Kibernetinių incidentų žala vis didesnė: kaip jų išvengti ir kaip elgtis jiems įvykus?

Reklama publikuota: 2022-11-14
Irma Kirklytė, teisės firmos „Sorainen“ ekspertė.
svg svg
Irma Kirklytė, teisės firmos „Sorainen“ ekspertė.

Praėjusiais metais gerokai išaugo sudėtingų, tikslinių ir didesnę žalą galinčių atnešti kibernetinių incidentų, skelbiama 2021 m. Nacionalinėje kibernetinio saugumo būklės ataskaitoje. Tad jei įmonė vykdo bet kokią veikią interneto erdvėje, jai atsiranda reali tikimybė tapti kibernetinių išpuolių, turinčių ypač skaudžias pasekmes verslui, taikiniu. Deja, vis dar gajūs klaidingi ir organizacijų pažeidžiamumą didinantys įsitikinimai apie kibernetinį saugumą. Kokie pirmieji žingsniai, stiprinant įmonės atsparumą? Kokios galimos kibernetinių atakų pasekmės ir ką daryti, kad jos būtų kuo mažiau skausmingos?

„Labai dažnai girdime abejonių, ar Lietuvos verslui kibernetinio saugumo stiprinimas yra išties aktualus. Nors kasdien tenka padėti klientams kibernetinio saugumo klausimais, o dar dažniau – ateiti į pagalbą jau įvykus kibernetinei atakai, vis dar susiduriame su nepagrįstais mitais“, – sako Irma Kirklytė, teisės firmos „Sorainen“ ekspertė, kartu su savo komanda dirbanti kibernetinės teisės srityje.

Trys mitai 

Pasak ekspertės, neabejotinai labiausiai paplitęs klaidingas įsitikinimas – kad su kibernetinėmis rizikomis susiduria ne visi verslai. Manoma, kad susirūpinti reikėtų tik IT įmonėms, valstybės institucijoms, finansų, medicinos įstaigoms ar didelėms tarptautinėms bendrovėms. Visgi realybė kitokia – programišius domina ir mažesnių įmonių turimi duomenys. 

„Kibernetinės rizikos aktualios daugybei verslų: pradedant tais, kurie išimtinai veikia interneto erdvėje (tarkime, e. parduotuvėms), baigiant bet kokiomis bendrovėmis, kurios vidiniams verslo procesams naudoja IT sistemas, pavyzdžiui, vidinę klientų duomenų bazę (CRM)“, – teigia I. Kirklytė. Anot jos, dažniausiai Europoje tokias atakas patiria finansų įstaigos, gamybos, komunikacijos, žiniasklaidos ir technologijų bendrovės. 

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Dažnai galvojama, kad kibernetinės atakos, jų prevencija ir reagavimas – techninio pobūdžio klausimai, kuriuos spręsti yra IT specialistų užduotis. Žinoma, be jų išsiversti nepavyks, tačiau tiek stabdant incidentą, tiek tvarkantis su jo pasekmėmis svarbios ir kitos kompetencijos. Reagavimo į įvykusį incidentą komanda turi būti įvairialypė, tad joje be IT specialistų labai svarbu turėti ir komunikacijos, teisės specialistus, o kartais – net derybininkus, tikina „Sorainen“ ekspertė. 

Be to, dauguma sprendimų priėmėjų įsitikinę, jog įvykus kibernetiniam incidentui svarbiausia yra sustabdyti ataką ir neleisti jai plisti, ir visas pastangas sutelkia šiam tikslui. Žinoma, būtina kiek galima skubiau tokius incidentus stabdyti, tačiau ne mažiau svarbus yra tinkamas reagavimas į incidento pasekmes. 

„Būtina laiku imtis visų reikalingų veiksmų. Tai apima tinkamą komunikaciją su institucijomis bei nukentėjusiais asmenimis, išsamaus tyrimo atlikimą, naujų prevencinių priemonių įgyvendinimą ir kitus reikalingus žingsnius“, – aiškina I. Kirklytė. 

Galimos pasekmės 

„Sorainen“ klientų patirtis rodo, kad vykdant kibernetinius incidentus dažniausiai naudojami kenkėjiški programiniai kodai, išpirkos reikalaujantys ir kitokie virusai, kurie gali būti platinami ne tik internetinėse svetainėse, bet ir el. paštu, per socialinius tinklus ir mobiliųjų telefonų programėles. Įmonės neretai susiduria ir su fišingu – duomenų viliojimu kuriant suklastotas svetaines, o rimčiausi užpuolikai taikosi tiesiogiai įsilaužti į bendrovės informacines sistemas. 

Tiesa, įvykus kibernetinei atakai, ne visada apie ją sužinoma: jei nusikaltėliams reikia tik konfidencialios informacijos, kurios šie nesiekia parduoti ar paskelbti viešai, toks išpuolis gali likti ir nepastebėtas. 

Kuo gresia verslui kibernetinis incidentas? Lengviausiai pastebimi ir jaučiami yra ekonominiai padariniai.  Įmonės turimos ir saugomos informacijos vagystė, sutrikdyta prekyba, išlaidos paveiktų sistemų, tinklų ir įrenginių taisymui bei atkūrimui – visa tai, tikėtina, patirs nukentėjusi įmonė. Priežiūros institucijos gali skirti ir administracines sankcijas. Be to, kone visada paveikiama ir bendrovės reputacija. Tokie incidentai neabejotinai mažina pasitikėjimą įmone, taigi juos neretai lydi pardavimų praradimai, klientų skaičiaus, pelno mažėjimas, kenčia santykiai su tiekėjais, partneriais, potencialiais investuotojais. 

