Neveikiantys valstybinių institucijų tinklalapiai, paskleistos melagingos žinios ar pavogti asmeniniai klientų duomenys – su įvairiomis kibernetinėmis grėsmėmis, ypač pandemijos metu, pasaulis susiduria vis dažniau, tačiau platesnio atgarsio sulaukia tik mažoji atvejų dalis. Nors per pastaruosius penkerius metus kibernetiniai išpuoliai iškilo į didžiausių verslui keliamų globalių rizikų sąrašo viršūnę, 3 iš 5 Lietuvos įmonių neturi aiškios kibernetinės grėsmės valdymo strategijos, o ekspertai įspėja, kad vien informacinių sistemų apsaugos gali nepakakti.
Asociatyvi „Pixabay“ nuotr.
Kaip rašoma pranešime spaudai, kai kalbama apie skaitmeninį saugumą, didžiausio atgarsio viešumoje sulaukia kibernetiniai išpuoliai prieš dideles pasaulines bendroves arba valstybės institucijas. Krašto apsaugos ministerijos (KAM) duomenimis, 44 proc. smulkių ir vidutinių Lietuvos bendrovių nežino galinčios tapti kibernetinių atakų taikiniais, tačiau nuo grėsmės neapsaugotas nė vienas.
„Iki šiol gajus mitas, kad informacinių sistemų saugumu turi rūpintis tik IT sprendimus siūlančios įmonės arba stambios korporacijos. Vis dėlto užpuolikai gali taikytis ir į nedidelėje internetinėje parduotuvėje saugomus jautrius pirkėjų duomenis, kurių praradimas verslui gali atnešti tiek finansinius nuostolius, tiek teisinę atsakomybę. Nors viešojoje erdvėje išgirstame tik apie plataus masto kibernetines atakas, incidentai smulkiam ir vidutiniam verslui nutinka kasdien“, – teigia teisės firmos „Sorainen“ kibernetinių rizikų ir draudimo teisės ekspertė Indrė Pelėdaitė.
Nepaisant augančios grėsmės ir nuolatinio priminimo rūpintis informacinių sistemų saugumu, KAM duomenimis, net 4 iš 5 smulkių ir vidutinių bendrovių nevykdė ir kibernetinio saugumo rizikos vertinimo, o 60 proc. jų neturi ir formaliai apibrėžtos kibernetinio saugumo politikos. Anot „Blue Bridge“ sistemų inžinieriaus Ugniaus Klevinsko, norint apsisaugoti nuo grėsmių, būtina įvertinti ir pakitusį atakų pobūdį.
„Tikslinės, žmogaus valdomos kibernetinės atakos tampa vis agresyvesnės. Kartu daugėja ir automatizuotų atakų, kuriomis ieškoma pažeidžiamų vietų – pavyzdžiui, neatnaujintos ar senos programinės įrangos. Šiandien išpuolius skaitmeninėje erdvėje vis dažniau vykdo nebe programišių „elitas“, bet ir įvairūs laiko turintys savamoksliai“, – pasakoja kibernetinio saugumo specialistas.
Privatus tinklas nuo grėsmės neapsaugo
Besitęsiant COVID-19 pandemijai ir daliai darbuotojų dirbant nuotoliniu būdu, informacinio saugumo iššūkių sąrašas plečiasi. I. Pelėdaitės teigimu, įmonės turi atkreipti dėmesį ir į technologines galimybes užtikrinti saugumą, ir į psichologinius veiksnius.
„Tinkamai neapsaugoti darbuotojų kompiuteriai ir namų interneto tinklai atvėrė naujas atakų galimybes. Ypač pasikeitė duomenų užšifravimo ir išpirkos reikalavimo (angl. ransomware) metodai – kibernetiniai sukčiai užgrobia ne tik elektroninius duomenis, bet ir atsargines jų kopijas. Be to, galimybes sukčiauti sudaro ir visuotinė sumaištis – nežinios sąlygomis, darbuotojas labiau linkęs paspausti neaiškią nuorodą ar atidaryti nežinomą dokumentą su virusu“, – pasakoja teisininkė.
Anot jos, JAV tyrėjų duomenimis nuo šių metų vasario mėnesio, pasaulyje sukčiavimas el. laiškais išsaugo 600 proc., o 11 proc. šių atvejų sudaro kibernetinis šantažas. Nuo grėsmių neapsaugo ir privačių tinklų programinė įranga (angl. VPN), mat šiose programose netrūksta spragų, kuriomis gali pasinaudoti programišiai.
Ieško būdų sumažinti žalą
Informacinio saugumo ekspertas U. Klevinskas pažymi, kad kibernetinė ataka pažeidžia bendrovės sistemas, paralyžiuoja jos veiklą, paveikia trečiąsias šalis ir smukdo verslo įvaizdį.
