მითები კიბერუსაბთხოების შესახებ
ყველა სტატისტიკის მიხედვით გასული წელი კიბერშეტევების თვალსაზრისით რეკორდულ ციფრებზე გავიდა. ინტერნეტთაღლითობიდან დაწყებული არჩევნებში ჩარევით დამთავრებული. ყველაფერი ეს იყო. ამ საფრთხეების უმეტესობა ახალია არაა, და სავარაუდოდ არც არასდროს გაქრება, მაგრამ „ყველაზე ღირებული რჩევა, რაც მე გავიგე ბოლო 25 წლის განმავლობაში კიბერუსაფრთხოების კონფერენციებზე მსოფლიოს ყველა კუთხის ექსპერტებთან საუბრების დროს, იყო ის, რომ კიბერშეტევების წინააღმდეგ ყველაზე ეფექტურად ჩვენი საკუთარი აზროვნება მუშაობს“. აცხადებს ფორბსის ჟურნალისტი, კიბერუსაფრთხოების ექსპერტი სტატიაში 10 მითი კიბერუსაფრთხეობის შესახებ.
შესაბამისად მსგავსი მითების არსებობაც შეიძლება მნიშვენლოვან საფრთხედ ჩაითვალოს.
ამ ვიდეოში მე გაგაცნობთ იმ მითებს რომელთა გაფანტვაც მნიშვნელოვნად შეამცირებს წარმატებული კიბერშეტევის რიცხვს.
მითი 1: ეს მე არ მეხება. (კიბერუსაფრთხოება IT სფეროს თანამშრომელების პრობლემაა) რეალობა: ნეტავ მხოლოდ ერთი თეთრი ჩამერიცხოს ყველა იმ ადამიანისგან, ვინც ასე ფიქრობს. რამდენიმე წლის წინ მართლაც ბევრი თქვენთაგანი ასე ფიქრობდა. ამ ვიდეოგაკვეთილების მომზადებისას როცა პედაგოგებთან გარკვეული დეტალების დაზუსტება მჭირდებოდა, უამრავი ფაქტი აღმოვაჩინე, რომელიც ადასტურებდა, რომ თქვენ ეს ნამდვილად გეხებათ. მე რეალურ ისტორიას აღვწერ და შემდეგ თქვენ თვითონ განსაჯეთ: ერთ-ერთი საფრთხის აღწერისას ვიფიქრე, რომ ეს საფრთხე ქართველი პედაგოგებისთვის ნაკლებად მნიშვნელოვანი იყო ეს საფრთხე ჩვენ არ გვემუქრებოდა.
თუმცა მაინც გადავწყვიტე დეტალების დაზუსტება და ამ მიზნით სკოლის დირექტორს და ბუღალტერს რამდენიმე შეკითხვა დავუსვი. საუბრის დასრულების შემდეგ მე კვლავ იმ აზრზე დავრჩი, რომ ეს ჩვენ არ გვეხებოდა. თუმცა ზუსტად მეორე დღეს სკოლაში შეშფოთებული ბუხჰალტერი დამხვდა. როგორც აღმოჩნდა ჩვენი საუბრიდან სულ რამდენიმე საათში დაურეკეს მომსახურე ბანკიდან და შეატყობინეს, რომ მისი საბარათე ანგარიშიდან აზერბაიჯანულ ტოტალიზატორზე გადარიცხვის მცდელობა იყო. როგორც ჩანს ამ შემთხვეაში უშედეგო. რამდენიმე ხანში მე გამახსენდა რომ ბანკიდან მსგავსი სახის დარეკვაც მაქინაციის ერთ-ერთი ხერხი იყო. მაგრამ ამჯერად მართლაც ბანკის წარმომადგენელთან გვქონდა საქმე. შემდეგ დღეს ტრენინგის რამდენიმე მონაწილემ გაიხსნა, რომ მას მტშ შეტყობინება მოსდის საბანკო დავალიანების შესახებ. ერთ პედაგოგს კი მდიდარი ნათესავი წერდა წერილს, რომ სურდა მთელი ქონება მისთვის გადმოეცა. ამისთვის კი საკმარისი იყო საბანკო ანგარიში შეეტყობინებინა თანხის ჩასარიცხად.... იყო სხვა ისტორიებიც... მოდით შევთანხმდეთ, არ დაელოდოთ მსგავს სიურპრიზებს. ეს თქვენ გეხებათ
