Lietuvą puola programišiai – kas už to stovi?

– Tai ką žinome? Jūsų tyrėjai dirbo dar prieš savaitgalį. Jūs gavote iki vakaro dar tam tikrą informaciją.

– Tai komanda, nuvykus į vietą, surinko kiek įmanoma galimų įkalčių, meta duomenų, iš kurių būtų galima ištraukti daugiau informacijos apie pačią ataką. Tai yra standartinis incidento tyrimo procesas, kurio metu kartais pavyksta atrasti raktus, kuriais buvo užkriptuoti duomenys ir sistemos. Tačiau statistika čia yra niūri, nes labai retai pavyksta aptikti tokių nusikaltėlių klaidų. Čia svarbu, kad kripto atakos yra aktyvios 15 metų ir labai ištobulėjo. Jeigu pradžioje atakos buvo daromos ir paliekama daug klaidų, pavyzdžiui, kriptavimo raktai paliekami kažkokioje vienoje mašinoje, būdavo didesnė galimybė su tais raktais atstatyti informaciją. Deja, šiuo metu atakos yra labai ištobulintos ir visas atakos procesas taip saugiai sudėliojamas, kad po kiekvieno veiksmo automatu naikinami ir įkalčiai, ir raktai, ir visa informacija, kuri leistų ištirti pačią ataką.

Visas LNK reportažas – vaizdo įraše:

– Ar jau galime sakyti, kokia žala padaryta? Girdėjome, kad sustojo internetinių svetainių veikimas, buvo ištrinti tam tikri duomenys. Gal taip pat kalbama ir apie asmeninius duomenis, kurie buvo ištrinti?

– Tai pačios kriptavimo atakos principas ir yra pirmiausiai ištraukti visus duomenis, nes juos vėliau siūlys išsipirkti. Tai jeigu taip ir yra, nusikaltėliai lėtai ištraukinėja visus duomenis, kuriuos vėliau bandys jums parduoti, na, su komerciniu pasiūlymu, kaip mes juokaujame. Gauni laišką, kad jei sumokėsi kažkokią pinigų sumą – kaip taisyklė, tai būna milžiniškos sumos – atgausi duomenis. Tačiau statistiškai tik 50 proc. nusikaltėlių, gavę pinigus, ryžtasi atidavinėti tuos duomenis. Taip yra todėl, kad nusikaltėliai ne kvaili. Kai auka jau linkusi sumokėti išpirką, jie puikiai supranta, kad šalia jau stovės institucijos, kurios bandys juos pagauti. Todėl gavę pinigus net nerizikuoja ir nesilaiko duoto žodžio grąžinti duomenis. Tai dėl duomenų situacija tokia. Dabar poveikis ar žala… Viešajame sektoriuje ne viską gali išmatuoti finansiniais nuostoliais. Jeigu komercinėje organizacijoje gali pasakyt, kad sustojo prekyba, gali pasiskaičiuoti nuostolį, šitoj vietoj mes kalbam apie sutrikusias viešas paslaugas ir ta žala yra truputį kitokia. Ji apskaičiuojama sudėtingiau, bet irgi apskaičiuojama, kaip, pavyzdžiui, kiek žmonių negaus laiku išmokų. Jiems tai gali lemti kažką ir negero.

– Kalbant apie išpirkas, ar šiuo atveju buvo gautas tas „komercinis pasiūlymas“?

– Kaip informavo administracijos vadovas, tikrai gavo ir įvardijo kelių šimtų tūkstančių dolerių išpirkos prašymą.

– Programišiai, kaip žinome, taip pat pasiekė ir atsargines kopijas. Kaip tai galėjo nutikti?

– Atakos labai ištobulėjo ir nusikaltėliai puikiai žino, kad jų atakos sėkmė priklausys nuo to, kiek auka turi galimybių atkurti jų padarytą žalą. Šiuo atveju panašu, kad kopijos tikrai buvo ir, panašu, kad buvo padarytos techninės administracinės klaidos, kurios leido nusikaltėliams prieš pradedant produkcijos duomenų kriptavimą, lygiagrečiai užkriptuoti ir atsargines kopijas.

Buvo padarytos techninės administracinės klaidos, kurios leido nusikaltėliams prieš pradedant produkcijos duomenų kriptavimą, lygiagrečiai užkriptuoti ir atsargines kopijas.

– Ar jūs galėtumėte atkriptuoti, iššifruoti tas kopijas?

– Labai sudėtinga operacija ir praktiškai neįmanoma neturint rakto, su kuriuo buvo užkriptuoti duomenys. Jeigu komandai netyčia – tikimybė itin maža – pavyktų rasti raktus, tada yra tikimybė atkriptuoti duomenis atgal. Iš visų atakų tiek pasaulyje, tiek nacionaliniu lygmeniu šiai dienai rasti tokią klaidą tikimybė arti nulio.

– Žinau, kad Telecentras taip pat turi serverius, tai yra valstybiniai serveriai. Jeigu ten laikytume duomenis, ar tai spręstų problemą?

– Iš dalies. Informacijos laikymas geografiškai kitoje vietoje valdo šią riziką. Tačiau kopijų turėjimas geografiškai kitoje vietoje dar turi būti padarytas ir saugiai. Vadinasi, duomenų kopijų darymas turi būti sustyguotas taip, kad ir prisijungimas būtų daug saugesnis, ir nusikaltėliai neturėtų galimybės labai lengvai prieiti. Na, ir kitos organizacinės ir techninės priemonės. Viena iš jų – tvarkingai sudėliotas atsarginių kopijų mechanizmas geba pamatyti, kad bandoma kriptuoti atsargines kopijas.