) prie Krašto apsaugos ministerijos laikinasis vadovas Jonas Skardinskas. Interviu „Kauno dienai“ jis papasakojo, kokios kibernetinės atakos dažniausios ir kaip jas atremti.
Jonas Skardinskas/A. Pliadžio nuotr.
Ilgiau ir su daugiau taikinių
– Ar nuslopo pirma tokia intensyvi – taip ilgai trukusi ir į tiek daug taikinių nukreipta kibernetinė ataka Lietuvoje?
– Kibernetinių atakų patiriame nuolat, bet, kalbant apie trikdymo atakas, kurios prasidėjo užpraėjusios savaitės pradžioje ir skirtingu intensyvumu vyko visą užpraėjusią savaitę, o ypač intensyviai – praėjusios savaitės pirmadienį, buvo jų ir antradienį, nuo trečiadienio jos kur kas silpnesnės. Viena pagrindinių to priežasčių – dauguma įstaigų ėmėsi nedelsiant tvarkyti savo sistemas, taikyti papildomas kibernetinio saugumo priemones. Nors šiuo metu situacija ramesnė, išlaikome didesnį budėjimo lygį.
– Atakuota tikrai daug svarbių institucijų – Valstybinė mokesčių inspekcija, „Litgrid“, „Lietuvos geležinkeliai“, Migracijos departamentas, telekomunikacijų centro tinklai, oro uostų interneto svetainė ir daugybė kitų. Kaip apibūdintumėte šių atakų mastą ir išskirtinumą?
– Šias atakas iš ankstesnių išskyrė tai, kad dažniausiai jos tęsiasi nelabai ilgai, o dabar truko palyginti ilgai, gerokai ilgiau nei savaitę. Kitas skirtumas, kad jos buvo nukreiptos į daugybę taikinių, o paprastai dideli pajėgumai koncentruojami nulaužti vieną ar du. Šiuo atveju buvo taikytasi į labai daug įvairių institucijų.
Kibernetinius incidentus skirstome pagal tam tikrus kriterijus. Šįsyk per dešimt jų buvo priskirti vidutinio lygio, didelė dalis – nereikšmingiems, nes sutrikdymai buvo trumpalaikiai arba buvo sutrikdyti resursai, kurie nelabai intensyviai lankomi.
Gali būti, kad ne apie visus incidentus buvome informuoti, nes tai privalo padaryti kibernetinio saugumo subjektai, t.y. ypatingos svarbos informacinės infrastruktūros, valstybės informacinių išteklių valdytojai. Privatus verslas ar privatūs piliečiai apie juos neprivalo mums pranešti.
– Šįsyk buvo įspėjimų, kad atakos taikiniais gali būti būtent privatus verslas.
– Taip, buvo atakuotos ir privataus verslo įmonės, bet, mūsų vertinimu, atakos nebuvo ilgalaikės.
Programišių ausys – Rusijoje
– Atsakomybę už kibernetines atakas Lietuvoje prisiėmusi su Rusijos specialiosiomis tarnybomis siejama „Killnet“ programišių grupuotė paskelbė taip keršijanti už ES sprendimą apriboti Rusijos tranzitą į Kaliningrado sritį. Nuo rusiškos kibernetinės atakos praėjusį trečiadienį nukentėjo ir Norvegija, kurią Rusija apkaltino blokuojant kelią į jos gyvenvietes Svalbardo salyne. Ar kitose NATO ar ES valstybėse taip pat fiksuojamas su Rusija siejamų programišių suaktyvėjimas?
– Su partneriais keičiamės informacija. Buvo atakų ir kitur, gal ne taip viešinant. Jos vyko ir vyksta. Negalime sakyti, kad ir pas mus jos baigėsi. Bet, kaip perspėjome, gali pasikeisti jų pobūdis. Akivaizdu, jog siekiama sukurti efektą, kad bus sutrikdytas normalus gyvenimas.
