Kibernetinis saugumas yra vertingo intelektualaus kapitalo ir informacijos apsauga skaitmeninėje erdvėje. Pastaraisiais metais ši sąvoka vis pasigirsta dažniau, nes bendrovės susiduria su piktnaudžiavimu.
Ir ne tik bendrovės. Štai JAV oficialiai pareiškė, kad kibernetiniai įsilaužimai yra „vienas iš didžiausią grėsmę darančių veiksnių mūsų šalies ekonomikai ir nacionaliniam saugumui“.
Didelių bendrovių vadovai bene kasdien gauna informaciją apie naujus įsilaužimo būdus. Kartais grėsmę kelia nepatenkinti darbuotojai, kurie paskleidžia svarbią informaciją rinkoje, praneša apie intelektualią nuosavybę konkurentams.
Blogiausia tai, kad apie šių įtakų pasėkmes visuomenė nesužino, tame tarpe ir bendrovės vartotojai. Verslas tikrai nesiruošia viešai skelbti kam ir kokio dydžio išperką sumoka už paliktas saugumo spragas.
Esant šioms tendencijoms, bendrovių vadovai privalo susipažinti su kibernetinio saugumo sąvoka ir arčiau. Tai nebėra vien tik IT departamento darbas. Apie kibernetiką dabar turi būti kalbama aukščiausiuose bendrovės sluoksniuose.
Kibernetinio saugumo pavojai šiandien
Per paskutinius penkerius metus didelis skaičius bendrovių ėmė stiprinti savo IT saugumą. Imta kurti „kuo mažesnių nuostolių“ ir „išėjimo“ strategijas. Kompiuterių darbastaliai dabar apsaugoti slaptažodžiu, o USB kai kurių bendrovių darbuotojai visai negali naudotis. Tiesa, elektroninis paštas taip pat labai apribotas ir kontroliuojamas bendrovės serverių.
Gerbiama verslo konsultacijų įmonė „McKinsey & Company“ atliko išsamų tyrimą, kuriame dalyvavo 25 itin didelės tarptautinės bendrovės. Apklausus tų bendrovių IT vadovus paaiškėjo, kad dabar kibernetinės atakos daug sumanesnės, tad neapčiuopiamą įmonės turtą apsaugoti dar sunkiau.
Pateikiame penkias pagrindines kibernetinių atakų tendencijas:
Vertė prarandama internete (online)
Kodėl bendrovės vis daugiau vertės praranda internete negu prieš 2–3 metus? Nes internete dabar sukaupta visa svarbiausia informacija, vartotojų duomenys, o taip pat ir patys pinigai. Daugiau sandorių (transakcijų) internete sukuria daugiau pažeidžiamumų. Labai reta didesnė bendrovė nekaupia svarbios informacijos internete.
Vertė prieinama per daug įrenginių
Šiandien bendrovės yra „atviresnės“ ta prasme, kad paslaugas teikia įvairiais kanalais. Juos galima pasiekti ne tik iš stacionaraus kompiuterio, bet ir, tarkim, mobiliųjų įrenginių. Tai reiškia, kad atsiranda daugiau galimybių pasiekti bendrovės vidinę informaciją, pvz. „nulaužiant“ mobiliąją svetainės versiją.
IT sistemos vis labiau susijusios tarpusavyje
Norėdamos sustiprinti ryšius su klientais ir sutaupyti pinigų, bendrovės dažnai kuria vieną bendrą sistemą, užuot kūrusios daug atskirų vienetų. Taip yra ir patogiau. Tiesa, tai padidina vertės praradimo riziką, kadangi įsibrovus į vieną sistemą, kompiuteriniai nusikaltėliai lengvai gali prieiti ir prie kitos, dažnai daug svarbesnės informacijos.
