Dažniausios įmonių IT saugumo klaidos

Publikuota: 2019-09-21
Giedrius Meškauskas. Vladimiro Ivanovo (VŽ) nuotr.
svg svg
Giedrius Meškauskas. Vladimiro Ivanovo (VŽ) nuotr.
UAB „TeraSky Baltic“ Kibernetinio saugumo paslaugų ir operacijų vadovas

Šiandien pranešimai apie didesnius ar mažesnius nusikaltimus elektroninėje erdvėje, kurių metų įmonės netenka pinigų, duomenų, komercinių paslapčių – jau kasdienybė. Daugeliui atrodo, kad tai vyksta tik su tomis įmonėmis, kurios kažkuom svarbios, tačiau jautrios informacijos turi visos organizacijos.

Didelė dalis šių nusikaltimų yra įmonių atmestino požiūrio į elektroninį saugumą pasekmė.

Štai 5 dažniausiai įmonėse daromos klaidos:

Slaptažodžių politika

Nors kurti sunkiai atspėjamus slaptažodžius, regis, jau išmokome, tačiau pamačius, kaip su jais elgiamasi įmonėse, kartais sunku suprasti, kam jie išvis reikalingi.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Lietuvoje jau įvykdytas ne vienas nusikaltimas, kai pavagiami įmonės duomenys ir po to vadovai šantažuojami mokėti pinigus, jei nori juos atgauti. Dažną šių nusikaltimų net sunku pavadinti kibernetiniu, nes neretai taip pasielgia buvę darbuotojai, kurių slaptažodžiai lieka galioti net nutraukus darbo sutartį. Po kurio laiko jie vedami piktų kėslų pasinaudoja palikta prieiga ir atsisiunčia (pavagia) jautrius duomenis ar juos sunaikina.

Nors kai kuriose įmonėse visų darbuotojų slaptažodžiai sistemingai keičiami naujais, tačiau dažnai jie tiesiog prisiklijuoja juos prie monitoriaus, laiko užsirašę stalčiuose, kitose lengvai pasiekiamose vietose, o tai reiškia, kad bet kuris apsilankęs svečias gali juos pamatyti.

Reikia suprasti, kad slaptažodis yra kiekvieno vartotojo autentifikavimosi raktas. Jis užtikrina, kad konkrečia sąsaja su jai suteiktomis teisėmis pasiekti informaciją ar atlikti veiksmus, naudosis tik tos sasajos savininkas. Paprastas pavyzdys: ant įmonės finansistės kompiuterio monitoriaus užklijuotas lapelis su slaptažodžiais; prisėdome, pasižiūrėjome kolegų atlyginimus, padarėme keletą algų pervedimų ir vėl užrakinome kompiuterį; į klausimą kas atliko veiksmus atsakymas tik vienas – pati buhalterė, nes visi veiksmai atlikti tik su jai žinomu slaptažodžiu. Ir tai toli gražu ne baisiausia ką galima padaryti.

Wi-Fi ryšys

Galimybė naudotis įmonės Wi-Fi ryšiu bent kiek labiau įgudusiam žmogui reiškia ir priėjimą prie serverio bei jame sukauptų duomenų. Tačiau daugelyje įmonių šis ryšio kanalas apsaugotas tik slaptažodžiu, kuris nėra taip jau sunkiai surandamas toje pačioje įmonėje arba jį galima sužinoti iš darbuotojų.

Įmonės vis dar vengia atskirti bevielį tinklą nuo savo pagrindinio tinklo, tad per Wi-Fi prieigą dažniausiai galima pasiekti tiek pat įmonės IT resursų, kiek ir per laidinę tinklo prieigą. Dar paprasčiau piktavaliams darbuotis, jei taupumo ar nežinojimo sumetimais prie įmonės IT resursų galima prisijungti per svečių Wi-Fi pieigą, kuri turėtų būti autonominė.

Taip pat įmonės vidaus Wi-Fi ryšys turi būti toks, kad prie jo galėtų prisijungti tik konkretūs darbuotojų įrenginiai. Tada priėjimą bus paprasta kontroliuoti net keičiantis darbuotojams, tiesiog užteks išeinančiųjų telefonams, kompiuteriams ir kitiems įrenginiams atjungti teisę jungtis prie įmonės Wi-Fi.

