NKSC vadovas: užtikrinti kibernetinę saugą – vertybinis verslo pasirinkimas
A. Aleknavičius pasakoja, kad kibernetinio saugumo samprata pasaulyje egzistuoja jau seniai, o Lietuvoje prioritetu ji tapo 2015 metais, kai buvo priimtas pirmasis Kibernetinio saugumo įstatymas – vienas iš pirmųjų tokių reguliuojančių teisės aktų visoje Europoje.
„Tuomet buvo aiškiai įtvirtinta, kad technologijų pažanga be saugumo yra neįmanoma“, – primena pašnekovas.
Tais pačiais metais įkurtas NKSC prie KAM šiuo metu dirba su 1400 šalies organizacijų. Nors reguliavimas tiesiogiai taikomas apibrėžtam kritinės svarbos organizacijų ratui, A. Aleknavičius pabrėžia, kad kibernetinis saugumas savo poveikiu yra svarbus visoms organizacijoms ir šalies gyventojams.
„Iš pirmo žvilgsnio gali atrodyti, kad dėmesys sutelktas tik į tam tikras organizacijas, tačiau iš tiesų jos teikia svarbias paslaugas visai valstybei ir jos gyventojams. Todėl kibernetinio saugumo klausimai yra reikšmingi visos šalies lygiu: įvykus incidentui, sutrikus ar nustojus veikti paslaugoms, pasekmes gali pajusti kiekvienas pilietis. Tokioje aplinkoje kibernetinis saugumas tampa problema tuomet, kai į jį nežiūrima rimtai ir kai nėra laikomasi net bazinės kibernetinio saugumo higienos“, – pabrėžia NKSC prie KAM vadovas.
Ir verslo, ir vadovo atsakomybė
Anot A. Aleknavičiaus, vienas svarbiausių kibernetinio saugumo garantų yra pasirengimas – reikia mąstyti ne apie tai, ar incidentas įvyks, o apie tai, kaip įmonė ar organizacija sugebės jį suvaldyti.
„Incidentų buvo iki šiol ir bus ateityje, visapusiškos saugos lygio niekada nepasieksime. Klausimas – kiek verslas yra pasiruošęs? Jeigu žmogus paslysta ant ledo, žino, kad turėtų kreiptis į gydytoją, pasinaudoti draudimu, kuris kompensuos nuostolius. Kibernetiniame saugume galioja tie patys principai: viskas priklauso nuo to, kiek organizacija yra įsigilinusi į kibernetinio saugumo klausimus ir kiek ji yra pasiruošusi incidentą ne tik patirti, bet ir jį suvaldyti“, – akcentuoja pašnekovas.
Kalbėdamas apie dabartinę situaciją, A. Aleknavičius apžvelgia, kad Lietuvoje jau yra nemažai didžiųjų organizacijų, kurios investavo ir toliau investuoja į kibernetinį saugumą, ir tai duoda rezultatų.
„Nusikaltėliams jau reikia gerokai pasistengti, kad sutrikdytų pagrindinių šalies įmonių veiklą, pavyzdžiui, pasitelkus paslaugų trikdymo atakas. Vis dėlto, didžioji dalis šalyje veikiančių įmonių, kurioms nėra taikomas reguliavimas, dar nėra pasiekusios net elementaraus kibernetinio saugumo higienos lygio. Net ir tos įmonės, kurios teikia paslaugas itin plačiam klientų ratui, įskaitant IT paslaugas, kibernetinio saugumo srityje dar turi pasitempti. Egzistuoja baziniai standartai, kuriuos turėtų įgyvendinti kiekviena organizacija, nepriklausomai nuo to, ar tai jai privaloma pagal įstatymą. Užtikrindamos saugumą įmonės rodo elementarią pagarbą savo klientui“, – mano NKSC prie KAM vadovas.
Pasak pašnekovo, viena didžiausių klaidų, kurias daro šalies verslas – įsitikinimas, kad organizacija yra per maža, jog sudomintų nusikaltėlius ir taptų kibernetinės atakos taikiniu. Net ir labai mažos bendrovės, kurios nelaiko savęs reikšmingais taikiniais, per tiekimo grandines gali atverti piktavaliams kelią iki kritinės svarbos objektų.
