Lietuvoje pratęsus karantino laikotarpį, gyventojai ir toliau aktyviai naudojasi programomis, kurios suteikia nuotolinę prieigą prie įmonės tinklų, padeda organizuoti ar dalyvauti virtualiuose susitikimuose. Didelio dėmesio COVID-19 metu sulaukė programinė įranga „Zoom“, naudojama organizuoti susitikimus, pamokas ir netgi vaizdo skambučius laisvalaikio metu. Tačiau, nepaisant programos populiarumo, „Zoom“ pastarosiomis dienomis žiniasklaidoje vis dažniau minima kaip itin daug saugumo spragų turintis sprendimas. „ESET Lietuva“ kibernetinio saugumo specialistai įspėja, jog neįprastai aukšta šios programos apkrova parodė iki šiol neatskleistas kibernetinio saugumo grėsmes.
NEMOKAMA ESET INTERNET SECURITY 90 DIENŲ LICENCIJA
„Zoom“ programos kūrėjai sulaukia kritikos ne tik iš saugumo ekspertų, tačiau ir iš kitų organizacijų. Didžiosios Britanijos vyriausybės Krašto apsaugos ministerija dar kovo mėnesio 27 dieną uždraudė savo darbuotojams naudoti šią programinę įrangą. Programoje aptiktos saugumo spragos taip pat sulaukė ir JAV nusikaltimų tyrimų ir žvalgybos tarnybos federalinio tyrimų biuro (FTB) (angl. Federal Bureau of Investigation, FBI) dėmesio.
Reaguojant į pasirodžiusią kritiką, „Zoom“ programinę įrangą valdančios ir kuriančios įmonės vadovas Eric S. Yuan pateikė viešą atsiprašymą. Pranešta, kad nuo balandžio mėnesio pradžios 90 dienų laikotarpiui yra apribojamos „Zoom“ programos funkcijos, siekiant išpręsti atsiradusias kibernetinio saugumo spragas.
Informacinių technologijų saugumo kompanijos „ESET Lietuva“ IT inžinierius Ramūnas Liubertas teigia, kad renkantis bet kokią programinę įrangą, skirtą kompiuteriui ar mobiliajam įrenginiui, būtina atidžiai patikrinti, kokių prieigų prašo diegiama programa – “Neretai programos prašo leidimo prieiti prie asmeninės informacijos ir jį patvirtinus programos kūrėjui suteikiama teisė, pvz., patekti į jūsų nuotraukų albumą. Talpiuose telefonuose yra saugomos šimtai ar net keli tūkstančiai nuotraukų, o jose galima atrasti įvairiausio „gėrio“: nuo atvirų nuotraukų iki kadaise nufotografuotos bankinės kortelės ar slaptažodžių sąrašo. Sutikime, tuo tikrai nenorėtume dalintis su trečiosiomis šalimis”.
– kalbėjo IT inžinierius R. Liubertas.
„ESET Lietuva“ kibernetinio saugumo specialistai įvardina penkias pagrindines „Zoom“ programos saugumo spragas:
1. Remiantis „Vice“ portalo duomenimis, „Zoom“ privatumo politikoje nebuvo įvardinta, kad „iOS“ pritaikyta programos versija siunčia duomenis apie vartotojų elgesį į „Facebook“ net ir tuomet, kai prisijungęs asmuo neturi „Facebook“ paskyros. „Zoom“ kompanija atsižvelgė į šią kritiką ir pašalino „Facebook“ programinės įrangos paketą iš savo gaminio, skirto „iOS“ vartotojams. „Zoom“ kompanijai iškeltas ieškinys pradėtas nagrinėti JAV Kalifornijos valstijoje.
2. „Zoom“ kompanija yra paskelbusi, kad jų programinė įranga geba šifruoti garso bei vaizdo pokalbius tarp pašnekovų, kad jie taptų neperskaitomi tretiesiems asmenims. Tačiau remiantis „The Intercept“ atliktu tyrimu, atskleista, kad „Zoom“ tokios funkcijos nepalaiko. „Zoom“ kompanijos atstovai atsiprašė dėl netinkamos informacijos ir patikslino, kad programoje yra naudojamas transporto lygmens saugumo (angl. Transport Layer Security – TLS) protokolas, tačiau jis neužtikrina, kad vartotojų komunikacijos duomenys būtų neprieinami „Zoom“ kompanijai.
