Daugiau nei 600 tūkstančių įrašų. Beveik keturi mėnesiai, per kuriuos niekas nieko nepastebėjo. Ir nė vieno faktiškai „nulaužto” serverio. Registrų centro skandalas, dėl kurio gegužės pabaigoje pradėtas ikiteisminis tyrimas ir atsistatydino įmonės vadovas, tapo skaudžiausia pastarųjų metų kibernetinio saugumo pamoka Lietuvoje. Tačiau didžiausia klaida, kurią dabar gali padaryti verslo vadovas, — manyti, kad tai tik valstybės institucijų problema.
Mat schema, kuria pasinaudojo užpuolikai, nėra nei nauja, nei sudėtinga. Lygiai taip pat kasdien atakuojamos mažos ir vidutinės Lietuvos įmonės — tik apie tai nerašoma pirmuose puslapiuose. Egidijus Vaičiulis, ITbites įkūrėjas ir kibernetinio saugumo ekspertas, atkreipia dėmesį, kad būtent dėl savo paprastumo ši ataka turėtų pažadinti kiekvieną organizaciją, saugančią klientų ar darbuotojų duomenis.
Kas iš tikrųjų nutiko Registrų centre
Generalinė prokuratūra apie incidentą viešai pranešė penktadienio vakarą, kai paskelbė pradėjusi ikiteisminį tyrimą dėl neteisėto prisijungimo prie informacinių sistemų. Pagrindinis taikinys — Nekilnojamojo turto ir Juridinių asmenų registrų duomenys. Iš viso neteisėtai nukopijuota daugiau nei 600 tūkstančių įrašų, kuriuose galėjo būti vardai, pavardės, asmens kodai, turto adresai, unikalūs nekilnojamojo turto numeriai bei informacija apie daiktines teises.
Svarbiausia detalė — kaip užpuolikai pateko vidun. Niekas „nelaužė” sistemos. Įsilaužėliai prisijungė naudodami realių Migracijos departamento darbuotojų elektroninio pašto adresus ir slaptažodžius, apsimesdami, kad tai jungiasi pats departamentas. Į Migracijos departamento sistemas, anot jo vadovės, įsilaužta nebuvo — buvo pasinaudota pavogtais prisijungimo duomenimis. Teisėsaugos teigimu, dalis prisijungimų vykdyti iš užsienio valstybės ir per kitų institucijų administruojamas sistemas, nors konkreti šalis viešai neįvardyta.
Laiko juosta verčia susimąstyti labiausiai. Pirmieji neteisėti prisijungimai galėjo prasidėti dar metų pradžioje, sausį. Registrų centras nutekėjimą pastebėjo tik balandžio pradžioje, o visuomenė apie tai sužinojo tik gegužės pabaigoje. Skaičiuojama, kad vien tiesioginė žala siekia ne mažiau kaip 111 tūkstančių eurų, nes šie duomenys įprastai teikiami kaip mokama paslauga. Dėl skandalo iš pareigų pasitraukė Registrų centro vadovas, o incidentą tiria ir Valstybinė duomenų apsaugos inspekcija bei Nacionalinis kibernetinio saugumo centras.
„Žmonės įsivaizduoja įsilaužėlį, kuris valandų valandas kažką laužia. Realybėje dažniausiai niekas nieko nelaužia — tiesiog prisijungia su pavogtu slaptažodžiu, lyg būtų savas darbuotojas. Sistema mato teisingą vardą ir slaptažodį ir mandagiai atidaro duris,” – sako Egidijus Vaičiulis, ITbites įkūrėjas ir kibernetinio saugumo ekspertas.
Kodėl Registrų centro skandalas liečia ir jūsų įmonę
Kai kalbama apie valstybės registrus, smulkaus ir vidutinio verslo vadovui lengva atsiriboti: „mes per maži, kam mes įdomūs”. Tai viena pavojingiausių iliuzijų kibernetiniame saugume. Pavogti prisijungimo duomenys jau kelerius metus yra dažniausias būdas, kuriuo užpuolikai patenka į organizacijų sistemas visame pasaulyje — ir mažos įmonės čia ne išimtis, o patogiausias taikinys.