ინტერნეტი იმდენად დიდი სივრცეა, თქვენ რატომ აგირჩევენ სამიზნედ - ხშირ შემთხვევაში, ვინც იზიარებს ამ მოსაზრებას, როგორც წესი, არ სურს დახარჯოს დრო და თანხა უსაფრთხოების ზომების მისაღებად. პრობლემა ის არის, რომ კიბერკრიმინალს მცირე დრო სჭირდება სისტემის დასაზიანებლად და ხარვეზის ბოროტად გამოსაყენებლად. ყველაფერი დამოკიდებულია მომხმარებლის სისტემის დაცულობის ხარისხზე. იმ შემთხვევაშიც კი, თუ თვლით, რომ არ ფლობთ მნიშვნელოვან პერსონალურ თუ ფინანსურ მონაცემებს, კიბერკრიმინალს შეუძლია თქვენი „უმნიშვნელო“ ინფორმაციის გამოყენება სხვა მონაცემების შესავსებად და ამით საერთო, სრული სურათის მიღება.
ამიტომ, როგორც კი მოხდება ნებისმიერი ინფორმაციის ციფრული სახით დამუშავება, იმავე წუთიდან დგება მისი სიზუსტის, კონფიდენციალობის და წვდომის პრობლემა... ეს ინფორმაცია კი შეიძლება მობილურით განხორცილებული რიგითი ზარი იყოს. გარწმუნებთ, ეს უმნიშვნელო ინფორმაცია დიდ სურათში მნიშვნელოვნად ღირებულია.
მითი მე ძლიერი ანტივირუსი მიყენია, ის ყოველდღე მატყობინებს აღმოჩენილი და გაუვნებელყოფილი ვირუსების შესახებ. ამჟამად ყველა ვირუსი განადგურებულია და მწვანე ფერი ანთია....
ანტივირუსი შეიძლება ეფექტური იყო 20 წლის წინ, მაგრამ ახლა მხოლოდ ანტივირუსი საკმარისი არ არის, რადგან კიბერდაცვა ფოსტფაქტუმ პროცესია. ეს იმას ნიშნავს, რომ ყველა ანტივირუსი ამოიცნობს მხოლოდ მისთვის ცნობილ ვირუსს ან მავნე პროგრამას და მეთოდს. (ანუ ერთი ვარიანტი როცა ანტივირუსი შესამოწმებელ პროგრამას საკუთარ, უკვე ცნობილი ვირუსების ბაზას ადარებს, მერე ვარიანტია შესამოწმებელი პროგრამის ქცევის ანალიზი: – ვთქვათ თუ პროგრამა დაჭერილი კლავიშების ჩაწერას ახდენს, ეს კეილოგერია). შესაბამისად არ არსებობს რაიმე კონკრეტული პროგრამა ან პროგრამებიც კი, რომელსაც შეუძლით კიბერუსაფრთხოების სრული უზრუნველყოფა. მომხმარებელს, რომელიც იხდის გარკვეულ თანხას უსაფრთხოების პროგრამაში, აქვს ცრუ მოლოდინი, რომ პროგრამა სრულად უზრუნველყოფს სისტემის უსაფრთოხებას. ისიც გასათვალისწინებელია რომ კიბერუსაფრთხოების თვალსაზრისით პროგრამული საფრთხეების გარდა არსებობს სხვა სახის საფრთხეებიც. მაგალითად სამასწავლებლოში გამოკრული პაროლების სია...
ასე რომ, ეს მითი, მხოლოდ გარკვეული ორგანიზაციების მიერ არის შექმნილი მარკეტინგული მიზნების მისაღწევად.
დიახ, უნდა გამოიყენოთ სხვადასხვა ტიპის დაცვითი პროგრამები, მაგრამ ეს არ ნიშნავს იმას რომ თქვენს უსაფრთხოებას არაფერი ემუქრება.