– Ar buvo padaugėję atakų iš karto, kai Rusija pradėjo karą Ukrainoje?
– Prasidėjus karui iš karto buvo suaktyvėjimas, bet nepasakyčiau, kad stipriai reikšmingas. Kibernetinės atakos labiau buvo nukreiptos į Ukrainą. Dabar matome suaktyvėjimą ir į Lietuvą, koordinuotas atakas su labai aiškiai nurodytais taikiniais.
Akivaizdu, jog siekiama sukurti efektą, kad bus sutrikdytas normalus gyvenimas.
– Lietuvos informaciniuose tinkluose dažniausiai aptinkama Rusijai priskiriamų kibernetinių šnipinėjimo grupuočių veikla, tokia tendencija matoma ir pasauliniu mastu. Naivu klausti, kai tai susiję su Rusija, bet ar neįmanomos kažkokios tarptautinės sankcijos? Gal vienintelis ginklas – didinti atsparumą?
– Pastarąsias porą savaičių daug kas matė atakų, kurios pavykdavo. NKSC matydavo ir atakų, kurios nepavykdavo: būdavo atakuojamas taikinys ir jis atsilaikydavo, jo veikla nesutrikdavo, ir tokių buvo daugiau nei tų, kurių veikla sutrikdavo. Atsilaikančiųjų vis daugėja pritaikant naujas kibernetinio saugumo priemones.
Atsparumo didinimas yra gerai ir ta prasme, kad atakuojančiųjų resursai taip pat ne begaliniai, nėra taip, kad jie gali bet kada bet ką daryti, nes atakos irgi kainuoja. Kai priešininkas mato, kad nepasiekia tikslo, jo motyvacija stipriai krinta. Atsparumas, kai svetainės, informaciniai resursai atsilaiko, mažina priešininko entuziazmą.
Dėl kibernetinių atakų prieš įvairias Lietuvos valstybines ir privačias įstaigas NKSC kreipėsi į Policijos departamentą, ir šis pradėjo ikiteisminį tyrimą dėl neteisėto poveikio informacinėms sistemoms. Siekiama ir teisinio nusikalstamos veikos įvertinimo, dalyvavusių joje asmenų patraukimo atsakomybėn.
– Ką žinome apie „Killnet“, „Ghostwriter“, kitus kibernetinių atakų vykdytojus, kuriems įtaką daro Rusija, nusitaikiusius į ES šalis, taip pat ir Lietuvą?
– Šis klausimas kontržvalgybos institucijoms, nagrinėjančioms užsienio grupuotes. NKSC domina tik tai, kokie jų veikimo būdai ir metodai, kokias priemones naudoja, kad galėtume kuo anksčiau juos identifikuoti ir panaudoti kontrpriemones.
– Ar intensyvėja kibernetinės atakos iš Kinijos?
– NKSC nepriskiria tai ar kitai grupuotei, mes fiksuojame duomenis ir perduodame informaciją atsakingoms institucijoms. Faktas, kad Rusija, Kinija, Baltarusija įvardytos ir Nacionalinio saugumo strategijoje kaip valstybės, turinčios nedraugiškų interesų Lietuvoje. Tikėtina, kad kibernetinių atakų iš šių šalių intensyvumas gali didėti.
Efektas: ES labai susirūpinusi vadinamuoju plėtros scenarijumi, kai kibernetinis incidentas vienoje ES valstybėje sparčiai plinta į kitas. (J. Kalinsko/BNS nuotr.)
Galimi scenarijai
– Ar, kaip mano kai kurie ekspertai, tai, kas vyko pastarąsias dvi savaites, gali būti tik apsižvalgymas, silpnų vietų paieška? Ar mūsų institucijos pajėgtų veikti, jei, pavyzdžiui, sutriktų internetas? Juk vyko tokie mokymai, tad ar toks scenarijus realus?