Kaip teigė vienas iš apklausų IT vadovų: „Mūsų kompanijos visa sistema priklauso nuo silpniausios šios sistemos grandies“. Taip pat į šiuos tinklus jungiasi bendrovių partneriai, kurie taip pat gali prarasti konfidencialią informaciją. Visai neseniai tokiu scenariju nukentėjo „Apple“, kai šios įmonės partnerių „Best Buy“ darbuotojai nutekino informaciją apie „iPhone 5″ pasirodymo datą.
Kibernetiniai įsilaužėliai tampa gudresni
Kibernetinės grupuotės, politiniai „haktyvistai“ ir kitos gaujos dažnai savo įgūdžiais ir kompetencija pranoksta bendrovių IT saugumo departamento darbuotojus.
Programišiai ima teikti „kibernetinių įsilaužimų paslaugas“, o uždarbį gauna atitinkamai pagal užkrėstų kompiuterių skaičių ar nutekintos informacijos vertę.
Lyginant su tuo, kas vyko prieš penketą metų, kibernetiniai nusikaltimai dabar daug labiau remiami įsilaužimais suinteresuotų žmonių, dažnai bendrovės konkurentų. Jei anksčiau programišiai tiesiog mėgavosi pačiu įsilaužimu, dabar jie siekia finansinės ar kitokios naudos.
Įsilaužiama per žmogiškąsias klaidas
Kaip dar vieną tendenciją būtų galima paminėti ir tai, jog pačios atakos tampa kitokios. Anksčiau dažniausiai būdavo ieškoma IT sistemų technologinių spragų, o dabar ieškoma „žmogiškųjų klaidų“.
Taip kaip politikai save pristato tiek masinėmis informavimo priemonėmis, tiek asmeniniais susitikimais bei rankų paspaudimais, taip ir kibernetinių įsilaužėlių grupuotės planuoja savo ataką online ir offline kanalais. Tarp pastarųjų galėtume paminėti valdybos narių persekiojimą, kurie turi priėjimą prie IT sistemų.
Kaip apsisaugoti nuo kibernetinių įsilaužimų?
Norint tinkamai apsisaugoti nuo kibernetinių įsilaužimų, reikia vis didesnį dėmesį kreipti į tai, kaip, kur ir kada prie vidinės bendrovės informacijos prieina įmonės darbuotojai, klientai ir partneriai.
Nepakankamai budrus leidimas prieiti prie informacijos gali palengvinti kompiuteriniams įsilaužėliams darbą. Viso to pasėkmė – brangios informacijos praradimas ir panika bendrovės viduje.
Pateikiame keturis vertingus patarimus, kaip sustiprinti bendrovės kibernetinį saugumą:
Kibernetinis saugumas yra valdybos atsakomybė
Daugybė bendrovių IT sistemų saugumas interpretuojamas kaip IT departamento atsakomybės sritis. Daugybė apklaustųjų pripažįsta, kad bendrovių vadovai turi per mažą supratimą apie kibernetinį saugumą ir to, kokias pasėkmes gali sukelti jo nebuvimas.
Tiesa, kai kurios bendrovės jau pripažįsta kibernetinio saugumo svarbą. Prieš priimdamos plėtros sprendimus, šios bendrovės valdyba kartu nutaria, kokie iššūkiai laukia IT sistemų, verslo procesų ir kokia rizika, kad dėl saugumo problemų gali nutrūkti plėtros planai.
Viena bendrovė didelį dėmesį kibernetiniam saugumui skiria net per visuotinius akcininkų susirinkimus.
Svarbiau apsaugoti vartotoją, o ne bendrovės turtą
Bendrovių ir IT departamentų vadovai turi suprasti, jog kibernetinis saugumas yra priemonė vartotojų asmeninei informacijai užtikrinti. Taip, jeigu jūs prarandate vartotojų duomenys tai yra žala ir bendrovei. Tačiau, visų pirma, tai yra žala vartotojams, kurių duomenys buvo pavogti.
Kai kurios bendrovės teisingai pasielgė pripažindamos, kad kibernetinis saugumas yra viena pagrindinių vertės kūrimo klientams (angl. customer value proposition) dalis. Tikriausiai ilgalaikėje perspektyvoje šios bendrovės bus mėgstamos vien dėl gebėjimo saugumo problemas spręsti žiūrint kliento akimis. Tai didelis konkurencinis pranašumas.
