Šiandien sunku įsivaizduoti tvarų verslą, kuris kibernetinio saugumo nelaiko reikšmingu rizikos valdymo ir veiklos tęstinumo prioritetu. Neseniai Nacionalinis kibernetinio saugumo centras paskelbė 2023 m. l-ojo ketvirčio vidutinių kibernetinių incidentų skaičių, kuris atskleidė, kad net 6 iš 7 incidentų buvo susiję su duomenis šifruojančia ir išpirkos reikalaujančia programine įranga. Tokio tipo incidentų skaičiaus augimas atspindi pasaulines tendencijas – ES kibernetinio saugumo agentūra šią grėsmę jau antrus metus iš eilės įvardija kaip šiuolaikinę rykštę verslo tęstinumui. Advokatų kontoros „TGS Baltic“ partneris, Technologijų industrijos grupės vadovas Mindaugas Civilka atkreipia dėmesį, kiek įmonei gali kainuoti neatsakingas paspaudimas ir kaip tai atsiliepia darbuotojams.
Asociatyvi „Pixabay“ nuotr.
Deja, statistika, susijusi su verslų atsigavimu po išpirkos reikalaujančių programų, vadinamųjų ransomware, atakų yra labai liūdna. Pavyzdžiui, 2022 m. JAV bendrovės „CyberCatch“ atliktas tyrimas rodo, kad 75 proc. mažų ir vidutinių įmonių būtų priverstos užsidaryti ransomwaro atakos rezultate (buvo atlikta 1 200 mažų ir vidutinių įmonių JAV apklausa). Tyrimai rodo, kad 60 proc. įmonių, kurios patiria tokio tipo ataką, per 6 mėnesius nutraukia veiklą.
Jau įprasta kartoti, kad pirmoji, svarbiausia ir, deja, silpniausia organizacijos kibernetinio saugumo grandis – žmonės. Kibernetinė higiena neįmanoma be darbuotojų raštingų IT srityje. Net ir įmantriausios techninės saugumo priemonės nepadės ir organizacinės kontrolės neišgelbės, jeigu organizacijos darbuotojai neturės elementarių praktinių kibernetinio apsisaugojimo įgūdžių.
Ugdyti atsparumą socialinei inžinerijai, apgaulei ir vadinamajam fišingui galima tik organizuojant reguliarius mokymus, žinių patikrinimus, praktinius užsiėmimus, incidentų simuliacijas. Tokios mokymo programos ne tik skatina darbuotojų kibernetinę higieną, bet ir ugdo kolektyvinės atsakomybės už verslo saugumą jausmą.
Mokymų dažnumą ir formą galima pritaikyti prie kiekvieno verslo. Paprasti mokymai gali būti rengiami per reguliarius susirinkimus, kuriuose aptariami pagrindiniai saugumo principai, intensyvesni mokymai pagal verslo veiklos poreikius gali būti rengiami kasmet. Šios sesijos gali vykti vietoje arba internetu kaip kibernetinio saugumo pamokos. Labai svarbu, kad tokie mokymai vyktų reguliariai, nes kibernetinės grėsmės nuolat kinta. Darbuotojams svarbu suteikti naujausią informaciją apie grėsmes ir saugumo priemones.
Ir, visgi, tiesa dvejopa – viena vertus, kibernetinio saugumo mokymų, simuliacijų, testų, uždavinių ir pan. darbuotojams niekada nebus per daug. Kita vertus, praktika rodo, kad net ir gerai apmokyti darbuotojai daro klaidų, kurios organizacijoms neretai kainuoja labai daug. Valstybinės duomenų apsaugos inspekcijos paskelbta 2023 m. pirmojo pusmečio asmens duomenų saugumo pažeidimų ataskaita taip pat aiškiai nurodo, kad kaip ir pernai, taip ir šiemet – vyraujanti saugumo pažeidimų priežastis – ne IT priemonių stoka ar procesų netobulumas, o žmogiškoji klaida (sukėlusi virš 77 proc. visų incidentų).
Ką gali darbuotojo klaida?
Visų pirma, vieną galimą atsakymą į šį klausimą pateikia Darbo kodeksas, kurio 151 str. nurodoma, kad kiekviena darbo sutarties šalis privalo atlyginti savo darbo pareigų pažeidimu dėl jos kaltės kitai sutarties šaliai padarytą turtinę žalą, taip pat ir neturtinę žalą. Be abejo, svarbiausias klausimas – kaip kvalifikuoti tokius darbuotojo veiksmus?