– Rengiamės įvairiems atvejams. Labai svarbus mūsų pasirengimas dirbti kartu ir su privačiu verslu, telekomunikacijų operatoriais, įmonėmis, kurios valdo tarptautinius sujungimus, kad, jei prireiktų, duotume vieningą atsaką. Valstybė ir kiti subjektai turi veikti išvien, kad padidintų atsparumą tokioms atakoms.
Sutrikdytas internetas Lietuvos mastu turėtų būti labai didelė ataka.
– Kaip gali pakenkti ne tik paslaugų trikdymo, bet ir duomenų šifravimo, interneto svetainių turinio pakeitimo atakos, apie kurių tikimybę įspėjote?
– Trikdymo atakos dažniausiai nukreiptos, kaip ir sako jų pavadinimas, į veiklos sutrikdymą, pasiekiamumo apribojimą, kad tam tikri informaciniai resursai, svetainės būtų nepasiekiami. Siekiama destrukcinio efekto, parodyti, kad štai kažkas neveikia, viskas sutrikę. Bet šios atakos dažniausiai nepadaro žalos pačiai informacinių technologijų infrastruktūrai.
Duomenų šifravimo atakas šiek tiek sudėtingiau įgyvendinti, bet jos gali tiesiogiai sukurti efektą, kai prarandami duomenys. Visų pirma, rekomenduojame įsivertinti savo turimą skaitmeninį turtą ir ne tik turėti atsargines svarbiausių resursų kopijas, bet ir jas ištestuoti, gebėti iš jų atkurti informacines sistemas ir duomenis. Taip pasirengti atakoms reikėtų ir privačioms įmonėms, ir valstybės įstaigoms.
Pernai buvo įvairių melagienų kėlimo į interneto svetaines banga. Gana dažnai buvo atakuojami savivaldybių, kiti interneto puslapiai, kurie teikia informaciją, juose būdavo įdedama įvairi melaginga informacija. Apsisaugoti nuo to irgi yra priemonių: visų pirma reikia apriboti prieigą prie nuotolinio valdymo sistemų, ją suteikti tik tiems, kuriems to tikrai reikia, taip pat stebėti savo sistemas.
– Ar tai ir yra dažniausi kibernetinių incidentų būdai?
– Pagrindiniai vektoriai panašūs kiekvienais metais, tik vienais suaktyvėja vieni, kitais – kiti. Pirmiausia pamatome, kai atakuojamos valstybės įstaigos, kritinė infrastruktūra. Pagrindinis taikinys – įdiegti kenkėjišką programinę įrangą, kuri šnipinėja, bando vogti informaciją, prisijungimo duomenis. Daug informacijos rinkimo atakų (angl. phishing), kai bandoma apgaule išgauti asmens duomenis, prisijungimus, finansinius duomenis. Minėtomis duomenų šifravimo atakomis užšifruojami įmonių ar privačių asmenų duomenys ir paskui iš jų prašoma išpirkos, kad šios juos atgautų. Šiuo atveju, kaip perspėjome, tai nebūtų išpirkos reikalavimas, o duomenų naikinimas juos užšifruojant.
– Ar aktyvėja bandymai paveikti visuomenės nuomonę melagienomis?
– Tokia ataka vadinama hibridine, nes melagienos įdėjimas – labiau informacinė ataka, bet kad ją įgyvendintum, prieš tai reikalinga kibernetinė ataka, kurios metu įgyjami prisijungimai prie turinio valdymo sistemos. Panaudojus kibernetinės atakos priemones prisijungiama prie turinio valdymo sistemos, dedamos melagienos ir sukuriamas efektas, kad tai yra tikra informacija. Efektas visuomenei kartais būna net didesnis nei paslaugų trikdymo atakos, nes šios apriboja prieigą prie kurių nors interneto svetainių, tai sukelia nepatogumų, ypač jei tai koks populiarus resursas, pavyzdžiui, mokesčių inspekcija. Bet vis tiek anksčiau ar vėliau ji atsikuria, o melagiena multiplikuojasi, perpublikuojama kituose portaluose kaip tikra žinia ir t.t.
