Dažnu atveju žodis „hakeris“ yra siejamas su kino filmais, įsilaužimais į įvairias sistemas ir nusikaltimais. Vis dėlto, pasak kibernetinio saugumo specialistų bendruomenės „Skaitmeninis legionas“ įkūrėjo dr. Šarūno Grigaliūno, toks įvaizdis dažniausiai neatitinka realybės, o „hakerio“ sąvoka gali būti suprantama kur kas plačiau.
„Hakeris“ – ne visada nusikaltėlis
Kibernetinio saugumo ekspertas Š. Grigaliūnas tikina, jog „hakeris“ nėra vien nusikaltėlio sinonimas. Kibernetinio saugumo srityje egzistuoja ir teisėtai veikiantys etiškieji „hakeriai“ – saugumo specialistai, kurie testuoja sistemas, ieško jų spragų ir padeda jas ištaisyti.
„Viešojoje erdvėje „hakerio“ terminas dažnai supaprastinamas, todėl visi neteisėti įsilaužėliai neretai vadinami tiesiog „hakeriais“, nors iš tiesų reikėtų aiškiai atskirti teisėtą saugumo testavimą nuo nusikalstamos veiklos.
Be to, šiuolaikinės kibernetinės atakos vis dažniau tampa komercializuotos. Pavyzdžiui, Europos Sąjungos tinklų ir informacijos apsaugos agentūra (ENISA) atkreipia dėmesį į vadinamąsias „phishing-as-a-service“ platformas, kurios leidžia vykdyti sudėtingas kampanijas net ir tiems, kurie neturi gilių techninių žinių“, – teigė Š. Grigaliūnas.
Ekspertas taip pat atkreipia dėmesį, kad kino filmų sukurtas „hakerių“ įvaizdis apie akimirksniu įvykdomus įsilaužimus dažniausiai neatitinka realybės. Pasak jo, tikros kibernetinės atakos vyksta etapais: pirmiausia įgyjama pradinė prieiga, tuomet įsitvirtinama sistemoje, judama vidiniame tinkle ir tik vėliau atliekami konkretūs veiksmai.
„ENISA analizė išskiria penkis tokios atakos etapus ir nurodo, kad judėjimas tinkle gali trukti net kelias savaites. Saugumo teorijos duomenų bazė „MITRE ATT&CK“ atskirai aprašo pradinę prieigą ir vėlesnį judėjimą tinkle.
Tai reiškia, kad egzistuoja reali galimybė „užpuoliką“ pastebėti ir sustabdyti dar proceso metu, jei organizacija stebi įvykius, analizuoja žurnalus ir naudoja įsilaužimų aptikimo bei prevencijos priemones“, – pasakojo kibernetinio saugumo specialistas.
Fišingas – vienas populiariausių metodų
„Hakerių“ veiklų absoliutinti nevertėtų – jų taikiniai ir metodai skiriasi. Pavieniai fiziniai asmenys dažniausiai tampa fišingo, paskyrų perėmimo, finansinio sukčiavimo ar asmeninių duomenų vagystės aukomis. O organizacijos ir valstybinės institucijos dažniau tampa didesnių kampanijų taikiniu – nuo ransomware ir duomenų nutekinimo iki DDoS ar kibernetinio šnipinėjimo.
Pasak Š. Grigaliūno, šiandien vieni populiariausių metodų yra fišingas arba „dvigubas fišingas“, kai užpuolikas apsimeta gelbėtoju ir įspėja apie tariamą grėsmę. Taip pat plačiai naudojama socialinė inžinerija, prisijungimo duomenų vagystė, žinomų programinės įrangos spragų išnaudojimas, piktnaudžiavimas nuotolinės prieigos paslaugomis bei kenkėjiškų programų diegimas.
„Nacionalinis kibernetinio saugumo centras (NKSC) nurodo, kad fišingas taikomas tiek organizacijoms, tiek privatiems asmenims, o ENISA 2025 grėsmių apžvalgoje viešasis administravimas įvardijamas kaip pagrindinis sektorius tarp taikinių ES mastu.
Po pirminės prieigos užpuolikai dažnai juda per vidinį tinklą naudodami pavogtas paskyras arba net teisėtus administravimo įrankius, kad ilgiau liktų nepastebėti.
ENISA 2025 duomenimis, fišingas sudarė apie 60 proc. stebėtų pirminės prieigos atvejų, o pažeidžiamumų išnaudojimas – 21,3 proc.“, – dalijosi kibernetinio saugumo specialistus vienijančios bendruomenės įkūrėjas.
Nauja paskyra – naujas slaptažodis
Anot Š. Grigaliūno, dažniausios klaidos, kurias daro interneto vartotojai, yra tų pačių slaptažodžių naudojimas kelioms paskyroms, per silpni slaptažodžiai, neįjungtas dviejų veiksnių autentifikavimas, neatnaujintos sistemos ir programėlės bei nepatikrinti siuntėjai ar domenai prieš spaudžiant nuorodas. Taip pat neretai slaptažodžiai saugomi naršyklėse be papildomos apsaugos, o tai dar labiau padidina riziką.
NKSC rekomenduoja nespausti įtartinų nuorodų, tikrinti domeną prieš vedant jautrius duomenis ir kritiškai vertinti laiškus ar skambučius, kurie skubina atskleisti prisijungimo informaciją.
„Rekomenduojama kiekvienai svarbiai paskyrai naudoti unikalų ilgą slaptažodį, dar geriau – slaptažodžių tvarkyklę (angl. password manager), tik nesaugoti slaptažodžių į naršyklę.
Visur, kur tik įmanoma, įjunkite dviejų veiksnių autentifikavimą, nedelsdami atnaujinkite operacines sistemas, naršykles ir programėles. Patariama reguliariai daryti atsargines kopijas arba nusipirkti kietąjį diską ir kopijuoti į jį, užrakinti telefoną ir kompiuterį – įjungti automatinį užrakinimą, kai įrenginiais nėra naudojamasi. Taip pat raginama pakeisti gamyklinius namų maršrutizatoriaus slaptažodžius“, – kalbėjo pašnekovas.
Prieš spaudžiant nuorodą visada tikrinkite siuntėją ir domeną. Tai galima padaryti visiškai nemokamai naudojantis „VirusTotal“ portalu.
Jei slaptažodį kuriate patys, jis turėtų būti bent 15 simbolių, o kai kuriose sistemose dar saugesnis pasirinkimas gali būti prisijungimo raktai (angl. passkeys). Lietuvoje papildomu techniniu sluoksniu gali būti ir nemokama NKSC „DNS užkarda“, blokuojanti dalį žalingų svetainių.
Rugilė BALČIŪNAITĖ
Projektą iš dalies finansuoja Medijų rėmimo fondas
