Pereiti prie turinio

KTU mokslininkas K.Lukšys apie duomenų saugą: „Silpniausia grandis, deja, yra vartotojas“

Matematikai | 2022-09-26

Šiuolaikiniame skaitmeniniame pasaulyje kasdien sugeneruojami milžiniški kiekiai duomenų ir jų skaičiai tik auga. Numatoma, kad iki 2025 m. duomenų kiekis padidės penkis kartus ir tai bus per 463 eksabitus! Tai ir nuotolinio stebėjimo sistemos, ir astronominės dangaus apžvalgos įvairiuose diapazonuose, gyvosios gamtos genomo tyrimai, rinkos duomenys, skaitmeninės bibliotekos. Šiandien apie duomenų saugą ir skaitmeninį raštingumą kalbamės su KTU Matematikos ir gamtos mokslų fakulteto Taikomosios matematikos katedros vedėju, docentu dr. Kęstučiu Lukšiu.

– Suprantama, kad pramonės, verslo įmonių duomenys mūsų ekonomikoje tampa vis svarbesni. Natūralu, kad sukauptais duomenimis dažnai dalijimąsi tarp institucijų ar atskirų sektorių. Bet ar tas dalijimasis duomenimis yra ir patikimas, ir saugus? Kaip ir kokiomis priemonėmis galima užtikrinti duomenų patikimumą? Juk jų skaitmeninėje erdvėje labai daug – pradedant įvairiais portalais ir socialiniais tinklais. Kaip įvertinti, ar mus pasiekianti informacija patikima?

– Visų pirma, reikia atkreipti dėmesį į du pagrindinius aspektus – kibernetinį saugumą, kuomet mes galime iš įvairių šaltinių gauti informaciją ir žiūrėti jos turinį bei kriptografinį saugumą. Peržiūrint reikia įvertinti, ar informacija nebuvo pakeista ir ar ja nebuvo manipuliuojama. Kriptografinis saugumas turi užtikrinti, kad informaciją galėtų pasiekti tik tie vartotojai, kurie turi teisę ją pasiekti ir gali ja naudotis.

– Kokios pagrindinės priemonės padeda užtikrinti duomenų saugumą? Ar mes patys jį galime užtikrinti?

– Reikėtų išskirti pagrindinius elementus. Pirmiausia mes turime klasikinį šifravimą, kai užšifruojame duomenis, o juos iššifruoti gali tik tie, kurie žino tinkamą raktą. Tai dažniausiai esame mes patys, bet jeigu norime išsiųsti apsaugotą informaciją, vadinasi, gavėjas turi žinoti, kaip tuos duomenis reikės iššifruoti.

Kitas elementas, kuris vis dažniau sutinkamas kasdienėje veikloje – tai elektroniniai parašai, kurie leidžia užtikrinti, kad siunčiama informacija būtų nepakeista. Jie užtikrina, kad informacija būtų autentiška, o ir gavėjas šiuo atveju žino, kad ją siuntė tas konkretus asmuo, kuris ir pasirašė.

Pavyzdžiui, jeigu mes turime elektroninę sutartį, pasirašytą el. parašu, tai mums aišku, kad niekas kitas jos negalėjo būti pasirašęs, – ją pasirašė tik tas asmuo, kurio pavardė nurodyta šalia parašo. Elektroninį parašą galima palyginti su piršto antspaudu, kurį gali padėti tik tas žmogus, kuris liečiasi prie dokumento. Elektroninis parašas kur kas saugiau ir patikimiau, nes fizinį parašą galima padirbti. Teisėsaugai yra žinoma tikrai „gabių“ žmonių, kurie puikiai atkartoja visus parašo išraitymus taip, kad net mes patys, be teismo ekspertizės, neatskirtume padirbinio nuo originalo. Elektroninio parašo padirbimo galimybės yra labai ribotos. Jeigu mes niekam neatskleisime savo privataus rakto, tai juo naudotis galėsime tik mes patys.

Iš „egzotiškesnių“ dalykų, kuriuos turime priskirti prie pagrindinių pasirenkamų saugos priemonių, yra nulinio atskleidimo įrodymai, kai matematika padeda mums įrodyti, kad mes kažką žinome, tačiau tos paslapties neišduodame. Fizinių analogų čia turime labai mažai, bet naudojant matematines priemones, tai galima padaryti.