„Neatmestina, kad teks atlyginti žalą ir nukentėjusiems asmenims. Be tiesioginių nuostolių ir negautų pajamų, gali būti įskaičiuojamos ir patirtos protingos išlaidos, skirtos žalai mažinti, taip pat išlaidos, susijusios su žalos įvertinimu. Greta turtinės žalos gali būti reikalaujama atlyginti ir neturtinę: nepatogumus, neigiamas pasekmes reputacijai ar dvasinį sukrėtimą“, – dėsto I. Kirklytė. 

Pranešti ar nepranešti? 

Įvykus kibernetiniam incidentui, pranešti apie tai Nacionaliniam kibernetinio saugumo centrui (NKSC) privalo tik įstatyme apibrėžti kibernetinio saugumo subjektai – valstybės informacijos išteklių ar svarbios informacinės struktūros valdytojai, telekomunikacijų bendrovės, duomenų centrai ir panašiai. Tačiau „Sorainen“ ekspertė rekomenduoja visoms įmonėms informuoti NKSC apie kibernetinio išpuolio faktą. 

„Mūsų patirtis rodo, kad NKSC padeda įmonėms praktiškai suvaldyti tokius incidentus. Savanoriškai pranešančios įmonės neprivalo pačios vertinti kokio masto yra incidentas, kokį poveikį jis padarė – visa tai atlieka NKSC, suteikdamas išties profesionalią pagalbą“, – pagrindžia I. Kirklytė. 

Kita situacija susiklosto, kai kibernetinio incidento metu pažeidžiamas ir asmens duomenų saugumas. Tokiu atveju atsiranda pareiga pranešti apie asmens duomenų pažeidimą Valstybinei duomenų apsaugos inspekcijai, o kartais – ir nukentėjusiems asmenims. Tai padaryti būtina ne vėliau nei per 72 valandas nuo sužinojimo apie pažeidimą, o nepranešus galima sulaukti įspūdingos baudos: iki 10  mln. Eur arba 2 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos. 

„Jei asmens duomenų pažeidimas yra mažareikšmis ir nekelia pavojaus fizinių asmenų teisėms ir laisvėms, pranešti neprivaloma, tačiau bet kuriuo atveju įmonė privalo dokumentuoti įvykį, užfiksuoti faktus. Vertinant incidento poveikį, svarbu atsižvelgti į asmens duomenims kylančią grėsmę. Pavyzdžiui, iš mažmeninės prekybos įmonės pavagiamas kietasis diskas su klientų duomenimis. Jei duomenys yra papildomai neapsaugoti, lengvai prieinami, atsiranda reali grėsmė ir informuoti privaloma. Visgi jeigu duomenys yra užšifruoti, o raktas kitoje nepasiekiamoje ir saugioje vietoje, pranešti gali būti nebūtina, nes grėsmė būtų vertinama kaip maža“, – paaiškina teisės ekspertė. 

Prevencija, planas ir draudimas 

Nors šimtaprocentinė apsauga nuo kibernetinių grėsmių neegzistuoja, tačiau riziką galima ženkliai sumažinti. Pirmiausia – imantis prevencinių priemonių. Patartina įdiegti kelių žingsnių autentifikavimą, antivirusines programas, daryti atsargines duomenų kopijas, edukuoti darbuotojus, šifruoti jautrius duomenis. Pravartu ir reguliariai pasitikrinti apsaugą, imituojant kibernetinius įsilaužimus. Jeigu kibernetinis incidentas visgi įvyksta – atlikti vidinį tyrimą, pranešti institucijoms ir būtinai su jomis geranoriškai bendradarbiauti. 

„Taip pat labai rekomenduotume iš anksto parengti reagavimo veiksmų planą ir paskirti atsakingą asmenį, nes įvykus incidentui tai leis veikti greitai ir efektyviai. Taip pat verta įsigyti kibernetinių rizikų draudimą, kadangi civilinės atsakomybės ar vadovo atsakomybės draudimai įprastai šių rizikų nedengia“, – pataria I. Kirklytė. 

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Kibernetinių incidentų žala vis didesnė: kaip jų išvengti ir kaip elgtis jiems įvykus? Verslo tribūna

Praėjusiais metais gerokai išaugo sudėtingų, tikslinių ir didesnę žalą galinčių atnešti kibernetinių...

Kibersaugus verslas
2022.11.14
Ar jūsų įmonė išgyventų nevykdydama veiklos visą savaitę? Verslo tribūna

Google projekto Zero, kuriuo siekiama atrasti ir pranešti apie nulinės dienos (angl. zero-day) pažeidimus,...

Kibersaugus verslas
2022.10.14
Strateginės įmonės kibernetinės saugos biudžetų neatskleidžia, bet patikina: investuoja ir yra pasiruošusios Premium

Praėjusį mėnesį įvestos sankcijos tranzitui į Kaliningradą sukėlė tikrą sąmyšį Rusijoje ir Europos Sąjungoje.

Inovacijos
2022.07.22
Kas ką – mes nusikaltėlius ar jie mus? 1

Norint tinkamai apsisaugoti nuo kibernetinio nusikaltėlio, neužtenka su juo eiti koja kojon – reikia būti...

Nuomonės
2022.07.19
Programišiai nutekino 50.000 „Švaros brolių“ klientų duomenis 10

Programišiai nutekino apie 50.000 automobilių švaros centrų „Švaros broliai“ rezervacijos sistemos klientų...

Inovacijos
2022.07.05

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku