Jeigu anksčiau kibernetinis saugumas buvo vertinamas, kaip papildomas žingsnis, šiandien jis jau tapo būtinybe. Tiesa, „ TGS Baltic“ advokatas Mindaugas Civilka pastebi, kad šimtaprocentinis kibernetinis saugumas neegzistuoja ir jo siekti netgi nėra tikslo. Kibernetinio aplaidumo patiriamą žalą apskaičiuoti sudėtinga, tačiau problemos mastą iliustruoja 2021 metų Internetinių nusikaltimų pranešimas, kuriame skelbiama, kad per praėjusius metus kibernetinio saugumo aukos patyrė beveik 7 milijardus dolerių nuostolių. Teisininkas dalijasi dvylika kibernetinio saugumo patarimų, apie kuriuos vis dar dažnai pamirštama pagalvoti.
Asociatyvi „Pixabay“ nuotr.
Vien IT skyrius nepasirūpins. Vis dar galima išgirsti nuomonių, kad kibernetiniu saugumu turėtų rūpintis IT komanda, deja, kaip pastebi teisininkas toks požiūris dažnai ir tampa per menko dėmesio saugumui priežastimi. „Šis klausimas yra kompleksiškas ir sudėtingas, todėl į jį reikėtų žvelgti bent iš trijų pusių – teisinių reikalavimų, technologinių sprendimų ir žmonių ugdymo. Saugumui neužtenka fragmentinio dėmesio, esi saugus, kiek saugi yra tavo silpniausia grandis“, – pastebi jis. Anot M. Civilkos, svarbu, kad įmonės vadovai atsakingai žvelgtų į kibernetinį saugumą ir įvardytų tai, kaip įmonės prioritetą. Dėmesys kibernetiniam saugumui turėtų būti skatinamas aukščiausio lygio vadovų ir pasiekti kiekvieno departamento darbuotojus.
Du keliai – puoselėti imunitetą arba gydytis. M. Civilka juokauja, kad į kibernetinį saugumą galima žvelgti kaip į sveikatą. „Kibernetinė branda lyg imunitetas. Gali gyventi bet kaip ir vėliau pinigus išleisti vaistams arba gali puoselėti sveikus įpročius, tai kainuoja, bet vėliau rečiau sergi. Skirtumas tik tas, kad antru atveju, kontroliuoji situaciją, o pirmuoju – niekada negali žinoti, ko ir kada tikėtis. Verslui neplanuotos išlaidos yra didelė rizika“, – paaiškina advokatas.
Reguliuotojų, investuotojų ir partnerių dėmesys. Vis daugiau įmonių veikia reguliuojamame sektoriuje (pavyzdžiui, bankai, sveikatos įstaigos, telekomunikacijų bendrovės ir kita), todėl kibernetiniam saugumui jos privalo skirti dėmesio ir tai – ne prabanga, o greičiau – būtinybė. Tiesa, kaip pastebi M. Civilka, tai atneša ir gerąją bangą, nes aukšta kibernetinio saugumo branda pasižyminčios įmonės jos ima reikalauti ir iš savo partnerių, vis dažniau apie tai teiraujasi ir investuotojai.
Prevencija, nustatymas, atsakas. Kibernetinį atsparumą sudaro šie trys žodžiai. Tik sisteminis požiūris gali padėti pasiekti kibernetinio atsparumo brandą. Iš šių priemonių teisininkas išskiria patikrinimų ir testavimų svarbą – nereta situacija, kai įmonės net nenutuokia savo realaus pažeidžiamumo, todėl periodinis savo kritinių sistemų patikrinimas iš išorinės yra ne prabanga, o būtinybė.
Stipriam slaptažodžiui didžiosios raidės ir skaičių bei simbolių nebegana. Teisininkas M. Civilka sako, kad anksčiau pakakdavo patarimo slaptažodžiui naudoti skaičius, didžiąsias ir mažąsias raides, įvairius simbolius, kiek vėliau – frazes. „Šiandien sakau, kad slaptažodžiai yra seniena ir nebenulaužiamų slaptažodžių iš esmės nebėra. Visada siūlau įsivertinti, kokią žalą jums gali padaryti nulaužtas slaptažodis – ar kažkas jūsų „Netflix“ paskyroje galės pasižiūrėti serialą, ar kyla grėsmė verslo duomenimis“, – sako teisininkas ir ragina pagalvoti apie naujus technologinius sprendimus, pavyzdžiui, dvigubą autentifikaciją (MFA).
