Nepriklausomai nuo to, ar jūs esate smulkaus, vidutinio ar stambaus verslo atstovai, tikimybė patirti kibernetinį incidentą yra visiems vienoda. Technologijos yra nuostabus dalykas: viena vertus, jos sujungia atokiausius pasaulio kraštus ir daugelį kasdieninių verslo procesų padaro lengvesniais, kita vertus – jos sukuria ir didelę riziką jūsų verslui.
Pagalvokite apie visus prietaisus, kurie yra prijungti prie jūsų įmonės tinklo. Didžiojoje dalyje įmonių, tai ne vien tik kompiuteriai, bet ir asmeniniai telefonai, planšetės, laikrodžiai bei kiti išmanieji įrenginiai. Kiekvienas verslas turi įvertinti visų šių įrenginių, turinčių prieigą prie bendro tinklo, saugumą, priešingu atveju, net ir įgyvendinus visus BDAR teisinius reikalavimus nebus galima išvengti kibernetinių incidentų. Ir nors kibernetinio incidento atvejais dažnai yra padaroma žala daugybei duomenų, aiškumo dėlei, reikia paminėti, kad ne kiekvienas kibernetinis incidentas yra asmens duomenų pažeidimas, ir ne kiekvienas duomenų saugos pažeidimas yra kibernetinis incidentas.
Pavyzdžiui, duomenų laikmenos (kietojo disko, CD ar USB rakto) praradimas yra asmens duomenų pažeidimas, tačiau nėra kibernetinis nusikaltimas. Šiame straipsnyje bus kalbama kibernetinėje erdvėje vykstančius incidentus, dėl kurių netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami, saugomi arba kitaip tvarkomi asmens duomenys, taip pat tokie atvejai, kai be leidimo yra suteikiama prieiga prie asmens duomenų.
Kibernetinės atakos yra rimta grėsmė jūsų verslui, dėl jų galite patirti ne tik negrįžtamų technikos gedimų, bet ir prarasti vertingus klientų, darbuotojų ar partnerių duomenis, todėl reikėtų jas vertinti rimtai ir žinoti, ką reikia daryti vykstant kibernetiniam incidentui ir iškart jam įvykus. Toliau aptarsime penkis jūsų žingsnius, kuriuos, mūsų manymu, turite padaryti. 1 žingsnis.
Kibernetinės atakos metu pažeistų įrenginių izoliavimas
Daugelis verslo atstovų galvoja, kad serverio išjungimas, perinstaliavimas ar atstatymas iš atsarginės kopijos yra greičiausias ir paprasčiausias atakos nutraukimo būdas. Tačiau tai ne visada yra geriausia išeitis. Yra keletas aspektų, kodėl to daryti nereikėtų. Viena iš priežasčių yra ta, kad vėliau tiriant patį kibernetinį nusikaltimą, būtent serveryje bus galima rasti daug informacijos apie tai, kas įvyko ir iš ten paimti įrodymų ar kitos informacijos, naudingos incidento tyrimui. Be to, atstatydami serverio veiklą iš atsarginės kopijos, ne visada galite nutraukti kibernetinę ataką, nes kenksmingo kodo kopija taip pat gali būti atstatyta kartu su duomenimis. Ką daryti?
Jeigu įmonėje yra patvirtintas incidentų valdymo planas (ar panašus dokumentas), dabar būtų pats laikas jį išsitraukti. Šiame dokumente bus aprašyta, kokių žingsnių turi imtis būtent jūsų bendrovė atsitikus incidentui. Specialistai, kurie rengia incidentų valdymo planus, bus parengę nurodymus, kurie bus orientuoti ne tik į kibernetinio incidento suvaldymą, bet ir veiklos atstatymą ir užtikrinimą, kad tokia veikla ateityje nesikartotų. Šiame dokumente, be kita ko, dažnai nurodomas konkretus asmuo atsakingas už informacijos srauto perkėlimą į atsarginius serverius, bei asmuo atsakingas už priežiūros institucijų informavimą. Jeigu dar neturite tokio dokumento, turėtumėte neatidėlioti jo pasirengimo.
2 žingsnis. Kompetentingi IT ir saugumo specialistai
Pasitelkti kompetentingus IT ir saugumo specialistus, turinčius patirties kibernetinių incidentų valdymo srityje, kad jie rastų priežastį ir ištaisytų, jie įmanoma ir kiek įmanoma, padarytą žalą. Įmonės, kurios turi ne tik IT, bet ir saugumo specialistus, įvykus kibernetiniam incidentui šį žingsnį gali patikėti būtent jiems. Toms įmonėms, kurios neturi kibernetinio saugumo specialisto, reikia iš anksto numatyti (ir incidentų valdymo plane aprašyti), į ką bus kreipiamasi pagalbos, jei įvyks kibernetinis incidentas. Patarimas įmonėms, kurios IT resursus nuomojasi ar perka IT infrastruktūros priežiūros paslaugas: sutartyse dėl IT paslaugų teikimo, numatykite ne tik IT, bet ir kibernetinio saugumo aspektus. 3 žingsnis.
