Su įstaigos akcininkų leidimu kibernetinio saugumo specialistas Marius Pareščius apsilanko medicinines paslaugas teikiančioje įstaigoje, pelno jo nepažįstančių darbuotojų pasitikėjimą ir taip iš įmonės „išneša“ jautrius duomenis. Visa tai – testas, kurio metu bandoma nustatyti darbuotojų pažeidžiamumą socialinės inžinerijos atakoms.
Su įstaigos akcininkų leidimu kibernetinio saugumo specialistas Marius Pareščius apsilanko medicinines paslaugas teikiančioje įstaigoje, pelno jo nepažįstančių darbuotojų pasitikėjimą ir taip iš įmonės „išneša“ jautrius duomenis. Visa tai – testas, kurio metu bandoma nustatyti darbuotojų pažeidžiamumą socialinės inžinerijos atakoms. M. Pareščius sako, kad jam labiausiai gaila darbuotojo, kuris pirmasis su juo pasisveikina.
Asociatyvi nuotr. Pixabay.com
Patiki viskuo
Norime tikėti, kad įstaigos, kurios tvarko mūsų duomenis, yra pasiruošusios apsiginti nuo programišių ar kitų piktavalių, kurie siekia pasipelnyti iš jautrios informacijos ar net mus šantažuoti.
Šantažo scenarijus neskamba kaip filmo scenarijus – štai dar 2017 metais po visą Lietuvą nuvilnijo skandalas apie tai, kad iš plastikos chirurgijos klinikos „Grožio chirurgija“ duomenų bazės programišiai pavogė garsių klientų asmens duomenis: vardus, pavardes, kitus kontaktinius duomenis. Programišiai vėliau bandė šantažuoti pacientus ir reikalavo iš jų pinigų.
Tarptautinėje asmens duomenų apsaugos konferencijoje „ADA DAY 2020“, M. Pareščius papasakojo, kaip prieš pusantrų metų medicininėje diagnostinėje kompanijoje atliko testą. Testo tikslas – išsiaiškinti, koks yra darbuotojų pažeidžiamumas socialinės inžinerijos atakoms. „Žinoma niekas apie tai nežinojo. Išskyrus akcininkus“, – šypteli jis.
Socialinė inžinerija – menas išnaudoti žmogaus psichologiją, o ne naudojimasis techninėmis įsilaužimo metodikomis, siekiant patekti į pastatą ar gauti prieigą prie sistemų ar duomenų.
Anot specialisto, bet kokios privačios ar valstybinės institucijos yra lengvas grobis piktavaliams. To priežastis – edukacijos stoka.
„Užeiname į įstaigą, susipažįstame su aplinka. Man tai buvo pirmi kartai: nauja aplinka, nauji žmonės. Niekas manęs nepažįsta. Dažniausiai aš prisistatinėju kaip IT berniukas, kuris atėjo patikrinti šioje organizacijoje dirbančios IT kompanijos kokybės.
Kaip jums sekasi? Ar pas jus printeryje toneriai dažnai keičiami? Ar pas jus telefonai visą laiką veikia? Ar pas jus nėra problemos, kad išsikvietei IT berniuką, o IT berniukas atvažiuoja tik už kelių dienų? O kaip jums sekasi su tuo, kaip su anuo? Kokią sistemą naudoja administracija? O kaip žiūrite nuotraukas, o kaip jungiatės prie „Medis“?“, – klausimų lavina darbuotojams paberia specialistas.
Darbuotojai nesulaiko ašarų
Anot jo, per pirmąsias 5 minutes tąkart jam pavyko gauti darbuotojo pasitikėjimą. „Ir tą pasitikėjimą darbuotojas perduoda kitam darbuotojui. Kai darbuotojai nėra apmokyti, mano tikslas yra „išnešti“ kažkiek duomenų. Duomenis tau patys darbuotojai įrašo į USB raktą, kurį ištraukia iš stalčiaus. Visiškai naują, net išpakuoja. Tu atėjai be mobilaus telefono, be jokių IT duomenų, net pavardės nepaprašo“, – stebisi M. Pareščius.
Jis pabrėžia, kad galėtų net darbuotojams prisistatyti Jonu Jonaičiu ir jie patikės. O įgavus darbuotojų pasitikėjimą – viskas įmanoma. Surinkęs visą informaciją, M . Pareščius parengia mokymo programą ir apmoko visą personalą.
„Man labiausiai gaila to žmogaus, kuris su manimi pirmasis pasisveikino. Tai yra tas žmogus, kuris savo pasitikėjimą tuo žmogumi, kuris atėjo, perduoda visiems kitiems. Ir tai kaip virusas užkrečia visą organizaciją. Visoje organizacijoje mane pažįsta, su manimi geria kavą, vaišina tortu.
Ir paskutinis triukas yra, tuomet, kai aš pasivedu tą žmogų, su kuriuo susipažinau pirmuoju, atskirai į kambariuką ir papasakoju, kas aš esu. Ašarų paprastai būna 5 minutėms. Bet aš turiu savo etikos kodeksą. Aš organizacijai niekada nepasakoju, į kurį filialo skyrių atėjau ir žmogaus, su kuriuo susipažinau“, – sako M. Pareščius.
