Asociatyvi NKSC nuotr.
Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) tęsia praktinių rekomendacijų ciklą ir pristato antrąjį dokumentą, skirtą padėti organizacijoms apsaugoti el. paštą – vieną pažeidžiamiausių skaitmeninių paslaugų. Rekomendacijos ypač aktualios labai mažoms, mažoms ir vidutinėms įmonėms (MVĮ), kurios dažnai nėra įdiegusios net bazinių saugumo priemonių arba yra jas netinkamai sukonfigūravusios.
NKSC vertinimu, dauguma organizacijų el. pašto paslaugas naudoja su pradiniais gamintojo nustatymais arba sukonfigūruoja jas tik tiek, kiek būtina, kad paslauga veiktų. Saugumo rizikos neretai lieka neįvertintos: trūksta pagrindinių apsaugos elementų įrašų, arba jie sukonfigūruoti netinkamai. Tokiu atveju el. laiško siuntėjo tapatybė gavėjo pusėje nėra tikrinama, o tai sudaro galimybes piktavaliams siųsti apgaulingus laiškus organizacijos vardu, kelti grėsmę reputacijai, klientų duomenų saugumui ir didina sukčiavimo riziką.
Kaip nurodoma 2024 m. Nacionalinėje kibernetinio saugumo būklės ataskaitoje, daugiausia registruotų incidentų buvo susiję su socialinės inžinerijos atakomis (angl. phishing), kai siekiama išvilioti prisijungimo ar mokėjimo duomenis. Fiksuota ir kenkėjiškų priedų bei išpirkos reikalaujančių programų (angl. ransomware) atvejų – dažniausiai nukreiptų prieš MVĮ, nes jų atsparumas kibernetinėms grėsmėms yra žemesnis.
Rekomendacijoje įmonėms patariama įgalinti SPF, DKIM ir DMARC autentifikavimo mechanizmus, kurie leidžia patikrinti el. laiško siuntėjo tapatybę ir kovoti su laiškų klastotėms.
„El. paštas yra vienas svarbiausių organizacijos komunikacijos įrankių, tačiau netinkamai sukonfigūruotas jis gali kelti rimtų rizikų. Mūsų duomenys rodo, kad absoliuti dauguma incidentų kyla dėl socialinės inžinerijos. Todėl svarbu skirti dėmesio egzistuojantiems saugumo sprendimams, kurie padeda apsisaugoti nuo pagrindinių grėsmių“, – sako NKSC direktoriaus pavaduotoja Agnė Ignatavičienė.
Be el. pašto paslaugos nustatymų, rekomenduojama taikyti ir kitas bazines apsaugos priemones: naudoti kelių veiksnių tapatumo nustatymą, saugius slaptažodžius, rengti mokymus darbuotojams ir reguliariai atlikti sukčiavimo simuliacijas. Taip pat rekomenduojama įsidiegti el. laiško turinio analizės ir filtravimo sprendimus, antivirusinę programinę įrangą, reguliariai peržiūrėti ir atnaujinti el. pašto konfigūraciją.
Įmonės gali nemokamai pasitikrinti savo domeno saugumo nustatymus naudodamos NKSC sukurtą įrankį:
https://sauguspastas.nksc.lt.
Visa antrosios rekomendacijos medžiaga skelbiama NKSC interneto svetainėje: Rekomendacijos dėl elektroninio pašto saugumo kontrolės priemonių.pdf
Bendrai finansuojama Europos Sąjungos lėšomis. Išsakytos nuomonės ir požiūriai yra tik autoriaus (-ių) ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijų centro (ECCC) požiūrį. Europos Sąjunga ir dotaciją teikianti institucija nėra atsakingos už šią informaciją.
Nacionalinis kibernetinio saugumo centras