Atrodo, jog toks scenarijus neturi jokios logikos, bet būtent taip veikia kibernetiniai nusikaltėliai, kurių tikslas - ne vertybės, o Jūsų reputacijos gadinimas.
Todėl nenuostabu, kad bankai ir kitos nepriekaištingą įvaizdį saugančios organizacijos, jei tik galėtų, nutylėtų kibernetinių nusikaltėlių rankdarbius. Nes jei pinigų netekimas Jums atrodo nuostolis, net nedvejokite, kad saugumo skylė į save gali susiurbti ne tik įmonės turtą, bet ir metų metus formuotą įvaizdį. Žinoma, atakų ir jų tikslų yra įvairių, bet kad ir koks būtų įsilaužimas - jam reikia ruošti visus komunikacijos ginklus.
Visi galime atsidurti „Mossac Fonseca” vietoje
Mūsų regionas yra garsus pinigų išviliojimo schemų, bankomatų laužimo ir programišių darbeliais, kurie nukreipia dėmesį nuo to, kas iš tikrųjų vyksta kibernetinio karo arenoje. Čia seniai nebepadeda grandioziniai slaptažodžiai su skaičiais ir didžiosiomis raidėmis, o pinigų pasisavinimas nebėra vienintelis įsilaužėlių tikslas. Saugumo ekspertai ir žinomos konsultacijų bendrovės (pvz. „Deloitte”) savo ataskaitose išskiria „reputaciją”, kaip vieną iš pagrindinių kibernetinių nusikaltėlių taikinių.
Absurdiška, kad atakų pagausėjimas siejamas ir su įvaizdžio formavimo priemone - vadinamąją „turinio rinkodara”. Kuo daugiau prekiniai ženklai kalba internete - tuo daugiau tam reikia resursų: tinklaraščių, prezentacijų dalijimosi platformų, reklamjuosčių įskiepių. Kuo daugiau tokių priemonių - tuo didesnė rizika, kad vienoje iš jų jau žiojasi saugumo skylė.
Tereikia prisiminti garsų lengvatinio apmokestinimo įmonės „Mossac Fonseca” dokumentų nuteikimo atvejį. Ar žinote, kad prie pasaulį sudrebinusių dokumentų įsilaužėliams kelią atvėrė populiarius „Wordpress” platformai skirtas reklamjuosčiu įskiepis „Slider Revolution”?
Senojoje šio įskiepio versijoje buvo palikta taip vadinama „saugumo skylė”, kuri leido nusikaltėliams prasibrauti iki svetainės valdymo panelės, o iš ten - patekti į sistemą.
Tai aktualu tik didžiosioms korporacijoms?
„Mano konkurentai neturi tiek pinigų ir ryšių”, „Gal tik ne Lietuvoje ar kitose mažose valstybėse” - sakysite Jūs ir būsite tik truputį teisūs.
Jūsų reputacijos sužlugdymu gali būti suinteresuoti ne tik tiesioginiai konkurentai. Galbūt ketinama suduoti smūgį ir pakenkti visos industrijos ar šakos reputacijai? O gal tikslas yra dar platesnis - kelti paniką šalyje ar regione? Ir tokiu būdu parodyti, kad šio regiono verslai ir institucijos nesaugios ir silpnos. Galų gale, tai gali būti pasauliu nusivylusių vaikinukų darbas.
Vienas iš šviežesnių garsiai nuskambėjusių pavyzdžių, kai gausios DDoS atakos neatlaikė net didžiausi interneto gigantai: „Netflix”, „Twitter”, „Github” ir kt.
DDoS atakos principas yra aiškus - virusu užkrėsti įrenginiai apsimeta „vartotojais” ir masiškai keliauja aplankyti konkrečios svetainės. Tokiu būdu minėtosios svetainės gauna milžinišką „vartotojų” srautą ir nulūžta. Arba kaip sakytų programuotojai - „atsisako veikti”.
