Rusijos tankams įsiveržus į Ukrainą, ne tik ukrainiečiai, bet ir lietuviai sulindo į „Telegram“ kanalus bei grupes. Ši programėlė greitai tavo vienu pagrindinių šaltinių žinioms iš užpultos šalies: ja naudojasi tiek gyventojai, tiek kariškiai ir net Ukrainos valdžia. Kaip susirašinėjimo ir pokalbių platforma „Telegram“ tapo tokiu svarbiu įrankiu kibernetiniame mūšio lauke?
„Nors „Viber“, „Signal“, „WhatsApp“ ir „Telegram“ daugelis vartoja kone kaip sinonimus, skiriasi tiek šių programėlių galimybės, tiek saugumas. Didesnė laisvė gali lemti ir daugiau rizikų“, – sako tarptautinės transformacinių technologijų bendrovės „Zenitech“ direktorius Laimonas Krivickas.
Informacijos saugumo ekspertas, docentas-praktikas, dr. Tautvydas Bakšys įsitikinęs, kad net ir diegiant visiems neblogai žinomas aplikacijas, reikia įvertinti realų jų saugumą. Atsakydamas į esminius klausimus apie „Telegram“, jis taip pat pataria, kaip įvertinti, kurios programėlės gali būti mažiau patikimos.
Kodėl išpopuliarėjo būtent „Telegram“?
2013 m. sukurta „Telegram“ Ukrainoje populiari jau daug metų, programėle naudojasi net politikai ir valdžios institucijos. Pavyzdžiui, 2019 m. tuomet dar kandidato į prezidentus Volodymyro Zelenskio komanda naudojosi ja ieškodami savanorių, dalijosi platformoje išskirtine medžiaga, primena „Zenitech“ vadovas L. Krivickas. Prasidėjus pandemijai, tūkstančiai ukrainiečių kliovėsi „COVID19_Ukraine“ kanalo „Telegram“ informacija, kur buvo skelbiama statistika, naujausios rekomendacijos.
Rusijos pajėgoms vasarį įsiveržus į Ukrainą, „Telegram“ tūkstančiams ne tik Ukrainoje, bet ir visame pasaulyje tapo vienu pagrindinių įrankių, kur galima sekti informaciją realiu laiku. Savo kanalus turi V. Zelenskis, Kyjivo meras Vitalijus Kličko, skaitmeninės transformacijos ministras Mykola Fiodorovas ir kt. Žinių apie karą gausu ir „Twitter“, „Youtube“, „Facebook“, „Signal“ platformose, bet „Telegram“ pagal populiarumą stovi visa galva aukščiau.
„Vienas pagrindinių „Telegram“ platformos populiarumą nulėmusių elementų – jos techninės galimybės kurti gausias grupes ir kanalus. Viešuose ar privačiuose kanaluose, tokiuose kaip itin populiarus „UkraineNOW“, gali būti neribotas vartotojų skaičius, o grupėse jų gali būti iki 200 tūkst.. Palyginimui, „WhatsApp“ grupėse gali būti tik iki 256 vartotojų, „Signal“ – iki tūkstančio. Gausesnės grupės prisideda prie didesnės informacijos sklaidos, ir karo metu taip vartotojams lengviau sekti konflikto eigą“, – aiškina dr. T. Bakšys.
Be to, dauguma miestų ir vietos pareigūnų dar iki karo turėjo savo „Telegram“ kanalus, todėl juose buvo lengva ir efektyvu dalintis skubia informacija apie antskrydžius, slėptuves, saugumą. Gyventojai ir patys „Telegram“ gali lengvai komunikuoti ir pranešti, pavyzdžiui, pastebėtus priešus. Tokia informacija naudinga ir gynybai – kovo pradžioje Ukrainos Saugumo tarnyba pranešė, kad būtent gyventojų žinutės leido jiems sėkmingai atakuoti Rusijos pajėgų koloną netoli Kyjivo.
Kokie „Telegram“ pranašumai?
Be jau minėto masiškumo, kitas didelis masalas vartotojams – iš esmės jokios priežiūros ir cenzūros. Nėra jokio algoritmo, kuris bent minimaliai prižiūrėtų turinį ir spręstų, ką rodyti vartotojams, o ką riboti.
„Vis dėlto lack of oversight (liet. Ribota priežiūra) kelia ir potencialias grėsmes – tokiose platformose gali lengviau plisti dezinformacija, virusai, kita kenkėjiška programinė įranga, klestėti nelegalus turinys, piratavimas, pamintos vartotojų ir autorių teisės“, – įspėja dr. T. Bakšys.
Dėl priežiūros nebuvimo „Telegram“ yra populiari ir tarp Rusijos opozicijos, platforma buvo labai svarbus įrankis organizuojant protestus prieš neteisėtus rinkimus Baltarusijoje. Kita vertus, ji tapusi ir prieglobsčiu ekstremistams – pavyzdžiui, „Islamo valstybės“ teroristams. Kituose socialiniuose tinkluose ir platformose cenzūruojami, jie greitai susiviliojo „Telegram“ greičiu, saugumu ir slaptumu.
„Todėl priežiūros nebuvimą reikia vertinti atsargiai. Technologijose labai svarbu yra subalansuoti priežiūros ir laisvos raiškos galimybes, nustatyti aiškią takoskyrą. Tokios platformos saugumo požiūriu yra patikimesnės, vartotojai jose gali saugiau keistis informacija“, – teigia dr. T. Bakšys.
