VERSLO TRIBŪNA

RĖMIMAS
  1. Pagrindinis
  2. Inovacijos
2025-05-15 12:10
„Crayon Lithuania“

Debesijos vaidmuo auga, bet kartu daugėja ir rizikų: ko imtis norint užtikrinti saugumą?

Saimonas Balinskas - tarptautinės programinių technologijų kompanijos „Crayon“ debesijos konsultantas.
Saimonas Balinskas - tarptautinės programinių technologijų kompanijos „Crayon“ debesijos konsultantas.
Pastaraisiais metais šalies institucijos ir verslai vis dažniau tampa taikiniais – nuo koordinuotų kibernetinių atakų iki informacinių provokacijų. Hibridinės grėsmės, ypač iš kaimyninių Rusijos ir Baltarusijos bei tolimos, bet kibernetinių įsilaužimų, šnipinėjimo ir sabotažo srityje itin aktyvios Šiaurės Korėjos, išryškino esminį klausimą: kaip Lietuvos verslams apsaugoti savo duomenis ir sistemas debesijos paslaugų amžiuje?

Skaitmeninėje erdvėje Lietuva ir kitos Baltijos šalys jau kuris laikas nėra tik stebėtojos, bet aktyviai dalyvauja plečiant paslaugas ir technologijas, pasiekiamas iš debesų kompiuterijos tiekėjų platformų, tokių kaip Microsoft Azure, Amazon Web Services ir panašiai.

Tinkamai suprojektuota, prižiūrima ir nuolat stebima debesų kompiuterija gali būti ne tik patogi platforma greitam naujų idėjų testavimui, bet ir svarbi skaitmeninės gynybos dalis. Krizės ar incidento atveju ji padeda užtikrinti kritinių paslaugų tęstinumą, o gyventojams – išlaikyti ryšį, komunikaciją bei prieigą prie svarbiausių IT sistemų, tokių kaip LT72 mobili programėlė, eSveikata, žiniasklaidos platformos, el. bankininkystė ar telekomunikacijų tinklai.

Vis dėlto, netinkamai sukonfigūruotos aplinkos ar neatsakingi, nesaugūs ir neaiškūs duomenų srautai bei klaidingi įsitikinimai apie „saugumą pačioje debesijoje“ be svarbių pagrindų ir kontrolės mechanizmų kelia realią riziką. Dažniausiai apie tokias rizikas sužinoma per vėlai, nes kenkėjai dažniau renkasi kantraus stebėjimo taktikas tyliai patekus į vidų arba, sužinoję apie silpnąsias vietas, stengiasi maksimaliai pažeisti kritinės svarbos sistemas, kai jų labiausiai reikia.

Tad kaip užbėgti rizikoms už akių, neaukojant debesijos suteikiamų privalumų?

Debesija yra labai (ne)saugi ir kiti mitai

Pirmiausia būtina sugriauti dažniausiai pasitaikančius mitus apie debesų kompiuterijos saugumą.

„Debesijos paslaugų tiekėjas viską apsaugos už mus.“

Daugelis įmonių painioja atsakomybės ribas. Nors tokie gigantai kaip „Microsoft“, „Google“ ar „Amazon“ užtikrina pačios infrastruktūros fizinį ir kibernetinį saugumą, bet duomenų apsauga, prieigos kontrolė ir konfigūracijų saugumas lieka jų klientų ir IT komandos rankose. Debesija yra kaip smėlio dėžė, kurioje galima greitai kurti ir griauti, o paslaugų tiekėjai užtikrina, kad jums bus prieinami reikalingi resursai. Ką viduje su jais darysite – jau jūsų atsakomybė ir laisvė.

„Debesija nėra saugi – geriau viską laikyti vietoje.“

Fiziniai serveriai nuosavoje teritorijoje (angl. On-Premises) dažnai atrodo kaip saugesnis variantas dėl savos kompiuterinės įrangos. Vis tik realybėje būtent tokia įranga dažniau prižiūrima netinkamai, neatnaujinama ir neturi veiksmingo atsarginių kopijų proceso, o blogiausiu atveju tokio proceso išvis nėra. Gerai sukonfigūruota debesija dažnai yra saugesnė nei vietiniai sprendimai, kartais pagal nutylėjimą gaunama ir daugiau už turimų sprendimų saugumo lygi. Kartu ir papildomų atsarginių kopijų kūrimas nereikalauja stambios pradinės investicijos, kurios reikėtų norint statyti serverinę savo patalpose, užtikrinti jos fizinę saugą, priežiūrą ir aptarnavimą.