– Koks šiuo metu Lietuvoje patiriamų kibernetinių atakų mastas, kiek jų registruojama?
– Nepateiksiu skaičiaus, nes be konteksto jis nieko nesakys ir net gali klaidinti. Pavyzdžiui, privatūs subjektai, verslo įmonės apie juos neprivalo pranešti, bet kartais praneša, vieną mėnesį pranešančiųjų daugiau, kitą – mažiau.
Rengiamasi atsakui ES mastu
– ES kibernetinio saugumo agentūros organizuotose pratybose neseniai repetuotas toks scenarijus: prieš Europos ligoninių ir laboratorijų tinklą pradedama dezinformacijos kampanija, kuriai pasitelkiami suklastoti laboratorijų duomenys, kibernetinė krizė apima visą ES medicinos sektorių, kyla grėsmė medicinos paslaugų teikimui ir asmens medicinos duomenų atskleidimui. Ar toks scenarijų realus – kibernetinės atakos iki tokio lygio gali paralyžiuoti mūsų gyvenimą? Ar mes pasirengę atremti tokias atakas?
– Pratybos Europos mastu visų pirma skirtos ištestuoti bendradarbiavimą tarp valstybių. ES labai susirūpinusi vadinamuoju plėtros scenarijumi, kai incidentas vienoje ES valstybėje sparčiai plinta į kitas ir dėl augančios tarpusavio priklausomybės paveikia daugelio jų infrastruktūrą. Pavyzdžiui, bankai dabar dažniausiai veikia keliose valstybėse, bet tikrai ne visose turi savo informacinių technologijų infrastruktūros elementų, t.y. bankas iš vienos valstybės aptarnauja savo padalinius kitose.
Reikia žiūrėti, kaip vyktų procesai, jei nutiktų incidentas gretimoje valstybėje, kaip greitai valstybės sužino, keičiasi informacija. Tam ir yra išbandomi tokie visą Europą apimantys scenarijai. Kaip specialistai mes nelinkę atmesti jokių, ir gerai, kad jiems rengiamasi.
– Ar pernai tarptautiniame kibernetinio saugumo indekse Lietuvos užimta pasaulyje šešta, o Europoje ketvirta vieta rodo, kad mūsų šalis gerai pasirengusi atremti atakas?
– Indeksas nerodo saugumo ar nesaugumo lygio, jis rodo valstybės dėmesį tam klausimui. Lietuvos Vyriausybė kibernetiniam saugumui skiria pakankamai dėmesio, ir tai atspindi mūsų vieta indekse.
Lietuvoje auga informacinių sistemų valdytojų supratimas, kibernetinis saugumas tampa svarbesnis. Kibernetinis atsparumas – tai sutelktinis, bendras reikalas. Jokios įstaigos negali apginti visos Lietuvos, tai bendras bendruomenės darbas.
Nepaisant įvairių pasisakymų, kad Lietuva buvo nepasiruošusi pastarajai kibernetinei atakai, mano vertinimu, prieš ją neblogai atsilaikėme, matėme, kad daug resursų atakuota ir nepasiekta. Nesupraskite neteisingai – tai ne nusiraminimas. Bet realiai vertinant konkrečią situaciją atsparumas buvo pakankamo lygio.
– Kokios šios beprecedentės atakos pamokos?
– Kad roges reikia ruošti vasarą – daryti darbus iš anksto. Daug kartų minėjome, ką reikia padaryti kibernetiniam saugumui padidinti, priemonės net nėra labai brangios. Reikia kažkiek techninių žinių, galima tokią paslaugą ir nusipirkti. Dabar, kai patyrėme tokią ataką, visi, kurie nebuvo susitvarkę, puolė tvarkytis. Jei būtų susitvarkę anksčiau, būtume ją atlaikę dar geriau.
Naujausi komentarai