Atnaujinimų praleidimas gali turėti rimtų ir negrįžtamų pasekmių
Kibernetinis saugumas šiandien yra kaip niekad svarbus – ypač įmonėms, kurių veikla priklauso nuo patikimai veikiančių informacinių sistemų. Nors programinės įrangos atnaujinimai yra esminė apsauga nuo kibernetinių atakų, tačiau daugelis įsilaužimų vis dar įvyksta dėl to, kad naudojama pasenusi programinė įranga su žinomais pažeidžiamumais. Kai kurios organizacijos delsia diegti svarbias saugumo pataisas, o tai reiškia, kad neatnaujintos sistemos tampa lengvu taikiniu kibernetiniams nusikaltėliams.
Dažniausiai įsilaužimai įvyksta dėl pasenusios programinės įrangos
Programinės įrangos atnaujinimai yra būtini norint apsisaugoti nuo kibernetinių grėsmių. JAV Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) 2022 m. ataskaitoje pažymi, kad kibernetiniai nusikaltėliai dažniausiai išnaudoja pasenusių sistemų pažeidžiamumus [1]. Tai rodo, kad daugelis organizacijų nesugebėdamos laiku atnaujinti sistemų, palieka jas pažeidžiamas ir lengvai pasiekiamas įsilaužėliams.
Remiantis 2016 m. „Voke Media“ tyrimu, apie 80% įmonių, patyrusių kibernetinius pažeidimus, būtų galėjusios jų išvengti, jei būtų laiku atnaujinusios savo sistemas [2]. Be to, JAV atliktas tyrimas parodė, kad 60% iš daugiau nei 150 tūkst. organizacijų vis dar naudojo programinę įrangą su žinomais pažeidžiamumais, nors reikalingos pataisos jau buvo prieinamos [3].
Papildomi tyrimai tik patvirtina šią tendenciją. „Automox“ 2020 m. tyrime 75% respondentų pripažino, kad pagrindinės duomenų nutekėjimo ir įsilaužimų priežastys buvo neįdiegti atnaujinimai arba netinkamai sukonfigūruotos sistemos [4]. „Ponemon Institute“ 2019 m. apklausoje 60% respondentų nurodė, kad jų duomenų praradimo incidentai kilo dėl pavėluotų saugumo pataisų įdiegimo [5].
Kibernetiniai nusikaltėliai nuolatos ieško pasenusių sistemų, kurios turi pažeidžiamumus
Viešai prieinama informacija apie saugumo spragas, kartais įskaitant detalius pavyzdžius, padeda įsilaužėliams lengviau jas panaudoti bei automatizuoti. CISA duomenys rodo, kad kibernetiniai nusikaltėliai dažniausiai pasinaudoja viešai žinomomis spragomis per pirmuosius dvejus metus po jų atskleidimo [1]. Tačiau nerimą kelia tai, kad, remiantis „Cloudflare“ 2024 metų ataskaita, kai kurie pažeidžiamumai buvo bandomi išnaudoti vos per 22 minutes po įrodymo koncepcijos paskelbimo [6].
Tai rodo, kad programinės įrangos atnaujinimų diegimas yra kritinė kibernetinio saugumo dalis. Kibernetiniai nusikaltėliai nuolatos ieško neapsaugotų sistemų, kuriose vis dar naudojama pasenusi programinė įranga.
Didžiausias ir svarbiausias pastarojo dešimtmečio pažeidžiamumas
Vienas ryškiausių pavyzdžių – 2021 metais aptiktas kritinio lygio pažeidžiamumas „Log4j“ atviro kodo žurnalinių įrašų bibliotekoje, kuri plačiai naudojama įvairioje programinėje įrangoje ir debesijos paslaugose. Ši spraga leido vykdyti nuotolines komandas ar perimti sistemų kontrolę, dėl ko daugiau nei 3 mlrd. įrenginių visame pasaulyje tapo pažeidžiami. Spraga sulaukė aukščiausio CVSS (Common Vulnerability Scoring System) įvertinimo – 10 balų, o saugumo ekspertai ją įvardijo kaip vieną rimčiausių pastarojo dešimtmečio pažeidžiamumų [7, 8].
Nors bibliotekos kūrėjai greitai ištaisė pažeidžiamumą, prireikė kelių mėnesių, kol daugelis programinės įrangos tiekėjų atnaujino savo sistemas. Internetinių svetainių saugos bendrovė „Cloudflare“ 2023 metų pabaigoje pranešė, kad „Log4j“ išliko viena pagrindinių kibernetinių grėsmių net praėjus dvejiems metams nuo spragos aptikimo. Nepaisant greito spragos taisymo, daugelis tiekėjų delsė įgyvendinti būtinus atnaujinimus, todėl ši spraga iki šiol kelia pavojų [9, 10, 11].
Praleistas atnaujinimas kainavo beveik 700 mln. JAV dolerių
2017 m. dėl „Equifax“ duomenų saugumo spragos buvo nutekinti beveik 148 mln. vartotojų duomenys. Nutekinta informacija apėmė vardus, socialinio draudimo numerius, gimimo datas, adresus ir vairuotojų pažymėjimų numerius. Pažeidimas įvyko dėl saugumo spragos „Apache Struts“ sistemoje, kuri leido įsilaužėliams vykdyti nuotolines serverio komandas [12].