შემდეგი უკიდურესობა არის მითი იმის შესახებ, რომ
მე არ მჭირდება დაცვის რაიმე დამატებითი პროგრამა, მე სარისკო საიტებზე არ შევდივარ. თანაც მხოლოდ სტანდარტულ პროგრამებს ვიყენებ. ფიშინგის, პირადი ინფორმაციის დაკარგვის ან სხვა საფრთხეების გაცნობის შემდეგ შეიძლება ბევრმა პედაგოგმა იფიქროს, რომ ასეთ საფრთხეებთან დაცვის საუკეთესო საშუალება საღი აზრია.
თუ ისინი ამ მოსაზრებაში სპამს ან თავსმოხვეულ მოხტუნავე ფანჯრებს გულისხმობენ, შეიძლება რაღაც დოზით დაეთანხმო კიდეც. მაგრამ ჩამოთვლილი საფრთხეების გარდა ხომ არსებობს სხვა საფრთხეებიც, რომლებიც ხილული არაა? თქვენ შეიძლება შეხვიდეთ სრულიად უწყინარ კანონიერ და სოლიდური ორგანიზაციის საიტზე, შეიძლება რაც არაფერს დააჭიროთ, თუმცა მაინც აღმოჩნდეთ კომპრომეტირებული
მავნე პროგრამები და მეთოდები მუდმივად განიცდიან ევოლუციას. და ის ფაქტი, რომ დაინფიცირების რაიმე ხილული ნიშნები არ არის, არ ნიშნავს იმას რომ პრობლემა არ არის.
„იყო დაცული ინტერნეტსივრცეში, ძალიან ჰგავს ავტომანქანის ტარების პროცესს – თქვენ შეიძლება იცავთ მოძრაობის წესებს და ყურადღებას აქცევთ პოტენციურ საფრთხეებს, მაგრამ ნუთუ ყოველთვისაა შესაძლებელი წინასწარ განსაზღვროთ, რას მოიმოქმედებენ თქვენს ირგვლივ მოძრავი სხვა მძღოლები?“ აღნიშნულია კიბერუსფართხოების საკითხებზე მომუშავე ორგანიზაციების ბევრ ვებ გვერდზე. „To be safe online is quite similar to driving your car“ და ასევე ეს წინადადება გვხვდება ქართული სახელმწიფო ორგანიზაციის სახელმძღვანელოში. და თქვენ კვლავ თვლით, რომ თქვენი კიბერუსაფრთხოება დაცულია?
ჩემი პაროლი იმდენად რთულია, რომ მისი გამოცნობა შეუძლებელია. მე ყველა რეკომენდაცია ზედმიწევნით დავიცავი. იმედიც არ გქონდეთ
დიახ, უმორჩილესად გთხოვთ დააყენოთ საიმედო პაროლი, ნახეთ ვიდეო პაროლის შექმნის შესახებ. და არავითარ შემთხვევაში არ გამოტოვოთ ეს მნიშვნელოვანი ნაბიჯი. მაგრამ გაითვალისწინეთ, რომ კიბერდამნაშავეებისგან საიმედო პაროლიც ვერ დაგიცავთ. 2014 წელს ბორჯომის სასტუმროში კომპიუტერი ავარიულად გამოირთო და ჩართვა ვერ მოხერხდა. ერთი წუთიც არ დასჭირვებია პაროლის განულებას.
საიმედო პაროლი მხოლოდ ერთი პუნქტია უსაფრთხოების გასაძლიერებლად. არ დაგავიწყდეთ, ნახოთ რჩევები პაროლის გამოყენებასთან დაკავშირებით.
