Kenkėjiška programa (angl. malware) – tai bet koks programinis kodas ar failas, sukurtas pakenkti sistemai, sutrikdyti jos veikimą, perimti prieigą arba neteisėtai rinkti duomenis. Svetainių kontekste tai ypač aktualu, nes užkrėsta interneto svetainė gali ne tik nustoti veikti, bet ir kelti riziką lankytojams, darbuotojams bei institucijos reputacijai. Lietuvos viešajame sektoriuje – savivaldybių, mokyklų, muziejų, bibliotekų ir kitų įstaigų svetainėse – tokie incidentai gali turėti platesnių pasekmių, nes dažnai skelbiama viešoji informacija, teikiamos elektroninės paslaugos ar tvarkomi asmens duomenys.
Kaip kenkėjiška programa pasireiškia svetainėje?
Ne visada kenkėjiška programa matoma iš karto. Kartais svetainė atrodo veikianti įprastai, tačiau fone vyksta neleistini veiksmai: siunčiamas šlamštas, įterpiamos paslėptos nuorodos, renkami prisijungimo duomenys arba lankytojai nukreipiami į kitas svetaines. Dėl to svarbu ne tik reaguoti į akivaizdžius sutrikimus, bet ir reguliariai tikrinti svetainės būklę.
- Backdoor (slaptoji prieiga)
Tai kenkėjiškas kodas, leidžiantis užpuolikui grįžti į sistemą net ir pakeitus slaptažodžius ar pašalinus dalį užkrėstų failų. Tokia prieiga dažnai slepiama tarp įprastų svetainės failų, todėl be išsamaus patikrinimo ją aptikti gali būti sudėtinga.
- Defacement (turinio pakeitimas)
Šiuo atveju pakeičiamas matomas svetainės turinys – pagrindinis puslapis, naujienos ar kiti skyriai. Viešojo sektoriaus įstaigoms tai ypač jautru, nes net trumpalaikis turinio pakeitimas gali klaidinti gyventojus ir mažinti pasitikėjimą institucija.
- SEO spam (paslėptos nuorodos)
Užkrėstoje svetainėje įterpiamos nuorodos ar puslapiai, skirti svetimų projektų reklamai paieškos sistemose. Dažnai jos nematomos įprastam lankytojui, tačiau daro žalą svetainės reputacijai ir gali lemti prastesnį matomumą paieškoje.
- Redirects (peradresavimai)
Lankytojai automatiškai nukreipiami į kitus puslapius, kurie gali būti susiję su sukčiavimu, reklama ar kenkėjišku turiniu. Tokie peradresavimai ypač pavojingi, nes paveikia ne tik pačią instituciją, bet ir jos svetainės naudotojus.
Kaip užkrečiamos svetainės?
Dažniausiai svetainės užkrečiamos per pažeidžiamus įskiepius, neatnaujintas turinio valdymo sistemas, silpnus administratorių slaptažodžius arba nesaugiai sukonfigūruotą serverio aplinką. WordPress svetainės yra dažnas taikinys ne todėl, kad pati sistema būtų nesaugi, o todėl, kad ji plačiai naudojama ir dažnai prižiūrima netolygiai. Jei įstaiga ilgą laiką neatnaujina įskiepių, temų ar pačios sistemos, rizika reikšmingai padidėja.
Viešajame sektoriuje papildomą riziką kelia ir kelių tiekėjų ar darbuotojų prieiga prie tos pačios svetainės. Jei nėra aiškios atsakomybių tvarkos, dviejų veiksnių autentifikavimo ar prieigų kontrolės, kenkėjiškas kodas gali būti įdiegtas nepastebimai. Todėl svarbu ne tik techniniai sprendimai, bet ir aiškūs vidaus procesai.
Kodėl tai svarbu viešajam sektoriui?
Savivaldybių, mokyklų, bibliotekų ar muziejų svetainės dažnai yra pagrindinis informacijos šaltinis gyventojams. Jei tokia svetainė užkrečiama, gali būti sutrikdytas paslaugų teikimas, paskelbta klaidinanti informacija arba pažeistas institucijos įvaizdis. Be to, jei svetainėje tvarkomi asmens duomenys – pavyzdžiui, registracijos formose, naujienlaiškių prenumeratose ar kontaktų užklausose – incidentas gali turėti ir BDAR atitikties pasekmių.
Tokiais atvejais svarbu įvertinti, ar nebuvo pažeistas duomenų konfidencialumas, vientisumas ar prieinamumas. Jei kyla įtarimų dėl asmens duomenų saugumo pažeidimo, institucija turi veikti pagal nustatytas procedūras: fiksuoti incidentą, įvertinti poveikį ir prireikus informuoti atsakingus asmenis bei priežiūros institucijas.
Kaip aptikti kenkėjišką programą?
Kenkėjiškos programos aptikimui dažnai naudojami saugumo skeneriai, pavyzdžiui, Wordfence, serverio žurnalų analizė, failų pakeitimų stebėjimas ir rankinis kodo tikrinimas. Vien automatinių įrankių ne visada pakanka, nes dalis grėsmių būna pritaikytos slėptis nuo standartinių patikrų. Dėl to naudinga periodiškai atlikti saugumo auditą, ypač jei svetainė yra svarbi viešųjų paslaugų teikimui.
Požymiai, kad svetainė gali būti užkrėsta, gali būti įvairūs: netikėti peradresavimai, neįprastai sulėtėjęs veikimas, paieškos sistemų įspėjimai, nepaaiškinami failų pakeitimai ar administratoriaus paskyros, kurių niekas nesukūrė. Kuo anksčiau problema nustatoma, tuo mažesnė žala institucijai ir jos lankytojams.
Prevencija ir gera praktika
Efektyviausia apsauga nuo kenkėjiškų programų – nuosekli prevencija. Tai reiškia reguliarius sistemos, įskiepių ir temų atnaujinimus, stiprius slaptažodžius, dviejų veiksnių autentifikavimą, atsargines kopijas ir ribotas naudotojų teises. Viešojo sektoriaus įstaigoms taip pat svarbu turėti aiškų atsakomybės pasiskirstymą: kas prižiūri svetainę, kas tvirtina pakeitimus ir kas reaguoja į incidentus.
Ne mažiau svarbus ir prieinamumas bei patikimumas. Jei po saugumo incidento svetainė tampa nepasiekiama arba dalis funkcijų nebeveikia, tai tiesiogiai paveikia gyventojų galimybę gauti informaciją ir naudotis paslaugomis. Todėl saugumas neturėtų būti vertinamas kaip atskira techninė tema – tai viena iš esminių kokybiškos, teisės aktus atitinkančios ir patikimos viešojo sektoriaus svetainės dalių.