– O mes, kaip vartotojai, ar jau daug naudojame tokių apsaugos sistemų kiekvieną dieną?

doc. dr. Kęstutis Lukšys
doc. dr. Kęstutis Lukšys

– Be abejo, naudojame. Pavyzdžiui, kiekvieną kartą jungdamiesi prie banko sistemos, savo elektroninio pašto, socialinių tinklų, mes naudojame kriptografinius elementus. Beveik visos sistemos jau naudoja šifruotą ryšį, vadinasi, informacija, keliaujanti viešaisiais kanalais, yra šifruota, tačiau tam, kad ją galėtų iššifruoti ir mūsų įrenginys, jis turi „bendrauti“ su serveriu. Bendraudamas su serveriu mūsų įrenginys „susitaria“ dėl bendro šifravimo rakto, o tam reikalinga ir matematika, ir kriptografija.

Tad šiame skaitmeniniame amžiuje mūsų gyvenimus pasiekia vis daugiau elektroninių dokumentų, daugiau elektroninių parašų ir daugiau įvairios šifruotos informacijos. Juk mūsų noras toks ir buvo – kad virtualioje erdvėje būtų kuo daugiau elektroninių dokumentų, bet, deja, čia stabtelėjo infrastruktūros palaikymas. Nors dauguma mūsų ir turi asmens tapatybės korteles su išmaniaisiais lustais ir elektroninio parašo galimybe, bet ne visi jas naudoja, nes tiesiog neturi kur jų įstatyti. Tačiau galima pasidžiaugti tuo, kad mobilusis parašas pralaužė šiuos ledus ir dabar jau nieko negąsdina elektroninis parašas.

– Kokie yra šiuolaikinės duomenų saugos iššūkiai, ir ypač žmonių duomenų saugos? Pastaruoju metu vis atsakingiau žiūrima į duomenų apsaugą, ypač virtualioje erdvėje. Europos Sąjungoje priimami nauji duomenų apsaugos įstatymai bei rekomendacijos, bet nepaisant vis tobulėjančios įstatyminės bazės, asmens duomenų saugumas, visų pirma, yra paties žmogaus asmeninis reikalas. Ką Jūs, kaip mokslininkas, galėtumėte patarti virtualios erdvės vartotojui? Kokias saugos priemones jis turėtų taikyti, pvz., norėdamas apsaugoti savo tapatybę nuo vagystės ar apsisaugoti nuo prievarta brukamos reklamos, kuri gali būti nekorektiška arba netikslinga?

– Kalbant apie virtualios erdvės vartotojų saugos priemones, reikėtų sugrįžti prie bendro kibernetinio saugumo. Kaip ir bet kurioje sistemoje, silpniausia grandis, deja, yra vartotojas. Tie iššūkiai, kurie galiojo prieš 20–30 metų, kai tik vystėsi internetas, jie vis dar išlieka, bet jau atsiranda nauja kultūra – geresnių, sunkesnių ir saugesnių slaptažodžių naudojimas. Tačiau, jeigu pažvelgtume į populiariausių slaptažodžių dešimtuką arba nesaugiausių slaptažodžių dešimtuką, tai pastebėtume, kad jie išlieka labai panašūs, o tai reiškia, kad šioje srityje dar turime stipriai padirbėti. Čia reikia visuomenės švietimo, kuris turėtų prasidėti nuo mokyklos, nuo universiteto.

Norint užtikrinti virtualios erdvės saugumą, pradėti reikia, be abejo, nuo sistemų atnaujinimo, nes dažnai atnaujinimai įveda mums naujas funkcijas; be to, dažniausiai jie yra skirti tam, kad „užlopytų“ esamas saugumo spragas, kurių eilinis vartotojas net nepastebi. Sistema veikia, viskas gražu, bet kenkėjas, kuris turi ne pačių geriausių tikslų, gali į sistemą vienokiu ar kitokiu būdu įlįsti.

Vadinasi, savalaikis atnaujinimų diegimas yra būtinas žingsnis užtikrinant elementarią kibernetinę higieną.

Toliau atsiranda šiek tiek aukštesnio lygio technologijos. Nors slaptažodžiai po truputį sudėtingėja, bet jie sudėtingėja tam, kad eilinės technologijos dėl ribotų skaičiavimo resursų negalėtų jų taip greitai perrinkti. Jeigu prieš keletą metų mes sakydavome, kad 8–9 simbolių slaptažodis tinkamas, tai jau dabar net ir 12 simbolių slaptažodžiai gali būti per trumpi, nes kenkėjai, turėdami pakankamai resursų, gali efektyviai perrinkti ir atspėti mūsų slaptažodį. Ir čia yra tos funkcijos, kur netgi kriptografija ir matematika mažai ką gali padėti. Visa tai susideda į patogumą vartotojui, o rekomendacijos, kurios ateina iš teisinio lygmens, yra tos priemonės, kurios mums padeda standartizuoti sistemą ir užtikrinti saugumą.

