Smulkiosios ir vidutinės įmonės paprastai būna nelinkusios informacinei saugai skirti didelės biudžeto dalies. Tačiau vis dažnėjančios kibernetinės atakos ir IT specialistų trūkumas neša žinią, kad nukentėti gali kiekviena įmonė nepriklausomai nuo dydžio ir veiklos pobūdžio. Kibernetiniai nusikaltėliai, pasisavinę neapsaugotus įmonės duomenis, gali ne tik padaryti didelę finansinę žalą, tačiau ir reikšmingai pakenkti įmonės reputacijai.
Asociatyvi „Pixabay“ nuotr.
Kibernetinės atakos – vis išradingesnės
Skaitmeniniame amžiuje duomenys tapo pagrindine įmonių vertybe, kuri vilioja ir nusikaltėlius. Pasisavinę duomenis, kibernetiniai nusikaltėliai gali padaryti finansinių nuostolių ir negrįžtamos žalos įmonės reputacijai, todėl vis aktualiau tampa rūpintis duomenų saugumu.
„Reikia pripažinti, kad kibernetiniai nusikaltėliai darosi vis profesionalesni. Ne gudresni, nes sumanumo netrūksta niekam, bet profesionalesni. Išpuoliams surengti naudojamos pačios naujausios technologijos, kurių paprasta antivirusinė apsauga nesugeba aptikti ir blokuoti, todėl viena iš pagrindinių grėsmių įvardinčiau kaštų taupymą tiek reikiamo lygmens kibernetinės saugos priemonėms, tiek ir visuotiniam darbuotojų mokymui. Iš to kyla skaudžios ir labai brangiai kainuojančios pasekmės“, – sako Tomas Parnarauskas, „ESET Lietuva“ vadovas.
Pašnekovas pabrėžia, kad pastaruoju metu ryškėjanti tendencija rodo, jog kibernetinės atakos auka gali tapti bet kuri organizacija, todėl tiek valstybinio, tiek ir privataus sektoriaus įmonės privalės daugiau dėmesio skirti IT saugai.
„Remiantis 2020 metų statistika, kibernetinės grėsmės dažniausiai yra nukreiptos į verslo elektroninio komunikavimo užvaldymą, siekiant pasisavinti pinigus pakeičiant tikėtinų pavedimų gavėjus. Kitas itin dažnas atvejis – užšifravimo (angl. ransomware) modernios atakos, kai kompleksiškai nusitaikoma į įmonės IT sistemas. Šių atakų metu užvaldomi IT įrenginiai, užšifruojami duomenys ir išjungiamos rezervinės kopijos, o vėliau nusikaltėlis gali prašyti išpirkos už slaptažodį, leidžiantį įmonės duomenis susigrąžinti“, – sako „IT Plasta“ direktorius Vaidas Juteika.
Norint užtikrinti įmonės duomenų saugumą, šiandien paprastos antivirusinės programos nebepakanka. Kibernetiniams nusikaltėliams tobulėjant, išradingais, moderniais apsaugos metodais tenka domėtis ir įmonėms, todėl verta investuoti į profesionalias IT paslaugas.
Tarp pagrindinių rizikų – žmogiškoji klaida
Net jei įmonė tinkamai apsaugojo savo įrenginius nuo programišių, išlieka žmogiškojo faktoriaus rizika – kibernetiniai nusikaltėliai įmonės duomenis pasiekia pasinaudodami jos darbuotojų IT žinių trūkumu arba nerūpestingumu.
„Didžiausia kibernetinių incidentų rizikos priežastis išlieka žmogiškasis faktorius. Būtent dėl socialinės inžinerijos atakų mums tenka suteikti daugiausia konsultacijų, įmonės prašo apmokyti darbuotojus identifikuoti įtartinus elektroninius laiškus, skambučius, įgyvendinti sprendimus, kurie padės ne tik filtruoti laiškus, bet ir patogiau apie juos pranešti“, – pažymi „Atea“ Informacijos saugos specialistė Olga Gricajenko.
Specialistė pamena kibernetinę ataką, kai dėl netinkamai valdomų slaptažodžių ir stebėjimo priemonių trūkumo buvo įsilaužta į įmonės darbuotojo paskyrą ir nutekinta dalis finansinių duomenų. Įmonė buvo nedidelė ir vėliau pripažino, kad IT saugai deramo dėmesio neskyrė.
„Dažniausiai mažos ir vidutinės įmonės IT saugumu susirūpina tik jau nutikus incidentui. Tokios įmonės remiasi logika, kad yra per mažos sudominti kibernetinius nusikaltėlius, ir nesiima jokių prevencinių priemonių, o programišiai tuo ir pasinaudoja. Todėl bazinės IT saugos priemonės turi būti naudojamos“, – sako O. Gricajenko.
Kaip užtikrinti saugumą
Norint užtikrinti duomenų saugumą, specialistai rekomenduoja pasirūpinti patikimomis antivirusinėmis programomis, įdiegti tinklo ugniasienes, turėti atsargines duomenų kopijas ne tik savo įrenginiuose, bet ir išoriniuose serveriuose, pasirūpinti saugia autentifikavimo sistema ir tinkamu įmonės darbuotojų apmokymu.
„Įmonės daugiausia dėmesio skiria savo tiesioginei veiklai, todėl IT sauga kartais gali likti antrame plane. Dėl šios priežasties vienareikšmiškai rekomenduojame klientams šią sritį patikėti specialistams“, – sako „Heximus“ direktorė Giedrė Ruginytė-Čepienė.
Vis dėlto augant kibernetinių atakų skaičiui ir įmonėms vis labiau susirūpinant savo duomenų saugumu, darosi sudėtinga gauti kompetentingų specialistų pagalbą. Taip yra todėl, kad Lietuvoje, kaip ir visame pasaulyje, labai jaučiamas kibernetinės saugos specialistų trūkumas.
„IT saugos specialistų paklausa tokia didelė, kad gerą specialistą išlaikyti dažnai įmonei gali tapti sudėtingu uždaviniu, todėl sumanesni vadovai renkasi specializuotos įrangos gamintojų paslaugas. Tačiau net ir vidutinis IT specialistas, turėdamas tinkamus įrankius ir konsultuodamasis su savo srities profesionalais, gali pasirūpinti įmonės kibernetine sauga. Pastebime, kad ją užtikrinti siekiančios įmonės vis daugiau dėmesio skiria specialistų mokymams, kuriuose jie gali įgyti praktinių žinių. Vieni iš tokių mokymų – kasmetiniai „ESET ON: Capture the flag“, kuriuose dirbama su įvairių kibernetinių atakų simuliacijomis“ – sako T. Parnarauskas.
Tiesa, kaip pastebi „Women4Cyber Lietuva“ koordinatorė Inga Žukauskienė IT saugos specialistų trūkumas jau paskatino iniciatyvas, skatinančias moteris rinktis karjerą kibernetinio saugumo srityje. Anot jos, svarbu parodyti IT pasaulio inovatyvumą ir atvirumą: „Pasaulis susiduria su IT ir kibernetinio saugumo talentų trūkumu ir Lietuva nėra išimtis, todėl būtų per didelė prabanga nepasinaudoti tais gebėjimais, kuriuos į kibernetinio saugumo sritį gali atnešti moterys.“
Specialistai pataria didesnį dėmesį įmonės kibernetiniam saugumui skirti pasirūpinant tinkamu darbuotojų apmokymu, IT specialistų tobulinimu ir paruošimu, pasinaudojant saugos užtikrinimui skirtomis naujausiomis technologijomis.