Cilvēks kā vājā vieta jeb ko darīt, lai interneta vidē pasargātu sevi (2)

- Cik drošas ir internetbankas, un cik lielā mērā tās ir pakļautas kiberuzbrukumiem?

- Internetbanka no bankas kā uzņēmuma viedokļa ir sniegts pakalpojums, kam klients var viegli piekļūt. No savas puses banka domā par to, lai viss ir droši, lai ir pieejama divu pakāpju autentifikācija, piemēram, ar “Smart-ID”. Mehānisms tiek atstrādāts, un tas nepārtraukti tiek uzlabots. Risks šajā gadījumā ir vairāk cilvēka – lietotāja pusē.

Analoģijai varētu runāt par ārdurvju kodu. Ja uzzvani pa telefonu un pajautā, kāds ir tas kods, un nosauc to skaļi, tad ikviens, kas būs tuvumā, to kodu dzirdēs un varēs tikt iekšā kāpņutelpā. Savukārt internetbankas lietošanā, izmantojot bankas izstrādātu lietotni un drošu tīklu, problēmām nevajadzētu rasties. Problēmas var būt tajā brīdī, kad tiek reaģēts uz e-pastu, kurā banka it kā pieprasa apstiprināt paroli.

Banka nekad nerakstīs e-pastu, kurā būs prasīts uzrakstīt savu paroli! Bankām tas nav nepieciešams, jo tām ir savi resursi. Internetbanka ir kā lodziņš, no kura varam piekļūt vairākiem pakalpojumiem.

Pirmie ieteikumi – ir jāizmanto tīkli, kas ir droši. Piemēram, ja mēs aizejam uz kafejnīcu un pieslēdzamies tur esošajam tīklam – ja tur skatāmies “Netflix”, tad tur nav nekādas personīgās informācijas. Kāds tur zinās, kādu seriālu un kādu sēriju tu tur skaties, tas neko daudz nemainīs.

Taču, ja caur šo pašu tīklu tiek veikti kādi maksājumi, tad pastāv risks, ka šos datus un šo tīkla plūsmu var pārtvert un analizēt.

Ja tam netiek izmantoti publiskie tīkli, tad šāds risks ir izslēgts.

Vēl viens ieteikums, ja ir nepieciešams pieslēgt datoru internetam publiskā vietā, ir ieslēgt Wi-fi “hotspotu” mobilajā telefonā, tas jau būs kādu pakāpi drošāk. Publiskā vietā nevar zināt, vai tur nav kāds dators, kas ķer visu tīkla datu plūsmu. Ja telefonam uztaisa “hotspotu”, tad vari būt drošs, ka tu   vienīgais būsi pieslēdzies šim tīklam. Protams, ir nepieciešams aizsargāt šo piekļuves punktu ar paroli, kas būtu tikai loģiski, lai kāds cits tur nepieslēdzas. Tomēr ir cilvēki, kas uzskata, ka uzstādīt paroli bezvadu tīklam vai nu nav ērti, vai  nav izdevīgi.

Jautāt, cik droša ir internetbanka, ir tas pats, kas jautāt – cik droša ir mašīna? Te jāatbild – kā tu pats ar to brauc. No bankas puses tiek domāts un sekots līdzi, lai šis pakalpojums būtu ļoti drošs.

Otra lieta, ko cilvēki bieži nedara, – neveic programmatūras atjauninājumus. Tas attiecas arī uz datora un telefonu operētājsistēmām. Ja neveic atjauninājumus, kuros ir dažādi drošības ielāpi, tad pastāv risks, ka ierīcēs var kaut kas ieperināties.

Pirmā drošības zona ir pats cilvēks, un cik saprātīgs viņš ir – vai viņš saprot, ka nevar ievadīt bankas karšu datus tur, kur nevajag, kādā lapā, kur tu nezini, kas tur ir.

Es zinu, ka ir cilvēki, kas ierauga lapu pilnu ar izlecošām reklāmām, un man tas būtu sarkanais karogs. Bet – tur ir kāds neticami lēts piedāvājums precei, ko cilvēks vēlas iegādāties. Tāpēc te ir jāliek lietā veselais saprāts, lai nevadītu sensitīvu informāciju tādās apšaubāmās lapās.