„Organizacijos dažnai nepagalvoja, kad jos yra subrangovės ar net subrangovų subrangovės, ir būtent per jas galima įsilaužti į didesnius, svarbesnius objektus“, – sako NKSC prie KAM vadovas. Pašnekovas akcentuoja, kad labai svarbi ir tinkama vadovo pozicija – nuo jo požiūrio priklauso ne tik organizacijos sėkmė ar nesėkmė, reputacija, bet ir kibernetinio saugumo lygis.
Jis įspėja, kad kibernetinis saugumas ne mažiau aktualus ir smulkiajam verslui.
„Žinoti, kokį skaitmeninį turtą įmonė valdo, kokias IT sistemas ji turi, kaip užtikrinamas jos klientų saugomų duomenų saugumas ir kokie yra pirmieji žingsniai, siekiant suvaldyti kibernetinį incidentą, yra tie baziniai reikalavimai, kuriuos privalo išmanyti net ir smulkusis verslas. Smulkiam verslui rūpinantis savo kibernetiniu saugumu dažnu atveju nereikia didelių išlaidų ir specifinės infrastruktūros, pavyzdžiui, turėti kibernetinius incidentus fiksuojančio, stebinčio ir tiriančio saugumo operacijų centro (angl. Security Operation Center). Vien tik įsigyti legalią programinę įrangą ar atkreipti dėmesį į kompiuterio lange iššokančius įspėjimus apie aptiktą virusą, jau yra pakankama“, – pabrėžia NKSC prie KAM vadovas.
„Kai kalbama apie kibernetinį saugumą, dažnai visas vadovų dėmesys nukrypsta tik į IT dalį. Taip, tai svarbu, tačiau kibernetinis saugumas yra platesnė sritis, apimanti ir rizikų valdymą, ir veiklos tęstinumą. Svarbu ne tik tai, kad IT procesai veikia, bet ir kaip jie veikia: kokių gali kilti rizikų, kur yra spragos, ko imsis organizacija, jei IT sistemos nustos veikti. Į tuos pačius klausimus reikia atsakyti ir kalbant apie organizacijos reputaciją: ką darysime, jei per mano organizaciją bus įsilaužta į kitos organizacijos IT sistemą, kokia bus mano atsakomybė ir kaip suvaldysiu rizikas?“, – vardija A. Aleknavičius.
NKSC prie KAM akcentuoja, kad vadovui reikėtų pačiam mokytis, skirti dėmesio darbuotojų mokymams, taip pat įmonėje paskirti kibernetinio saugumo vadovą.
„Jis gali būti tiek organizacijos darbuotojas, tiek jo paslaugos gali būti perkamos iš išorės; jis gali dirbti tik su viena organizacija arba aptarnauti organizacijų grupę – galimų modelių yra daug, svarbiausia išsirinkti, kas įmonei būtų efektyviausia“, – mano A. Aleknavičius.
Užkimba vis mažiau, bet tikrinti būtina
Net ir užtikrinus saugią IT infrastruktūrą, verslui dar reikia pasirūpinti savo organizacijos kibernetinio saugumo kultūra. Vienas neapgalvotas darbuotojo prisijungimas ar paspausta nuoroda gali sukelti kibernetinį incidentą.
„Reikia suprasti, kad paspausti tokią nuorodą gali kiekvienas – ir aš, ir jūs. Kartais pakanka tik netinkamo momento, o socialinės inžinerijos metodai šiandien yra itin ištobulinti. Vienintelis kelias – periodinis darbuotojų testavimas ir nuolatinis mokymas. Žinoma, kaip ir daugelyje kitų sričių, tai nėra vienkartinis veiksmas – tai nuolatinis procesas, reikalaujantis dėmesio ir pastangų“, – sako NKSC prie KAM vadovas.
A. Aleknavičius dalinasi, kad vienas efektyviausių būdų patikrinti darbuotojų budrumą yra „phishing“ testai.
„Tokias pratybas organizuoja ir NKSC prie KAM. Matome, kad šiose pratybose dalyvauja vis daugiau organizacijų. Pastaruoju metu stebime aiškią tendenciją: paspaudžiančių ant kenksmingų nuorodų mažėja, o pranešančių apie incidentus daugėja. Tai labai svarbus pokytis“, – atskleidžia pašnekovas.
Visgi jis pabrėžia, kad svarbu ne tik išvengti klaidų, bet ir žinoti, kaip elgtis suklydus.
„Kuo greičiau darbuotojas prisipažįsta, kad paspaudė ant netinkamos nuorodos, tuo greičiau saugumo ir IT specialistai gali suvaldyti grėsmes ir „užverti duris“, kurios buvo atvertos per nežinojimą ar skubėjimą“, – teigia A. Aleknavičius.
