Nepaisant ekonominio sunkmečio, pasaulinis tinklas sėkmingai skinasi kelią į kasdieninius Lietuvos gyventojų darbus ir laisvalaikį. Daugėja internetinių paslaugų, keičiančių tradicinius įpročius, kuriasi nauji informaciniai portalai, o lietuviškoms bendravimo ir pažinčių svetainėms suskaičiuoti nebeužtektų ne tik rankų, bet ir kojų pirštų. Garsiai įvardijami ir ryškiai piešiami interneto privalumai turi savo kainą – kompiuteris tampa dalimi tinklo, jungiančio daugiau nei pusantro milijardo vartotojų, iš kurių anaiptol ne visi turi gerų ketinimų.

Apie saugumo problemas Lietuvoje ir galimus jų sprendimo būdus kalbėjau su kompanijos UAB „Sisteminio administravimo technologijos ir įranga“, kuri specializuojasi informacinių technologijų saugumo srityje, vadovu Gintautu Švedu.

Lietuvoje plačiai nuskambėjo prieš kurį laiką vykusios tinklalapių atakos, kurių metu svetainių turinys buvo pakeičiamas sovietine simbolika. Jūsų nuomone, tai veikiau gerai organizuotos profesionalų atakos, ar tarnybinių stočių bei tinklalapių administratorių aplaidumo padariniai?

Ši ataka buvo pasirinkta, kaip lengviausia su labiausiai tikėtina sėkme: dedant kuo mažiau pastangų siektas kuo didesnis efektas. Viena vertus, įsibrovėliai planavo vienokią ar kitokią akciją, kita vertus jiems papuolė „lengvas grobis“ – neatnaujinta, todėl turinti saugumo spragų tinklalapių prieglobos programinė įranga.

Dažniausiai tinklalapiai kenčia nuo įsiskverbimo į užklausas (angl. SQL injection), neteisingai nustatytų prieigos teisių serveriuose, kuriuose daug vartotojų (angl. shared servers), pasenusių atvirojo kodo sistemų versijų, kurių spragas lengva sužinoti… Kokias dar grėsmes išskirtumėte? Kurios iš jų, Jūsų žiniomis, buvo panaudotos minėtų atakų prieš lietuviškus tinklalapius metu?

Lietuvoje realų incidentų dažnį ir kiekį sunku nusakyti, nes dėl suprantamų priežasčių (prasta reputacija už kurią beje nenorima mokėti) apie tai linkusi nutylėti ir nukentėjusioji pusė (užsakovai, klientai) ir pardavėjai (prieglobos tiekėjai, tinklalapio programuotojai ir pan.). Mūsų patirtis rodo, kad dažniausiai pasitaikantys incidentai kyla naudojant seną programinę įrangą, kuri jau nepalaikoma – saugumo atnaujinimai nekuriami, o pažeidžiamumai pakankami gerai žinomi arba laiku neatnaujinant programinės įrangos (tame tarpe saugumo pažeidžiamumo spragų). Tokio darbo motyvai yra aplaidumas, nepagrįstas taupumas, prastas atsakomybės pasidalijimas, kvalifikacijos bei patirties stoka. Būtent tokios priežastys ir lėmė minimą incidentą.

Jeigu pažvelgtumėte į lietuviškus tinklalapius bendrai, pasauliniame kontekste, keliais balais iš dešimties įvertintumėte jų saugumą? Ar lietuviai pakankamai dėmesio skiria svetainių saugumui?

Trejetu – ketvertu. Tinklalapių paskirtis ir funkcionavimas daugeliui įmonių nėra kritiškai svarbi veikla – tai daugiau prestižo, kultūros ar vertybių rodiklis. Todėl Lietuvoje įmonės linkusios rinktis pigesnį prieglobos tiekėją ir nesusimąsto apie serverių saugumą, paslaugos plano įsipareigojimus, tinklalapio turinio valdymo sistemos saugumo spragas, rezervines duomenų kopijas, rezervinį ryšį, įsilaužimo stebėseną ir pan.

Duomenų šifravimas yra neatsiejama saugumo užtikrinimo internete sąlyga. Bankai, klientams siūlantys internetines bankininkystės paslaugas, itin akcentuoja būtinybę įsitikinti, jog duomenys perduodami šifruotu kanalu – HTTPS protokolu. Tačiau tyrinėdamas lietuviškas elektronines parduotuves, vos vienoje kitoje radau galimybę jungtis saugiu ryšiu. Kaip manote, kodėl Lietuvoje vis dar nėra pakankamai paplitę SSL sertifikatai? Juk tai puiki priemonė užtikrinti ne tik tinklalapių, bet ir elektroninių laiškų saugumą.

Šias priežastis lemia vartotojų, pardavėjų, tiekėjų, programuotojų kultūra, išprusimas ir patirtis. Virtualios vagystės, tokios kaip įsilaužiamai ir duomenų nutekėjimas, ne visada yra matomi, o dažnai sąmoningai nutylimi. Deja, dominuoja logika „jeigu taip neatsitiko iki šiol, kodėl tai turėtų nutikti ateityje“…  Tuo tarpu saugų šifruotą duomenų perdavimą užtikrinančių SSL sertifikatų kaina yra nedidele ir juos reikėtų naudoti ne tik užtikrinant saugų ryšio seansą e-paslaugų tiekėjams (bankai, e-parduotuvės, duomenų bazės) bet ir e-pašto, paprastų tinklalapių prieglobos ar panašių elektroninių paslaugų tiekėjams.

