Kibernetinė sauga Lietuvoje: iki nelaimės netoli
http://vz.lt/sektoriai/informacines-...elaimes-netoli
http://vz.lt/sektoriai/informacines-...elaimes-netoli
Prieš Lietuvos įstaigas kas mėnesį bandoma įvykdyti apie 100.000 kibernetinių atakų. Didžioji jų dalis – smulkūs inicidentai. Jie greitai suvaldomi ir informacija viešumon neišeina. Bet paskutinės atakos prieš Seimo ir Užsienio reikalų ministerijos (URM) svetaines, nors ir mažos, parodė, kad atremti rimtesnį puolimą Lietuva nepasirengusi.
Vieša paslaptis, kad valstybės įstaigose trūksta įrangos, finansavimo ir specialistų. Tie, kurie yra, neturi aiškių nurodymų, žinių nei patirties, kaip elgtis vienokio ar kitokio incidento atveju, todėl dirba, kaip išmano. Maža to, Lietuvoje nėra patvirtinti net minimalūs, pradinį kibernetinio saugumo lygį padėsiantys suvienodinti, techniniai kibernetinio saugumo reikalavimai viešojo sektoriaus įstaigoms ir įmonėms. O skaitmeninės erdvės sargams trūksta įgaliojimų.
Vieša paslaptis, kad valstybės įstaigose trūksta įrangos, finansavimo ir specialistų. Tie, kurie yra, neturi aiškių nurodymų, žinių nei patirties, kaip elgtis vienokio ar kitokio incidento atveju, todėl dirba, kaip išmano. Maža to, Lietuvoje nėra patvirtinti net minimalūs, pradinį kibernetinio saugumo lygį padėsiantys suvienodinti, techniniai kibernetinio saugumo reikalavimai viešojo sektoriaus įstaigoms ir įmonėms. O skaitmeninės erdvės sargams trūksta įgaliojimų.
Apie pasirengimą rimtesnėms atakoms p. Meškauskas irgi kalba skeptiškai. Esą didžiųjų miestų – Vilniaus, Kauno, Klaipėdos, Panevėžio – infrastruktūra, vandentiekio, dujų, elektros tinklai, laivas „Independance“, „Sodra“, e. parašo valdytojai ir kai kurie kiti objektai įdėjus pastangų galbūt dar galėtų atlaikyti rimtą puolimą arba bent jau gana greitai atkurtų sistemas. Bet rajonų savivaldybės ir jų valdomos įmonės – t. y. likę 90% Lietuvos – visiškai bejėgės.
Jo teigimu, vienu metu į kelis rajonus nukreipta ataka būtų labai pavojinga, nes kiekviena savivaldybė turi savo vandentiekį, dujotiekį, šilumos tinklus. O šie objektai – savo tinklą ir serverines įrengimų darbui valdyti.
„Pateiksiu realų pavyzdį: yra tokių Lietuvos miestų vandentiekių, kurių pagrindinių maršrutizatorių nustatymai pasiekiami tiesiog per internetą. O priėjimą prie maršrutizatoriaus nustatymų saugantis slaptažodis yra toks silpnas, kad tai gali būti ir to miesto pavadinimas mažosiomis raidėmis. Negana to, nesilaikoma net elementarios saugumo higienos reikalavimų, kad reikia atskirti saugomą tinklą nuo interneto. Bet kas, turintis bent truputį žinių, per minėtą maršrutizatorių gali sutrikdyti SCADA sistemą, kuri siunčia nurodymus įrengimams. Pavyzdžiui, pumpuoti vandenį, sustoti, palaikyti slėgį sistemoje ar pan. Ir viskas, gyventojai lieka be vandens. Tai padaryti labai lengva, nes SCADA įrenginiai itin jautrūs ir niekada nebuvo kuriami tam, kad būtų pasiekiami iš interneto. Viena neteisinga užklausa ir viskas griūva. Neįsivaizduoju, ką darytų budėtojas, gavęs signalą, kad sugedo absoliučiai viskas“, – apie viešųjų įstaigų pažeidžiamumą kalba „Teo“ ir „Omnitel“ atstovas.
Jo teigimu, vienu metu į kelis rajonus nukreipta ataka būtų labai pavojinga, nes kiekviena savivaldybė turi savo vandentiekį, dujotiekį, šilumos tinklus. O šie objektai – savo tinklą ir serverines įrengimų darbui valdyti.
„Pateiksiu realų pavyzdį: yra tokių Lietuvos miestų vandentiekių, kurių pagrindinių maršrutizatorių nustatymai pasiekiami tiesiog per internetą. O priėjimą prie maršrutizatoriaus nustatymų saugantis slaptažodis yra toks silpnas, kad tai gali būti ir to miesto pavadinimas mažosiomis raidėmis. Negana to, nesilaikoma net elementarios saugumo higienos reikalavimų, kad reikia atskirti saugomą tinklą nuo interneto. Bet kas, turintis bent truputį žinių, per minėtą maršrutizatorių gali sutrikdyti SCADA sistemą, kuri siunčia nurodymus įrengimams. Pavyzdžiui, pumpuoti vandenį, sustoti, palaikyti slėgį sistemoje ar pan. Ir viskas, gyventojai lieka be vandens. Tai padaryti labai lengva, nes SCADA įrenginiai itin jautrūs ir niekada nebuvo kuriami tam, kad būtų pasiekiami iš interneto. Viena neteisinga užklausa ir viskas griūva. Neįsivaizduoju, ką darytų budėtojas, gavęs signalą, kad sugedo absoliučiai viskas“, – apie viešųjų įstaigų pažeidžiamumą kalba „Teo“ ir „Omnitel“ atstovas.
Comment