„Kibernetinės atakos gali sužlugdyti ne tik verslo reputaciją, bet ir patį verslą. Viena vertus, pavogti klientų duomenys gali būti parduoti juodojoje rinkoje, o užsitęsus DDoS atakai (liet. paskirstyta paslaugos trikdymo ataka) organizacija visiškai negali vykdyti savo veiklos. Brangiai kainuoja ir šių atakų sustabdymas, ir pasekmių šalinimas“, – pasakoja jis.
Teisininkė I. Pelėdaitė svarsto, kad nors vis daugiau įmonių išsaugo duomenis išorinėse saugyklose ar kreipiasi pagalbos į informacinių sistemų specialistus, ne visada pasirūpina draudimu nuo galimų pasekmių. Nors Lietuvoje tokio pobūdžio draudimas dar tik populiarėja, kontinentinėje Europos dalyje besikreipiančiųjų į draudikus dėl nuostolių atlyginimo skaičius 2019 m. išaugo 83 proc. Kad tai prasminga, rodo ir vieno didžiausių pasaulyje kibernetinio įsilaužimo pavyzdys – 2018 m. buvo nutekinti 500 mln. viešbučio tinklo „Marriott“ lankytojų asmens duomenys, kuriuos sudarė itin jautri klientų finansinė bei asmeninė informacija – kredito kortelių bei asmens tapatybės dokumentų duomenys. „Marriott“ tinklui draudimas kompensavo 25 mln. JAV dolerių nuostolių – beveik 90 proc. patirtos žalos.
Skaičiuojama, kad 2019 m. Europoje net 67 proc. draudžiamųjų įvykių nutiko dėl kibernetinių atakų ir tik trečdalis incidentų buvo atsitiktiniai. Dažnai patyrus ataką, duomenų atkūrimas gali kainuoti pigiausiai. Kur kas brangiau atsieina tiek reputacinė žala, tiek nuostoliai bendrovės klientams. I. Pelėdaitė sako, kad vien bauda už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimą gali siekti iki 20 mln. Eur, arba, įmonės, įmonių grupės atveju – iki 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Todėl tinkamas grėsmių vertinimas ir adekvačių rizikos valdymo priemonių pasirinkimas gali padėti išvengti didžiulių nuostolių dėl nutrūkusios veiklos ar net bankroto.
Kibernetinė „higiena“ nekainuoja daug
IT sistemų inžinierius U. Klevinskas pastebi, kad dalį įmonių nuo investicijų į internetinį saugumą atbaido dideli kaštai, tačiau jis skuba nuraminti – saugumas ne visada brangus ir pradinį pasirengimą gali atlikti kiekvienas.
„Kartais brangūs apsaugos sprendimai nebūtini – pakanka laikytis kibernetinio saugumo „higienos“. Tam reikėtų taikyti griežtą slaptažodžių politiką, nuolat atnaujinti programinę įrangą, nenaudoti nelegalių programų, užtikrinti tinklo segmentaciją, šifruoti duomenis diske ir pasirūpinti atsarginėmis duomenų kopijomis, taikyti dviejų faktorių autentifikaciją. Reikėtų apgalvoti ir strategiją, kaip elgtis kibernetinės atakos atveju – kiekvienas darbuotojas turi žinoti savo atsakomybę ir veiksmus, kuriuos jam reikia atlikti“, – patarimais dalijasi kibernetinio saugumo ekspertas.
Vyresnioji teisininkė I. Pelėdaitė sako, kad įvykus incidentui, tam tikrais atvejais draudimas gali kompensuoti tiek reikalaujamą išpirką už duomenis, tiek krizės valdymo išlaidas: skubias kibernetinio įvykio pasekmėms suvaldyti skirtas IT, teisines, viešųjų ryšių ir kitas išlaidas, tiek negautą pelną dėl kibernetinio įvykio sukelto verslo nutrūkimo, tiek trečiųjų šalių patirtus nuostolius. Renkantis sprendimą, ji pataria įvertinti ir draudiko pasirengimą padėti įmonei tvarkytis su kilusia grėsme – numatytą IT ir teisininkų komandą trikdžių šalinimui, sutarties terminus, jos aprėptį.
„Dažnai galvojama, kad jei už skaitmeninius sprendimus atsakinga išorinė IT bendrovė, visos pretenzijos dėl kibernetinės atakos žalos gali būti adresuojamos jai. Vis dėlto kiekviena įmonė atsakinga už savo saugumą ir klientų duomenis, todėl užuot pasikliovus likimu, reikėtų galvoti tiek apie atakos prevenciją, tiek apie pasekmių likvidavimą“, – svarsto ji.