Apie incidentus ir grėsmes virtualiame pasaulyje girdime vos ne kasdien. Taip, tai mūsų kasdieninio elektroninio gyvenimo realybės, kas mums asmeniškai iš to?
O gi tik tiek, kad apie 75 % mūsų paskutinės apklausos (statistikos duomenys pateikti po straipsniu) respondentų pradeda savo darbo dieną ne nuo svarbaus skambučio arba elektroninio laiško bet nuo kovos su elektroninėmis šiukšlėmis ir socialinės inžinerijos įrankiais, kurių apdorojimui ir susidorojimui gaištama apie pusvalandį laiko kasdien.
Tai toli gražu ne tik darbuotojų nepatogumas – tai skylė, pro kurią byra įmonės pinigai.
Apie srities problematiką liudija tas faktas, kad tik trečdalyje apklaustųjų Lietuvos kompanijų yra informacijos apsaugos vadovo pozicija. Iš tiesu, kiek parodo praktika, net gi stambesnėse Lietuvos įmonėse už informacijos saugumo klausimus atsako IT skyrių darbuotojai, kurių darbo specifika yra tik maža informacijos apsaugos dalis.
Iš gyvenimo patirties žinome, kad ne tik verslo bet ir gyvenimiškų uždavinių įgyvendinimo sėkmę daugumoje nulemia organizaciniai vienetai – sprendimai, kurių priėmimas įmonės atžvilgiu guli ant vadovybės pečių.
Organizacinių priemonių trūkumą atvaizduoja ir statistiniai duomenys, parodantys, kad vartotojų teisių sistema – priėjimo prie duomenų valdymo įrankis – yra nustatyta apie 57 % apklaustų Lietuvos įmonių vietinių tinklų.
Ne paslaptis, kad kiekviena įmonė turi informacijos, kuria nenorėtų dalintis su tam tikromis žmonių grupėmis. Tai gali būti: verslo planavimo duomenys ar komercinė informacija, „know-how“, vidiniai ar išoriniai kompanijos dokumentai, korespondencija, aukščiausios svarbos dokumentai, kita.
Kiek gali kainuoti panašios informacijos praradimas arba tikslinis panaudojimas/paviešinimas, asmeniškai galime įsivaizduoti visaip, tačiau šiais metais teko matyti itin įdomių pavyzdžių (tai ir socialdemokratų partijos internetinės svetainės puolimas, ir beveik trys šimtai nulaužtų Lietuvos tinklalapių, ir https://edienynas.vilnius.lt/ portalo spragų aptikimas, kurių dėka buvo įmanoma gauti prieigą prie konfidencialios informacijos, ir dar nemažas kiekis informacinių incidentų).
Įdomus faktas: apklausos eigoje paaiškėjo, kad daugiau negu 74 % respondentų atstovaujančių įmones patyrė elektros dingimą ir su juo susijusius incidentus. Atrodytų, koks gali kilti pavojus dėl trumpam dingusios elektros?
Įsivaizduokime, kad tarnybinės stotys, kuriose laikomi kompanijos dokumentai, neturi nepertraukiamo maitinimo šaltinių ir atsarginių kopijų sistemos. Kelių sekundžių įtampos dingimas ne tik paralyžiuotų padalinio ar visos kompanijos darbą, kurio atstatymas reikalautų ne tik įrangos įsijungimo bet ir žmogiškųjų išteklių bei procesų atnaujinimo, kas tikrai užtrūktų. Be to įrangai įsijungus, gali paaiškėti, kad informacija juose gali būti sugadinta ar net dingusi. Beje – įranga gali ir neįsijungti. Susumavus visus padarinius, gausime:
- Padalinio ar kompanijos darbas gali sustoti nuo 1 val. iki kelių darbo dienų.
- Kompanija patiria nuostolius, susijusius su sistemos paleidimu, tvarkymu.
- Duomenų atstatymas gali užtrukti iki kelių darbo dienų ir neduoti tikėtino rezultato, deja, bet kokiu atveju gali kainuoti kelis tūkstančius litų.
Neatstatytų duomenų materialinė vertė, laiko atstatymui sąnaudos, kompanijos (padalinio) prastovos, neuždirbti pinigai, konkurentų pranašumas įgijus konfidencialius duomenis, prastas kompanijos įvaizdis, personalo asmeninių duomenų atskleidimas – dėl trumpo elektros dingimo. Ar galime sau tai leisti?
