Kibernetinių incidentų žala vis didesnė: kaip jų išvengti ir kaip elgtis jiems įvykus?

„Labai dažnai girdime abejonių, ar Lietuvos verslui kibernetinio saugumo stiprinimas yra išties aktualus. Nors kasdien tenka padėti klientams kibernetinio saugumo klausimais, o dar dažniau – ateiti į pagalbą jau įvykus kibernetinei atakai, vis dar susiduriame su nepagrįstais mitais“, – sako Irma Kirklytė, teisės firmos „Sorainen“ ekspertė, kartu su savo komanda dirbanti kibernetinės teisės srityje.

Trys mitai 

Pasak ekspertės, neabejotinai labiausiai paplitęs klaidingas įsitikinimas – kad su kibernetinėmis rizikomis susiduria ne visi verslai. Manoma, kad susirūpinti reikėtų tik IT įmonėms, valstybės institucijoms, finansų, medicinos įstaigoms ar didelėms tarptautinėms bendrovėms. Visgi realybė kitokia – programišius domina ir mažesnių įmonių turimi duomenys. 

„Kibernetinės rizikos aktualios daugybei verslų: pradedant tais, kurie išimtinai veikia interneto erdvėje (tarkime, e. parduotuvėms), baigiant bet kokiomis bendrovėmis, kurios vidiniams verslo procesams naudoja IT sistemas, pavyzdžiui, vidinę klientų duomenų bazę (CRM)“, – teigia I. Kirklytė. Anot jos, dažniausiai Europoje tokias atakas patiria finansų įstaigos, gamybos, komunikacijos, žiniasklaidos ir technologijų bendrovės. 

Dažnai galvojama, kad kibernetinės atakos, jų prevencija ir reagavimas – techninio pobūdžio klausimai, kuriuos spręsti yra IT specialistų užduotis. Žinoma, be jų išsiversti nepavyks, tačiau tiek stabdant incidentą, tiek tvarkantis su jo pasekmėmis svarbios ir kitos kompetencijos. Reagavimo į įvykusį incidentą komanda turi būti įvairialypė, tad joje be IT specialistų labai svarbu turėti ir komunikacijos, teisės specialistus, o kartais – net derybininkus, tikina „Sorainen“ ekspertė. 

Be to, dauguma sprendimų priėmėjų įsitikinę, jog įvykus kibernetiniam incidentui svarbiausia yra sustabdyti ataką ir neleisti jai plisti, ir visas pastangas sutelkia šiam tikslui. Žinoma, būtina kiek galima skubiau tokius incidentus stabdyti, tačiau ne mažiau svarbus yra tinkamas reagavimas į incidento pasekmes. 

„Būtina laiku imtis visų reikalingų veiksmų. Tai apima tinkamą komunikaciją su institucijomis bei nukentėjusiais asmenimis, išsamaus tyrimo atlikimą, naujų prevencinių priemonių įgyvendinimą ir kitus reikalingus žingsnius“, – aiškina I. Kirklytė. 

Galimos pasekmės 

„Sorainen“ klientų patirtis rodo, kad vykdant kibernetinius incidentus dažniausiai naudojami kenkėjiški programiniai kodai, išpirkos reikalaujantys ir kitokie virusai, kurie gali būti platinami ne tik internetinėse svetainėse, bet ir el. paštu, per socialinius tinklus ir mobiliųjų telefonų programėles. Įmonės neretai susiduria ir su fišingu – duomenų viliojimu kuriant suklastotas svetaines, o rimčiausi užpuolikai taikosi tiesiogiai įsilaužti į bendrovės informacines sistemas. 

Tiesa, įvykus kibernetinei atakai, ne visada apie ją sužinoma: jei nusikaltėliams reikia tik konfidencialios informacijos, kurios šie nesiekia parduoti ar paskelbti viešai, toks išpuolis gali likti ir nepastebėtas. 

Kuo gresia verslui kibernetinis incidentas? Lengviausiai pastebimi ir jaučiami yra ekonominiai padariniai.  Įmonės turimos ir saugomos informacijos vagystė, sutrikdyta prekyba, išlaidos paveiktų sistemų, tinklų ir įrenginių taisymui bei atkūrimui – visa tai, tikėtina, patirs nukentėjusi įmonė. Priežiūros institucijos gali skirti ir administracines sankcijas. Be to, kone visada paveikiama ir bendrovės reputacija. Tokie incidentai neabejotinai mažina pasitikėjimą įmone, taigi juos neretai lydi pardavimų praradimai, klientų skaičiaus, pelno mažėjimas, kenčia santykiai su tiekėjais, partneriais, potencialiais investuotojais. 