Tiesiogiai tokios atakos iniciatoriai nei duomenų, nei pinigų nevagia. Tačiau šios atakos drąsiai galėtų būti skirtos, kaip priedanga ir dėmesio nukreipimas. Nors šiuo atveju pagrindinis jų efektas buvo įvaizdžio gadinimas ir nuostolių interneto verslams sukėlimas.
Ar jau turite krizės valdymo planą?
Atėjo laikas nupūsti dulkes nuo komunikacijos krizių planų ir pasidomėti, ar kartais juose netrūksta dar vieno aktualaus scenarijaus. Kibernetinėms atakoms reikia ruoštis taip pat, kaip bet kuriai kitai komunikacijos krizei. Nuo grėsmių įsivertinimo iki plano parengimo.
Gyvybiškai svarbu žinoti, kas bus atsakingas už informacijos pateikimą ir kokią žinutę komunikuosite. Nėra teisingas sprendimas „numesti” atsakomybę įmonės informacinių technologijų vadovui, nes kibernetinė ataka yra tokio pat dydžio nelaimė, kaip chemikalų išsiliejimas ar salmoneliozė Jūsų produkcijoje.
Saugumas nebėra ta sritis, kurią galite drąsiai užkrauti informacinių technologijų specialistams ir pamiršti. Šie žmonės atlieka tik techninį darbą. Tuo tarpu vartotojų ar klientų apsauga, komunikacijos valdymas, teisiniai aspektai ir galybė kitų sričių yra įmonės vadovo rankose.
Jei įvyko kibernetinė ataka
Jei ataka jau įvyko, pirmiausiai atstatykite sutrikusią paslaugą (jei tai galima padaryti greitai) ir tik tuomet pradėkite aiškintis, kas, kur ir kodėl jus atakavo. Žinoma, derinant tai su klientų ir žiniasklaidos informavimu.
Kad ir kaip žmogiškai norėsis kuo greičiau susekti ir aiškintis, kas tai padarė - Jūsų, kaip verslo ar institucijos pirmasis uždavinys yra tęsti savo veiklą ir kiek įmanoma labiau sumažinti - tiek finansinius, tiek įvaizdžio nuostolius. Prisiminkite, kad kibernetiniai nusikaltėliai taip įgudo, kad vaizdingai apibūdinus, nuvalo nuo peilių ir šautuvų pirštų antspaudus ir atsakingai išsiurbia sudaužytos vazos šukes nuo kilimo. Todėl negaudykite vėjo laukuose. Pirmiausiai - Jūsų veiklos tęstinumas.
Antra, susipažinkite, nuo šiol Jūsų geriausias draugu tampa teisininkas ar net visa jų delegacija. Viskas, ką pasakysite, ypač jei tai susiję su klientų informacija, kaip sako filmuose, gali būti panaudota prieš jus. Netyčia prisipažinsite, kad neapsižiūrėjote ir bylos ar įspėjimai jau keliauja pas jus. Taip pat su teisininkais turite suderinti daugybę klausimų - ar turite siųsti pranešimus klientams, kaip ir kada juos informuoti.
Suprantama, kad technologijos nėra visų stiprusis arkliukas, todėl būkite labai atsargūs su terminais ir apibūdinimais. Už viešumo durų jau laukia tūkstančiai IT specialistų, kurie jūsų pranešimą išnarplios po žodį. Be tai nereiškia, kad prieš kameras reikia pastatyti technologijų ar saugumo vadą. Jei norite jam atkeršyti - tai galėsite padaryti vėliau, bet nestatykite jo prieš kameras, jei turite įtarimų, kad žinia gali būti iškomunikuota per daug sudėtingai ar nejautriai.
Kiekvienas scenarijus ir atvejis unikalus, todėl jei skaitote šį tekstą - geriau pagalvokite apie kibernetinės atakos tikimybę iš anksto. O dar geriau - apie kibernetinio saugumo, kaip įvaizdžio formavimo priemonės galimybes. Nuo viešų atbaidymo taktikų, kuriomis sėkmingai naudojasi dalis bankų, skelbdami apie naujus bankomatus, SSL sertifikatų iki savo klientais besirūpinančios įmonės reputacijos sukūrimo.