Kiek įmonių darbuotojai vertina ir saugo savo bei kompanijos duomenis?
Pirminės apsaugos nuo kasdieninių internetinių grėsmių priemonė – antivirusinė programinė įranga – yra plačiai naudojama mūsų šalies kompanijose. Net 98,22 % apklaustų įmonių atstovų naudoja šiuos instrumentus elektroniniame gyvenime. Lygiavertiškai su programomis, kovojančiomis su kenkėjišku kodu, turėtų būti naudojamos ir kitos apsaugos priemonės. Deja, taip nėra: ugniasienės – beveik 55 % apklaustųjų, nepageidaujamų laiškų filtravimas – beveik 63 % respondentų; ir „antispyware“ klasės programinė įranga – 26 %.
Negalime nepažymėti fakto, kad operacinių sistemų ir programinės įrangos atnaujinimai yra naudojami net 94,67 % įmonių, dalyvavusių apklausoje. Šis skaičius taip pat liudija apie naudojamų operacinių sistemų legalumą, kuris suteikia galimybę parsisiųsti ir įdiegti pataisymus. Iš vienos pusės šie skaičiai džiugina, iš kitos parodo vientisumo ir tikslingumo nebuvimą, kas gali lemti iliuzinį saugumo suvokimą ir itin nuostolingus padarinius.
Pradedant šiais duomenimis į pirmą planą iškyla klausimai – ar informacijos sauga yra užtikrinama kompleksiniais metodais? Ar yra naudojama bendra kompanijos strategija duomenų saugumo atžvilgiu?
Atsakymą į šiuos klausimus gavome išanalizavę respondentų suteiktą informaciją apie svarbiausią strateginį informacijos apsaugos įrankį – saugumo valdymo politiką – kuri detaliai aprašo infosistemos gyvavimo bei palaikymo principus ir taisykles, tiksliai nustato korektišką personalo elgseną ir informacijos panaudojimą.
Tik trečdalyje (31,11 %) kompanijų yra nustatyta nuolat prižiūrima saugumo valdymo politika su periodiniais auditais, kurie užtikrina šio galingo instrumento efektyvumą ir paverčia jį ne pinigų švaistymu, bet investicijomis, padedančiomis darniai vystytis.
Vėl gi pavyzdys iš kasdieninio gyvenimo. kiek dažnai, atėjus į banką ir laukiant banko darbuotoju atliekamos svarbios operacijos pabaigos, mes bandome vertingai praleisti laiką, dairantis aplinkui? Dažniausiai pamatome banko klientų dokumentus, gulinčius ant stalo... Turbūt kartais net galėtumėme perskaityti užrašus. Kiek galėtų kainuoti panaši informacija asmeniškai Jums, o iš kitos pusės bankui?
Kas gi yra informacijos apsauga?
Tai priemone ne tik apsaugojanti mūsų asmenine bei verslo informacija (tai žino dauguma mūsų), bet ir leidžianti vykdyti verslą efektingai. Sudėjus visas prastovas dėl elektroninio pašto šiukšlių ar kito kenksmingo kodo padarinių, dingusios elektros ar kitų rizikos faktorių, darbo atstatymo po incidentų ir alternatyviuosius kaštus gauname itin įspūdingus skaičius. Pagal statistikos departamentą kompanijose virš 9 darbuotojų, kurios ir dalyvavo apklausoje, vidutiniškai dirba 50 darbuotojų, gauna vidutinį 2319,90 Lt/mėn. (3040,93 Lt/mėn. darbdaviui), kompanijų vidutinis bendrasis pelnas 1027034,61 Lt/m. Skaičiuojant pagal šią kompaniją gauname:
- Darbuotojai apie 15 % laiko nedirba savo tiesioginio darbo dėl informacijos apsaugos nebuvimo, kas sudaro:
- kompanija sumoka 273683,70 Lt darbuotojams atlyginimo, už šį 15 % laiką;
- kompanija negauna vidutiniškai 154055,19 Lt alternatyvių kaštų, nes darbuotojai 15 % laiko nedirba tiesioginio savo darbo.
- Atsigavimo po incidentų kaštai būna žymiai didesni nei pastovios priežiūros. Vidutiniškai kompanijoje tokių incidentų būna 2 kartus per metus, o kaštai skaičiuojami nuo 10000 Lt, kas sudaro dar papildomus 20000 Lt/m.
- Bene didžiausią dalį prarastų kaštų sudaro prarasta ar tretiesiems asmenims papuolusi konfidenciali informacija.