„Neatmestina, kad teks atlyginti žalą ir nukentėjusiems asmenims. Be tiesioginių nuostolių ir negautų pajamų, gali būti įskaičiuojamos ir patirtos protingos išlaidos, skirtos žalai mažinti, taip pat išlaidos, susijusios su žalos įvertinimu. Greta turtinės žalos gali būti reikalaujama atlyginti ir neturtinę: nepatogumus, neigiamas pasekmes reputacijai ar dvasinį sukrėtimą“, – dėsto I. Kirklytė. 

Pranešti ar nepranešti? 

Įvykus kibernetiniam incidentui, pranešti apie tai Nacionaliniam kibernetinio saugumo centrui (NKSC) privalo tik įstatyme apibrėžti kibernetinio saugumo subjektai – valstybės informacijos išteklių ar svarbios informacinės struktūros valdytojai, telekomunikacijų bendrovės, duomenų centrai ir panašiai. Tačiau „Sorainen“ ekspertė rekomenduoja visoms įmonėms informuoti NKSC apie kibernetinio išpuolio faktą. 

„Mūsų patirtis rodo, kad NKSC padeda įmonėms praktiškai suvaldyti tokius incidentus. Savanoriškai pranešančios įmonės neprivalo pačios vertinti kokio masto yra incidentas, kokį poveikį jis padarė – visa tai atlieka NKSC, suteikdamas išties profesionalią pagalbą“, – pagrindžia I. Kirklytė. 

Kita situacija susiklosto, kai kibernetinio incidento metu pažeidžiamas ir asmens duomenų saugumas. Tokiu atveju atsiranda pareiga pranešti apie asmens duomenų pažeidimą Valstybinei duomenų apsaugos inspekcijai, o kartais – ir nukentėjusiems asmenims. Tai padaryti būtina ne vėliau nei per 72 valandas nuo sužinojimo apie pažeidimą, o nepranešus galima sulaukti įspūdingos baudos: iki 10  mln. Eur arba 2 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos. 

„Jei asmens duomenų pažeidimas yra mažareikšmis ir nekelia pavojaus fizinių asmenų teisėms ir laisvėms, pranešti neprivaloma, tačiau bet kuriuo atveju įmonė privalo dokumentuoti įvykį, užfiksuoti faktus. Vertinant incidento poveikį, svarbu atsižvelgti į asmens duomenims kylančią grėsmę. Pavyzdžiui, iš mažmeninės prekybos įmonės pavagiamas kietasis diskas su klientų duomenimis. Jei duomenys yra papildomai neapsaugoti, lengvai prieinami, atsiranda reali grėsmė ir informuoti privaloma. Visgi jeigu duomenys yra užšifruoti, o raktas kitoje nepasiekiamoje ir saugioje vietoje, pranešti gali būti nebūtina, nes grėsmė būtų vertinama kaip maža“, – paaiškina teisės ekspertė. 

Prevencija, planas ir draudimas 

Nors šimtaprocentinė apsauga nuo kibernetinių grėsmių neegzistuoja, tačiau riziką galima ženkliai sumažinti. Pirmiausia – imantis prevencinių priemonių. Patartina įdiegti kelių žingsnių autentifikavimą, antivirusines programas, daryti atsargines duomenų kopijas, edukuoti darbuotojus, šifruoti jautrius duomenis. Pravartu ir reguliariai pasitikrinti apsaugą, imituojant kibernetinius įsilaužimus. Jeigu kibernetinis incidentas visgi įvyksta – atlikti vidinį tyrimą, pranešti institucijoms ir būtinai su jomis geranoriškai bendradarbiauti. 

„Taip pat labai rekomenduotume iš anksto parengti reagavimo veiksmų planą ir paskirti atsakingą asmenį, nes įvykus incidentui tai leis veikti greitai ir efektyviai. Taip pat verta įsigyti kibernetinių rizikų draudimą, kadangi civilinės atsakomybės ar vadovo atsakomybės draudimai įprastai šių rizikų nedengia“, – pataria I. Kirklytė.