3. Programoje taip pat aptikti saugumo pažeidimai leido ne tik prieiti prie „Windows“ operacinės sistemos vartotojų prisijungimo slaptažodžių, tačiau ir perimti įrenginio darbą, atlikti veiksmus įrenginyje savininkui to netgi nežinant. Dar du pažeidimai atskleidė, kad „Zoom“ naudojant su „MacOS“ operacine sistema, kompiuteris tapdavo pažeidžiamas piktavaliams ir programišiams.
4. „Zoom“ turima funkcija, pavadinimu „dalyvių sekimas“ (angl. attendee tracking) leisdavo nuotolinio susitikimo organizatoriui stebėti, ar susirinkę dalyviai iš tiesų yra sutelkę dėmesį į transliaciją, kuomet organizatorius dalijasi savo ekranu. JAV nusikaltimų tyrimų ir žvalgybos tarnybos pranešė apie nusikalstamus veiksmus, žiniasklaidoje vadinamus skambiu pavadinimu „Zoom bombardavimas“ (angl. Zoom-bombing), kuomet piktavaliai programišiai įsilauždavo į privačius vaizdo skambučius, kurie vykdavo pamokų metu ir rodydavo netinkamus vaizdus bei turinį.
Aukščiau išvardintos saugumo spragos jau paveikė didelį kiekį nieko neįtariančių vartotojų, kadangi per pastaruosius tris mėnesius, ypač karantino laikotarpiu, „Zoom“ programos kasdieninis naudojimas išaugo nuo 10 iki 200 milijonų naudotojų.
„ESET Lietuva“ kibernetinio saugumo specialistai pateikia 5 patarimus, į ką atkreipti dėmesį renkantis nuotolinio bendravimo programas:
1. Nuotolinius susitikimus apsaugokite slaptažodžiu: apsaugant savo vaizdo skambučius su slaptažodžiu, išvengsite nepageidaujamų prisijungimų. Taip pat rekomenduojama naudoti „Zoom“ programoje esančia laukimo (angl. „Waiting Room”) funkciją.
2. Ekranu dalintis leiskite tik organizatoriui: virtualūs susirinkimai reikalauja taisyklių taip pat kaip ir įmonės biure planuojami susitikimai. Nustatykite aiškias taisykles ir ekrane rodyti pristatymus bei dalintis ekranu leiskite tik organizatoriui.
3. Naudokite tik naujausią „Zoom“ programinės įrangos versiją: norintiems ir toliau naudotis „Zoom“ programine įranga, patariama įsidiegti naujausią jos versiją, kurioje jau yra ištaisyta dauguma saugumo spragų.
4. Nesidalinkite skambučių nuoroda socialinėje medijoje: venkite dalintis privataus susitikimo nuoroda socialinėje erdvėje, kadangi galite sulaukti nepageidaujamų asmenų, kurie bandys jungtis prie privataus skambučio.
5. Naudokite vaizdo skambučio ID, o ne nuorodą: dėl išaugusio „Zoom“ naudojimo padaugėjo šia programa bandančių pasinaudoti domenų, skirtų užkrėsti jūsų įrenginius kenkėjiškomis programomis. Patariama nesinaudoti URL nuorodomis, o į vaizdo skambučius dalyvius kviesti siunčiant skambučio ID.
„Situacija pasaulyje keičiasi itin greitai. Šių dienų įvykiai lėmė, kad internete praleidžiame didžiąją dalį savo laiko. Tačiau virtuali erdvė yra kupina pavojų: į el. pašto dėžutę nuolatos įkrenta laiškai iš nežinomų siuntėjų, ypač nedrąsu atidaryti prisegtus įtartinus failus, vargina nuolatinis „spamas“, „Phishing“ atakos, kompiuteriai yra bandomi įtraukti į „Botnet“ tinklus, užkrėstos interneto svetainės bando įrašyti “sausainėlius”, įvairiausius įskiepius. Kaip nuo viso to apsaugoti savo kompiuterį? ESET Lietuva komandai rūpi kiekvienas tautietis ir siūlome karantino laikotarpiu nemokamai įsidiegti ESET antivirusinę programą su specialia 90 dienų apsaugos licencija. Naršydami internete nepraraskime savo budrumo” – kalbėjo IT inžinierius R. Liubertas.
Solidi Apsauga
Policija dalijasi bendrais ir aktualiais patarimais, ką daryti, norint apsaugoti savo asmens duomenis.
Bendras patarimas-rekomendacijos CityBee klientams (galimiems nukentėjusiesiems):
• CityBee klientai, galimi nukentėjusieji nuo šios nusikalstamos veikos, gali kreiptis į artimiausią policijos įstaigą ar parašyti pareiškimą policijai per e.policija sistemą.