Pirmais filtrs ir cilvēks, bet tas ir filtrs, ko var viegli apmānīt. Piemērs ir nesen notikušais gadījums, kad tika atlauzti zināmu cilvēku “Twitter” konti. Tur arī iesaistīti cilvēki cilvēki no “Twitter”, caur kuriem arī tika izgūta informācija. Lietojot viņu identitāti, un tādējādi tika piekļūts ap 150 “Twitter” kontiem. Ziņa, kas bija izpausta, bija apmēram tāda – “atsūti man tik un tik bitkoinus, un atpakaļ dabūsi divas reizes vairāk”! Vai kam tādam tu varētu noticēt?

- Tas ir jau ir līdzīgi kā neskaitāmie gadījumi ar leģendāro “Nigērijas princi” e-pastos...

- Tas ir tas pats – veselais saprāts, kas liek filtrēt šīs lietas. Tomēr cilvēks ir piemānāms, tāpēc ir vajadzīgas tehnoloģijas, programmatūra, kas šo cilvēka kļūdu novērš. Piemēram, pārbaudīs e-pastu, no kurienes tas ir sūtīts. Teorētiski, ir iespējams nosūtīt e-pastu no jebkādas personas, pat no tevis paša.

Taču tajā e-pasta galvenē būs redzams, ka tas e-pasts ir sūtīts caur kādu starpniekserveri. Ja neskaties e-pasta tehniskajos datos, tad var arī nezināt, ka tas e-pasts nenāk no turienes, no kurienes vajadzētu.

Programmatūra automātiski var pārbaudīt šādus e-pastus. Piemēram, atverot e-pastu un ieraugot bankas logo, var domāt, ka tā tiešām ir banka, kas raksta e-pastu. Taču nekur jau nav teikts, ka tā tik tiešām ir!

Tāpat ir jārunā par divām pusēm – par perimetru, kas ir tīkls, kā arī par iekārtām. Par perimetru – cilvēks mājās uzticas savām iekārtām un savam rūterītim. Tomēr arī tam ir jāpārbauda, vai nav nepieciešami atjauninājumi, vai ir automātiski atjauninājumi. Divus gadus vēlāk var būt, ka pēkšņi atceras – ā! Rūterim arī bija vajadzīgi apdeiti? Arī tādas lietas ir ļoti svarīgas.

Mūsu programmatūra ļauj redzēt, cik daudzi ir pieslēgušies rūterim, kādas ir tās iekārtas, kas pieslēgušās. Tāpat arī ir redzams, vai rūteris atbilst jaunākajām drošības prasībām.

Cilvēks parastais par to nedomā, jo viņam ir citas lietas, par ko domāt. Līdz ar to mazāks uzsvars ir uz to programmatūru.

Vēl arī par saitēm e-pastos. Parasti jau pārlūkprogrammu kreisajā apakšējā stūrī, uzbīdot bultiņu uz linka, var redzēt, uz kurieni šī saite novirzīs, jo var gadīties, ka, uzspiežot uz linka, tu vari tikt izvests cauri vairākām citām lapām. Tur ir klikšķu skaitītāji, kas ir saistīti ar reklāmām. Tev kā lietotājam varbūt arī nemaz nav skaidrs, ka tu esi izgājis cauri pusei interneta, lai nonāktu līdz tai mērķa lapai.

Tomēr tāds cilvēks parastais ļaundariem parasti nav interesants. Tur ir jāiegulda liels darbs, lai saņemtu salīdzinoši maz naudas.

Tāpēc interneta ļaunprāši skatās uz personām, no kurām potenciāli kaut ko var iegūt, vai arī skatās uz uzņēmumiem, no kuriem arī ir iespējams izkrāpt naudu. Tāpēc arī uzņēmumiem ir svarīgi saglabāt savus datus drošībā un nepieļaut datu noplūdes.

Tagad arī privātpersonām var gadīties, ka uzklikšķina uz kādas saites, kas ļauj ļaundariem upura datorā instalēt savu “aģentiņu”, kas šo datoru arī nošifrē. Tad nu, lai atgūtu datus, nākas maksāt.

- Kā ļaundari spēj piekļūt un saņemt visus nepieciešamos datus, lai varētu izkrāpt naudu?