Kokias išskirtumėte absoliučiai būtinas saugumo priemones kiekvieno vartotojo kompiuteriui? Panašu, kad daugelis jau priprato įsigiję kompiuterį papildyti jo programų ūkį antivirusine priemone, tačiau vis dar retai susimąsto apie ugniasienes ar kitus papildomus įrankius.

Pagrindinės kompiuterinio saugumo taisyklės: naudoti apsaugos priemones (aktyvias ir nuolatos atsinaujinančias antivirusines programas, ugniasienes), diegti pasirodančius programinės įrangos atnaujinimus, kreipti dėmesį į naršyklės bei el. pašto programos perspėjimus, neatidarinėti įtartino, nors ir viliojančio, turinio elektroninių žinučių iš nepažįstamų siuntėjų, nesilankyti abejotino turinio ir prastos reputacijos elektroninėse erdvėse: pornografiniuose tinklalapiuose, žaidimų ar nelegalios programinės įrangos parsisiuntimo tarnybose. Atidžiai naudoti USB atmintines ir kitas išorines duomenų apykaitos laikmenas. Naudoti sudėtingus slaptažodžius, ypač kritiniams duomenims saugoti ar konfigūruojant bevielį tinklą. Paprastam vartotojui pagrindinis saugumo garantas yra disciplina, nes saugos priemones ir procedūros yra pakankamai brangios. Tuo tarpu įmonėms yra daug saugumo sprendimų skirtų naudoti serveriuose ir todėl atribojančių galutinį vartotoją nuo dalies saugumo problemų. Siekis užtikrinti verslo tęstinumą verčia įmones turėti saugumo politiką. Saugumo politika paprastai numato ir aprašo būtinas IT saugos priemonės ir procedūras: tvarkų aprašymus, incidentų analizes, pažeižiamumų skananavimus, saugumo sprendimus.

Netyla diskusijos kokia programinė įranga saugesnė: atvirojo kodo, su kurios veikimu ir architektūra gali susipažinti bet kas, ar uždarojo kodo, paprastai komercinė, kurios veikimo principai laikomi paslaptyje, o kodą saugo patentai. Kodėl ir kada verta ar neverta rinktis pvz.: „Linux“ šeimos operacinę sistemą?

Saugumo požiūriu atvirojo kodo programinė įranga yra pranašesnė už uždarojo kodo, todėl, kad saugumo spragos greičiu viešinamos ir taisomos. Kita kalba, kad ne visi atvirojo kodo projektai yra sėkmingai vystomi, o tai svarbu pasirenkant produktą. Tačiau ši taisyklė galioja ir uždarojo kodo platformoms. Ar Jūs galėtumėte garantuoti, kad po metų „Microsoft“ korporacija tikrai klestės? Aš negalėčiau. Žmonijos dauguma linkusi vadovautis stereotipais ir kreipia dėmesį į metodus, o ne metodologijas, taip apribodama mūsų pačių laisvą mąstymą ir pasirinkimą.

Pakalbėkime apie konkrečius sprendimus: išskirkite kelias atvirojo kodo ir komercines programas (ar operacines sistemas), kurias naudojate kasdieniniams darbams ir rekomenduotumėte kitiems.

Vartotojų kompiuteriuose:

  • Fedora“ – „Linux“ operacinės sistemos distribucija;
  • OpenOffice“ – nemokamas biuro programų rinkinys, nenorintiems remti Billo Gateso ir JAV ekonomikos;
  • Mozilla Firefox“ – saugi ir funkcionali interneto naršyklė;
  • Mozilla Thunderbird“ – el. pašto programa.

Serveriuose:

  • CentOS“ – „Linux“ operacinės sistemos distribucija;
  • ClamAV“ – antivirusinė programa;
  • SpamAssassin“ – nepageidautinų el. laiškų filtras;
  • „Roundup issue tracker“ – kreipinių/užduočių valdymo programa;
  • „Etomite“ – svetainių kūrimo ir administravimo įrankis;

…ir daugybė kitos programinės įrangos. Iš karto atsiprašau atvirojo kodo apologetų, kad nevardinu patikimos ir patogios programinės įrangos sąrašo, kuris nusipelno pagyrų. Išvardinau pagrindinius instrumentus, kuriuos naudoju savo kasdieniniame darbe. Beje, valstybės vadovai galėtų sutaupyti įspūdingas sumas institucijose naudodami atvirojo kodo programinę įrangą, kuri dažniausia yra ir nemokama. Išsivysčiusios valstybės seniai suprato, kad remdamos atvirąjį kodą stimuliuoja vidinę ekonomiką ir BVP augimą, ko linkėčiau ir mūsų valstybei.

Ačiū už pokalbį.

Šis straipsnis spausdintas žurnale „Naujoji komunikacija“ 2009 m. Nr. 2. (230) ISSN 1392-3927.