• CityBee klientai (galimi nukentėjusieji) raginami nedelsiant pasikeisti (jei dar to nepadarė) CityBee platformos ir elektroninio pašto, kuriuo buvo registruojamasi prie CityBee platformos, prisijungimo slaptažodžius (jei buvo naudojami tie patys).
• CityBee klientai (galimi nukentėjusieji) raginami nedelsiant pasikeisti (jei dar to nepadarė) visus kitus prisijungimo prie kitų elektroninės erdvės paskyrų slaptažodžius jei jie sutampa (buvo ar yra naudojami tokie patys) su naudotais CityBee platformoje.
Papildomi patarimai ir rekomendacijos dėl slaptažodžių naudojimo:
• Naudokite sudėtingą ir stiprų slaptažodį;
• Policijos Cyber (informacinių technologijų) saugumo specialistai rekomenduoja naudoti ne trumpesnį 12-14 simbolių (naudojant didžiasias ir mažąsias raides, skaitmenis ir simbolius) slaptažodį.
• Slaptažodis turi būti unikalus ir daugiau niekur kitur nenaudojamas – naudokite skirtingus slaptažodžius skirtingose platformose ar sistemose; (Susigalvoję stiprų ir patikimą slaptažodį daugelis jį pradeda naudoti visur. Tai yra bene didžiausia klaida. Naudojant net ir stiprų slaptažodį keliose skirtingose vietose, padidėja tikimybė jog jis bus atspėtas. Jeigu kažkas sužinos jūsų slaptažodį vienoje platformoje, piktavalis galės juo naudotis prisijungti prie kitų vietų, kurias esate apsaugojąs tuo pačiu slaptažodžiu.).
• Nenaudokite slaptažodžių, kurie yra paremti jūsų asmenine informacija;
• Nenaudokite slaptažodžių randamų bet kurios kalbos žodynuose;
• Nenaudokite elementarių slaptažodžių, tokių kaip: „labas“, „password“, „slaptazodis“, „1234“, “qwerty”, “qwerty123”, “admin” ir pan.;
• Reguliariai keiskite savo slaptažodį.
Papildomos saugumo rekomendacijos:
• Visada pasitikrinkite ar naudojate naujausias operacinės sistemos, programinės įrangos bei naršyklės versijas;
• Naudokite ir atnaujinkite savo antivirusinę programinę įrangą, taip pat ugniasienę (angl. „firewall“);
• Reguliariai skenuokite savo kompiuterį dėl žalingo kodo;
• Sekite įtartiną veiklą savo paskyrose ir jei pastebėjote kažką, ko nedarėte ar nesate dėl to tikras, tuoj pat pasikeiskite savo slaptažodį;
• Neapsiribokite tik slaptažodžiu siekdami apsaugoti savo paskyras. Naudokite 2 žingsnių autentifikavimą. Papildomai prie slaptažodžio galima naudoti ir biometrinius duomenis (pirštų antspaudą, veido atpažinimą). Kiekviena papildoma autentifikavimo priemonė prie slaptažodžio prideda papildomą saugumo lygį.
Šaltinis: https://policija.lrv.lt/lt/naujienos/patarimai-rekomendacijos-citybee-klientams-galimiems-nukentejusiesiems 
Lietuvos bankas, reaguodamas į nutekintų „CityBee“ duomenų atvejį, šiandien raštu kreipėsi į finansų rinkos dalyvius, kad jie itin atidžiai tikrintų kredito prašančiųjų tapatybes, taip užkirsdami kelią galimiems bandymams pasinaudoti nukentėjusių asmenų duomenimis.
„Pagal šiandien turimus faktus, galimybė, kad nutekintais duomenimis gali pasinaudoti nusikaltėliai, yra labai maža, tačiau prevenciškai atkreipėme finansų rinkos dalyvių dėmesį, kad jie sustiprintų budrumą tikrindami klientų tapatybę, taip pat nepamirštų prievolės patikrinti, ar jie nėra įsirašę į nepageidaujančių gauti kreditą asmenų sąrašus. Gyventojų, kurie apsidrausdami įsirašys į nepageidaujančių gauti kreditų asmenų sąrašus, kredito istorija neturėtų nukentėti“, – sako Lietuvos banko Finansų rinkos priežiūros tarnybos direktorė Jekaterina Govina.
Šiuo klausimu Lietuvos bankas kreipsis ir į kredito biurą „Creditinfo Lietuva“.
J. Govina taip pat priminė, kad gyventojai jokiu būdu patys neatskleistų sukčiams jautrių finansinių duomenų – mokėjimo kortelių slaptažodžių, pin kodų ir pan.