Svarbu apsaugoti duomenis, o ne pačią sistemą
Daugybė vadovų mano, kad jų, o taip pat ir IT vadovų darbas yra sukurti tokią sistemą, jog ši būtų atspari kibernetiniams įsilaužėliams. Deja, pagrindinis jų darbas yra apsaugoti duomenis, kuriuos saugo jų kuriamos sistemos.
Kitaip tariant, jeigu darbuotojau nutekina svarbią informaciją konkurentams, tam tikra prasme tai yra kibernetinis įsilaužimas.
Perspektyvios bendrovės supranta, kad saugumas nebepriklauso nuo naudojamos technologijos ar vietos, o labiau nuo žmonių atsakomybės ir duomenų.
Jeigu pašalietis prijungia savo nešiojamąjį kompiuterį prie bendrovės interneto, tai gali padaryti daug daugiau žalos negu tobulos IT sistemos kūrimas. Tokį laisvą priėjimą reikia apriboti tam tikromis teisėmis.
Kibernetinis saugumas yra procesas
Daugybė apklaustų bendrovių vadovai klausė mūsų: „Kaip reikia išspęsti kibernetinio saugumo problemas?“ Deja, jų išspręsti negalima. Šie vadovai turi pripažinti, kad kova su kibernetiniais įsilaužėliais yra nesibaigianti kova.
Naujų technologijų taikymas nepadeda, o atvirkščiai – pažymi, kad dabar įsilaužėliai turi kitokias galimybes įsilaužti į IT sistemas. Prasideda nauja kova.
Kaip jau minėjome, daugybę IT vadovų taiko „išėjimo strategijas“, kai siekiama pasitraukti iš kovos mūšio su mažiausiais nuostoliais. Dažnai pasitelkiamos ir dvigubos sistemos, t.y. jei įsibraunama į vieną, ją pakeičia kita sistema su identiška informacija. Tokiu atveju bendrovė duomenų nepraranda.
Kokius klausimus turi užduoti vadovas?
Perspektyviose organizacijose, kibernetinio saugumo klausimas turi būti iškeltas kiekviename valdybos posėdyje. Norėdami apsisaugoti nuo galimų grėsmių, bendrovių vadovai turi užmegzti dialogą tarp valdybos ir IT departamento.
Štai keletas svarbiausių klausimų, kuriuos turėtų užduoti kiekvienas vadovas:
- Kas yra atsakingas už kibernetinį saugumą, IT sistemų diegimą bei priežiūrą? Iki kokio laipsnio atsakomybę prisiima pati valdyba?
- Kuris bendrovės intelektualusis turtas yra kritiškai svarbus, o kuris ne toks svarbus? Ką esame įsipareigoję savo klientams bei partneriams?
- Kokią svarbą kibernetinis saugumas turi mūsų klientams? Ir kaip ketiname užtikrinti šių vartotojų tiekiamos informacijos saugumą?
- Kaip naudojame technologijas, verslo procesus ir kitus išteklius kibernetiniam saugumui užtikrinti? Ką mūsų patirtis turi bendro su kitų įmonių praktika?
- Kaip tam tikros rinkos dalyvė, ar mes dirbame išvien su rinkos institucijomis, kad užtikrintume kibernetinį saugumą ar veikia savarankiškai?
- Kadangi vis daugiau informacijos talpinama internete, o bendrą įmonės vertę vis labiau sudaro neapčiuopiamas turtas, kibernetinio saugumo iššūkiai tampa vis svarbesni.
Ši sritis nebėra „gaisrų gesinimas“. Kibernetinio saugumo užtikrinimui reikalinga nuosekli strategija, tam tikro procesai, rizikos valdymas bei teisiniai aspektai. O svarbiausia, bendrovių vadovai turi pripažinti, kad kibernetinis saugumas yra jų pačių atsakomybė.