Darbuotojo veiksmų vertinimas turėtų būti individualus ir labai priklauso nuo to, kada paskutinį kartą buvo vesti mokymai, kas juos vedė ir ar juose dalyvavo darbuotojas. Įvertinti, ar mokymai buvo specializuoti, skirti aptariamai grėsmei, ar labiau bendro pobūdžio, ar mokymų metu buvo pateiktos praktinės užduotys ir buvo praktiškai tikrinamos darbuotojų žinios, ar darbuotojai buvo supažindinti su įmonės IT išteklių apsaugos priemonėmis, ar buvo apmokyti tas priemones taikyti ir pan. Verta apsvarstyti, ar buvo organizuojamos realių situacijų, incidentų simuliacijos, kurių metu būtų formuojami praktiniai darbuotojų įgūdžiai. Ir, žinoma, kokie buvo darbuotojo teorinių žinių ir praktinių įgūdžių patikrinimo rezultatai (ir ar išviso buvo). Nereikėtų pamiršti apsvarstyti ir tai, ar su darbuotoju buvo pasirašyta konfidencialumo sutartis, kurioje buvo specifiškai įtvirtintos pareigos, susijusios su kritinių IT išteklių apsauga, saugumo kontrolių diegimu ir taikymu, papildomų atsargumo priemonių taikymu ir panašiai.
Tik atsakę į visus šiuos klausimus žinosite, kaip vertinti konkretaus darbuotojo klaidą.
Jeigu incidentą sukėlė nerūpestingas darbuotojo veiksmas (pavyzdžiui, jis apsilankė netikroje svetainėje, paspaudė netikrą nuorodą), apie kurį buvo specialiai kalbėta mokymų metu, nuo kurio apsisaugojimo įgūdžiai buvo formuojami ir tikrinami užsiėmimų metu, ir kurio vidutinio atidumo ir vidutinio rūpestingumo vidutiniškai apmokytas darbuotojas būtų turėjęs išvengti, reiškia, kad kalbame apie darbuotojo didelį neatsargumą. Tokiais atvejais darbdaviai be vidinių drausminių priemonių (tokių kaip įspėjimas), gali pareikalauti ir žalos atlyginimo.
Aišku, reikia nepamirši, jog remiantis Kodeksu, iš darbuotojo negalima reikalauti atlygintini turtinės žalos sukelto jo didelio neatsargumo veiksimais, kuri viršija šešių vidutinių darbo užmokesčių dydžius (153 str.).
Apskaičiuojant žalą turi būti atsižvelgiama į faktą, kiek patirtai žalai atsirasti turėjo įtakos darbdavio veiklos pobūdis, ir jam tenkanti bendroji komercinė rizika, be to, svarbus ir darbuotojo susipažinimo su informacija įrodomumas, dalyvavimas mokymuose ir kiti veiksniai.
Be to, svarbu nepamiršti, kad yra ir kita medalio pusė – ir įmonės vadovybei gali kilti atsakomybė prieš bendrovę ir jos akcininkus dėl nepakankamo kibernetinio incidento užkardymo, suvaldymo, pasekmių likvidavimo, tais atvejais, kai vadovybė iš viso nesirūpina darbuotojų mokymais, neteikia reikiamo prioriteto kibernetiniam atsparumui, neformuoja darbuotojų įgūdžių ir pan.
Geriausiai po kibernetinių atakų atsigauna ir savo veiklą tęsia įmonės, kurios:
- Atlikusios darbuotojų (kritinių pozicijų, t.y., tų, kurių užduotys susijusios su įmonės kritiniais IT ištekliais) mokymus.
- Pasirūpinusio pakankama kritinių IT išteklių atsargine kopija. Įsitikinkite, kad turite ilgą patikrintų atsarginių kopijų istoriją ir svarbiausios atsarginės kopijos yra saugomos neprisijungus prie tinklo, t.y., už tinklo ribų. Užtikrinkite, kad atsarginės kopijos būtų daromos pakankamai dažnai, kad būtų galima visiškai atkurti aplinką patyrus ataką.
- Pasirūpinusios patikimu draudimu. Reguliariai pasitarkite su savo draudimo bendrove, kas yra apdrausta, o kas ne.
- Pasirūpinusios veiklos atkūrimo ir tęstinumo taktiniu planu. Į jį įtraukite veiksmus susijusius su vadovybe, klientais, teisėsauga ir visais, kurie galimai prarado duomenis.
- Patikrinusios, ištestavusios savo kibernetinį atsparumą – ransomware atakos modeliavimas, įsilaužimų simuliacija yra geriausias būdas patikrinti savo atsaką ir identifikuoti trūkumus reaguojant į incidentus.
- Stebi savo veiklos pėdsakus internete. Svarbu atidžiai ir aktyviai stebėti visus viešai prieinamus įmonės duomenis. Ransomware veikėjai vertindami atakos prieš organizaciją pelningumą paprastai siekia kuo daugiau surinkti viešai prieinamos informacijos.