„Mažai įmonei niekas negresia – mes nesame įdomūs.“

Priešingai – mažos ir vidutinės įmonės dažnai tampa taikiniais, nes taiko silpnesnes saugumo priemones. Automatizuoti išpirkos virusų ir sukčiavimo išpuoliai neturi specifinio taikinio – pakanka vienos silpnos grandies. Paskutiniu metu, augant dirbtinio intelekto prieinamumui prie duomenų analizės algoritmų, nevengiama išsiaiškinti įmonės pajamų srautus ir pagal tai apskaičiuoti reikalaujamos išpirkos dydį. Tokia gilesnė analizė prieš pradedant ataką, o ne bukas reikalavimas sumokėti nerealistišką sumą, gerokai padidina tikimybę, kad išpirka bus gauta.

Didžiausia kibernetinio saugumo grėsme Europos Sąjungoje tapusios ransomware (išpirkos reikalaujančios programos) 2021 m. sukėlė ekonominės žalos už daugiau kaip 65 milijardus eurų. ENISA duomenimis, kas mėnesį nutekinami daugiau nei 10 terabaitų duomenų, o pradinio įsilaužimo taškai lieka neaiškūs net 95,3 proc. atvejų.

Nors akivaizdūs ir dažniausi taikiniai yra viešosios paslaugos ir kritinė infrastruktūra, vis dažniau atakuojamas SVV sektorius – mažos ir vidutinės įmonės, neturinčios nei išteklių pasiruošti tokioms atakoms, nei atsitiesti po jų. Tyrimas atskleidžia, kad net 83 % atvejų lieka neaišku, ar buvo sumokėta išpirka, nes verslai vengia viešumo bijodami netekti reputacijos ar pažeisti duomenų apsaugos teisės aktus.

Pagrindinės Lietuvos verslo rizikos debesijos aplinkoje 

Lietuvoje veikiančios įmonės, ypač atsižvelgiant į geopolitinį nestabilumą, turėtų skirti dėmesį šioms rizikoms:

  • Neribojama prieigos kontrolė
    Pavyzdžiui, naudotojai su plačiomis teisėmis arba be kelių veiksnių/faktorių autentifikavimo tampa lengvu taikiniu. Būtina pagalvoti apie aukštos prieigos teisių delegavimą ar jų aktyvavimą tik tada, kai jų išties reikia.
  • Neskaidrūs duomenų srautai ir lokacija
    Duomenys, laikomi už ES ribų ar nesišifruojantys transportavimo metu, gali pažeisti tiek BDAR, tiek naujus saugumo reikalavimus ateinančius su TIS2 direktyva.
  • Neatnaujintos ar pažeidžiamos sistemos debesijoje
    Pažeidžiami konteineriai, atviri API arba neprižiūrimi debesijos resursai – dažni kibernetinių išpuolių taikiniai. Šias rizikas galima suvaldyti taikant „Zero-Trust“ principus, nuolatinį resursų monitoringą, saugumo testavimą (pvz: DevSecOps) bei vadovaujantis tokiomis gairėmis kaip NIS2, ISO/IEC 27001 ar „Center of Internet Security“ rekomendacijomis.
  • Priklausomybė nuo vieno paslaugų teikėjo be atsarginių kopijų plano
    Kritinė infrastruktūra neturi būti laikoma tik viename regione ar vienoje debesijos platformoje be aiškaus atkūrimo plano. 

Ką rekomenduoja TIS2?

Pagrindinės pažeidžiamumo priežastys yra netinkamai apsaugoti debesijos resursai, silpna prieigos kontrolė, nesuvaldytos tiekimo grandinės rizikos bei neparengti incidentų reagavimo planai. Šie veiksniai tiesiogiai prieštarauja TIS2 direktyvos reikalavimams, įpareigojantiems įmones užtikrinti nuolatinį atsparumą, monitoringą ir saugumo valdymą debesijos infrastruktūroje.