Antivirusinė programa

Viena didžiausių klaidų, galvoti, kad nusipirkus antivirusinę, tapsite saugūs. Antivirusinė programa saugo tik nuo masiškai platinamų virusų, galbūt dar nuo nepageidaujamų laiškų ir kenkėjiškų svetainių atidarymo, kurių gausu kibernetinėje erdvėje. Žinoma, antivirusinė programa yra būtina, tik reikia suprasti, kad grėsmių žemėlapyje ji dengia tiktai savo dalį.

Antivirusinė programa iš principo panaši į motociklininko šalmą, jis puikiai apsaugo nuo galvos sužalojimų ar vabzdžių atakų, bet avarijos metu viso kūno jis neapsaugo.

Kiekviena įmonė turi jautrių duomenų ir ne tik reglamentuojamų Bendruoju duomenų apsaugos reglamentu (BDAR). Tad į duomenų apsaugą reikia pažiūrėti daug rimčiau. Tačiau tai labai plati specifinė tema, tad šiuo klausimu geriausia kreiptis į kibernetinės erdvės saugumo specialistus, kurie įvertins konkrečius poreikius ir pasiūlys sprendimus.

Ūkvedys – ne apsauginis

Stebina, kai didelėse įmonėse už IT kasdienę veiklą ir elektroninės erdvės saugumą dažnai atsako tas pats žmogus ar padalinys. Tai tas pats, kas pastato ūkvedžiui patikėti ir jo apsaugą. Labai retai žmogus, kuris rūpinasi sistemos „ūkiniais“ reikalais, bus pakankamai kvalifikuotas tinkamai pasiruošti, vertinti ir reaguoti į kibernetines grėsmes.

IT siekia efektyviau išnaudoti resursus, užtikrinti jų reikiamą prieinamumą, bei suteikti verslo poreikius atitinkantį funkcionalumą. Kibernetinės saugos atstovai rūpinasi, kad verslo veikla būtų apsaugota nuo kibernetinių grėsmių, vertina su tuo susijusias rizikas, užsiima švietimu bei kontrole. Be to, stebi saugumo būklę organizacijoje, o esant saugumo pažeidimui – imasi reagavimo veiksmų siekiant sumažinti organizacijos duomenų nutekėjimo ar veiklos sutrikdymo nuostolius.

Elektroninė duomenų apsauga apima labai daug sričių: nuo organizacijos saugumo įvertinimo iki jos darbuotojų apmokymo, planų parengimo kas ką turi daryti kibernetinio išpuolio atveju iki tokio lygio, kad ne tik būtų apsaugoti duomenys, bet tuo pat metu ir surinkta kuo daugiau informacijos apie įsilaužėlius.

Geriausias specialistas — įsibrovėlis

Bėda ta, kad hakerio specializacija yra atrasti spragas ir atakuoti jas išnaudojant. Greičiausiai jis labai gerai išmanys būdus įsilaužti ar pakenkti jūsų organizacijai pažeidžiant jūsų IT. Tačiau viena yra pulti, kita gintis.

Juk turėdamas futbolo komandą, nestatysite puolėjo į vartus vien todėl, kad šis žino kaip mušti įvarčius. Į vartus statysite vartininką – žmogų, kuris gerai žino ko galima tikėtis iš puolėjo ir moka gaudyti kamuolį, bei gali susistyguoti savo komandą taip, kad gynyba būtų efektyvesnė. Lygiai tas pats galioja ir jūsų IT futbolo aikštei. Patikėkite, puolančiųjų yra ir bus pakankamai. Laikas pradėti galvoti kaip jūsų organizacija geba suvaldyti ir atsilaikyti prieš tuos puolančius.

Įžvalgos autorius yra Giedrius Meškauskas yra UAB „TeraSky Baltic“ Kibernetinio saugumo paslaugų ir operacijų vadovas.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Darbo aplinka keičiasi iš esmės: „Xerox“ žengia permainų priešakyje Verslo tribūna

Skaitmeninimo iniciatyvos versle, ypač paskatino prigijęs hibridinio ar nuotolinio darbo modelis, ragina...

Priimant sprendimus „Tele2“ siūlo nespėlioti: duomenų analitika leis pamatyti tendencijas ir priimti efektyvesnius sprendimus Verslo tribūna

Iš kur ir kaip juda žmonės mieste, kokia vieta paslaugų teikimui pati tinkamiausia, kaip ir kur buriasi...

Birželį pradėti ir baigti NT projektai Premium

Birželį Vilniuje pradėtos naujų daugiabučių, bendro gyvenimo būsto, biurų pastato statybos, Kaune ir...

„Teltonika Telematics“ vadovas: ne kiekviena klaida yra nusižengimas Premium

Trečias geidžiamiausias darbdavys Lietuvoje „Teltonika Telamatics“ dalijasi sėkmės istorija, kaip į...