Atsakingų institucijų informavimas
Tam tikrose verslo sferose veikiančioms įmonėms ir įstaigoms yra Kibernetinio saugumo įstatymas numato pareigą informuoti apie įvykusius kibernetinius incidentus. Jeigu jūsų įmonė ar įstaiga valdo ir (arba) tvarko valstybės informacinius išteklius, ypatingos svarbos infrastruktūrą, teikia viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugas, elektroninės informacijos prieglobos paslaugas ir skaitmenines paslaugas, jums privaloma pranešti Nacionaliniam kibernetinio saugumo centrui apie įvykusį kibernetinį incidentą. Jeigu jūsų įmonės veikla nepapuola į šį sąrašą, pranešti apie įvykusį kibernetinį incidentą Nacionaliniam kibernetinio saugumo centrui galite savanoriškai.
Nepriklausomai nuo to, kokiame verslo sektoriuje veikia jūsų įmonė ar įstaiga, jeigu kibernetinio incidento metu buvo padaryta žala asmens duomenims, BDAR numato pareigą įmonėms (duomenų valdytojams) apie asmens duomenų saugumo pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai (Inspekcija). Toks pranešimas turi būti neatidėliojamas ir įvykdomas ne vėliau kaip per 72 valandas nuo tada, kai buvo sužinota apie pažeidimą.
Pranešti nėra būtina tik tuo atveju, jeigu pažeidimas nesukelia pavojaus fizinių asmenų laisvėms ir teisėms. Svarbu paminėti, kad net ir tais atvejais, kai bus nuspręsta, jog pažeidimas neturėtų sukelti pavojaus fizinių asmenų laisvėms ir teisėms (tokiu atveju apie incidentą pranešti Inspekcijai nereikės), duomenų valdytojas privalo dokumentuoti visus duomenų saugumo pažeidimo atvejus, nurodant pažeidimo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.
4 žingsnis. Klientų ir kitų duomenų subjektų informavimas
Nuo šių metų gegužės 25 dienos, pareiga pranešti duomenų subjektams, kai dėl kibernetinio incidento gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, tapo privaloma visiems duomenų valdytojams. Pranešimas nebūtinas, tais atvejais, kai asmens duomenys, kurie nutekėjo pažeidimo atveju, buvo šifruoti. Taigi, įvykus kibernetiniam incidentui, įmonė turėtų pasitikslinti su savo asmens duomenų saugumo specialistais, ar dėl kilusio kibernetinio incidento buvo padaryta žala asmens duomenims ir, jei reikia informuoti duomenų subjektus (nukentėjusius asmenis).
Atkreipkite dėmesį, kad tai gali būti ne vien jūsų klientai, bet ir darbuotojai, partneriai, potencialūs klientai ir kiti asmenys, kurių asmens duomenims buvo padaryta žala. Konkretaus termino BDAR nenumato, tačiau tai turėtų būti daroma nepagrįstai nedelsiant.
5 žingsnis. Išmoktos pamokos ir kibernetinė higiena
Kiekvienas įvykęs incidentas turi būti išsamiai ištirtas ir nustatytos jo priežastys. Tai padės nustatyti, kokių papildomų saugumo priemonių reikia siekiant, kad incidentas nepasikartotų, o jeigu pasikartojimo išvengti nepavyktų, kad žalos nebūtų arba būtų kuo mažesnė. Be abejo, įvykus kibernetiniam incidentui, turėtumėte pasikeisti visus savo slaptažodžius, šifruoti asmens duomenis (jei dar to nedarote) ir atnaujinti darbuotojų mokymus.
Nesvarbu dėl kokios priežasties įvyko kibernetinis incidentas: ar tai neatsargaus darbuotojo veiksmai ar įsilaužėlio sėkmė spėjant slaptažodį, atnaujinti darbuotojų kibernetinio saugumo žinias yra visada naudinga, kadangi žmogiškos elementarios klaidos yra silpniausia informacijos saugumo grandinės dalis. Kibernetinis saugumas yra ne vien programinė ir techninė įranga, tai ir žinios bei elementari kibernetinė higiena, kuri dažnai yra lemiamas veiksnys kibernetinio saugumo grandinėje.
Kibernetine higiena turi būti rūpinamasi nuolatos: užtikrinamas naudojamos įrangos legalumas, darbuotojų kompetencijos kėlimas, periodiškas slaptažodžių atnaujinimas, kibernetinio saugumo priemonių (ugniasienių, antivirusinių programų) naudojimas, periodinis programinės įrangos atnaujinimas, draudimas lankytis kenkėjiškuose puslapiuose, nepatikimų elektroninių laiškų ir priedų neatidarinėjimas – tai tik maža dalis kasdienio kiekvienos įmonės darbo kibernetinėje erdvėje saugumo aspektų.
Šie žingsniai, mūsų manymu, yra vieni pirmųjų, kuriuos turėtumėte atlikti vykstant arba ką tik įvykus kibernetiniam incidentui. Tačiau, kaip buvo paminėta, daugelio kibernetinių incidentų padėtų išvengti gerai parengti ir informuoti jūsų įmonės darbuotojai, todėl penktasis žingsnis jau šiandien galėtų tapti jūsų pirmuoju žingsniu kibernetinio saugumo ir asmens duomenų saugumo link.