მე ვიცი, რომ უცხო ადამიანისგან გამოგზავნილი წერილი არ უნდა გავხსნა. ამ წესს ყოველთვის ვიცავ
რეალობაში კი თქვენ შეიძლება აღმოაჩინოთ, რომ წერილი, რომელიც გახსენით და წაიკითხეთ სულაც არ გამოუგზავნია თქვენს მეგობარს ან ახლობელს, როგორც ეს ერთი შეხედვით ჩანდა. თუ გახსოვთ, კიბერუსაფრთხოება პოსტფაქტუმ სცენარით მუშაობსო, ავღნიშნე უკვე. და ახლა სწორედაც რომ დროა გაიაზროთ, რომ თვენი უსაფრთხოება უკვე დარღვეულია. დიახ. უკვე დარღვეულია. მოდით გაიხსენეთ, რამდენად ხშირად ღებულობთ მეგობრებისგან უცნაურ, ან თუნდაც შეუფერებელ შეტყობინებებს? ერთი პერიოდი ფეისბუკში ყველა ყველას უგზავნიდა საკმაოდ უხამსი ხასიათის შეტყობინებას. სხვათაშორის ისეც კი ხდებოდა, რომ ავტორი იმ პერიოდისთვის სულაც არ სარგებლობდა ფეისბუკით. ვგონებ უნდა ხვდებოდეთ, რომ მხოლოდ ერთი დაწკაპუნება გაცილებთ საფრთხისგან. ბმულზე დაჭერით ან წერილში ჩართული ფაილის ჩამოტვირთვით თქვენ კომპიუტერში ადვილად ჩაწერთ საზიანო პროგრამას.
ხაკერები პატარა ბიჭები არიან და სარდაფებში იმალებიან
ასე მხოლოდ კინოებში ხდება. რეალობაში კიბერუსაფრთხოებით საერთაშორისო და სამთავრობო ორგანიზაციებიც კი არიან დაკავებული. ამ მითის გასაქარწყლებლად რამდენიმე ფაქტს მოვიყვან ანონიმუსი (ერთერთი ჰაკერული დაჯგუფების ლიდერი) 2012 წელს ჟურნალმა თაიმმა წლის 100 ყველაზე გავლენიან ადამიანთა სიაში ჩასვა. http://anonofficial.com/. ასევე არსებობს არაპირდაპირი მტკიცებულება მისა რომ 2010 წლის 17 ივნისს აღმოჩენილი ჭია სახელად StuxNet შექმნილია ამერიკისა და ისრაელის სადაზვერვო სამსახურების მიერ სპეციალურად ირანის ბირთვულ პროგრამაზე ჯაშუშობისთვის. ასევ თითოეულ თქვენთაგანს ალბათ კარგად ახსოვს 2008 წელს განხორციელებული კიბერთავდასხმები საქართველოს სამთავრობო ორგანიზაციებზე და სტრუქტურებზე. ჩამოთვლა შორს წაგვიყვანს. შევთანხმდეთ, ხაკერების პატარა ბიჭობა მხოლოდ მითია...
ჩემი სოციალური ქსელი დაცულია
უკანასკნელ წლებში კიბერკრიმინალებმა შექმნეს უამრავი მეთოდი და ხრიკი, სოციალური ქსელებიდან (Facebook, Twitter, LinkedIn და სხვა) მომხმარებლების ინფორმაციის მოსაპარად. ისინი დახელოვნდნენ ონლაინ თაღლითობაში (Scam) და პერსონალური ინფორმაციის ქურდობაში. ონლაინ კრიმინალები წარმატებით ახერხებენ სოციალური მედიის ანგარიშებზე ფაილების არანებაყოფლობით გადმოწერის (Drive-by Downloads), ავტომატურად ამოვარდნილი (Pop-up) რეკლამების და სხვა მეთოდების გამოყენებით მომხმარებლის პერსონალური ინფორმაციის მითვისებას. ვის არ ჰყავს დამეგობრებულთა შორის ისეთი, ვინც შევიდა ყალბი შეთავაზების გვერდზე და შემდეგ უნებლიედ თავად გაავრცელა ეს ბმული მეგობრებში?
კიდევ ერთი საფრთხე, რომელიც სოციალური მედიიდან მომდინარეობს, ყალბი მომხმარებლებია, რომლებსაც კიბერკრიმინალები ქმნიან პერსონალური ინფორმაციის გამოძალვის მიზნით. ისეთი ინფორმაციის შეგროვებით, რომელიც შესაძლოა საწყის ეტაპზე მნიშვნელოვნად არ მოგეჩვენოთ, შემდეგ კი მისი დაკავშირებით სხვა წყაროებიდან მიღებულ ინფორმაციასთან, ონლაინ კრიმინალს შეუძლია უთვალთვალოს თქვენს აქტივობას და თქვენივე სახელით შექმნას ყალბი მომხმარებელი. აქედან გამომდინარე, ყურადღება მიაქციეთ ვის ამატებთ მეგობრებში.