Vadyba
05:45
Turtingiausių strateginių įmonių vadovų TOP 10 – M. Armonaitis, M. Rudnickis, A. Latakas

Tarp strateginių Lietuvos įmonių vadovų pagal deklaruoto 2021 m. turto ir lėšų vertę išsiskyrė Klaipėdos...

Vadyba
2022.06.29
Tvari IT įranga – mada ar ateitis? Verslo tribūna

Kol vienos įmonės vis dar abejoja dėl investicinės grąžos į tvarumą, kitos gi imasi lyderystės ir brėžia...

Inovacijos
2022.06.29
A. Anušauskas: kiberatakų organizatoriai ieško silpnų vietų, galimi išpuoliai prieš verslą 1

Su Rusija siejamos organizuotos kibernetinės atakos prieš Lietuvą pirmąkart pasiekė tokį platų mastą, o radus...

Inovacijos
2022.06.29
Auga Aerokosmoso duomenų centro kuriamų sprendimų ir technologijų paklausa Verslo tribūna

Praėjusiais metais Vilniaus Gedimino technikos universiteto (VILNIUS TECH) Antano Gustaičio aviacijos...

Kuriantiems rytojui
2022.06.29
Ar verta skaitmeninius sprendimus migruoti į „debesį“? Verslo tribūna

JAV technologinių tyrimų ir konsultacijų įmonės „Gartner“ atliktas tyrimas rodo, kad iki 2025 m. bendrovių...

„Simitri“ patirtis ir milijoninė apyvarta pirmaisiais metais: kaip sukurti pelningą e. parduotuvę Premium 5

2020-aisiais įkurta e. parduotuvė „Simitri“ „nulūžo“ per 10 min. po to, kai jos įkūrėjai – influenceriai...

Gazelė
2022.06.29
NKSC: kibernetinės atakos tęsiasi, bet jų mastas mažesnis

Kibernetinės atakos prieš Lietuvos valstybines institucijas, verslą antradienį tęsiasi, tačiau jų mastas kiek...

Verslo aplinka
2022.06.28
„CityBee“ su JAV startuoliu „Qibus“ skina kelią nuotoliniam automobilių valdymui Premium

Nauja technologija jau sukurta ir patikimai veikia, bet jai dar trūksta daugiau bandymų ir parankaus teisinio...

Logistika
2022.06.28
„15min.lt“ patyrė kibernetinę ataką 2

Naujienų portalas „15min.lt“ antradienį skelbia patyręs DDoS (angl. Distributed Denial of Service) ataką.

Inovacijos
2022.06.28
Kovido bangos Lietuvoje iškelti startuoliai jau matuojasi užsienį Premium

Pandemijos metais išaugus psichinės sveikatos temų reikšmei, o eilėms pas psichologus ir psichoterapeutus...

Gazelė
2022.06.28
„Eavalyne.lt“ savininkė suplanavo keleriopą augimą Premium 5

Lenkijos kapitalo CCC įmonių grupė, prekiaujanti avalyne ir drabužiais, per artimiausius penkerius metus...

Prekyba
2022.06.28
Premjerė: kibernetinio saugumo spragos – taisomos

Premjerė Ingrida Šimonytė sako, kad po kibernetinės atakos prieš Lietuvos institucijas taisomos spragos, o...

Inovacijos
2022.06.28
„TransUnion“ Lietuvoje vadovu tapo P. Domarkas

Tarptautinė duomenų ir technologijų bendrovė „TransUnion“ Lietuvos padaliniui vadovauti paskyrė Povilą...

Vadyba
2022.06.28
„Klix“ – naujas būdas patogiai atsiskaityti internete Verslo tribūna 1

Apsiperkant internetinėse parduotuvėse labai dažnai laukia vienas kiek erzinantis žingsnis – registracija.

Prekyba 2023
2022.06.28
„Devbridge“ vadovas: nesamdyčiau žmogaus, kuris nenori keistis Premium

Pastarieji metai įmonei buvo pažymėti reikšmingais įvykiais – juos lydėjo ne tik rekordiniai rezultatai, bet...

Vadyba
2022.06.28
Šiandien darbo rinkoje itin vertinamos matematikų žinios ir gebėjimai Verslo tribūna

Šiandienos darbo rinkoje vis paklausesni universalūs specialistai, gebantys savo žinias pritaikyti keliose...

Kuriantiems rytojui
2022.06.28

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku