Kokius namų darbus IT saugos srityje turi būti atlikęs vadovas, kad ramiai atostogautų?
Statistiniais įvairių šaltinių duomenimis, būtent vasaros metu stebimas išaugęs kibernetinių saugumo incidentų skaičius. Pavyzdžiui, 2023 m. „SonicWall“ ataskaita atskleidė, kad vasaros mėnesiais ypač išaugo išpirkos prašančių („ransomware“ tipo) atakų skaičius. Tai galima paaiškinti tuo, kad dalis darbuotojų vasaros metu daug dažniau dirba nuotoliu, ne visada naudoja saugius įrenginius ar interneto prieigos būdus, silpsta žmonių budrumas, o kibernetiniai nusikaltėliai nepraleidžia progos tuo pasinaudoti. Todėl nei vienas įmonės ar organizacijos vadovas negali ramiai atostogauti neįsitikinęs, kad jo vadovaujama organizacija yra užsitikrinusi bent minimalų IT saugos lygį.
Paprastai didesnių įmonių vadovai suvokia IT saugos svarbą ir rizikos mastą, todėl įmonėse būna nusistovėję tam tikri procesai, taikomos technologinės ir organizacinės priemonės, dirba IT specialistų ar išorės tiekėjų komandos. Trumpai tariant – dažniausiai informacijos saugumui skiriama pakankamai dėmesio ir pajėgumų.
Tuo tarpu smulkių ir vidutinių įmonių vadovai, turintys ir taip daug įvairių pareigų, IT saugai skiria nepakankamai dėmesio, galvodami esą jų įmonė yra per smulki, kad ją kas nors pultų. Iš savo ilgametės darbo IT rinkoje patirties galiu paliudyti, kad tai klaidingi įsitikinimai. Ne kartą teko susidurti ir su vos kelis darbuotojus turinčiomis įmonėmis, kurios nukentėjo nuo kibernetinių sukčių. Ironiška, kad išleidusios pinigus susimokėti išpirkai, tokios įmonės paprastai ir toliau neinvestuoja į IT saugą, tikėdamos, kad „žaibas į tą pačią vietą antrą kartą netrenks“. Deja, patirtis rodo, kad trenkia. Todėl pasirūpinti bent minimaliu įmonės IT saugos lygiu būtina, nelaukiant net ir atostogų, ir tą galima atlikti laikantis kelių gan paprastų žingsnių.
Pirmiausia reiktų įsivertinti labiausiai pažeidžiamas įmonės veiklos vietas, tuomet pasirūpinti bent minimalia darbuotojų naudojamų skaitmeninių įrankių sauga ir galiausiai – svarbu iš anksto žinoti, į ką kreipsitės pagalbos ištikus bėdai. Kiekvieną žingsnį aptarkime atskirai.
Įsivertinkite labiausiai pažeidžiamas vietas
Kiekvienos įmonės situacija ir jautrumas įvairioms kibernetinėms atakoms skiriasi. Todėl pirmiausia reiktų įsivertinti, kaip stipriai ir kurią (-ias) jūsų veiklos sritį (-is) labiausiai paveiktų įvairios kibernetinės atakos. Kokio dydžio žalą patirtumėte, jei netektumėte svarbių, galbūt net konfidencialių veiklos duomenų? O jei duomenys būtų paviešinti arba būtų pavogti jūsų techniniai išradimai? Kaip jūsų įmonės kasdieninis darbas priklauso nuo nuolatinio kompiuterių ir tam tikrų programų veikimo, ar nesustotų jūsų organizacijos veikla – visiškai ar dalinai – jei jie nustotų veikti? Kokie būtų to nuostoliai? Ar verta itin stipriai saugoti el. paštą, jei su klientais daugiausiai bendraujate telefonu ar soc. tinklų pagalba? Įsivertinę savo įmonės svarbiausias ir labiausiai pažeidžiamas vietas, žinosite, kam skirti prioritetą ir didžiausią dėmesį. Pagal tai atitinkamai suplanuokite bei skirkite biudžetą.
Tyrimai rodo, kad didžioji dalis įsilaužimų į organizacijų sistemas įvyksta per skaitmenines (kompiuterizuotas) darbo vietas – nesaugius slaptažodžius, neatsargiai naudojamas įvairias sistemų paskyras ir įmonės nevaldomus įrenginius ar dėl kitokių IT įrankių naudotojų klaidų. Pavyzdžiui, atsidarant pavojingas nuorodas el. laiškuose ar teikiant savo paskyrų duomenis nepatikimais komunikacijos kanalais. Todėl būtent skaitmeninių darbo vietų apsaugai pirmiausiai ir reikia skirti didžiausią dėmesį kiekvienoje organizacijoje – tai yra silpniausia visų įmonių IT saugumo grandis.