Gyventojai, kurie nerimauja, kad jų vardu be jų žinios nepasiskolintų kiti asmenys, gali pasinaudoti paslauga „STOP vartojimo kreditams“ – galimybe įsirašyti į Lietuvos banko administruojamą sąrašą ir negauti vartojimo kreditų. Visos vartojimo kreditus Lietuvoje teikiančios bendrovės (bankai, kredito unijos, tarpusavio skolinimo platformų operatoriai, kitos vartojimo kreditus teikiančios bendrovės), prieš sudarydamos vartojimo kredito sutartį, privalo patikrinti, ar asmens nėra šiame sąraše. Vartojimo kredito sutartis, sudaryta su į sąrašą įrašytu asmeniu, laikoma negaliojančia.
Paprasčiausias būdas įsirašyti į šį sąrašą elektroniniu būdu prisijungus per elektroninius valdžios vartus. Plačiau
Lietuvos banko raštas finansų rinkų dalyviams (60.6 KB )
Finansų rinkos dalyvių priežiūra
Plačiau: https://www.lb.lt/lt/naujienos/duomenu-nutekejimo-sviesoje-lietuvos-banko-priminimas-kredito-davejams-buti-budriems 
Informuojame, kad dėl įmonės „CityBee“ tvarkomų klientų asmens duomenų duomenų asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI) pradėjo tyrimą savo iniciatyva. Vadovaujantis teisės aktais, priežiūros institucijos atliekamas tyrimas gali trukti iki 4 mėn. su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti ilgesniam laikotarpiui.
Dėmesio! Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą savo iniciatyva dėl duomenų saugumo pažeidimo įmonėje, todėl atskiri asmenų skundai nebus nagrinėjami. Apie priimtą sprendimą bus paskelbta viešai. Asmenims, kurie jau yra kreipęsi į VDAI, atsakymus su šia informacija taip pat pateiksime nurodytu el. paštu.
VDAI atkreipia dėmesį, kad įvairūs duomenų saugumo incidentai gali įvykti su kiekvieno iš mūsų asmens duomenimis. Todėl labai svarbu ir patiems pasirūpinti savo duomenų saugumu. Dalijamės keletu patarimų, kaip galime labiau apsaugoti savo asmens duomenis.
PAKEISKITE SLAPTAŽODŽIUS
Nedelsdami pakeiskite visų naudojamų „online“ paslaugų (socialinių tinklų, internetinių parduotuvių, internetinės komunikacijos ir pan.), taip pat su jomis susijusių paslaugų slaptažodžius. Niekada daugiau nenaudokite senojo slaptažodžio. Slaptažodžiai turėtų būti keičiami kas pusmetį – tai svarbus Jūsų saugumo internete aspektas. Jokiais būdais nenaudokite tokių slaptažodžių kaip qwerty ar 123456 ir pan. Kiekvienai paslaugai kurkite skirtingus slaptažodžius. Pakartotinis slaptažodžių naudojimas yra didžiausia blogybė. Svetainėse gali būti taikomi slaptažodžio reikalavimai, pvz., skaičiai, didžiosios raidės ar simboliai. Tačiau jos negali uždrausti vartotojams naudoti tų pačių slaptažodžių ir neleisti jiems pakartotinai naudoti pažeistų slaptažodžių.
SUSIGRĄŽINKITE SAVO PASKYRŲ KONTROLĘ
Jeigu pastebėjote, kad yra pasikėsinta į daugiau Jūsų valdomų paslaugų, susigražinkite jų kontrolę. Daugelis interneto paslaugų turi savo mechanizmus, kaip grąžinti paskyrą tikram savininkui, kai ją perima užpuolikai. „Apple“, „Facebook“, „Google“, „Microsoft“, „Twitter“ , „Yahoo“ ir pan. turi šiuos mechanizmus. Dažniausiai reikia atsakyti į kelis klausimus apie savo sąskaitą. „Facebook“ naudoja naujoviškesnį būdą patikrinti Jūsų tapatybę pagal draugus. Kraštutiniu atveju turėsite kreiptis į vietinį paslaugos biurą ir parodyti dokumentus, po kurių Jums bus grąžinta paskyros kontrolė.
IEŠKOKITE „ATVIRŲ DURŲ“ (ANGL. BACKDOOR)
Gali būti, kad įsilaužėlis jau pabuvojo Jūsų paskyrose. Protingas įsilaužėlis nenurims paprasčiausiai įsiskverbęs į Jūsų paskyrą. Jis pasirūpins galimybe vėl į ją patekti, įdiegdamas tam reikalingas priemones. Todėl, kai tik atgausite savo paskyrų kontrolę, nedelsdami patikrinkite, ar nėra „atvirų durų“, pro kurias galėtų sugrįžti įsibrovėliai. Jei tai el. paštas, patikrinkite nustatymus – ar yra sukonfigūruoti korespondencijos persiuntimai į kitas pašto dėžutes, ar išjungti šlamšto filtrai ir ar pasikeitė atsakymai į Jūsų saugos klausimus kitų paslaugų paskyrose.