Logika paprasta. Didelės organizacijos turi saugumo komandas, mažos — neturi. Užpuolikui nereikia rinktis vienos aukos: jis automatiškai bando tuos pačius pavogtus slaptažodžius prieš tūkstančius įmonių vienu metu. Lietuvos statybų bendrovė, gamybos cechas ar buhalterinės apskaitos biuras tokiam užpuolikui ne mažiau patrauklus nei valstybės įstaiga — tik apsaugų turi mažiau.
Pirmas patarimas: vienas slaptažodis neturi atrakinti visko
Skaudžiausia šio skandalo dalis — kad jį būtų sustabdęs vienas, pigus ir seniai žinomas sprendimas. Kibernetinio saugumo specialistai vienbalsiai įvardija sisteminę spragą: trūko kelių žingsnių autentifikavimo, dažnai vadinamo dviejų veiksnių patvirtinimu arba MFA. Kai jo nėra, pavogto darbuotojo slaptažodžio užtenka, kad užpuolikas pasiektų svarbiausius sistemos resursus.
Dviejų veiksnių patvirtinimas reiškia, kad vien slaptažodžio neužtenka — prisijungiant reikia ir antro patvirtinimo, pavyzdžiui, kodo telefone ar programėlėje. Net jei slaptažodis pavagiamas ar nutekinamas, be antrojo žingsnio užpuolikas lieka už durų.
„Liūdniausia, kad būtent šitą ataką būtų sustabdęs dalykas, kainuojantis centus — dviejų veiksnių patvirtinimas. Per 19 metų darbo šioje srityje mačiau dešimtis įmonių, kurios jį įsidiegė tik po to, kai jau buvo nukentėjusios. O reikėjo vienos popietės,” – pastebi IT valdymo paslaugų ekspertas Egidijus Vaičiulis.
Praktiškai tai reiškia: MFA turi būti įjungtas ne tik elektroniniam paštui, bet ir visoms svarbioms sistemoms — buhalterijai, debesijos paslaugoms, nuotoliniam prisijungimui, administracinėms paskyroms. Ypač toms, kurios turi plačias teises.
Antras patarimas: jūsų saugumas tiek stiprus, kiek silpniausias partneris
Registrų centro atveju duomenys nutekėjo ne per jo paties darbuotoją, o per kitos institucijos prisijungimą. Tai klasikinis „tiekimo grandinės” arba partnerių prieigos pavojaus pavyzdys. Verslui tai aktualu kasdien: buhalterijos paslaugų teikėjai, IT rangovai, programinės įrangos partneriai, nuotoliniai darbuotojai — visi jie dažnai turi prieigą prie jūsų sistemų.
Čia į pagalbą ateina vadinamoji nulinio pasitikėjimo (Zero Trust) strategija. Jos esmė paprasta: nė vienas prisijungimas nelaikomas patikimu vien todėl, kad atrodo „savas”. Kiekviena prieiga tikrinama, ribojama ir stebima — net jei ji ateina iš seniai pažįstamo partnerio.
„Jūsų verslo saugumas tiek stiprus, kiek stipriausia silpniausia grandis. Galite turėti tobulą apsaugą, bet jei tiekėjas ar partneris turi raktą į jūsų sistemas, jūs nebevaldote situacijos vienas,” – pabrėžia Egidijus Vaičiulis, ITbites vadovas ir kibernetinio saugumo konsultantas.
Trečias patarimas: keturi mėnesiai tyloje — tai stebėjimo nebuvimas
Bene labiausiai neraminantis faktas — kad užpuolikai sistemoje galėjo netrukdomi veikti kelis mėnesius. Per tą laiką jie tyliai rinko duomenis, juos analizavo ir ruošėsi tikslinėms atakoms. Pirminiai vertinimai apie „mažą žalą” dažnai apgauna, nes tikroji žala išryškėja vėliau — kai surinkti duomenys panaudojami sukčiavimui.