- Joprojām tas notiek uz tādām “makšķerēšanas” lietām, piemēram, e-pastos, - ķer uz muļķi. Pirmā lieta, no kā jāuzmanās, ja sūtījumā ir teikts, ka “tagad, steidzami, tūlīt vajag”! Tas ir pirmais sarkanais karogs. Par steidzamām lietām cilvēkam parasti ir jāzina. Dzīvē var gadīties visādi, bet tad arī vajadzētu pārbaudīt to informāciju.

Pirms pāris nedēļām man zvanīja nepazīstams numurs un piedāvāja ieguldīt vērtspapīros, jautāja, vai nevēlos nopelnīt. Es teicu, ka “nē, man jau dzīvē viss ir un apmierina”, bet tāda atbilde viņiem nepatika, jo bija apmēram – “nu bet kā tas var būt, ka nevēlies nopelnīt”? Kaut kādas minūtes 20 tā saruna turpinājās.

Un no tādām sarunām, ja ļaundari redz, ka šis cilvēks var būt interesants un no šī cilvēka var piekļūt kaut kur tālāk, piemēram, cilvēks strādā interesantā uzņēmumā, tad var būt, ka pret šo upuri tiek veikta mērķtiecīga “makšķerēšanas” akcija, uzzinot par viņu kaut kādu informāciju. Ja es zinu, ka tev patīk sports, tad varu nosūtīt e-pastā informāciju par tevi interesējošo lietu.

Ja cilvēku uzrunā personīgi, tad tā jau ir pielāgota “makšķerēšanas” akcija, kas var būt arī produktīva. Tomēr tagad arvien vairāk cilvēku pieiet arvien kritiskāk šādiem piedāvājumiem, taču joprojām ir tādi, kas uzķeras. Visam ir jāpieiet ar tādu nelielu neticību un skepsi.

- Kāpēc joprojām ir tāda situācija, kad cilvēki “uzraujas” uz tādām šķietami elementārām lietām?

- Ērtums. Mūsdienās ir tāds uzticības laikmets. Cik daudz informācijas par sevi cilvēki sniedz “Facebook”? Nesen redzēju interesantu karikatūru. Tu savā dzīvē aizej uz ballīti atpūsties, un no tevis netālu ir kāds tēls ar cepuri, kas pieraksta visu, ko tu dari. Tu izbrauc ārpus pilsētas, un ir kāds tēls, kas pieraksta, cikos tu izbrauci, uz kurieni... Tas šķistu drausmīgi, ka kāds seko tavai privātajai dzīvei! Bet, ja tu pats to ieliec “Facebook”, tad tas uzreiz šķiet normāli. Bet pēc būtības tā ir tā pati informācijas izplatīšana. Ir rūpīgi jādomā par to, kādu informāciju gribam par sevi atklāt pasaulei.

- Kas būtu galvenie ieteikumi, lai cilvēki varētu nosargāt sevi, savus datus, lai nekļūtu par upuriem?

- Principā domāt par to, kur dati tiek doti. Tie paši zvani, ko saņemam, – nereti ir tā, ka pirmais jautājums ir tāds: “Kā jūs sauc?” Es parasti atbildu, ka tas nav tik svarīgi, un kādā jautājumā man tiek zvanīts? Mans pienākums nav sniegt informāciju par sevi, jo tā ir brīva izvēle – teikt, kā mani sauc, vai ne.

Te arī par bankas kartes numuriem – kam tas ir jāzina? Ja ir jāveic pirkums internetā, tad tam ir jābūt veikalam, kuram tu uzticies. Piemēram, algas dienā jau neviens neiet apkārt pa ielu un neplivinās ar to, ka, redz, man tagad ir alga, jo kāds to var redzēt. Internetā cilvēki par to mazāk uztraucas. Būtība jau ir tāda, ka tā dzīve, kas ir internetā, atspoguļo arī mūsu reālo dzīvi ikdienā.

Ja ikdienā mums ir ģeogrāfiski ierobežojumi, tad interneta pasaulē robežu nav, un tas, ko tu liec internetā, ir redzams visai pasaulei. Tāpēc ir jābūt tādai piesardzībai un jādomā, ko tu liec internetā, nepakļauties lietām, kas liekas steidzinošas.

Tādām lietām ir jāpieiet ļoti skeptiski, ja ir prasība – “vajag ātri!”. Tas, savukārt, var radīt stresa situācijas, kurās cilvēks var kļūdīties. Nenonākot stresā, var izvairīties no tādām nevajadzīgām stresa situācijām un kļūdām.

