Nuotolinis darbas sustiprino žmogiškosios ugniasienės silpnybes, tačiau tai galima keisti

Reklama publikuota: 2020-12-08

Šiandieninė situacija skatina verslą praktikuoti nuotolinį darbą. Tačiau siekiant sėkmingai taikyti tokį veiklos modelį, būtina tinkamai susidėlioti ne tik organizacinius procesus, bet ir atkreipti dėmesį į įmonės duomenų apsaugą. Kibernetinio saugumo ekspertai įžvelgia, kad žmogus – vis dar dažniausia kibernetinio saugumo spraga, o nuotolinė darbo vieta šią riziką dar padidina. Kadangi taikinių į įdomius ar mažiau įdomius programišiai neskirsto, stiprinti savo kibernetinį skydą turėtų kiekvienas verslas be išimties. Tai daryti įmanoma mažais žingsniais, kurių vienas – reguliarus darbuotojų ugdymas.

Remiantis Nacionalinio kibernetinio saugumo būklės ataskaita, Lietuvoje pernai užfiksuota daugiau nei 3 tūkst. kibernetinių incidentų – triskart daugiau nei ankstesniu laikotarpiu. Vienas iš ypatingų šių kibernetinių grėsmių pavyzdžių – išpuolis prieš UAB „Kauno vandenys” informacines sistemas, galėjęs lemti didelius nuostolius ir sutrikdyti vandens tiekimą visame Kauno mieste. Dar visai neseniai kliuvo ir Alytaus savivaldybei – gavus klaidinantį el. laišką, atliktas 188 tūkst. eurų vertės Alytaus savivaldybės biudžeto lėšų pavedimas į sukčių sąskaitą.

Pažymėtina, kad nemažai įmonių Lietuvoje vis dar negeba įvertinti ar visai nevertina realaus kibernetinių incidentų poveikio, tačiau pandemijos sukelta suirutė tapo dar didesne atakų virtualiojoje erdvėje kurstytoja, o nepasiruošimas galimam pažeidimui gali sąlygoti ne tik finansinius nuostolius, teisines ir veiklos sutrikdymo bei jos atstatymo problemas, bet ir grėsmę įmonės reputacijai.

Kadangi daugelio darbo vieta šiandien įkurdinta namuose, neišvengiamai įmonės ir jos klientų duomenimis tenka disponuoti naudojantis nuosava prieiga prie interneto. Taigi kibernetiniams pažeidėjams atveriamas lengvas kelias į darbuotojo kompiuteryje nugulusią darbovietės informaciją, jį „įsileisti“ pastarasis gali tiesiog atidaręs kenkėjišką tinklalapį, programėlę, el. laišką su kenksmingu programiniu kodu arba paprasčiausiai palikęs prisijungimo prie įmonės sistemų kodus kitiems matomoje ar prieinamoje vietoje. Neturėdamas sparčių galimybių pasitarti su įmonės IT komanda, nuotoliniu būdu dirbdamas darbuotojas visai netyčia gali tapti kibernetinio incidento priežastimi.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Tuo pat dažnai klystama manant, kad siekiant sustiprinti įmonės kibernetinį saugumą pakanka įdiegti technologinius sprendimus. Jeigu įmonės darbuotojai negebės įvertinti galimų kibernetinių grėsmių, programišiai galės daug lengviau pasinaudoti technologinėmis spragomis ir pasiekti savo tikslų. „IBM“ kompanijos ir „Ponemon“ instituto tyrimas parodė, kad netyčinės žmogaus klaidos ir sistemų pažeidimai lemia beveik pusę (49 proc.) duomenų pažeidimų, žmogiškąjį faktorių kaip kibernetinių incidentų priežastį sustiprina ir Valstybinė duomenų apsaugos inspekcija (VDAI), savo veiklos ataskaitoje nurodanti, kad pernai Lietuvoje dėl žmogiškosios klaidos įvyko net 61 proc. visų duomenų saugumo pažeidimų.

Taigi vienas pirmųjų įmonių žingsnių, kurį turėtų atlikti ne tik verslas, bet ir valstybinės organizacijos – įsivertinti galimas rizikas pažeidimų atveju ir, siekiant išvengi galimų kibernetinių grėsmių dėl žmogiškosios klaidos, investuoti į darbuotojų ugdymą. Akcentuotina, kad gaunamą informaciją kritiškai vertinantys ir saugiai ją valdantys darbuotojai ženkliai prisideda prie organizacijos duomenų apsaugos, o reguliarus darbuotojų mokymų organizavimas ir žinių kartojimas tampa tinkama priemone sutvirtinti visos komandos atsakomybę prieš darbovietės resursus.

