Kiek kibernetinių atakų, po kurių pasaulis galėjo sužinoti apie ne vieną „Panama papers“, liko nutylėtos? Kiek kibernetinių įsilaužėlių pralobo dėl tokių duomenų neviešinimo? Kiek įmonių finansiškai nukentėjo arba žlugo bandydamos apsaugoti savo reputaciją, kad nutekėję duomenys nebūtų atskleisti, o jų klientai liktų saugūs?
Žiniasklaida apie kibernetines atakas informuoja gana retai, o tai yra labai ydinga praktika. Dėl to formuojasi informacinis vakuumas ir verslas bei verslo paslaugomis besinaudojantys asmenys į kibernetines rizikas žiūri pro pirštus. Juk jei niekas apie tai neskelbia, vadinasi, tai ir nevyksta. Žiniasklaidoje skelbiama tik apie itin dideles kibernetines atakas, kurios liečia „pasaulio galinguosius“, kaip pavyzdžiui „Panama papers“.
Kaip žinia, „Panama papers“ yra ne vienintelis atvejis, pasaulį supurtęs valstybės arba ekonomikos paslapčių nutekinimu. Viešumo aktyvistų įkurtas tinklalapis „WikiLeaks“ dar 2010-aisiais pradėjo naudoti internetą kaip naują savo misijos terpę nutekindamas įvairaus pobūdžio duomenis. Ir tai tik didžiausi mums žinomi kibernetinių atakų pavyzdžiai.
Lietuvos viešojoje erdvėje dažniausiai pranešama tik apie itin didelio masto kibernetinio saugumo pažeidimus, tokius kaip atakuotą Seimo internetinę svetainę, 2015 metų vasarą iš Kaune veikiančios įmonės „Hostinger“ programišių pavogtus 13 milijonų privačių vartotojų duomenis ir jų paviešinimą internete. Tai yra tik keletas atvejų, kai Lietuvos gyventojai sužinojo apie kibernetines rizikas.
Po kibernetinės atakos – finansinis šantažas ir ieškiniai
„Panama papers“ yra vienas retesnių atvejų, kai kibernetinis įsilaužėlis iš „Mossack Fonseca“ neprašė jokio finansinio atlygio už duomenų neviešinimą.
Kaip skelbiama, jis tiesiogiai kreipėsi į Vokietijos žurnalistus ir esą perdavė jiems tokią žinutę: „Noriu, kad praneštumėte apie medžiagą ir paviešintumėte šiuos nusikaltimus“. Bet juk šis programišius galėjo iš „Mossack Fonseca“ , kurios duomenis pavogė, prašyti finansinio atlygio arba kreiptis į kiekvieną suinteresuotą grupę atskirai – už duomenų neviešinimą būtų susikrovęs milijardus.
Įvykiai, kuomet kibernetiniai įsilaužėliai pavagia duomenis ir reikalauja didžiulio finansinio atlygio už tokių duomenų neskelbimą, deja, bet kasdieniai.
Virtualioje erdvėje saugomi įmonės duomenys – masalas programišiams
Apsukime situaciją iš kitos pusės. Įsivaizduokite, kad programišius – nusikaltėlis, nutekinęs itin slaptus, bet ne skandalingus duomenis, liečiančius privačius asmenis. Dėl kibernetinės atakos nukenčia paprasti žmonės ir jų šeimos, prarandamas saugumas, gal net pinigai. Žiniasklaidai tai neįdomu, tačiau žmonės ir verslas patiria didelius nuostolius.
Labiausiai nukentėti nuo kibernetinių įsilaužimų kasdien rizikuoja daug duomenų apie savo klientus virtualioje erdvėje saugančios įmonės: gydymo įstaigos, bankai, advokatų kontoros, kredito unijos, telekomunikacijų, audito, IT bendrovės, viešąją nuomonę formuojančios organizacijos.
Antivirusinė sistema ir slaptažodis neapsaugos nuo kibernetinės rizikos
Jeigu jūsų įmonė naudoja tą patį slaptažodį keliuose puslapiuose, kibernetinės rizikos rodiklis išauga dešimtimis kartų. Programišius, gavęs slaptažodį ir žinodamas jūsų el. pašto adresą, gali bandyti prisijungti prie kitų jums priklausančių paskyrų ir išgauti ne tik įmonės konfidencialią informaciją, bet ir surasti būdų, kaip ištuštinti sąskaitą banke.
