2019 m. rugsėjo 17 d., Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė pranešimą apie įsilaužimus į internetines svetaines ir priemones, kurių turėtų imtis svetainių valdytojai, kibernetinių atakų atveju.

Anot VDAI, į viešo ir privataus sektoriaus interneto svetaines buvo įsilaužta 100 kartų, todėl svetainių valdytojams yra svarbu žinoti, ką daryti tokių įsilaužimų atvejais.

Įvykus kibernetinei atakai, svetainės valdytojas privalo:

  • Įvertinti, ar kibernetinis incidentas gali lemti asmens duomenų, tvarkomų internetinėje svetainėje, saugumo pažeidimą, t. y., ar asmens duomenys netyčia ar neteisėtai prarandami, sunaikinami, pakeičiami, persiunčiami, be leidimo atskleidžiami ar prie jų gaunama neteisėta prieiga.

Jei įvyksta asmens duomenų saugumo pažeidimas, svetainės valdytojui kyla Bendrajame duomenų apsaugos reglamente (BDAR) nustatytos pareigos:

  • Imtis veiksmų, kad kibernetinės atakos sukelti padariniai būtų ištaisyti, visus veiksmus detaliai fiksuojant vidiniuose dokumentuose;
  • Jei dėl atakos kyla pavojus fizinio asmens teisėms ir laisvėms, per 72 valandas pranešti VDAI, o jei kyla didelis pavojus – ir pačiam duomenų subjektui, kurį kibernetinė ataka galėjo paveikti*.

*VDAI pabrėžia, kad tam tikriems subjektams, pvz., vykdantiems internetinę prekybą, įvykus kibernetinei atakai privaloma nedelsiant informuoti Nacionalinį kibernetinio saugumo centrą.

Inspekcija pateikia ir rekomendacijas svetainių lankytojams. Siekiant užtikrinti saugumą, interneto svetainių lankytojams patariama:

  • Nenaršyti ir ypač nesuvedinėti jokių duomenų internetinėse svetainėse, kurios nenaudoja duomenų šifravimo, t. y. neturi adreso pradžioje „https“;
  • Visuomet įsitikinti, ar svetainėje paskelbta privatumo politika (angl. website privacy policy);
  • Įsitikinti, kad svetainės valdytojas skelbia savo kontaktinę informaciją;
  • Turėti įsidiegus programinę įrangą, kuri blokuotų neįprastą tinklalapių veiklą, „iššokančius“ langus bei siūlymus atsisiųsti ir įdiegti neaiškios kilmės dokumentus ar programas;
  • Užėjus į įtarimų keliančią interneto svetainę, nespausti jokių nuorodų, prie jų nesijungti naudojantis asmeninių paskyrų (pavyzdžiui, socialinių tinklų, el. pašto paslaugų ir pan.) prisijungimo duomenimis, nevesti jokios asmeninės informacijos;
  • Nepasitikėti pateikta informacija apie galimus laimėjimus ar kitus prizus, kai prašoma pateikti asmens duomenis, mokėjimų kortelių duomenis ar kitą asmeninę informaciją ar atsisiųsti papildomas aplikacijas, kad galėtumėte atsiimti savo laimėjimus ar prizus.

Pasitaiko atvejų, kad svetainė, kuri turi saugumo sertifikatus, privatumo politiką ir nurodo kontaktinius duomenis, vis tiek gali būti nesaugi, užkrėsta kenkėjiška programine įranga. Kibernetinių atakų atpažinimui VDAI pateikia tokius požymius:

  • Turinio iškraipymo ataka (angl. defacement). Ši ataka lengvai atpažįstama – kibernetiniai sukčiai pakeičia svetainės turinį savo vardu, logotipu ir (arba) ideologiniais vaizdais, iššaukiančia reklama ar pan.;
  • Iššokantys langai (angl. suspicious pop ups). Reikia būti atsargiems dėl iššokančių langų, kurie pateikia su svetainės turiniu nesusijusią informaciją. Greičiausiai bandoma privilioti svetainės lankytoją spustelėti ir netyčia atsisiųsti kenkėjiškas programas;
  • Kenkėjiška reklama (angl. malvertising). Dažniausiai kenkėjišką reklamą nesunku atpažinti. Paprastai ji atrodo neprofesionali, joje yra rašybos, gramatikos klaidų, reklamuojami „stebuklingi“ išgydymai ar garsenybių skandalai. Svarbu atminti, kad ir tvarkingoje reklamoje ar skelbimuose, atitinkančiuose Jūsų naršymo istoriją, taip pat gali būti kenkėjiškų programų, todėl reikia būti atsargiems ir ieškoti dominančių dalykų patikimose paieškos sistemose;
  • „Fišingo“ rinkiniai (angl. phishing kits). Tai yra svetainės, imituojančios dažniausiai lankomas svetaines, pvz., bankininkystės svetaines, socialinių tinklų svetaines ir pan., siekiant apgauti vartotojus perimant privačią informaciją. Reikia atkreipti dėmesį į naršyklėje matomą svetainės adresą, ar svetainės vardas (URL adresas) neturi gramatinių klaidų, ar jis nėra neįprastos sandaros;
  • Kenkėjiškas peradresavimas (angl. malicious redirect). Jei įvedant URL adresą esate nukreipiami į kitą svetainę, ypač į tą, kuri atrodo įtartina, jus paveikė kenkėjiškas peradresavimas, kuris dažnai naudojamas kartu su „fišingo“ rinkiniais. Nenaršykite tokioje svetainėje, perkraukite naršyklę prieš tolimesnį naršymą internete;
  • Paieškos šlamštas (angl. SEO spam). Neįprastų nuorodų atsiradimas svetainėje, dažnai komentarų skiltyje, yra tikras paieškos šlamšto ženklas;
  • Įspėjimai paieškos sistemose. Populiarios paieškos sistemos tikrina svetaines dėl kenkėjiškų programų ir deda įspėjimą apie tai. Neverta ignoruoti šių įspėjimų, nes jie vienareikšmiškai parodo, kad svetainė užkrėsta kenkėjiška programine įranga.
Prenumeruokite mūsų naujienlaiškį:

Įvesdami savo el. pašto adresą, jūs patvirtinate,
kad susipažinote ir sutinkate su mūsų privatumo politika.