nuotrauka::1

Leidžia reguliariai tikrinti žinias

Pasak nuo 2012 m. fizinius kibernetinio saugumo mokymus verslui ir valstybinėms organizacijoms rengiančios mokymų akademijos „Cyber Security Academy (CSA)“ atstovės Eglės Mockevičiūtės, tokie mokymai kuria didelę vertę verslui, o jų aktualumas šiandien dar labiau padidėjęs. Siekiant labiau susisteminti ir valdyti mokymų praktiką, akademija ilgainiui persikėlė ir į virtualią erdvę, todėl reaguojant į šiandieninę situaciją organizacijoms suteikiamos galimybės darbuotojų kibernetinio saugumo ugdymui pasitelkti ne tik online mokymus, bet ir nuotolinių mokymų platformą, pavadinimu „Responsu“, nurandančiu reagavimą (angl. responsiveness), kalbantį apie tai, kaip svarbu greitai ir tinkamai reaguoti į tobulėjančias IT saugumo rizikas.

„Mokymų akademijos projektą pradėjome nuo gyvų mokymų IT specialistams, tuomet auditorija išaugo iki visų įmonės darbuotojų. Šį projektą inicijavome suprasdami, kad technologijos nepadeda užtikrinti visiško organizacijos duomenų saugumo, kad būtina sukurti žmogiškąją ugniasienę. Net ir įdiegus naujausius technologinius sprendimus, užtenka vieno žmogaus paspaudimo ant kenkėjiškos nuorodos el. laiške, kad visa informacinių sistemų infrastruktūra sugriūtų, – dėsto E. Mockevičiūtė, CSA Kibernetinio saugumo mokymų projektų vadovė. – Mokymų praktika ilgainiui parodė, kad į fizinius mokymus surinkti visus darbuotojus vienu metu nėra paprasta, o tuo pačiu ir įvertinti jų mokymo medžiagos įsisavinimą ir įgytus įgūdžius, todėl nusprendėme pasiūlyti ir nuoseklesnius, paprasčiau valdomus mokymus skaitmeninėje erdvėje. „Responsu“ nuotolinės mokymų platformos atsiradimą paspartino rinkos poreikis, o aktualumą padidino ir šių dienų realijos.“

Vieni didžiausių šios nuotolinės mokymų platformos privalumų, pasak jos, yra gebėjimas ne tik suteikti darbuotojams reikiamą mokymų medžiagą ir reguliariai ją priminti, leisti darbuotojui pasikartoti, pasižiūrėti aktualią informaciją kritiniu atveju, bet ir nuolat tikrinti darbuotojų žinias. Tokia patikra, pažymi E. Mockevičiūtė, leidžia įvertinti verslo ar valstybinės įstaigos kolektyvo kibernetinio saugumo žinių lygį ir imtis tam tikrų veiksnių jo kėlimui. Mokymai taip pat suteikia praktinius įgūdžius, kaip apsiginti nuo programišių spąstų, patogūs tiek darbuotojams, tiek juos administruojantiems asmenims.

„Sakoma, kad kartojimas – žinių motina. Natūralu, kad informacija su laiku pasimiršta, todėl galimybė pasikartoti mokymų medžiagą ir įsivertinti savo žinias leidžia siekti maksimalių rezultatų. Ne veltui kibernetinio saugumo mokymai tampa ne tradiciniais mokymais, bet nuolatiniu darbuotojų ugdymu, – kalba ji. – Kadangi darbuotojai nuolat keičiasi ir naujus kolektyvo narius tenka apmokyti iš naujo, rekomenduojama periodiškai organizuoti darbuotojų mokymą duomenų saugumo klausimais.“

Prieš mokymus darbuotojams taip pat gali būti išsiunčiamas mokomasis sukčiavimo laiškas simuliuojant ataką, taip įvertinant jų žinias dar prieš pradedant mokymų programą. Prieš mokymus, pasak pašnekovės, nuorodą tokiame laiške paspaudžia apie 30-40 proc. darbuotojų, po mokymų – vienetai.

Atitinka BDAR nurodymą

„Responsu“ mokymų turinys prieinamas bet kuriuo metu, pateikiamas lietuvių kalba ir suskirstytas į trumpus, nedaug darbuotojo laiko reikalaujančius, tačiau informatyvius modulius, kurie baigiami žinių patikrinimo testais. Mokymo medžiagoje integruotos interaktyvios užduotys, aktualūs, adaptuoti Lietuvos rinkai, pavyzdžiai, patarimai, galima ir individualių verslo bei valstybinių organizacijų patirčių, informacinės medžiagos bei mokymų integracija. Platforma taip pat suteikia galimybę sekti darbuotojų mokymų progresą – prisijungimus, išlaikytus/neišlaikytus testų rezultatus ir bendrą statistiką – bei siųsti jiems automatinus priminimus. Baigus kiekvieną mokymų temą darbuotojui išduodamas elektroninis sertifikatas, kas taip pat aktualu pastarajam tęsiant karjerą kitose darbovietėse.

