Kibersaugus verslas Kibersaugus verslas Kibersaugus verslas Kibersaugus verslas Kibersaugus verslas

VERSLO TRIBŪNA

RĖMIMAS
  1. Pagrindinis
  2. Kibersaugus verslas
2025-11-26 05:30
„Surfshark“

„Surfshark“ rizikos valdymo vadovas P. Dauknys: kuriant savo kibernetinį atsparumą, bijokite tingumo, o ne klaidų

„Surfshark“ nuotr.
„Surfshark“ nuotr.
Kibernetinės atakos paliečia ne vien technologijas, jos taikosi į verslo procesus, tiekimo grandinę ir žmones, todėl tai nebėra tik IT skyriaus problema. Pasak tarptautinės įmonės, kuriančios saugumo ir privatumo produktus, „Surfshark“ rizikos valdymo vadovo P. Dauknio, griežtėjantys reguliavimai privers aukščiausius vadovus prisiimti atsakomybę už saugumo trūkumus, todėl ši sritis įmonėje turi būti valdoma taip pat nuosekliai, kaip finansai ar kokybės kontrolė.

Į žmogų taikosi ne veltui

Pernai beveik 95 proc. visų duomenų saugos incidentų įvyko dėl žmogiškosios klaidos, rodo IBM statistika. Negana to, remiantis „Verizon“ 2024 m. ataskaita (angl. Data Breach Investigations Report, DBIR), net 68 proc. jų baigėsi realiais duomenų pažeidimais, kurių vidutinė vertė siekia apie 5 mln. dolerių.

„Tai rodo, kad formalūs saugos mokymai ne visada veikia – žmonės linkę pamiršti informaciją, o pasyvi edukacija nesukuria įpročių. Svarbu ugdyti kritinį mąstymą ir mokyti darbuotojus suvaldyti rizikas realiu laiku“, – komentuoja P. Dauknys.

„Surfshark“ rizikos valdymo vadovas Paulius Dauknys.

Pasak jo, „Surfshark“ kasmet organizuoja „Risk Awareness Week“ – holistinę iniciatyvą, kurios tikslas – šviesti darbuotojus, primenant apie rizikas ir mokant jas atpažinti per įtraukiančius simuliacijų testus: „Modeliuojame realias grėsmes tiek virtualioje, tiek realioje erdvėje. Pavyzdžiui, vykdome fizinės saugos testus – tikriname, ar darbuotojai neįleis nepažįstamų asmenų į biurą. Šios programos tikslas – paversti kiekvieną darbuotoją aktyvia „užkarda“.

Kalbant apie dažniausias atakas, P. Dauknys išskiria į žmogų nukreiptas socialinės inžinerijos, sukčiavimo (angl. phishing), išpirkos reikalaujančias ir jokios garantijos ją sumokėjus nesuteikiančias (angl. ransomware) atakas bei tiekimo grandinės išpuolius, kada programišiai nebando įsilaužti į pačią įmonę, bet kaip vartus į sistemą naudoja silpniau apsaugotus verslo partnerius ar tiekėjus. Pašnekovas pripažįsta, kad visų jų vykdymo būdai nuolat tobulėja, o prie to prisideda ir dirbtinis intelektas (DI).

„DI keičia žaidimo taisykles – atakas pavertė masiniu produktu ir leidžia jas vykdyti žymiai greičiau ir kokybiškiau. Anksčiau galėdavome atpažinti phishing laiškus iš klaidų, dabar DI kuria tobula gramatika, imituoja toną ir netgi generuoja tikroviškus vaizdo ar balso įrašus (angl. deepfakes). Atakų kartelė užkelta taip, kad darbuotojams tampa itin sunku atskirti realybę nuo apgaulės“, – įspėja P. Dauknys.

Privalo atsirasti valdybos dienotvarkėje

Dėl šių atakų nuo šiol atsakomybę turės prisiimti ne tik IT skyrius. Be minimalių privalomų kiekvienai organizacijai rizikos valdymo priemonių, antroji Europos Sąjungos Tinklų ir informacinių sistemų saugumo direktyva (TIS2, angl. NIS2) numato tiesioginę vadovybės atsakomybę už reikalavimų laikymąsi. Tai pakelia kibernetinio saugumo klausimą į strateginį lygį ir įveda prievolę vadovams suprasti kibernetinę riziką ir teisingai priimti sprendimus.

„Didžiausia problema yra tai, kad įmonių vadovai ir IT skyriai kalba skirtingomis kalbomis, todėl vadovų mokymai turi būti perorientuoti į verslo kalbą – atsakingi darbuotojai turi paaiškinti saugumo biudžeto poreikį per rizikas ir poveikį verslui. Techniniai niuansai vadovams nieko nesako, nes jie mato tik papildomą kaštų eilutę. Todėl patariu įvesti juos į realias situacijų simuliacijas – pavyzdžiui, dėl ransomware atakos sustojus finansiniams srautams pareikalauti, kad šie priimtų sprendimus. Tai gana dažnai juos priverčia suvokti problemos mastą“, – siūlo „Surfshark“ rizikos valdymo vadovas.