2015 metų rugpjūčio pabaigoje, kaip tik ir įvyko panašus incidentas Lietuvoje, tačiau apie jį žiniasklaidoje taip pat nebuvo itin plačiai kalbama. Šioje istorijoje programišius pavogė lietuvių duomenis iš „PayPal“ ir „PaySera“ sistemų.
Sužinoti, ar Jūsų verslui kibernetinė rizika reali, galite uždavę sau keletą klausimų: ar saugote savo darbuotojų duomenis ir/ar konfidencialią informaciją apie klientus kompiuteriuose? Ar sutrikus Jūsų įmonės informacinėms sistemoms įmonės darbas bus paralyžiuotas? Jeigu taip, kibernetinis saugumas Jūsų verslui reikalingas.
Labiausiai rizikuoja jokios duomenų apsaugos neturinčioms įmonėms
Konsultuodami klientus dėl kibernetinių ir IT rizikų draudimo matome, kad didžiausias rizikas patiria įvairias finansines operacijas, mokėjimus kortelėmis priimančios įmonės, taip pat tos, kurios savo veikloje taiko privatumo sertifikatus, rizika didėja, kai už duomenų apsaugą dar yra atsakinga ir trečioji šalis, kai su įmonės darbuotojais per kompiuterių sistemas dalijamasi įvairiais duomenimis. Kibernetinės rizikos išauga, kai įmonės neturi jokios duomenų apsaugos ar net antivirusinės sistemos, kai viešai netraktuoja, kad jų verslas saugus, kai neturi plano B, t. y., ką darys tuomet, kai duomenys dings ar įvyks kibernetinė ataka ir jie bus visiškai prarasti.
Tokių rizikų identifikavimas padeda suprasti, kokiame kibernetinio saugumo lygyje yra verslas. Lietuvoje kibernetinio draudimo sprendimus vis dar turi labai nedaug įmonių. Vakarų Europoje jau 2012 metais apie kibernetinių rizikų perdavimą draudikui galvojo apie 20 procentų įmonių.
Vakarų Europos šalyse jau prieš penkerius metus imta galvoti, kaip efektyviau apsaugoti įmonės ir vartotojų duomenis, ne tik įsidiegiant antivirusinę sistemą ar duomenų bazėje suvedant slaptažodį.
„Skaitmeninės apsaugos priemonės – viena, bet visai kas kita – žmogiškasis faktorius, – po „Panama papers“ duomenų paviešinimo sakė Marina Walker, kuri yra viena iš Tarptautinio tiriamosios žurnalistikos centro (International Consortium of Investigative Journalists (ICIJ) vadovių, kuris analizuoja iš „Mossack Fonseca“ nutekėjusius duomenis.
Kada išgirsime apie kitą įvykį?
Suprantama, kad jokia įmonė negali visiškai apsisaugoti nuo kibernetinių rizikų. Bet tuomet, kai dėl kibernetinių atakų prarandami vartotojų duomenys, rizikuojama susilaukti klientų ar partnerių pretenzijų atlyginti patirtus materialinius ir moralinius nuostolius, padengti ieškinių išlaidas, duomenų atstatymo kaštus, kitas krizės valdymo išlaidas ir pan. Kibernetinės atakos pasekmės įmonei gali būti net finansiškai nepakeliamos.
Prieš penkerius metus Londono rinkoje atsirado kibernetinių rizikų draudimas, kuris, ko gero, yra sparčiausiai augantis sektorius pasaulinėje draudimo rinkoje. Jau sudaryta šimtai tūkstančių tokių draudimo sutarčių, o 2015 metais vien pasauline draudimo gigante tituluojamoje „Lloyd‘s of London“ rinkoje buvo apmokėta daugiau nei 1000 kibernetinių žalų, kuomet įmonės nukentėjo nuo kibernetinių ir IT atakų.
Apie kibernetines atakas reikia kalbėti kuo daugiau ir dažniau, kad įmonės, patyrusios nuostolių dėl programišių įsilaužimų, nesijaustų su savo problema likusios vienos. Kibernetinė rizika kasdien yra šalia tik klausimas, ar mes tam pasiruošę?
Giedrius Čiurinskas, „Colemont draudimo brokeris“