Daugumai įmonių saugumas baigiasi ties pirma linija: ugniasienė, antivirusinė, slaptažodžiai. Bet jei užpuolikas jau viduje, šios priemonės jo nebepastebi. Reikia antrojo sluoksnio — nuolatinio stebėjimo, kuris fiksuoja neįprastą elgesį: prisijungimą ne darbo metu, neįprastai didelį duomenų kiekio atsisiuntimą, prisijungimą iš keisto regiono. Būtent tam skirti saugumo operacijų centro (SOC) ir įvykių stebėjimo (SIEM) sprendimai.
„Verslui dažniausiai atrodo, kad svarbiausia neįsileisti įsilaužėlio. Bet ne mažiau svarbu pastebėti, jei jis jau viduje. Keturi mėnesiai tyloje — tai ne įsilaužėlių genialumas, o paprasčiausias stebėjimo nebuvimas” – sako Egidijus Vaičiulis.
Ką verslas turėtų daryti dabar: praktiniai žingsniai
Registrų centro skandalas duoda labai konkretų veiksmų sąrašą. Tai ne abstraktus raginimas „investuoti į saugumą”, o žingsniai, kuriuos galima pradėti šią savaitę:
- Įjunkite dviejų veiksnių patvirtinimą (MFA) visoms svarbioms sistemoms, pradedant elektroniniu paštu ir administracinėmis paskyromis.
- Peržiūrėkite, kas turi prieigą prie jūsų duomenų — darbuotojai, buvę darbuotojai, partneriai, rangovai. Panaikinkite nereikalingas teises.
- Apribokite partnerių ir tiekėjų prieigą iki minimumo, reikalingo jų darbui, ir ją stebėkite.
- Užtikrinkite stebėjimą — kad neįprastas prisijungimas ar didelis duomenų judėjimas būtų pastebėtas per valandas, o ne mėnesius.
- Apmokykite darbuotojus atpažinti phishing laiškus, nes būtent per juos dažniausiai pavagiami slaptažodžiai.
- Turėkite veiksmų planą, ką daryti įvykus incidentui: kam pranešti, kaip suvaldyti žalą, kaip informuoti klientus.
- Reguliariai darykite atsargines kopijas ir patikrinkite, ar jas tikrai galima atkurti.
Jei nesate tikri, nuo ko pradėti, pirmas logiškas žingsnis — IT auditas, kuris parodo, kur yra realios spragos, ir kibernetinio saugumo priemonių peržiūra.
„Maža žala” — pavojinga iliuzija
Iš pradžių nutekėjimas pristatytas kaip palyginti nekaltas: esą banko sąskaitų numeriai ar slaptažodžiai nenutekėjo. Tačiau saugumo specialistai įspėja kitaip. Vien vardo, pavardės, asmens kodo ir turto adreso pakanka itin įtikinamoms sukčiavimo schemoms kurti. Skambintojas, žinantis konkretų jūsų būsto adresą ir turto statusą, atrodo daug patikimesnis nei atsitiktinis sukčius.
Tokie duomenys gali būti panaudoti greitųjų kreditų paraiškoms su tikrais asmens duomenimis, banko apgaulėms ar tikslinėms socialinės inžinerijos atakoms. Dalis gyventojų jau sulaukė įtartinų skambučių. Verslui tai dviguba pamoka: saugoti reikia ne tik „akivaizdžiai jautrius” duomenis, bet ir turėti omeny, kad kiekvienas nutekėjimas anksčiau ar vėliau virsta konkrečia žala žmonėms ir verslo reputacijai.
Ką tai reiškia statybos, gamybos ir paslaugų įmonėms
Skirtingiems sektoriams Registrų centro skandalas atskleidžia skirtingas, bet tas pačias šaknis turinčias rizikas. Statybos bendrovės dirba su daugybe subrangovų ir projektų partnerių, kurie turi prieigą prie bendrų dokumentų, sąmatų ir sutarčių — tai tiesioginis partnerių prieigos pavojaus pavyzdys. Užtenka vieno neapsaugoto subrangovo, kad nutekėtų viso projekto komercinė informacija.
Gamybos įmonėms didžiausią žalą daro veiklos sustabdymas. Jei užpuolikas mėnesiais nepastebėtas tyrinėja tinklą, jis gali pasiruošti ne tik duomenų vagystei, bet ir gamybą paralyžiuojančiai atakai pačiu nepalankiausiu momentu. Paslaugų ir buhalterinės apskaitos įmonėms svarbiausia yra klientų duomenys — vienas pavogtas slaptažodis čia gali reikšti dešimčių klientų informacijos nutekėjimą vienu metu.
