Šiandien pranešimai apie didesnius ar mažesnius nusikaltimus elektroninėje erdvėje, kurių metų įmonės netenka pinigų, duomenų, komercinių paslapčių – jau kasdienybė. „Daugeliui atrodo, kad tai vyksta tik su tomis įmonėmis, kurios itin svarbios, tačiau jautrios informacijos turi visos organizacijos. Ir didelė dalis šių nusikaltimų yra įmonių atmestino požiūrio į elektroninį saugumą pasekmė“, – teigia Giedrius Meškauskas, UAB „TeraSky Baltic“ Kibernetinio saugumo paslaugų ir operacijų vadovas.
Kibernetinės erdvės saugumo ekspertas G. Meškauskas pateikė 5 dažniausiai įmonėse daromų klaidų sąrašą, rašoma pranešime žiniasklaidai.
1. Slaptažodžių politika
Nors kurti sunkiai atspėjamus slaptažodžius, regis, jau išmokome, tačiau pamačius, kaip su jais elgiamasi įmonėse, kartais sunku suprasti, kam jie išvis reikalingi.
Lietuvoje jau įvykdytas ne vienas nusikaltimas, kai pavagiami įmonės duomenys ir po to vadovai šantažuojami mokėti pinigus, jei nori juos atgauti. Dažną šių nusikaltimų net sunku pavadinti kibernetiniu, nes taip pasielgia buvę darbuotojai, kurių slaptažodžiai lieka galioti net nutraukus darbo sutartį. Po kurio laiko jie vedami piktų kėslų pasinaudoja palikta prieiga ir atsisiunčia/pavagia jautrius duomenis ar juos sunaikina.
Nors kai kuriose įmonėse visų darbuotojų slaptažodžiai sistemingai keičiami naujais, tačiau dažnai jie tiesiog prisiklijuoja juos prie monitoriaus, laiko užsirašę stalčiuose, kitose lengvai pasiekiamose vietose, o tai reiškia, kad bet kuris apsilankęs svečias gali juos pamatyti.
Reikia suprasti, kad slaptažodis yra kiekvieno vartotojo autentifikavimosi raktas. Jis užtikrina, kad konkrečia sąsaja su jai suteiktomis teisėmis pasiekti informaciją ar atlikti veiksmus, naudosis tik tos sasajos savininkas. Paprastas pavyzdys: ant įmonės finansistės kompiuterio monitoriaus užklijuotas lapelis su slaptažodžiais; prisėdome, pasižiūrėjome kolegų atlyginimus, padarėme keletą algų pervedimų ir vėl užrakinome kompiuterį; į klausimą kas atliko veiksmus atsakymas tik vienas – pati buhalterė, nes visi veiksmai atlikti tik su jai žinomu slaptažodžiu. Ir tai toli gražu ne baisiausia ką galima padaryti.
2. Wi-Fi ryšys
Galimybė naudotis įmonės Wi-Fi ryšiu bent kiek labiau įgudusiam žmogui reiškia ir priėjimą prie serverio bei jame sukauptų duomenų. Tačiau daugelyje įmonių šis ryšio kanalas apsaugotas tik slaptažodžiu, kuris nėra taip jau sunkiai surandamas toje pačioje įmonėje arba jį galima sužinoti iš darbuotojų.
Įmonės vis dar vengia atskirti bevielį tinklą nuo savo pagrindinio tinklo, tad per Wi-Fi prieigą dažniausiai galima pasiekti tiek pat įmonės IT resursų, kiek ir per laidinę tinklo prieigą. Dar paprasčiau piktavaliams darbuotis, jei taupumo ar nežinojimo sumetimais prie įmonės IT resursų galima prisijungti per svečių Wi-Fi pieigą, kuri turėtų būti autonominė.
Taip pat įmonės vidaus Wi-Fi ryšys turi būti toks, kad prie jo galėtų prisijungti tik konkretūs darbuotojų įrenginiai. Tada priėjimą bus paprasta kontroliuoti net keičiantis darbuotojams, tiesiog užteks išeinančiųjų telefonams, kompiuteriams ir kitiems įrenginiams atjungti teisę jungtis prie įmonės Wi-Fi.
3. Saugumą garantuoja antivirusinė programa
Viena didžiausių klaidų, galvoti, kad nusipirkus antivirusinę, tapsite saugūs. Antivirusinė programa saugo tik nuo masiškai platinamų virusų, galbūt dar nuo nepageidaujamų laiškų ir kenkėjiškų svetainių atidarymo, kurių gausu kibernetinėje erdvėje. Žinoma, antivirusinė programa yra būtina, tik reikia suprasti, kad grėsmių žemėlapyje ji dengia tiktai savo dalį.
Antivirusinė programa iš principo panaši į motociklininko šalmą, jis puikiai apsaugo nuo galvos sužalojimų ar vabzdžių atakų, bet viso motocikliniko avarijos metu jis neapsaugo.
Kiekviena įmonė turi jautrių duomenų ir ne tik reglamentuojamų GDPR. Tad į duomenų apsaugą reikia pažiūrėti daug rimčiau.
4. Kibernetiniu saugumu užsiima IT specialistas
Stebina, kai didelėse įmonėse už IT kasdienę veiklą ir elektroninės erdvės saugumą dažnai atsako tas pats žmogus ar padalinys. Tai tas pats, kas pastato ūkvedžiui patikėti ir jo apsaugą. Labai retai žmogus, kuris rūpinasi sistemos „ūkiniais“ reikalais, bus pakankamai kvalifikuotas tinkamai pasiruošti, vertinti ir reaguoti į kibernetines grėsmes.
IT siekia efektyviau išnaudoti išteklius, užtikrinti jų reikiamą prieinamumą, bei suteikti verslo poreikius atitinkantį funkcionalumą. Kibernetinės saugos atstovai rūpinasi, kad verslo veikla būtų apsaugota nuo kibernetinių grėsmių, vertina su tuo susijusias rizikas, užsiima švietimu bei kontrole. Be to, stebi saugumo būklę organizacijoje, o esant saugumo pažeidimui – imasi veiksmų siekiant sumažinti organizacijos duomenų nutekėjimo ar veiklos sutrikdymo nuostolius.
Elektroninė duomenų apsauga apima labai daug sričių: nuo organizacijos saugumo įvertinimo iki jos darbuotojų apmokymo, planų parengimo kas ką turi daryti kibernetinio išpuolio atveju iki tokio lygio, kad ne tik būtų apsaugoti duomenys, bet tuo pat metu ir surinkta kuo daugiau informacijos apie įsilaužėlius.
5. Geriausias kibernetinio saugumo specialistas – hakeris
Bėda ta, kad hakerio specializacija yra atrasti spragas ir atakuoti jas išnaudojant. Greičiausiai jis labai gerai išmanys būdus įsilaužti ar pakenkti jūsų organizacijai pažeidžiant jūsų IT. Tačiau viena yra pulti, kita gintis.
Juk turėdamas futbolo komandą, nestatysite puolėjo į vartus vien todėl, kad šis žino kaip mušti įvarčius. Į vartus statysite vartininką – žmogų, kuris gerai žino, ko galima tikėtis iš puolėjo ir moka gaudyti kamuolį, bei gali susistyguoti savo komandą taip, kad gynyba būtų efektyvesnė. Lygiai tas pats galioja ir jūsų IT futbolo aikštei. Patikėkite, puolančiųjų yra ir bus pakankamai.