Praėjusiais metais įsigaliojus Bendrajam duomenų apsaugos reglamentui, tarsi įžengėme į dar vieną duomenų apsaugos erą. Nors dalis organizacijų nepajėgios įgyvendinti aukštus reikalavimus duomenų apsaugai keliančių standartų, pasak saugumo ekspertų, tai – tik kelionės pradžia į duomenų saugumo ateitį.
Praėjusiais metais įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), tarsi įžengėme į dar vieną duomenų apsaugos erą. Nors dalis organizacijų nepajėgios įgyvendinti aukštus reikalavimus duomenų apsaugai keliančių standartų, pasak saugumo ekspertų, tai – tik kelionės pradžia į duomenų saugumo ateitį.
Anot IT saugumo eksperto Dariaus Povilaičio, duomenų saugumas aktualus visose gyvenimo srityse, į kurias ateina kompiuterinės technologijos, ypač ten, kur naudojame išmaniuosius įrenginius – ar tai būtų išmanusis laikrodis, ar robotas siurblys.
Kalbėdami apie augančio daiktų interneto ir išmaniųjų įrenginių naudojimo keliamus pavojus dažniausiai kalba sukasi apie eiliniams vartotojams kylančias grėsmes. Tačiau verslui kylantys iššūkiai, norint maksimaliai apsaugoti savo tinklą ir duomenis nuo kibernetinių incidentų – ne ką mažesni.
Klaidų neišvengiama
„Pagrindinis iššūkis, kylantis verslui, visų pirma, yra pasiryžti dideliems ir ilgalaikiams tinklų bei žmogiškųjų požiūrių pertvarkoms – tai visada bus susiję su vartotojų nepasitenkinimu, dėl galimų papildomų ribojimų ir panašiai, bei tokioms pertvarkoms reikalingų lėšų. Itin sudėtinga rasti IT saugumo specialistų, kurie galėtų kokybiškai suplanuoti, vadovauti bei dalyvauti šių pertvarkų įgyvendinime“, – teigia D. Povilaitis.
Rugsėjo 5 d. vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“ pranešimą skaitysiantis IT saugumo ekspertas vardina, kad likę iššūkiai verslui susiję su duomenų apsaugos vientisumo užtikrinimu: svarbu projektuojant naujas sistemas atsižvelgti į saugumo aspektą, taip pat būtina vykdyti reguliarią įvykių stebėseną, incidentų tyrimą bei atsparumo patikrinimus.
Vertinant Lietuvos pažangą kibernetinio saugumo srityje, D. Povilaičio nuomone, situacija yra pakankamai nebloga, tačiau vis dar turime rimtų problemų: lietuviams vis dar trūksta analitinių galimybių aptikti, įvertinti ir užkardyti tiek esamas, tiek potencialias grėsmes – dažnai vietoje realių ir rimtų grėsmių tokiomis yra įvardinamos pseudogrėsmės.
„Realiai proaktyviai veikiančių įmonių kibernetinės saugos srityje yra labai nedaug – trūksta žinių bei suvokimo. Dauguma dirba reaktyviai. Dažnai saugumo didinimo katalizatorius yra koks nors kibernetinio saugumo incidentas pačioje įmonėje“, – komentuoja IT saugumo ekspertas.
Nors kibernetinis sąmoningumas kyla ir vis daugiau įmonių imasi proaktyvių veiksmų kibernetinės saugos srityje, dažnai nutinka taip, kad šie veiksmai yra gana ribotos apimties, įmonėje nežinoma, ką būtų galima patobulinti ar pagerinti. Pasak IT saugumo eksperto, dažniausiai įmonėms kyla klausimų, ar įsigytas sprendimas ar paslauga iš tiesų yra tinkami.
Naujas taikinys – išmanieji pastatai
Saugumo ekspertai atkreipia dėmesį į naują, sparčiai augančią technologijų pritaikymo sritį – Išmaniuosius pastatus. Prognozuojama, kad iki 2020 m. tokių pastatų kiekis vien JAV išaugs iki 16,6 proc. Štai Las Vegase turėtų išdygti visas skaitmeninis miestas, į kurio 6 metus truksiančias statybas „Bleutech Park Properties“ ruošiasi investuoti 7,5 milijardus JAV dolerių. Šiame mieste visi pastatai naudos atsinaujinančią energiją, bus taikomos įvairios dirbtinio intelekto, papildytos realybės ir robotikos technologijos.
Pasak ESET saugumo evangelisto Tony Anscombe, apie išmaniesiems pastatams kylančias grėsmes turėtume kalbėti ne būsimuoju, o jau esamuoju laiku. „Gerieji, vadinamieji etiniai, hakeriai išbandė galimybes perimti išmaniųjų pastatų valdymą, pavyzdžiui, IBM komanda „X-Force“ sugebėjo perimti pastato valdymo sistemą, net patys „Google“ darbuotojai įrodė, kad jų durų apsaugos sistemos yra pažeidžiamos“, – komentuoja T. Anscombe.
Išmaniųjų pastatų pažeidžiamumą įrodo ir vieno Austrijos viešbučio patirtis: 2016 m. gruodį – 2017 m. sausį, vos per dviejų mėnesių laikotarpį, jis net keturis kartus susidūrė su išpirkos reikalaujančiais programišiais, kurie pasitelkę kenksmingą programą sugadino viešbučio kambarių durų atrakinimo sistemą. Nors nuostoliai nebuvo dideli, viešbučio valdytojas, baimindamasis naujų atakų, grįžo prie tradicinių raktų sistemos.
„Hakerių motyvas perimti pastatų ar atskirų jų sistemų valdymą siejamas su finansiniais lūkesčiais, taip pat tikslu daryti įtaką, įbauginti ar įnešti sumaišties. Tai gali būti pastato durų užblokavimas, kad į organizaciją nepatektų nei darbuotojai, nei klientai, arba klimato valdymas, kad pastate pasidarytų nepakenčiama, ir verslo procesai tiesiog sustotų. Hakeriai, siekdami sugadinti įmonių serverius, gali paveikti šildymo sistemas ir perkaitinti serverių patalpas“, – galimus scenarijus vardina saugumo specialistas, konferencijoje „ESET Security Day“ skaitysiantis pranešimą apie išmaniesiems pastatams kylančias grėsmes.
Nors pastatų automatikos sistemos nėra naujas dalykas, didžiausią iššūkį kelia pastato valdymui naudojamų išmaniųjų įrenginių gausa. Pasak T. Anscombe, kibernetinio saugumo komandoms tenka nuolat rūpintis ir aiškintis, kokie įrenginiai yra naudojami, kas yra atsakingas, ar tai gali būti apsaugota, kokie duomenys yra renkami, kaip užlopyti saugumo spragas ir begalę kitų dalykų.
Jau penktą kartą Vilniuje vyksianti saugumo konferencija „ESET Security Day“ rugsėjo 5 d. tradiciškai suburs IT bendruomenę aptarti aktualias kibernetinio saugumo temas. Pranešimus skaitys saugumo evangelistas Tony Anscombe, Nacionalinio kibernetinio saugumo centro direktorius Rytis Rainys, IT saugumo specialistai Vytautas Butrimas ir Darius Povilaitis, VDAI IT skyriaus vadovas dr. Jevgenij Tichonov, Fondia Suomija vyr. teisininkė Sari Koskela ir kiti. Pagrindinė šių metų konferencijos tema – tobula įmonės IT saugumo politika.