Atkreiptinas dėmesys, kad apsauga gali būti ir dviejų lygių. Pavyzdžiui, mes turime slaptažodį, bet kartu mums reikia turėti ir įrodymą, kad jungiamės tikrai mes. Tai gali būti ir įrenginys, kuris bendraudamas lygiagrečiai tais pačiais saugiais protokolais, naudojančiais kriptografiją, gali patvirtinti, kad būtent mes jungiamės prie savo paskyros – ir visai nesvarbu, ar tai būtų elektroninė bankininkystė ar el. paštas.

Jungdamiesi prie banko, mes jau žinome, kad reikia naudoti kodų generatorius ar išmaniuosius įrenginius. Ne taip seniai dar buvo naudojamos ir generatorių kodų kortelės, tačiau buvo pastebėta, kad jos nėra labai saugios. Kokiomis priemonėmis vartotojas jungsis prie banko, priklauso nuo banko pasirinkimo. Pavyzdžiui, anksčiau vieni bankai naudojo vienkartinius slaptažodžius, kurie būdavo atspausdinti ant kortelės, ir tai buvo beveik tobulas saugumo užtikrinimas, bet tik tol, kol pati kortelė nepametama ar kitaip neprarandama. Pasitaikydavo (ir vis dar pasitaiko) ir tokių atvejų, kai žmonės patys patikliai tuos kodus sudiktuodavo tretiesiems asmenims, o po to skųsdavosi, kad kažkokiu būdu dingo pinigai iš banko sąskaitos. Ne kartą esame skaitę ir spaudoje, kad kažkas gavo žinutę, paspaudė nuorodą ir iš banko sąskaitos dingo pinigai. Čia istorija šiek tiek nutyli kai kurias detales, nes taip paprastai nepavyktų iš banko sąskaitos nuskaityti pinigų. Vartotojas vis tiek turi būti interaktyvus ir dalyvauti suvesdamas papildomą informaciją.

Vartotojas visada turi būti budrus. Pavyzdžiui, jeigu gaunami kažkokie pranešimai arba nuorodos iš nežinomo siuntėjo, tai negalima nieko spausti ir nieko tvirtinti. Reikia pasitikslinti, ar siuntėjas yra patikimas. Aš asmeniškai niekada nespaudžiu jokių nuorodų, jeigu tai yra iš nežinomo siuntėjo, nors tokių laiškų gavęs esu. Esu gavęs ir tokių laiškų, kuriuos siunčiau neva aš pats, nors iš tikrųjų – nesiunčiau. Šiuo atveju išspręsti rebusą mums gali padėti kriptografija.

Elektroniniai laiškai gali būti pasirašyti el. parašu, kurio suklastoti kenkėjai tikrai nepajėgs. Žinoma, tai veiks tuo atveju, jeigu mes naudosime tvarkingą viešųjų raktų infrastruktūrą, kuri pastaruoju metu vis labiau yra prieinama. Mes galime baltai pavydėti mūsų kaimynams estams, kurie jau seniai pradėjo diegti viešųjų raktų infrastruktūrą ir tai veikia valstybiniu lygmeniu. Lietuva, deja, šiek tiek atsilieka. Mobilusis parašas situaciją tikrai pagerino, bet dar turime kur tobulėti, kad ji būtų prieinamesnė. Kai technologija bus prieinamesnė, ją bus patogiau naudoti ir paprastam vartotojui.

Lygiai taip pat mes daugelį algoritmų naudojame net nežinodami, nes jie integruoti į pačias sistemas. Jie veikia patogiai ir mums nereikia sukti galvos. Galbūt mes ir papykstame, kad jungiantis prie interneto banko reikia įvesti papildomą kodą, bet tas kodas užtikrina mūsų saugumą, o tai reiškia, kad be mūsų įsikišimo niekas kitas negali nieko daryti mūsų paskyroje. Niekas kitas be mūsų pagalbos, be mūsų papildomo įrenginio (ar tai būtų generatorius, ar telefonas su mobiliuoju parašu) to negalės padaryti.

Išsamesnį pokalbį su K.Lukšiu kviečiame klausyti tinklalaidėje „KTU MGMF Mokslininkai kalba“.