Bendras vardiklis visiems sektoriams paprastas: apsauga turi prasidėti nuo identiteto ir prieigos valdymo, o ne nuo brangiausių technologijų. Tai, kas suveikė prieš valstybės registrą, lygiai taip pat veiks prieš bet kurią Lietuvos įmonę, kuri šių pamatų neturi.
„Dauguma vadovų klausia, kokios technologijos jiems reikia. Bet pirmas klausimas turi būti ne ‘ką įdiegti’, o ‘kas turi raktus į mano namus ir ar visos durys užrakintos’. Registrų centro istorija būtent apie pamirštą raktą,” – sako Egidijus.
Išvados: ko pasimokyti iš Registrų centro skandalo
Registrų centro skandalas nėra istorija apie ypatingai sudėtingą ataką. Tai istorija apie pamirštus pagrindus: trūkstamą dviejų veiksnių patvirtinimą, nesuvaldytą partnerių prieigą ir stebėjimo nebuvimą, dėl kurio užpuolikai liko nepastebėti mėnesius. Visa tai — spragos, kurias turi ne tik valstybės institucijos, bet ir didelė dalis Lietuvos įmonių.
Gera žinia ta, kad lygiai tie patys pamatiniai sprendimai apsaugo ir mažą įmonę. Jie nėra brangūs ar sudėtingi — jie tiesiog reikalauja, kad kažkas tuo pasirūpintų sistemingai, o ne „kai bus laiko”. Tinkamiausias metas tai padaryti — prieš incidentą, o ne po jo.
Jei nežinote, ar jūsų įmonė atspari panašiai atakai, pradėkite nuo paprasto patikrinimo — jis kužima kelias valandas, o gali sutaupyti tūkstančius eurų ir verslo reputaciją.
Dažniausiai užduodami klausimai (DUK)
Kaip įsilaužėliai pateko į Registrų centro sistemas?
Jie nesilaužė į sistemą įprasta prasme, o prisijungė naudodami pavogtus realių Migracijos departamento darbuotojų prisijungimo duomenis, apsimesdami teisėtais naudotojais. Esminė techninė spraga — nebuvo kelių žingsnių autentifikavimo, todėl vieno slaptažodžio užteko prieigai prie svarbių duomenų.
Ar mano mažai įmonei tikrai gresia panaši ataka?
Taip. Pavogti prisijungimo duomenys yra dažniausias būdas patekti į organizacijų sistemas, o užpuolikai automatiškai bando juos prieš tūkstančius įmonių vienu metu. Mažos įmonės dažnai yra patogesnis taikinys, nes turi mažiau apsaugos.
Kas yra dviejų veiksnių patvirtinimas ir kodėl jis toks svarbus?
Tai apsauga, kai prisijungiant reikia ne tik slaptažodžio, bet ir antro patvirtinimo, pavyzdžiui, kodo telefone ar programėlėje. Net jei slaptažodis pavagiamas, be antrojo žingsnio užpuolikas negali prisijungti. Tai viena pigiausių ir veiksmingiausių priemonių.
Kaip pastebėti, kad kažkas jau yra mano sistemoje?
Reikia nuolatinio stebėjimo, fiksuojančio neįprastą elgesį: prisijungimus ne darbo metu, didelį duomenų atsisiuntimą ar prisijungimus iš svetimų regionų. Tam skirti saugumo operacijų centro (SOC) ir įvykių stebėjimo (SIEM) sprendimai, kurie incidentą pastebi per valandas, o ne mėnesius.
Nuo ko pradėti, jei iki šiol saugumu rimtai nesirūpinome?
Pradėkite nuo IT audito, kuris parodo realias spragas, įjunkite dviejų veiksnių patvirtinimą svarbiausioms sistemoms ir peržiūrėkite, kas turi prieigą prie jūsų duomenų. Tai trys žingsniai, duodantys didžiausią naudą už mažiausią kainą.