Vien žmogaus nepakanka. Technologinė aplinka, kurioje veikia organizacijos, kinta itin sparčiai ir perprasti technologinę aplinką, tendencijas gali būti iššūkis netgi profesionalams, todėl, teisininkas pastebi, kad atsakas į kibernetines grėsmes turėtų būti kiek galima labiau automatizuotas. „Įmonėje turi dirbti specialistas, kuris išmanytų šios srities ir bendrovės veiklos specifiką, žinotų, kaip, kiek laiko saugoma informacija ir panašius dalykus, tačiau atsakas į įvykusį incidentą turėtų būti automatizuotas, antraip gali pasitaikyti brangiai kainuojančių žmogiškų klaidų“, – pataria M. Civilka.
Automatinė apsauga. Organizacijos imuninis atsakas į kibernetines grėsmes turi būti maksimaliai automatiškas. Žmogus – labai svarbi bet kurios organizacijos saugumui, tačiau kibernetinio saugumo grįsti vien žmogiškąja veikla negalima – žmogus klysta, pavargsta, nėra toks efektyvus ir galų gale – yra brangesnis, nei technologinis sprendimas.
Nebūna 100 proc., užtenka būti saugesniems už kitus. Nors neretai skatinama dėti maksimalias pastangas, kalbant apie kibernetinį saugumą M. Civilka ragina būt pragmatiškais ir įvertinti aplinką, kurioje veikiate. „Investuojant į saugumą svarbiausia būti šiek tiek saugesniu už kaimyną, supraskite lygį, kuris yra aplink jus ir dėkite truputį daugiau pastangų“, – pataria jis.
Svarbu ne tik baudos. Dažna klaida, kurią pastebi teisininkas, – įmonės neįvertina pasekmių ir pamiršta, kad svarbu ne tik piniginės baudos, bet ir reputacija. Pasak M. Civilkos, kibernetinis incidentas pakeičia įmonę per naktį ir ji niekada nebebus tokia, kokia buvo – kolegos ima tikrinti vienas kitą, atsiranda daugybė emocinių ir organizacinių sunkumų.
Neišsigąskite incidento. Svarbu suprasti, kad kibernetinės atakos gali įvykti ir yra praktiškai neišvengiamos, daug svarbiau yra ne jų išvengti, bet gebėti tinkamai reaguoti joms įvykus bei minimalizuoti jų žalą. „Pats incidentas gali neatnešti jokios baudos. Jeigu darbuotojai buvo apmokyti, tačiau padarė klaidą, žala bus daugiau moralinė, o ne teisinė. Visai kita situacija, jeigu žinosite apie riziką ir nesiimsite priemonių, kurios padėtų ją sumažinti“, – akcentuoja „TGS Baltic“ advokatas.
Pasiruoškite. Dažnai teisingiau yra klausti ne, ar įvyks incidentas, o kada jis įvyks, todėl labai svarbu būti tam pasiruošus, įvertinus, kokia žala būtų pažeidus skirtingą informacinį turtą ir kokia rizika kyla – tai turėtų lemti ir tam skiriamas lėšas. „Saugumas nėra nusipirkti geriausią ar brangiausią sistemą, svarbiau atlikti rizikų vertinimą ir suprasti, kad ne visas informacinis turtas yra vienodai kritiškas, reikia objektyviai įvertinti galimą žalą ir tam paskirstyti investicijas“, – pataria M. Civilka.
Informuokite. Įvykus kibernetiniam incidentui, pirmiausiai dažnai griebiamasi techninio ir teisinio atsako, tačiau M. Civilka pataria nepamiršti ir informavimo svarbos – pranešti apie tai darbuotojams, duomenų subjektams, institucijoms, partneriams, kurie rūpinasi įmonės viešaisiais ryšiais. „Pati ataka dažnai yra ne blogiausia akimirka, daug blogesni įvykiai seka po jos“, – apie galimas klaidas įspėja advokatas.
Paieška archyve