Anot jo, tikslas – išmokyti personalą nepasitikėti žmonėmis, kurie nepriklauso įmonei. M. Pareščius sako, kad po tokių testų, susitikęs su įstaigos vadovais, juokiasi, jog labai džiaugtųsi, jei kitą kartą jam įėjus į įstaigą, jis būtų „supakuotas“ ir išmestas lauk.
Daugiausiai saugumų skylių – mūsų galvose
Anot eksperto, šiandien kibernetinis saugumas yra pilnas „skylių“. „Dalis tų skylių yra mūsų sistemose, dalis – mūsų galvose, kad ir kaip keista. Programišiai, piktavaliai ar net kai kuriais atvejais automatizuotos sistemos, renka mūsų duomenis. Tie duomenys gali būti svetainėse, įrenginiuose. Tie duomenys gali būti net ir mūsų aplinkoje. Ir aplinka moka duomenis rinkti, analizuoti ir naudoti.
Duomenys dažniausiai yra naudojami marketingui, tam, kad būtų galima stebėti, kiek ir kur jūs lankotės. Kiek tai legalu? Šiuo metu tai nėra reguliuojama ir šie nereguliuojami dalykai mums yra pavojingi“, – sako kibernetinio saugumo specialistas.
Jis pabrėžia, kad pasaulyje yra įvairių kibernetinių atakų. Nuo programišių, iki socialinės inžinerijos atakų.
Kibernetinio saugumo specialistas pasakoja, kad dalį mūsų duomenų pasisavina programišiai: jie karts nuo karto bando vienos ar kitos organizacijos pasirengimą kibernetinėms atakoms. „Bet nemažai informacijos atiduoda darbuotojai.
Darbuotojai, kai kuriais atvejais, duomenis atiduoda nepiktybiškai, jie tiesiog į organizaciją ateina su savo kažkokiu asmeniniu įrenginiu. Pavyzdžiui, iš namų atsineša mobiliųjų telefoną, su kuriuo žaidė vaikas ir prisiuntė programėlių. Žmonės atsineša kompiuterį iš namų, planšetę ir panašius dalykus. Jei tokie atsinešti įrenginiai nėra izoliuoti, tai praktiškai, informaciją, kurią turite organizacijoje, gali pasiekti bet kas“, – sako M. Pareščius.
Anot jo, šiandien didžiausią problemą sukuria mūsų visų nemąstymas apie tai, kokią ir kam mes atiduodame informaciją. „Kai kurie duomenys yra privatūs, bet mes sakome, kad jie mums nerūpi, sakome – aš nesvarbus žmogus. Masiškai surinkti tokie duomenys tampa ginklu, informacija, kurią galima panaudoti espionažui ar hibridinio karo metu“, – sako M. Pareščius.
Apgavo ir patį ekspertą
Tačiau kartais piktavaliai gali apgauti net kibernetinio saugumo specialistus. M. Pareščius pasidalino istorija, kuri įvyko maždaug prieš 10 metų. Specialistas pasakoja, kad atvykęs į Londoną, norėjo nusipirkti bilietą kelionei metro. Stotyje bilieto nusipirkti kibernetinio saugumo specialistui nepavyko, tad jis nusprendė susirasti bankomatą.
„Aš labai retai naudoju bankomatus. Ir labai retai rizikuoju neaiškiose vietose. Pasitikrinau, ar ant pačio bankomato nėra jokių įrenginių. Įkišu kortelę, suvedu PIN kodą. Gaunu pinigus. Atsiskaitau, važiuoju su metro. Klausimas uždarytas.
Po dviejų mėnesių gaunu skambutį iš vieno iš didžiųjų bankų. Manęs klausia: kur jūs šiuo metu esate? Vilniuje. Aha, ačiū. Ir auksinė klientų vadybininkė padeda ragelį“, – pamena M. Pareščius.
M. Pareščius pasakoja, kad pats ėmė aiškintis, kas nutiko. Pasirodo, vienu metu iš jo banko sąskaitos dviejuose skirtingose Lotynų Amerikos valstybėse yra išimami pinigai. „Sumos nedidelės. Aš paprastai kortelėse nelaikau daug pinigų. Sugebėjo nuimti virš 400 eurų ir ištuštinti sąskaitą. Banko kortelė buvo klonuota. Bet klonuota ne paprastu būdu. Bankomate buvo programinė įranga, kuri buvo skirta duomenų rinkimui. Tokia programinė įranga į bankomatą patenka išgręžus skylę, kišant specifinius USB raktus su virusais.
Net ir žmonės, kurie žino, ką daro, kartais būna nesaugioje aplinkoje. Niekada negali žinoti, kur yra tavo duomenys, informacija. Labai atsargiai patikėkite savo duomenis išorinėms organizacijoms. Bėda yra ne ta, kad jūsų duomenys yra kažkur. Bėda yra tai, kad praktiškai 100 proc. visų sistemų vieną dieną bus nulaužtos ir duomenys tikrai nutekės“, – perspėja specialistas.