Apsaugokite skaitmenines darbo vietas: įrenginius, paskyras, komunikacijos kanalus
Šiais laikais kiekvienas darbuotojas gali turėti net kelis įrenginius, aibę paskyrų, keliasdešimt naudojamų programų. Taigi atsiranda daugybė prieigos į kertines įmonės sistemas taškų. Jei šių taškų apsaugai nėra taikomos bazinės apsaugos priemonės, tuo naudojasi piktavaliai.
Įrenginiams apsaugoti svarbu naudoti bent jau šias pagrindines priemones: antivirusines programas įrenginių ir el. pašto apsaugai; apsaugos priemones nuo kibernetinių šiukšlių ir atakų (t.y. tokias priemones, kaip „spamo“ atfiltravimą, nesaugių nuorodų identifikavimą, el. laiškų priedų patikrinimą saugioje „smėliadėžės“ tipo aplinkoje); darbuotojų paskyrų apsaugos priemones (kelių faktorių autentifikavimą, prieigos teisių valdymą pagal tam tikrus parametrus) bei periodiškai kurti svarbių duomenų atsargines kopijas.
Ypač daug dėmesio reiktų skirti darbuotojų paskyrų apsaugai. Tenka pastebėti, kad dažnai mažose įmonėse darbuotojai dėl resursų stygiaus naudoja asmenines paskyras, jungdamiesi prie darbui naudojamų programų, pavyzdžiui, „Skype“ ar VPN programų. Tokiais atvejais darbuotojai patys rūpinasi ir šių programų susidiegimu, konfigūravimu, administravimu ir susidorojimu su bet kokiais kylančiais iššūkiais. Natūralu, kad neturint reikiamos patirties ir bandant patiems spręsti problemas, lengvai galima tapti kibernetinių nusikaltėlių taikiniu.
Verta žinoti, kad daugiau kaip 90 proc. kibernetinių incidentų įvyksta per nulaužtas paskyras, kai piktavaliai patenka į įmonės vidines sistemas. Gera žinia, kad yra greitas sprendimas, padedantis efektyviai apsaugoti darbuotojų paskyras. Tai yra kelių faktorių autentifikacija. Naudojant šią priemonę asmens tapatybė turi būti patvirtinta ne tik el. pašto adresu ir slaptažodžiu, bet dar ir PIN kodu, gautu SMS arba sugeneruotu atitinkama programa. Įvairių tyrimų duomenimis, būtent kelių faktorių autentifikacijos naudojimas padeda daugiau kaip 95 proc. atvejų išvengti su paskyromis susijusių atakų.
Taigi įsigykite priemones pagal suplanuotus biudžetus ir bazinėmis priemonėmis būtinai aprūpinkite darbo vietas.
Žinokite, kur kreipsitės pagalbos, jei prireiktų
Trečiasis dalykas, kuriuo reikia pasirūpinti ne tik prieš atostogas, tai žinoti, kur kreipsitės pagalbos, jei visgi nutiktų kibernetinis incidentas arba įtarsite, kad toks galimai vyksta. Galbūt turite vidinį IT specialistą, informacijos saugos specialistą, galbūt visą IT skyrių arba išorės konsultantus. Didžiulė klaida pagalbos ieškoti tik susidūrus su problemomis, nes tam sugaišite tokioje situacijoje itin brangaus laiko ir patirsite dar daugiau nuostolių.
Jei didesnės įmonės gali pasikliauti savo vidiniais IT komandos resursais, tai mažesnėms, tokių resursų neturinčioms, rekomenduojama turėti susitarimus su išorės paslaugas teikiančiomis įmonėmis. Tai nebūtinai reiškia, kad turite įsipareigoti įsigyti nuolatinio aptarnavimo ir priežiūros paslaugas, galite susitarti tik dėl kreipimosi nutikus krizinei situacijai. Tuomet taikomi valandiniai įkainiai ir sumokama pagal faktines gautas paslaugas. Tokiose sutartyse itin svarbu nusimatyti jums priimtiną reakcijos laiką – tai jūsų garantas, kad atsiradus problemoms gausite greitą pagalbą. Taigi jau dabar pradėkite diskusijas su specialistais ir susitarkite dėl konkrečių pagalbos sąlygų ir priemonių.
Tik atlikus visus prieš tai išvardintus žingsnius arba įsitikinus, kad šiais dalykais pasirūpinta iš anksčiau, vadovas gali ramiai atostogauti. Priešingu atveju, tai tas pats, kas išvažiuoti atostogų ir palikti savo namus nerakintus, atidarytomis durimis ir langais – tarsi kviečiant nusikaltėlius užsukti. Anksčiau ar vėliau jie tuo kvietimu tikrai pasinaudos.