„Gerieji“ kibernetiniai įsilaužėliai padeda pašalinti pavojingas spragas
Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos sėkmingai koordinavo pavojingos kibernetinio saugumo spragos pašalinimą Lietuvos organizacijų plačiai naudojamoje dokumentų ir procesų valdymo sistemoje „Avilys“. Šią sistemos klaidą testavimo metu aptiko bendrovės „Transcendent Group“ specialistai ir laikydamiesi atsakingo atskleidimo principų pranešė NKSC.
„Nuo pandemijos pradžios daugelis įmonių taiko mišrų darbo organizavimo modelį ir leidžia savo darbuotojams prie „Avilio“ ar kitų panašių sistemų jungtis ne tik iš nuolatinių darbo vietų, bet ir iš namų. Dažnu atveju, namuose darbuotojai neturi tokių stiprių apsaugos sistemų, kokias galima užtikrinti nuolatinėje darbo vietoje ir tai automatiškai padidina įsilaužimų riziką. Todėl svarbu nuolat testuoti sistemas ir užtikrinti jų kibernetinį saugumą. Čia į pagalbą ir ateina etiški įsilaužėliai. Esame viena iš keturių Europos Sąjungos šalių, kuri pirmoji įteisino tokių „gerųjų“ įsilaužėlių veiklą“, – sako NKSC direktorius Rytis Rainys.
Per praėjusius metus NKSC iš viso sulaukė 81 pranešimo apie etiškų įsilaužėlių aptiktas kibernetinio saugumo spragas. Tai yra dvigubai daugiau, lyginant su ankstesniais metais, kai tokių pranešimų buvo gauta 40. Anot R. Rainio, daugiausiai sulaukta pranešimų apie interneto svetainių ir žiniatinklio sistemų spragas.
„Testuodamas pastebėjau, jog dokumentų valdymo sistemoje esantys duomenys yra laisvai pasiekiami net ir oficialių prisijungimų prie „Avilio“ duomenų neturintiems asmenims. Tačiau didžiausią riziką kėlė ne pati prisijungimo galimybė, o tai, kad nelegaliai prisijungęs asmuo galėjo ne tik susipažinti su ten esančiais dokumentais, bet ir perimti administratoriaus paskyrą bei keisti ar net trinti „Avilyje“ esančius dokumentus. Kitaip sakant, įsilaužėlis turėjo galimybę tapti nematomu organizacijos vadovu, kuris netgi galėjo pakeisti įprastinę organizacijos veiklą“, – pasakoja spragą suradęs „Transcedent Group“ vyresnysis IT saugumo konsultantas Jokūbas Arsoba.
Informacija apie rastą spragą, laikantis visų atsakingo atskleidimo principų, buvo nedelsiant perduota NKSC, o šis apie rastą kibernetinio saugumo spragą pranešė „Avilio“ informacinės sistemos kūrėjams bendrovei „Asseco Lietuva“. Trūkumai buvo pašalinti ir klientams įdiegti reikiami sistemos atnaujinimai, kurie sustiprino „Avilio“ kibernetinį saugumą.
Gamintojų teigimu, pasitvirtino įprasta taisyklė, kad ten, kur pastoviai buvo diegiami sistemos naujinimai ir naudojama nauja technologinė platforma, nustatytų spragų nebuvo, o tose organizacijose, kur naujinimai nebuvo daromi reguliariai ir buvo naudojama „Avilio“ versija, veikianti senesnėje technologinėje platformoje, nors nustatytos spragos pasireikšdavo tik tam tikrais specifiniais atvejais, teko imtis skubių veiksmų spragoms pašalinti. „Avilio“ gamintojų žiniomis, nustatytomis spragomis pasinaudoti niekam nepavyko.
Atsakingas spragų atskleidimas Lietuvoje buvo įteisintas 2021 m. vasarą. NKSC direktorius R. Rainys pabrėžia, jog vykdant šią veiklą būtina laikytis griežtų taisyklių. Atliekant etiško įsilaužėlio veiksmus neturi būti trikdomas ryšių ir informacinės sistemos darbas, funkcionalumas, teikiamos paslaugos ir duomenų prieinamumas. Taip pat svarbu atlikti tik tuos veiksmus, kurie yra iš tiesų reikalingi spragai nustatyti ir patvirtinti.
Asmuo, aptikęs spragą, turi nedelsiant nutraukti tolimesnę paiešką ir, ne vėliau kaip per 24 val., apie tai pranešti organizacijai, kurios sistemose ar produktuose ji buvo aptikta, ir/ar NKSC jo interneto svetainėje užpildant specialią pranešimų formą www.nksc.lt/pranesti-spraga.html arba informuojant el. paštu [email protected].