- Tur jau visā ir tāda savdabīga psiholoģija?

- Jā, un to angliski sauc par “social engineering”. Bija reiz uztaisīts interesants eksperiments. Teorija tāda – cilvēki ar trepēm var iekļūt jebkur. Un jā – divi cilvēki paņēma trepes un iet iekšā muzejā. Viņiem apsargs pat attaisa vaļā durvis un aicina iekšā. Ar šādu sociālo inženieriju tiek radīti apstākļi, kuros var īstenot dažādas lietas. Skaidrs, ja redzi cilvēkus ar trepēm, tad viņi noteikti nāk strādāt, kaut ko pielabot, un ir uzticība. Taču ne vienmēr vajag uzticēties, un ir nepieciešams uzdot vairāk jautājumu, piemēram – kam tas tiešām ir vajadzīgs?

- Reālajā dzīvē ar vecākiem cilvēkiem ir tā, ka atnāk kāds, kurš it kā pārbauda skaitītājus, bet beigās ielaužas dzīvoklī un savāc visus iekrājumus. Taču kā ir ar vecākiem cilvēkiem internetā, cik viņus ir viegli apmānīt?

- Mana pieredze un statistika liecina, ka vecāki cilvēki ir lielāka riska grupa. Nesen skatījos materiālu par to, kas ir jāzina bērniem un pusaudžiem, sākot lietot internetu, kā pret to izturēties, kādi ir riski. Es to lasīju un domāju – jā, tāda pati saruna ir nepieciešama arī ar vecāka gadagājuma cilvēkiem! Mums, cilvēkiem ap 30, interneta pasaule ir visai pazīstama.

Vienā raidījumā par drošību bija cilvēks, kas stāstīja to, ka ar savu bērnu gribēja pārrunāt drošības jautājumus internetā. Un šis cilvēks atklāja, ka bērns viņam jautāja – nu ko tad tu gribi, lai es tev par to pastāstu? Jā, bet nav arī pareizi, ja pusaudzim pirmā skola dzīvē ir internets, no kura viņš arī uzzina kaut kādu informāciju. Ir jau arī ļoti daudz lietu, ko nedrīkst darīt internetā, un to paredz arī likumdošana.

Vecākiem cilvēkiem atliek nodrošināt to, lai netiek pieļautas šīs kļūdas. Piemēram, kad “makšķerēšanas” vēstules tiek sūtītas uz e-pastu, tad svarīgi ir, lai nostrādā spama filtrs, lai šis krāpnieciskais e-pasts arī paliek nepamanīts.

Cilvēks vienmēr ir vājais ķēdes posms IT struktūrās un sistēmās.

Dators, faktiski jebkura skaitļošanas ierīce, dara to, ko tai liek. Tā neko nedara pati no sevis. Daudz kas ir atkarīgs no tā, ko liek darīt lietotājs. Vienkārši – nedrīkst ļaut datoram darīt lietas, ko tu negribi, lai tiek darītas. Tie paši ugunsmūri, lai aizsargātu tīklu.

Joprojām ir populāri apmānīt cilvēku, liekot viņam uzklikšķināt uz kādiem apšaubāmiem linkiem. Tāpēc arī cilvēks ir tas vājais posms.

- Par e-pastiem runājot, var būt tā, ka gaidi svarīgu e-pastu, kurā ir kāds pielikums, saite uz kādu resursu – tas tāpat automātiski var nonākt spama mapītē!

- Ja tas ir uzticams sūtītājs, serveris, no kura tiks sūtīts e-pasts, būs jau reģistrēts. Ja e-pasts būs sūtīts no kāda cita servera, tad skaidrs, ka uz šādu e-pastu var reaģēt kā iespējamu spamu.

Ja spama mapītē iekrīt vajadzīgs e-pasts, tad tas ir atkarīgs no tehniskā risinājuma, kā šis spams darbojas. Var arī veidot uzticamo un neuzticamo sūtītāju sarakstus, kā arī apmācīt spama noteikšanas sistēmu, piemēram, rādot, kas un kurā individuālā gadījumā ir tie īstie un vajadzīgie e-pasti. Labāk ir nedaudz to līniju tālāk, lai vairāk spama tiek noķerts, nevis lai vairāk spama iekrīt īstajā pastkastītē.