TIS2 direktyva, kuri jau yra perkelta į Lietuvos nacionalinę teisę, griežtai reikalauja iš organizacijų (ypač kritinės infrastruktūros sektoriuose) imtis aktyvių kibernetinio saugumo užtikrinimo priemonių. Debesijos sprendimai čia atlieka itin svarbų vaidmenį – jie leidžia greitai pasitelkti jau egzistuojančias rinkoje paslaugas, kurios padeda efektyviai užpildyti kibernetinio saugumo spragas. 

Ko turėtų imtis Lietuvos verslai ir valstybinės organizacijos, ypatingai tos, kurios teikia kritiškai svarbias paslaugas gyventojams?

  • Atlikti reguliarias rizikų ir saugumo spragų analizes, įtraukiant ir debesijoje realizuotas paslaugas.
  • Užtikrinti kelių faktorių autentifikaciją visiems vartotojams, ypač turintiems administravimo ar kitas svarbių duomenų modifikavimo teises.
  • Turėti incidentų reagavimo planą, kuris apima ir debesijos paslaugų nutraukimo ar neprieinamumo scenarijus.
  • Užtikrinti tiekėjų grandinės valdymą – tai reiškia, kad debesijos paslaugų tiekėjai taip pat turi atitikti aukštus saugumo standartus. Ypač – SaaS (angl. Software-as-a-Service) paslaugų tiekėjai, turintys prieigą prie jūsų duomenų.
  • Naudoti šifravimą tiek duomenų perdavimo, tiek saugojimo metu.
  • Laikytis duomenų lokalizacijos reikalavimų, ypač jei organizacija veikia jautriuose sektoriuose.
  • Peržiūrėti ir atnaujinti saugumo politiką – aprašykite ir dokumentuokite aiškias, praktiškai taikomas saugumo taisykles (angl. security policies), susijusias su prieigos valdymu, šifravimu ir techninių incidentų valdymu. Tai padės užtikrinti aiškumą, ypač mokymuose dalyvaujantiems IT darbuotojams ar įtraukiant naujus komandos narius. 

Saugumas debesijoje – nebe pasirinkimas, o būtinybė

Debesijos technologijos suteikia verslui lankstumo, greičio ir inovacijų galimybių. Tačiau besikeičiantis geopolitinis kontekstas ir TIS2 reikalavimai kelia naujus iššūkius – ne tik IT komandai, bet ir visai organizacijai. Tinkamai pasiruošus, saugumo investicijos tampa ne našta, o konkurenciniu pranašumu.

Norint suprasti, kaip debesija gali tapti verslo stiprybe ar silpnybe, svarbu įvertinti ne tik technologinius sprendimus, bet ir platesnį geopolitinį bei reguliacinį kontekstą. Nuo duomenų saugojimo vietos iki debesijos paslaugų tiekėjų atsakomybės – šie sprendimai šiandien nebėra vien IT skyrių rūpestis. Iniciatyva turi kilti iš įmonės ar organizacijos valdybos, o reikalingos prevencinės priemonės bei procesai turi būti aiškiai aprašyti, tinkamai iškomunikuoti ir suprantami visiems darbuotojams. Jei reikia, būtina keisti  net ir darbo taisykles, susijusias su informacinių technologijų naudojimu. Priešingu atveju saugumo pokyčiai bus sunkiai įgyvendinami – net ir turint aiškią strategiją bei technologinius sprendimus.

Jeigu jūsų įmonė dar neįsivertino, ar atitinka TIS2 direktyvos reikalavimus, delsti nebegalima – juolab jei patenkate į kritinės svarbos kategoriją. UAB „Crayon Lithuania“ padeda Lietuvos verslams ir organizacijoms atlikti aiškų ir struktūruotą atitikties vertinimą (angl. gap analysis), identifikuoti silpnąsias vietas ir pasiruošti TIS2 audito reikalavimams.

2

REKOMENDUOJAME

52795
130817
52791