Platformos mokymų turinys kurtas remiantis realiomis situacijomis ir apima tokias temas kaip slaptažodžiai, švaraus stalo politika, fizinė sauga, Wi-Fi saugumas, mobilieji prietaisai, fišingas, socialiniai tinklai, višingas, sms fišingas, įvadas į informacijos saugumą, keliavimas ir saugumas, išpirkos reikalaujanti programinė įranga (angl. ransomware), socialinė inžinerija, el. pašto saugumas ir interneto naudojimas darbe, į temų lauką taip pat įtrauktas ir trumpas BDAR vadovas. „Responsu“ temos kasmet pildomos ir nuolat atnaujinamos atsižvelgiant į kibernetinio saugumo aktualijas. Platformos temų turinys – bendras mokymų organizatorių, IT praktikų, teisininkų ir Lietuvos bei užsienio kibernetinio saugumo lektorių ir dėstytojų praktikų rezultatas.

„Responsu“ mokymų taikymas taip pat atitinka Bendrojo duomenų apsaugos reglamento nurodymą (47 straipsnis) užtikrinti, kad organizacijos darbuotojai yra tinkamai informuoti apie asmens duomenų tvarkymo ir jų apsaugos reikalavimus. Mokymai atliepia ir VDAI gaires, skelbiančias, kad organizacija turi užtikrinti visų darbuotojų tinkamą informavimą apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu. Pasak VDAI, darbuotojai, susiję su asmens duomenų tvarkymu, turi būti mokomi apie atitinkamus duomenų saugumo reikalavimus ir atsakomybes, rengiant reguliarius mokymus, informavimo renginius ar instruktažus bent kartą per metus.

„Taigi jeigu įmonėje būtų vykdomas auditas, auditoriams būtų galima pateikti darbuotojų žinių kibernetinio saugumo klausimais patikros ataskaitas“, – papildo E. Mockevičiūtė.

Mitas, kad nukenčia tik didieji

„Kurk Lietuvai“ programos dalyvių kartu su Krašto apsaugos ministerija inicijuotos „Kibernetinio saugumo ir verslo“ 2020 m. leidinio duomenimis, kibernetinės atakos tampa vis didesniu rūpesčiu ne tik, kaip įprasta manyti, dideliam, bet ir smulkiam verslui Lietuvoje – net 3 iš 4 smulkiojo ir vidutinio verslo (SVV) vadovų sutinka, kad kibernetinis saugumas yra svarbus jų įmonei. Leidinio sudarytojų 129 verslo vadovų apklausa byloja, kad net 74 proc. apklausoje dalyvavusių Lietuvos SVV įmonių jaučiasi nepasiruošusios arba nežino, ar yra pasiruošusios atremti kibernetines atakas. Beveik pusė (44 proc.) jų nemano, kad gali būti kibernetinio incidento aukomis.

Apžvalgoje akcentuojama, kas SVV įmonės tampa puikiu programišiu taikiniu jau vien dėl pastarųjų saugumo resursų stygiaus lyginant su didžiosiomis įmonėmis, nuolat investuojančiomis į technologinius ir žmogiškuosius saugumo išteklius. Pabrėžtina, kad ir atsitikus lemtingai atakai, mažesnės įmonės neturi pakankamai galimybių užlopyti saugumo spragas, todėl patiria neproporcingai didelius nuostolius. Šiandien bet kokio dydžio verslas vis labiau linkęs keltis į virtualią erdvę ir integruoti automatizuotus IT sprendimus į savo veiklą, todėl grėsmė – neišvengiama nieko nedarant. Smulkus verslas taip pat gali būti puikiu tiltu įsilaužėliams pasiekti didžiuosius mažesniųjų verslo veiklos partnerius.

„Smulki įmonė gali net nepastebėti, kad programišiai, naudodamiesi jos resursais, kenkia kitai įmonei. Svarbu pažymėti, kad ta kita įmonė gali būti įmonės, pasirinktos tiltu į taikinį, klientas ar partneris. Išsiaiškinus incidento šaknis gali stipriai nukentėti verslo reputacija, o tai lemti klientų ir partnerių praradimą. Šiuo atveju nėra svarbu, ar įmonėje yra tik keli, ar kelios dešimtys darbuotojų, pakanka vieno neapgalvoto žingsnio, – detalizuoja E. Mockevičiūtė. – Dauguma atakų taip pat yra automatizuotos, neatsirenkant konkrečių verslų, todėl gali kliūti visiems be išimties. Kibernetinio saugumo mokymai ir juose pateikiami lokalūs pavyzdžiai yra puiki praktika suprasti, kad neapsaugotas nei vienas.“

Nors akivaizdu, kad visiško atsparumo nuolat evoliucionuojančioms kibernetinėms atakoms pasiekti neįmanoma, maži žingsniai šia linkme leidžia ženkliai sustiprinti įmonės duomenų saugumą ir jos reputaciją. Taigi veiksmai siekiant didinti įmonės kibernetinį saugumą turėtų tapti verslo higiena, prasidedančia nuo pačių įmonės darbuotojų ugdymo.