Ar labai skiriasi populiariausių programėlių – „WhatsApp“, „Messenger“, „Viber“, „Signal“, „Telegram“ – saugumas?
Gerai jau vien tai, kad nė viena iš šių aplikacijų neturi kenkėjiško funkcionalumo. O toliau prasideda niuansai.
Galima pažvelgti į svarbios saugumo funkcijos – end-to-end encryption (liet. šifravimo būdo „taškas-taškas“) – realizavimą. Trijose programėlėse „WhatsApp“, „Viber“ ir „Signal“ ši funkcija yra įdiegta, tuo tarpu „Messenger“ šis funkcionalumas dar tik planuojamas įdiegti 2023 m. „Telegram“ šio šifravimo būdo standartiškai nenaudoja, jį galima pasirinkti tik „slaptose“ grupėse.
„End-to-end“ šifravimo būdas itin svarbus siekiant užtikrinti informacijos saugą tarp vartotojų. Šis principas reiškia, kad trečiajai šaliai perėmus ryšį, ji negalės tos informacijos lengvai perskaityti. Šio ryšio duomenys bus šifruoti, ir neturint dešifravimo raktų, jos atkūrimas yra labai sudėtingas. Toks funkcionalumas užtikrina bendraujančių šalių privatumą, apriboja trečiąsias šalis nuo duomenų perėmimo“, – aiškina ekspertas.
Pasak dr. T. Bakšio, kitas svarbus elementas – platformos renkami asmens duomenys. Šiuo klausimu išsiskiria „Signal“, kurios teigimu, naudotis paslaugomis pakanka tik mob. telefono numerio – daugiau duomenų, galinčių identifikuoti vartotoją nereikia.
„Tuo tarpu siekiant naudoti „Telegram“ platformą, būtinas žmogaus vardas, vartotojo ID, telefono numeris ir kontaktų sąrašas. Šiuo požiūriu, „Messenger“, „Viber“ ir „WhatsApp“ reikalauja daugiau žinių apie vartotoją“, – atkreipia dėmesį informacijos saugos ekspertas.
Ką reikia žinoti renkantis programėlę?
Prieš diegiant bet kokią mob. aplikaciją, taip pat – ir susirašinėjimo programėlę, dr. T. Bakšys rekomenduoja atkreipti dėmesį į jos gamintoją, kilmės šalį, susipažinti su naudojimosi taisyklėmis. Vartotojui tai padės susidaryti vaizdą apie aplikaciją ir įvertinti potencialias jos keliamas rizikas.
Renkantis susirašinėjimo programėlę, reikėtų įvertinti ir vartotoją leidžiančių identifikuoti duomenų kiekį. Didelis tokių duomenų kiekis riboja anonimiškumo galimybes.
„Egzistuoja daugiau nei 9 mln. mob. aplikacijų. Natūralu, kad dalis jų gali būti potencialiai nesaugios – apkrėstos virusais, vykdyti neteisėtą vartotojo sekimą, sunaikinti įrenginyje esančias rinkmenas (dokumentus, nuotraukas ir kt.) ar jas pavogti, paveikti prisijungimo prie banko ar kitų vartotojui jautrių resursų saugumą. Vartotojui nežinant tokios aplikacijos gali sudaryti sąlygas mob. įrenginiui dalyvauti didelės apimties atakose – jos gali būti nukreiptos prieš įvairias sistemas, pvz., valstybinius resursus, kitų šalių infrastruktūrą ir kt.“, – įspėja informacijos saugos ekspertas.
Kartu svarbu tai, kad mob. įrenginį prijungus prie kitų tinklų (pvz., darbovietės Wi-Fi tinklo), kenkėjiška aplikacija gali įvykdyti atakas prieš tame tinkle esančias sistemas – atlikti jo žvalgybą, perduoti duomenis trečiosioms šalims, perimti infrastruktūros kontrolę (vaizdo stebėjimo kamerų, duomenų bazių, biuro ir pramoninių įrenginių valdymą ir kt.), užšifruoti ar sunaikinti jose esančius duomenis. Dėl to ir dėl savo, ir dėl aplinkos saugumo ekspertas ragina rinktis tik patikimų gamintojų programėles.
„Zenitech“ direktorius L. Krivickas įsitikinęs, kad viena kibernetinių rizikų mažinimo priemonė – naudoti patikimus programinius produktus, kurių vystyme be funkcionalumo elementų yra užtikrinama saugumo kokybės kontrolė. Sprendimų kūrėjų atsakingumas gali būti laikomas vienu kertinių elementų, užtikrinančių patikimą ir saugų produktų veikimą.
„Todėl produktų vystymui kompleksiškai naudojame šiuolaikines priemones, leidžiančias užtikrinti kuriamų sprendimų saugumą: statinę ir dinaminę kodo analizę, vykdome prevencines naudojamų programinių komponentų pažeidžiamumo patikras, veikloje taikome tarptautiškai pripažintas OWASP ir SANS 25 saugumo metodikas, atliekame periodinį įdiegtų sprendimų pažeidžiamumų skenavimą bei įsilaužimų testavimą. Verta pažymėti, kad kuriami produktai atitinka Europos Sąjungos kibernetinio saugumo agentūros (ENISA) gerųjų praktikų gaires”, – teigia bendrovės vadovas.