Taip pat, pasak jo, kiekvienas saugumo trūkumas turi būti išverstas į galimą piniginį nuostolį per prastovas ar baudas, o saugumo priemonės integruotos į incidentų valdymo ir verslo tęstinumo planus. Kad atsakomybė būtų aiški, saugumo klausimai privalo atsirasti valdybos susirinkimų dienotvarkėje – kiekvienas vadovas turi žinoti savo vaidmenį incidentų valdymo plane, nes tai priverčia juos jaustis atsakingais ir domėtis, kas vyksta.

P. Dauknio teigimu, svarbu parodyti ir tai, kad investicijų į kibernetinį saugumą atsiperkamumas matuojamas ne sėkmingų atakų pasekmėmis, o trimis atsparumo dedamosiomis.

„Prastovų ar incidentų skaičius nėra rodiklis. Reikia rodyti prevencinę naudą, nes būtent taip atsiperka investicijos. Pirmiausia, atkreipti dėmesį į incidentų sprendimo laiką – per kiek laiko įmonė atsistato po smulkaus ar simuliuoto incidento. Antra, įvertinti darbuotojų atsparumo lygį – kiek jų atlaikė simuliaciją, kiek sistemų naudoja daugiapakopį prisijungimą (angl. Multi-Factor Authentication, MFA). Kuo geresnis rezultatas – tuo mažiau išorinių rizikų. Trečia, investicijos atsiperka per greitesnį sandorių uždarymą – aukštas įmonės saugumo lygis gali leisti laimėti naują partnerį ar klientą be papildomų derybų, o vien dėl to, kad atitinkate griežtus saugumo standartus“, – aiškina jis.

Pažeidžiamumas nepriklauso nuo dydžio

„Mažos ir vidutinės įmonės (MVĮ) per mažos, kad jas atakuotų“. Anot P. Dauknio, taip manyti yra klaidinga. Priešingai – sukčiai vis dažniau renkasi MVĮ kaip taikinius, vertindami jas kaip silpną grandį, kuriai dažnai trūksta reikiamų finansinių ir žmogiškųjų resursų didelėms IT investicijoms. Todėl jų atsparumui užtikrinti pašnekovas siūlo kelis bazinius privalomus ir veiksmingus higienos sprendimus.

„Pirmiausia, tai – nuolatinis darbuotojų sąmoningumo ugdymas nuosekliais mokymais ir, svarbiausia – phishing atakų simuliacijomis, kurios atsparumą stiprina geriau nei bet koks seminaras. Taip pat būtina užtikrinti MFA standartą visiems darbuotojams. Incidentų valdymo plano bei instrukcijų parengimas, verslo partnerių saugos patikra, atsarginės duomenų kopijos ne įmonės tinkle irgi turi atsirasti prioritetinių darbų sąraše“, – dalijasi jis.

Pasak P. Dauknio, didžiausia MVĮ klaida yra prioritetų nukreipimas ne ten, kur reikia: „Vietoj to, kad būtų užtikrinta bazinė saugumo higiena, įmonės dažnai perka brangią, tačiau jų infrastruktūrai nepritaikytą įrangą. Ją įsigijus, neretai pritrūksta ir žmogiškųjų išteklių, kompetencijos su ja dirbti. Turint ribotus išteklius, verčiau susikoncentruoti į konkretų veiksmų sąrašą ir pasirinkti priemones pagal saugomos informacijos vertę“.

Bijokite tingumo, nebijokite klaidų

„Surfshark“ atstovas sako, kad jų pačių kibernetinė higiena jau seniai peržengė bazinį lygį.

„Gyvename „Zero Trust“ principu – niekuo nepasitikime ir viską nuolat tikriname tokiais principais, kokius siūlome ir kitiems. Kadangi mums rūpi klientų privatumas, griežtai laikomės „No Logs“ politikos – nekaupiame VPN naudotojų duomenų, kad nebūtų galima atsekti vartotojų elgsenos internete, kai jie naudojasi mūsų produktais“, – pasakoja įmonės rizikos valdymo vadovas.

Anot jo, tiek įmonės infrastruktūra, tiek aplikacijos yra testuojamos visame jų gyvavimo cikle – nuo sukūrimo iki eksploatavimo nutraukimo. Taip pat vykdoma „Bug Bounty“ programa, kurios metu etiški įsilaužėliai sistemose ieško spragų už atlygį. Nors kvantinė kompiuterija yra ilgojo laikotarpio strateginis rūpestis, jam taip pat jau ruošiamasi.

„Todėl mūsų patarimas kitoms įmonėms būtų paprastas: bijokite tingumo, nebijokite klaidų. Atsparumo didinimas ne tik apsaugo, bet ir padeda dirbti ramiau, gauti daugiau patikimų partnerių, klientų, geresnes draudimo įmokas ir dirbti stabiliau. Saugus verslas kuria pasitikėjimą – klientai lieka lojalūs, o geriausi specialistai nori pas jus dirbti. Gebėjimas greitai atsistatyti po incidento yra galingiausias šiuolaikinės lyderystės požymis ir verslo tęstinumo garantas“, – akcentuoja P. Dauknys.

REKOMENDUOJAME

52795
130817
52791