„Apache“ išleido pataisą dar 2017 m. kovo mėnesį. Nepaisant to, „Equifax“ laiku neatnaujino sistemos, spraga liko atvira iki liepos pabaigos. Įmonė pradėjo imtis veiksmų, kai pastebėjo įtartiną tinklo veiklą. Dėl šio aplaidumo „Equifax“ patyrė didžiulius nuostolius, kurie siekė beveik 700 mln. JAV dolerių [13].
Duomenų nutekėjimo pavyzdžių galime rasti ir Lietuvoje
2024 m. sausio 7 dieną buvo nutekinta „Aiva sistema“ duomenų bazė, kurioje buvo apie 260 tūkstančių vartotojų kontaktiniai duomenys, įskaitant vardus, pavardes, telefono numerius ir el. pašto adresus. Pasak „ESET“ eksperto, įsilaužėliai galimai pasinaudojo neatnaujintos programinės įrangos saugumo spraga, kuri leido gauti šiuos duomenis [14].
2023 m. kovo mėn. Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė viešojo sektoriaus įstaigai 6 600 eurų baudą už Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų pažeidimus. Per incidentą buvo pažeistas apie 13,5 tūkst. asmenų duomenų konfidencialumas. VDAI nustatė, kad įstaiga naudojo neatnaujintą programinę įrangą, o prie interneto svetainės valdymo panelės buvo galima prisijungti iš išorinio tinklo be dviejų veiksnių autentifikavimo. Tuo pasinaudoję sukčiai įsilaužė į svetainę, nukopijavo vartotojų duomenų bazę ir paviešino ją tamsiojo interneto forume [15].
Atnaujinimai – būtinybė, o ne pasirinkimas
Specialistai dažnai pastebi, kad įmonės linkusios ignoruoti svarbius programinės įrangos atnaujinimus. Pavyzdžiui, el. komercijos platformos, kuriose saugomi jautrūs klientų duomenys ir kurios dažnai veikia su senesnėmis nei 2–3 metų programinės įrangos versijomis. Tai atsitinka, kai po sistemos įdiegimo nesukuriama nuolatinės priežiūros praktika arba apskritai nenumatomos atnaujinimo galimybės. O priežiūros trūkumas atveria kelią kibernetiniams įsilaužėliams, kurie aktyviai naudojasi žinomomis spragomis ar automatizuotais įrankiais, galinčiais greitai identifikuoti bei išnaudoti neapsaugotas sistemas.
Kibernetinio saugumo užtikrinimas nėra vienkartinis projektas, o nuolatinis procesas, reikalaujantis dėmesio ir atsakomybės. Investicijos į reguliarų priežiūros procesą ne tik užtikrina sistemų stabilumą, bet ir padeda apsisaugoti nuo potencialių įsilaužimo grėsmių.
- Cybersecurity and Infrastructure Security Agency. (2023). 2022 top routinely exploited vulnerabilities. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a
- Lanowitz, T. (2023). Software patches could prevent most breaches, study finds. eWeek. https://www.eweek.com/security/software-patches-could-prevent-most-breaches-study-finds/
- National Bureau of Economic Research. (2023). Software vulnerabilities and their economic impact (NBER Working Paper No. w32696). https://www.nber.org/papers/w32696
- Automox. (2020). Automox 2020 cyber hygiene report: What you need to know now. https://patch.automox.com/rs/923-VQX-349/images/Automox_2020_Cyber_Hygiene_Report-What_You_Need_to_Know_Now.pdf
- Ponemon Institute. (2023). Ponemon vulnerability survey. ServiceNow. https://www.servicenow.com/lpayr/ponemon-vulnerability-survey.html
- Cloudflare. (2024). Application security report 2024 update. https://blog.cloudflare.com/application-security-report-2024-update/
- Reuters. (2021, December 13). Widely used software with key vulnerability sends cyber defenders scrambling. https://www.reuters.com/technology/widely-used-software-with-key-vulnerability-sends-cyber-defenders-scrambling-2021-12-13/
- National Cyber Security Centre Lithuania. (2021). Critical vulnerability in popular Log4j library. https://www.nksc.lt/naujienos/kritine_spraga_populiarioje_log4j_bibliotekoje.html
- Cloudflare. (2023). Radar 2023 year in review. https://blog.cloudflare.com/radar-2023-year-in-review/
- Veracode. (2023). State of Log4j vulnerabilities: How much did Log4Shell change? https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change
- InfoSecurity Magazine. (2023). Log4j among top exploited vulnerabilities. https://www.infosecurity-magazine.com/news/log4j-top-exploited-vulnerabilities/
- Electronic Privacy Information Center. (2017). Equifax data breach overview. https://archive.epic.org/privacy/data-breach/equifax/
- BBC News. (2019, July 24). UK government’s response to the technology crisis. https://www.bbc.com/news/technology-49070596
- Delfi.lt. (2023). Informuoja apie dar vieną didelio masto programišių ataką Lietuvoje: nutekinti 260 tūkst. vartotojų duomenys. https://www.delfi.lt/login/progresas/kibernetinis-saugumas/informuoja-apie-dar-viena-didelio-masto-programisiu-ataka-lietuvoje-nutekinti-260-tukst-vartotoju-duomenys-95593475
- National Cyber Security Centre Lithuania. (2023). National cybersecurity report 2023. https://www.nksc.lt/doc/Nacionaline-kibernetinio-saugumo-ataskaita-2023.pdf