Taigi 50 darbuotojų kompanijai informacijos apsaugos nebuvimas kaštai yra pusės milijono eilės, tad kiek prarandate Jūs?
(Skaičiavimai padaryti atsižvelgiant į visus statistikos departamento atskirai pateiktus vidutinius dydžius).
Ypatingai krizės (apie kurią girdime, skaitome, galvojame vis dažniau) metu jautrios informacijos praradimas ar jos pasiekiamumo nebuvimas gali nulemti verslo baigtį, o iš kitos pusės nors ir mažytis pranašumas suteikia didžiules galimybes išsilaikyti konkurencingoje rinkoje.
Investuokite savo pinigus protingai – apsisaugokite, sutaupykite ir dirbkite efektingai...
Informacijos apsaugos apklausos statistika
Apklausos eigoje dalyvavo 400 įvairaus mąsto Lietuvos įmonių iš visų Lietuvos regionų. Projektas buvo vykdomas 2008 m. Lapkričio mėn.
1. „Ar kompanijoje yra informacijos apsaugos vadovo pozicija?“
„Taip“ – 31,56 %
„Ne“ – 68,44 %
2. Ar kompanijoje yra naudojamas „Wi-Fi“ tinklas?
Taip – 43,11 %
Ne – 56,00 %
Nežinau – 0,44 %
3. Ar yra nustatyta vartotoju teisių sistema tinkle?
Taip – 56,44 %
Ne – 40,89 %
Nežino – 2,22 %
4. Kur saugojat savo slaptažodžius?
Galvoje – 49,33 %
Užsirašo – 8,44 %
Ant lapo – 0,89 %
Serveryje – 2,22 %
Neatsakė – 16 %
Diske – 0,44 %
Seife – 0,44 %
Įvairiai – 20,44 %
Nežinau – 0,44 %
5. Kiek dažnai keičiate slaptažodžius?
Kai prireikia – 79,56 %
Kas savaitę – 0,89 %
Kas mėnesį – 3,11 %
Kas tris mėnesius – 1,33 %
Kasmet – 1,78 %
Įvairiai – 4,89 %
Retai – 3,56 %
Nekeičiu – 2,22 %
Nežinau – 0,89 %
6. Su kokiais informacinių grėsmių ir incidentų tipais tenka susidurti?
Kompiuteriniai virusai ir kitos kenksmingos programos – 67,11 %
„Spam“ (nepageidaujami elektroninio pašto laiškai) – 75,56 %
Įsilaužimai į kompiuterius – 8,00 %
DoS (atsisakymų aptarnauti atakos) atakos – 21,33 %
Duomenų vagystės (socialinis faktorius) – 3,56 %
Paslapčių atskleidimas dėl darbuotojų išėjimo – 8,00 %
Pramoninis špionažas – 0,44 %
Elektros dingimai – 74,22 %
Interneto dingimai – 72,89 %
Nelaimingi atsitikimai (įsibrovimai, t. t.) – 7,11 %
7. Saugumo priemones, naudojamos kompanijose:
Operacinių sistemų ir programinės įrangos atnaujinimai – 94,67 %
Periodiniai slaptažodžių keitimai – 75,11 %
„Firewall“ (ugniasienė) – 54,67 %
Antivirusinė programinė įranga – 98,22 %
„Spam“ blokavimas – 62,67 %
„Antispyware“ – 26,22 %
IDS (Intrusion detection System) – 16,89 %
Video stebėjimas ir praėjimo kontrolė – 45,78 %
Apsaugos kompanija – 92,89 %
Konfidencialumo sutartis – 55,56 %
Apmokymai – 32,89 %
8. Ar kompanijoje nustatyta saugumo valdymo politika?
Kompanijoje nustatyta nekintanti saugumo valdymo politika – 6,22 %
Kompanijoje nustatyta nuolat prižiūrima saugumo valdymo politika su periodiniais auditais – 31,11 %
Saugumo valdymo politika kompanijoje nėra nustatyta – 40,44 %
Nežino – 10,67 %
9. Ar kompanija kada nors patyrė žalą dėl tinklų ir informacijos saugumo incidentų?
Taip – 29,33 %
Tarp Jų:
Sutriko normali kompanijos veikla – 25,33 %
Sugadinta kompiuteriu programinė įranga – 9,33 %
Sugadintos techninės priemonės – 12,00 %
Įmonė patyrė materialinę žalą – 23,11 %