STEBĖKITE SAVO FINANSUS
Atidžiai stebėkite, kas vyksta su Jūsų sąskaitomis ir lėšų judėjimu per jas. Įsitikinkite, kad atsiskaitymo sąskaitose ar internetinių parduotuvių ir kitų mokamų paslaugų paskyrose nebuvo pridėti nauji pristatymo adresai, pridėti nauji mokėjimo metodai ar prijungtos naujos paskyros. Tai ypač aktualu dėl paslaugų, leidžiančių sumokėti už pirkinį vienu paspaudimu.
PASIŠALINKITE IŠ VISŲ ATVIRĄ AUTORIZACIJOS PROTOKOLĄ PALAIKANČIŲ PASLAUGŲ
„Google“, „Twitter“, „Facebook“, „Dropbox“ ir daugelis kitų palaiko „OAuth“ – atvirą autorizacijos protokolą, leidžiantį suteikti trečiajai šaliai ribotą prieigą prie saugomų vartotojo išteklių, kai nereikia perduoti savo vartotojo vardo ir slaptažodžio trečiajai šaliai. Pasitikrinkite ir sukurkite atskirą prisijungimą su vartotojo vardu ir slaptažodžiu arba pašalinkite tokias paslaugas.
Daugiau informacijos apie tai, kaip išvengti įsilaužimo, rasite VDAI rekomendacijose:
• 
Reaguodama į 2021 m. vasario 15 d. viešojoje erdvėje pasirodžiusią informaciją, kad buvo pavogta ir nutekinta įmonės „CityBee“ klientų duomenų bazė su asmenų privačiais duomenimis, asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI) pradėjo tyrimą savo iniciatyva.
Vadovaujantis teisės aktais, priežiūros institucijos atliekamas tyrimas gali trukti iki 4 mėnesių su galimybe, atsižvelgiant į tyrimo aplinkybes ir eigą, pratęsti ilgesniam laikotarpiui.
Dėmesio! Atsižvelgiant į tai, kad VDAI jau pradėjo tyrimą savo iniciatyva dėl duomenų saugumo pažeidimo įmonėje, todėl atskiri asmenų skundai nebus nagrinėjami. Apie priimtą sprendimą bus paskelbta viešai. Asmenims, kurie jau yra kreipęsi į VDAI, atsakymus su šia informacija taip pat pateiksime nurodytu el. paštu.
„Net nekyla abejonių, kad privatūs asmens duomenys yra neįkainojamas turtas ir jų vagystė yra vertinama itin jautriai. Valstybinė duomenų apsaugos inspekcija šioje situacijoje turi reaguoti žaibiškai, todėl betarpiškai bendraujame akylai lauksime tyrimo rezultato, kad, prireikus, galėtume imtis ir teisinio duomenų apsaugos reguliavimo. Pilkųjų zonų čia negali likti,“ – teigia teisingumo ministrė Evelina Dobrovolska.
Pasak VDAI direktoriaus Raimondo Andrijausko: „Šiuo metu visos su incidentu susijusios institucijos bendradarbiaujame, kad kaip galima labiau užkirstume kelią galimam tolesniam neteisėtam asmens duomenų tvarkymui, taip pat patariame ir patiems žmonėms imtis nuo jų priklausančių saugumo priemonių, pirmiausia, pasikeisti slaptažodžius, nepasiduoti sukčių provokacijoms mokėti išpirkas, sekti mūsų ir policijos informaciją dėl šio incidento.“
VDAI atkreipia dėmesį, kad, vadovaujantis Bendruoju duomenų apsaugos reglamentu, duomenų saugumo pažeidimą patyrusi organizacija turi nedelsiant imtis visų priemonių padėčiai ištaisyti. Be kita ko, ne vėliau kaip per 72 val. apie tai pateikti pranešimą VDAI ir informuoti, su šiuo incidentu susijusius asmenis, kurių duomenys galėjo nukentėti. Atsižvelgiant į tai, pranešimo laukiama vasario 17 d.
Vasario 16 d. įvyko atsakingų institucijų susitikimas, apie incidentą informuoti Nacionalinio kibernetinio saugumo centro, Lietuvos banko atstovai.