Spalis – kibernetinio saugumo mėnuo: Krašto apsaugos ministerija ir Nacionalinis kibernetinio saugumo centras atkreipia dėmesį į vieną didžiausių pavojų internetinėje erdvėje. Kalbant apie dažniausiai Lietuvoje pasitaikančius kibernetinių incidentų tipus, viena pirmaujančių kategorijų nesikeičia jau kelerius metus iš eilės – tai socialinės inžinerijos metodai, bandant įvairiais būdais iš žmonių išvilioti pinigus, prisijungimus prie jų elektroninių paskyrų ar kitus jautrius duomenis (fišingas). 2023 metų pirmą pusmetį Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) fiksavo 265 tokio tipo atvejus ir tai sudarė beveik trečdalį (31 proc.) visų per pirmus šešis metų mėnesius fiksuotų kibernetinių incidentų.

Fišingo (angl. phishing) terminas yra kilęs nuo angliško žodžių junginio „slaptažodžių žvejyba“ (angl. password fishing). Šis kibernetinių atakų būdas išlieka dideliu galvos skausmu visoje Europoje – fišingas yra įvardijamas pagrindine Europos Sąjungos kibernetinio saugumo grėsme. ES Sąjungos kibernetinio saugumo agentūra (ENISA) spalį yra paskelbusi kibernetinio saugumo mėnesiu ir jau vienuoliktą kartą ragina visus daugiau dėmesio skirti kibernetiniam saugumui – šiemet ypatingas dėmesys skiriamas būtent apsisaugojimui nuo fišingo atakų.

Lietuvos gyventojai raginami didinti budrumą, plėsti savo žinias apie apsisaugojimo priemones ir išmokti atpažinti internetinių sukčių naudojamus metodus. „Kibernetinio saugumo srityje jokiu būdu negalime nuvertinti fišingo grėsmės ir kovos su tokio tipo duomenų vagystėmis svarbos. Lygiai taip pat, kaip esame įsipareigoję savo valstybės fizinių sienų apsaugai, didelį dėmesį turime skirti ir sienoms, saugančioms mūsų duomenis. Kibernetinio saugumo mėnuo – puiki proga šviesti save ir kitus apie sukčiavimo internetinėje erdvėje pavojus. Ugdydami budrumą ir grėsmių suvokimą sustiprinsime savo kibernetinį saugumą bei prisidėsime prie saugesnės interneto aplinkos visiems“, – sako krašto apsaugos viceministrė Greta Monika Tučkutė.

„Nuolat tobulėjančios socialinės inžinerijos sukčiavimo taktikos yra nuolatinis iššūkis, nes labai dažnai tai nėra tik pavienė grėsmė, bet ir didesnių kibernetinių atakų pradžios taškas. Internetiniai sukčiai kasdien tampa vis išradingesni, imitacinių žinučių kūrimui yra pasitelkiami įvairūs generatyvinio dirbtinio intelekto įrankiai ir jos tampa sunkiai atskiriamos nuo tikrųjų žinučių. Todėl kibernetinį saugumą didinančių įpročių ugdymas tampa kaip niekada aktualus, nes darbuotojo aplaidumas ir fišingo žinučių neatpažinimas gali sukelti didžiulę žalą organizacijai. Tokiu būdu patekti į organizacijos vidines sistemas yra daug paprasčiau, negu vykdyti sudėtingus ir daug pastangų reikalaujančius įsilaužimus“, – teigia NKSC direktorius Liudas Ališauskas.

Nustatyta, kad fišingas šiuo metu yra populiariausias kibernetinių atakų tipas Europoje ir itin dažnai naudojamas siekiant gauti prieigą prie institucijų bei įstaigų duomenų. Užpuolikams gavus prieigą prie vidaus sistemų ir tinklų, kibernetiniai užpuolikai įgauna galimybes vykdyti tolesnes atakas, pavyzdžiui, užšifruoti visus organizacijos skaitmeninius duomenis ir reikalauti išpirkos už vidinių duomenų neviešinimą ar jų atšifravimą. Taigi, vos vieno darbuotojo klaida ir kompiuterio pelės paspaudimas gali lemti didelės reikšmės duomenų organizacijose praradimą. KAM ir NKSC primena, kaip apsisaugoti nuo fišingo tipo duomenų viliojimo.

Patarimai gyventojams:

• Geriau būti atsargiems, nei vėliau gailėtis. Visada naudokite skirtingus ir stiprius slaptažodžius. Savo paskyrose įgalinkite dviejų arba kelių veiksnių prisijungimo autentifikavimą.
• Saugokite savo duomenis. Slaptažodžiai, mokėjimo kortelių numeriai, asmens tapatybės duomenys – labai vertingi. Vertinkite juos kaip savo turtą.
• Būkite budrūs, kai prašoma imtis skubių veiksmų. Nepasiduokite spaudimui veikti „čia ir dabar“. Giliai įkvėpkite ir pagalvokite prieš imdamiesi bet kokių veiksmų, pasitarkite su kitais šeimos nariais ar draugais.

Patarimai darbuotojams

Kritiškai vertinti visus iš netikėtų adresatų gautus elektroninius laiškus, neatidarinėti prikabintų dokumentų. Gavus įtartiną laišką, pirmiausiai, apie jį reikia pranešti už kibernetinį saugumą organizacijoje atsakingam organizacijos asmeniui ar komandai. Laiku informavus, specialistai galės organizacijos viduje pritaikyti reikimas technines apsaugos priemones ir taip apsaugoti kitus nuo tokių kenksmingų elektroninių laiškų. Nenaudoti darbinio elektroninio pašto adreso asmeniniams reikalams. Dalintis su kolegomis informacija apie įtartinas žinutes ir savo patirtimi atpažįstant internetinių sukčių žinutes.

Krašto apsaugos min. inf.