Vis dėlto, kibernetinio saugumo kultūra neatsiranda per dieną, todėl svarbu nuosekliai formuoti darbuotojų saugumo įpročius, o ne pasikliauti vien techninėmis priemonėmis ar vienkartiniais mokymais.
„Dedame pastangas šviesti visuomenę nuo pat mažens – kalbame apie tai mokyklose, planuojame veiklas ir darželiuose. Kibernetinio saugumo higiena turėtų būti ugdoma ne nuo trisdešimties, o nuo šešerių metų: mažais žingsniais, apsunkinant rizikas ir ugdant įpročius. Saugumas nėra patogus ir pigus. Bet jis yra būtinas“, – pabrėžia A. Aleknavičius.
Padeda užlopyti spragas
Tam, kad darbuotojų klaidos nevirstų ilgai trunkančia krize, neužtenka vien mokymų – reikalingi ir praktiniai įrankiai, leidžiantys laiku aptikti spragas bei realiai išsitestuoti pasirengimą incidentams. A. Aleknavičius pasakoja, kad organizacijos, kurios patenka į NKSC prie KAM prižiūrimų subjektų sąrašą, gali nemokamai pasitikrinti savo sistemas, identifikuoti jų silpnąsias vietas ir jas susitvarkyti.
VERSLO TRIBŪNA
Pastatų priežiūros, administravimo bei inžinerinių sprendimų grupė „Civinity“ per artimiausius penkerius metus užsibrėžė dešimtkart auginti EBITDA ir iš esmės transformuoti veiklos modelį, kad bent 30% portfelio sudarytų skaitmeniniai produktai. Deividas Jacka, „Civinity“ įkūrėjas ir valdybos pirmininkas, sako, kad norint augti greičiau už rinkos vidurkį ir išlaikyti lyderystę, tradicinių metodų nepakanka – būtina investuoti į skaitmeninę transformaciją.
Visiems puikiai žinoma skaitmeninių paslaugų bendrovė, interneto ir televizijos paslaugų tiekėja „Bitė Lietuva“ veržiasi į vietos lyderių gretas, siūlydama visapusiškai apgalvotą, lokalią informacinių ir ryšių technologijų (ICT) infrastruktūrą. „Bitė“ neneigia, kad didiesiems pasaulio tiekėjams (angl. „hyperscalers“) tenka itin svarbus vaidmuo rinkoje, tačiau siūlo susimąstyti apie balansą: ką skaitmenizavimo eroje galima nuveikti čia, vietoje, ir kokiais atvejais verta „kraustytis“ į globalią erdvę.
„Lietuva šioje srityje taip pat turi kuo pasigirti – esame viena iš pirmųjų šalių, įteisinusių atsakingo spragų atskleidimo sistemą. Tai reiškia, kad apie rastas kibernetinio saugumo spragas galima pranešti anonimiškai, o mes veikiame kaip tarpininkas: informuojame organizaciją, kurios sistemoje spraga aptikta, ir padedame užtikrinti, kad ji būtų pašalinta. Tai galioja ne tik mūsų tiesioginiams klientams, bet ir platesniam organizacijų ratui. Negalima palikti žinomų ir neužlopytų spragų IT sistemose“, – pabrėžia pašnekovas.
NKSC prie KAM taip pat jau keletą metų padeda įmonėms nemokamai išsitestuoti savo incidentų valdymo planus „virtualiuose poligonuose“.
„Atnaujinus Kibernetinio saugumo įstatymą, kibernetinis saugumas buvo integruotas į nacionalinę krizių valdymo sistemą. Mes patys pagal šią sistemą nuolat testuojame savo procesus. Be to, dalyvaujame tarptautinėse pratybose, kuriose praktikuojamės teikti pagalbą kitoms valstybėms, kurios patiria kibernetinio saugumo krizę. Šie scenarijai yra pritaikomi ir nacionaliniam krizių valdymui“, – pasakoja pašnekovas ir priduria, kad šiemet NKSC prie KAM pristatė naujovę – „sektorines“ pratybas, kurios skatina atskiruose sektoriuose veikiančių įmonių bendradarbiavimą bei tarpusavio pasitikėjimą. 2025 m. tokiose pratybose treniravosi įmonės iš sveikatos ir geriamo vandens sektorių.