თუ დავინფიცირდები, ამას დავინახავ.
წარსულში, როდესაც კომპიუტერი ნელა მუშაობდა და ავტომატურად ამოვარდნილი (Pop-Up) რეკლამები მთელს ეკრანზე ჩანდა, ჯერ კიდევ შესაძლებელი იყო საფრთხის დანახვა. დღეისთვის კიბერკრიმინალებმა დახვეწეს მეთოდები და გაზარდეს მათი ეფექტურობა, ამიტომ უმეტეს შემთხვევებში მომხმარებელი ვერ ხვდება, მისი სისტემა ჩართულია თუ არა სპამ კამპანიაში თუ კოორდინირებულ ონლაინ შეტევაში. მავნე პროგრამული უზრუნველყოფა ისეა აგებული, რომ გართულებული იყოს მისი აღმოჩენა ანტივირუსის მიერ. შესაძლებელია კიბერდამნაშავე იპარავდეს თქვენს პერსონალურ მონაცემებს ისე, რომ არაფერი იცოდეთ ამის შესახებ. ამიტომ ნუ მოადუნებთ ყურადღებას, მაშინაც კი როცა თქვენი ანტივირუსი მწვანედ ციმციმებს ან სწორედ ამწუთას დაასრულეთ ვირუსების არსებობაზე შემოწმების პროცესი.
თუ ჩემი სისტემა დაზიანდა, ეს ჩემი სირცხვილია. არავის არ უნდა ვუთხრა.
სამწუხაროდ ამწუთას ორი ტიპის ორგანიზაციები არსებობენ, ორგანიზაციები, რომელთა მონაცემები კომპრომეტირებულია და ორგანიზაციები, რომელთა მონაცემები კომპრომეტირებულია. (უბრალოდ არ იციან). კიბერშეტევის მცდელობის დამალვა თქვენს სისტემას უსაფრთხოს ნამდვილად არ გახდის.
ვიწერ და ვიღებ ინფორმაციას მხოლოდ სანდრო წყაროებიდან, შესაბამისად ჩემი უსაფრთხოება დაცულია
მითის დანგრევა საკმაოდ რთულია. ბევრი ფიქრობს, რომ უსაფრთხო და დაცულ რესურსებზე შესვლა უსაფრთხოა, რეალურად კი საქმე სხვაგვარადაა. იმ შემთხვევაშიც კი, თუ შედიხართ სანდო რესურსზე, მაინც რჩებით მოწყვლადი ონლაინ საფრთხეების მიმართ და ეს მხოლოდ ვირუსებს, ჭიებს და სხვა მავნე პროგრამულ უზრუნველყოფებს არ ეხება. ამ კონკრეტულ შემთხვევაში, საუბარია უფრო დიდ საფრთხეზე, როგორიცაა კიბერკრიმინალების მიერ შექმნილი მავნე პროგრამული უზრუნველყოფა, რომელიც უმიზნებს მსხვერპლის პერსონალურ, მათ შორის ფინანსურ მონაცემებს და რომელიც ისეა შექმნილი, რომ ახერხებს დაემალოს კლასიკურ ანტივირუსულ დეტექტორებს.
ასე რომ უსაფრთხო საიტებზე შესვლაც მხოლოდ მითია და ყურადRების მოდუნების უფლებას არ გაძლევთ
როდესაც ამ ვიდეოს უსმენთ, შეიძლება უმწეობის გრძნობაც დაგეუფლოთ, იფიქროთ რომ გამოსავალი არ ყოფილა, თითქოს სამყაროში მხოლოდ ვირუსები თაღლითები და ჰაკერები არიან. რომ შევაჯამოთ ნანახი ვიდეოგაკვეთილი თავიდან ნათქვამს დავუბრუნდები „კიბერშეტევების წინააღმდეგ ყველაზე ეფექტურად ჩვენი საკუთარი აზროვნება მუშაობს“.