Kasmet augantis kibernetinio saugumo incidentų skaičius skatina įmones keisti požiūrį į informacijos saugą. 2014 metais, lyginant su 2013 m., pranešimų apie saugumo incidentų skaičius išaugo 43 proc. Tačiau organizacijose vis dar egzistuoja požiūris, kad duomenų apsauga yra išskirtinė IT padalinių kompetencijos sritis. Ar tokia pozicija gali būti veiksminga, siekiant apsaugoti informaciją?
Lietuvos tinklų ir informacijos saugumo incidentų tyrimų padalinys (CERT-LT) savo 2014 m. apžvalgoje nurodo, kad praėjusiais metais ištyrė 36 tūkst. 136 incidentus pagal pranešimus iš Lietuvos elektroninių ryšių paslaugų teikėjų, užsienio CERT tarnybų, atliekančių tarptautinius incidentų tyrimus, ir iš Lietuvos interneto naudotojų.
„Saugumo incidentų mastas rodo, kad siekdamos jų išvengti organizacijos turi imtis prevencinių priemonių ir joms skirti daugiau išteklių“, – sako Deividas Švėgžda, „Baltimax“ produktų vadovas. Pasak jo, prevencinės priemonės – tai ne tik patikimą apsaugą užtikrinanti programinė įranga, bet ir darbuotojų informuotumas apie grėsmes bei galimybes jas sumažinti.
D. Švėgždos teigimu, programinės priemonės, padėsiančios apsaugoti informaciją, apima antivirusinių programų naudojimą, duomenų kopijavimą bei šifravimą. „Organizacijos turi atkreipti dėmesį į tai, kad jų naudojama programinė įranga būtų patikima. Klaidų turinčios programos ne tik nesuteiks reikiamos apsaugos, bet ir sutrikdys veiklą, kaip nutiko su viena gan populiaria antivirusine programa, kuri pati save pripažino kenkėjiška ir pradėjo šalinti savo failus“, – sako D. Švėgžda.
„Informacijos apsauga jau tapo ne vien tik IT specialistų sritimi. Organizacijos, siekdamos apsaugoti savo duomenis, turi diegti kompleksą priemonių, tarp jų – atitinkamos informacijos apsaugos politikos parengimas ir įgyvendinimas, nepamirštant į ją įtraukti ir rangovų bei tiekėjų“, – sako D. Švėgžda.
Pastarieji yra itin svarbi informacijos saugos grandis. Rangovams bei tiekėjams organizacijos suteikia svarbios informacijos, kuri būtina paslaugoms teikti, darbams atlikti ar prekėms tiekti. Šiuo atveju, pasak D. Švėgždos, informacijai saugoti turi būti pasitelktos ne techninio pobūdžio priemonės.
„Rangovai bei tiekėjai, susipažindami su konfidencialia organizacijos informacija, turi sutartimi įsipareigoti ją saugoti bei jos neatskleisti tretiesiems asmenims“, – priduria D. Švėgžda. Tokiomis beveik nieko nekainuojančiomis priemonėmis, būtų nustatyti informacijos saugos saugikliai bei galimybės patikrinti jų veiksmingumą.