A. Aleknavičius teigia, kad kitos organizacijos taip pat gali kreiptis ir dalyvauti vadinamosiose „on demand“ pratybose ir savarankiškai ištestuoti savo numatomų incidentų scenarijus.
„Mūsų tikslas, kuris sutampa ir su Europos Sąjungos direktyvų kryptimi, yra ne tik stiprinti jau pažangias organizacijas, bet ir kilstelėti silpnesniųjų lygį. Kokia nauda iš saugaus bankų sektoriaus, jei turėsime visiškai pažeidžiamą sveikatos ar švietimo sektorių? Siekiame kuo tolygesnio bendro kibernetinio atsparumo ir šiuo metu daug dėmesio skiriame būtent žemesnio brandos lygio organizacijoms“, – pabrėžia pašnekovas.
Kibernetinis saugumas – investicija į ilgalaikę vertę
NKSC prie KAM vadovas sutinka, kad verslas kibernetinį saugumą dar dažnai vertina kaip išlaidų eilutę ar investiciją, kuri neteikia tiesioginės grąžos. Tačiau solidžiai organizacijai, pabrėžia jis, turi rūpėti ir saugumas, ir klientas.
„Tai yra bendros atsakomybės klausimas. Nė vienas iš mūsų nenorėtų važinėti atmestinai pagamintu automobiliu. Kibernetinis saugumas taip pat yra organizacijos teikiamos paslaugos kokybės dalis. Verslas turi sau atsakyti į klausimą: ar aš gerbiu savo klientus, partnerius ir kolegas? Taip, tai kainuoja. Tačiau išlaidas reikėtų vertinti ne tik per tiesioginių kaštų, bet ir per reputacinės žalos bei rizikų prizmę. Žinoma, kiekviena organizacija pati sprendžia, kiek ji nori būti patikima ir ilgalaikėje perspektyvoje konkurencinga rinkoje“, – perspėja A. Aleknavičius.
Be to, nuo rimtų pasekmių organizacijas dažnai skiria tik vienas incidentas.
„Įvykus kibernetiniam incidentui, partneriai dažniausiai svarsto, ar nepadidėja rizika, kad per tą organizaciją bus paveikti ir jie patys, permąsto, ar verta tęsti bendradarbiavimą. Yra organizacijų, įskaitant ir milijardines apyvartas generuojančias bendroves, kurios dar prieš įsigaliojant kibernetinio saugumo reglamentui buvo apsisprendusios labai atsakingai valdyti rizikas. Jų pozicija paprasta: nepirksime paslaugų iš įmonių, kurios neatitinka mūsų keliamų saugumo standartų. Kadangi visi nori atsiriekti bent dalelę milijardinių užsakymų „pyrago“, rinka buvo priversta prisitaikyti“, – pasakoja NKSC prie KAM vadovas.
Jis pripažįsta, kad net tarp 1400 NKSC prie KAM prižiūrimų organizacijų atsiranda tokių, kurios ieško teisinių „kabliukų“, kaip ištrūkti iš subjektų, kuriems taikomas reguliavimas, sąrašo.
„Reikalavimai, kurie šiandien yra įtvirtinti teisės aktuose, neatsirado atsitiktinai. Jie buvo suformuluoti, galvojant apie skirtingus scenarijus, t. y., kaip organizacija turėtų elgtis, kai situacija pakrypsta nepalankiai. Pavyzdžiui, iki šiol dažnai kyla klausimų dėl atsarginių duomenų kopijų saugojimo. Tam reikia papildomų paslaugų, infrastruktūros. Gali būti, kad kopijų prireiks tik kartą per dešimt metų, tačiau kai tai nutiks, kitų alternatyvų neturėsite“, – aiškina jis.
Įmonės ir įstaigos, kurios rūpinasi kibernetiniu saugumu ir atitinka NKSC prie KAM keliamus reikalavimus, pašnekovo nuomone, tuo pačiu yra ir socialiai atsakingos, ir rūpinasi nacionaliniu saugumu.
„Kibernetinis saugumas ir lyderystė šioje srityje turėtų būti neatsiejama pilietinės atsakomybės dalis. Tik pačios organizacijos žino, ar padarė viską, kad pasirūpintų savo skaitmeniniu turtu ir sumažintų rizikas. NKSC prie KAM gali kontroliuoti, teikti rekomendacijas, tačiau tik pati organizacija gali užtikrinti savo kibernetinį saugumą. Atsakomybės perkelti niekam nepavyks“, – sako NKSC prie KAM vadovas.
.png)
REKOMENDUOJAME