Vairākiem tehnoloģiskajiem risinājumiem, piemēram, ESET, ir skaidri kategorizēts, kas ir spams un kas nav spams, nemaz nerunājot par pielikumu skenēšanu. Līdz ar to – ir jābūt tā, lai drošības risinājums neļautu lietotājam atvērt kaitīgo informāciju. Ir arī dažādi ieteikumi, piemēram, nevērt vaļā konkrēto lapu, taču cilvēkiem ir niķis neklausīties ieteikumus.

Tomēr jā – cilvēks nevar nosegt visus drošības laukus, un tāpēc tehnoloģiskajiem drošības risinājumiem ir jābūt tādiem, kas palīdz nepieļaut kļūdas. Jo te atkal jāatkārtojas, ka cilvēks tomēr ir vājākais ķēdes posms IT struktūrās. Tāpēc ir vajadzīga programmatūra, kas apiet šīs cilvēka kļūdas.

- Bija jautājums par vecākiem cilvēkiem, tagad – par bērniem. Cik droši ir uzticēt bērniem kādus digitālos finanšu rīkus, un vai nav risks, ka, piemēram, spēlējot spēlītes ar mikrotransakcijām, visa nauda tiks uzreiz notērēta?

- Jā, tāds risks ir, jo, piemēram, telefonos var uzstādīt, ka ir vienas pogas pirkums. Piesaisti bankas karti, ieej lietotnē vai spēlītē, un ir iespēja veikt pirkumu ar vienu pieskārienu. Ir bijis ne viens vien gadījums, kad vecāki, lai aizpildītu bērna laiku, iedod viņam telefonu un nepadomā par to, ka tās spaidīšanas laikā bērns neapzināti var veikt kādus pirkumus.

Ja bērns nesaprot, ko viņš tur spaida, un ir ieslēgts vienas pogas pirkums, tad pie rēķina tur būs pamatīga summa. Tāpēc ir jābūt otrā līmeņa autentifikācijai, piemēram, drošības kodam, kāds bankām ir “Smart-ID”. Ir jābūt tā, lai nebūtu iespējams ar vienas pogas spiedienu izdarīt pirkumu un būtu iespējams ar otrās pakāpes autentifikāciju apstiprināt, vai tiešām šis pirkums ir nepieciešams.

Arī pirkstu nospiedumu nolasīšanas iekārtas telefonos ir kā otrās pakāpes autentifikācija, jo, ja bērns kaut ko saspaida, tad viņš ar savu pirkstu nevar apstiprināt pirkumu, jo nospiedumi atšķiras.

Ir teiciens – pilnīgi droša sistēma ir nelietojama sistēma. Ir jāapzinās, ka ir dažādi riski, un kur tie ir pieļaujami, bet kur nav pieļaujami. Pirkumiem lietotnēs būtu jābūt ar divu pakāpju apstiprinājumu. Jā, daudziem cilvēkiem var šķist, ka daudz ērtāk būs tā – ar vienu pieskārienu, un viss notiek.

- Cik vispār bērniem ir droši uzticēt, piemēram, savu internetbanku?

- Cik droši bērniem ir uzticēt nazi vai šķēres? Tādā ziņā – ja, piemēram, telefonā nav nekas – nav pieslēgts internets, nav piesaistīts “Google” konts un nav piesaistītas maksājumu kartes, tad šāds telefons nekādu kaitējumu nodarīt nevar. Taču vecākiem pašiem ir jālemj, kādā vecumā dot telefonu, kādā – bankas karti, kādā vecumā – ļaut pašam rīkoties ar finansēm.

Visi jau lēnām māca bērniem kaut kādas finanšu lietas, piemēram, iedod naudiņu un liek iet tur par kaut ko samaksāt. Māca šo atbildību, jo jebkura darbība, it īpaši finanšu jomā, ir saistīta ar zināmu atbildību. Latvijā, piemēram, par bērnu līdz 18 gadiem atbild vecāki, tāpēc tā ir tāda individuāla spriešana par to, kas un kurā vecumā bērnam būtu labāk, un ko uzticēt. Bet arī šeit redzam, ka bez cilvēka viedokļa nekur iztikt nevar!