„Ne pats darbuotojas iš savęs yra silpnoji grandis. Silpnąja grandimi tampa neapmokytas darbuotojas. Tačiau jeigu jis gebės kritiškai vertinti gaunamą informaciją ir žinos, kaip su ja elgtis, ilgainiui nebebus laikomas pažeidžiamiausia kibernetinio saugumo dalimi. Svarbu suprasti, kad kibernetiniai nusikaltėliai taip pat yra žmonės, jiems žinomos mūsų taktikos, saugumo metodai ir technologijos, todėl belieka būti sąmoningais su jais susidūrus“, – akcentuoja E. Mockevičiūtė.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

„Fintech“ bendrovių Lietuvoje pernai padaugėjo 13%, pritrauktos rekordinės investicijos

Lietuvos „fintech“ sektorius praėjusiais metais pritraukė rekordinį investicijų skaičių, bendrovių per 2021...

Inovacijos
11:08
Paskelbtas svarbiausias 5G dažnių aukcionas

Ryšių reguliavimo tarnyba (RRT) paskelbė 3,5 GHz juostos dažnių, numatytų komercinio 5G mobiliojo ryšio...

Inovacijos
10:42
Specialistų trūksta, alga ne per didžiausia: stringa Kibernetinio saugumo centro vadovo paieška Premium 1

Krašto apsaugos ministerijai (KAM) kol kas sunkiai sekasi surasti naująjį Nacionalinio kibernetinio saugumo...

Inovacijos
05:45
JAV nusitaikė į Rusijos technologijų įmones, sankcionavo didžiausią lustų gamintoją 1

Jungtinės Valstijos ketvirtadienį paskelbė sankcijas kelioms Rusijos technologijų įmonėms, įskaitant...

Inovacijos
2022.03.31
Pasaulis gręžiasi nuo Rusijos IT bendrovių, jų įrangą vis dar naudoja Lietuvos įstaigos Premium 3

Iš Rusijos kilusios IT bendrovės, kaip „Kaspersky“ ar „Yandex“, pastarąjį mėnesį atsidūrė po Vakarų...

Inovacijos
2022.03.31
Lietuvos žaidimų industrija: iškart galėtume įdarbinti 100 darbuotojų

Žaidimų industrija Lietuvoje šiuo metu yra pajėgi plėstis dar ketvirtadaliu, tačiau susiduriama su talentų...

Inovacijos
2022.03.31
„Inbalance“ gavo 1,5 mln. Eur finansavimą, įrengs 640 elektromobilių įkrovimo stotelių

Investicijų bendrovės „I asset management“ fondas „NuCapital“‚ suteikė 1,5 mln. Eur paskolą, kurią per...

Automobiliai
2022.03.31
Po rekordinių metų startuoliams – investicijų štilis, bet laukiama kelių stambių sandorių Premium

Per pirmąjį metų ketvirtį penki Lietuvos startuoliai, remiantis viešai skelbtais duomenimis, pritraukė apie...

Inovacijos
2022.03.31
Po kibernetinės atakos „Rosaviacija“ bando surasti 65 TB ištrintų duomenų 4

Pasak pranešimų, strateginė Rusijos aviacijos agentūra prarado visus savo serveriuose laikytus duomenis,...

Logistika
2022.03.30
R. Rainys – apie kibernetinį saugumą, sąsajas tarp kriptovaliutų ir „ransomware“ bei „Yandex. Taxi“ Lietuvoje Premium 3

Rytis Rainys, kadenciją baigiantis Nacionalinio kibernetinio saugumo centro (NKSC) vadovas, sako, jog nuo...

Inovacijos
2022.03.30
Estijoje ketinama uždrausti „Yandex“

Estijos verslumo ir informacinių technologijų ministerija pranešė teiksianti vyriausybei siūlymą uždrausti...

Inovacijos
2022.03.30
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
Ekspertai perspėja apie augantį kibernetinių atakų pavojų

Greta Rusijos vykdomos invazijos į Ukrainą, vyksta ir plataus masto informacinis karas, teigia tarptautinė...

Inovacijos
2022.03.29
„Fintech“ bendrovė „Woolsocks“ plečiasi Vilniuje

Nyderlandų kapitalo finansinių technologijų inovatorė „Woolsocks“ ketina plėsti Vilniaus komandą. Sukūrusi...

Inovacijos
2022.03.29
JK priveria kriptokioską: rizikos zonoje atsidūrė net „Revolut“ Premium 2

Jungtinėje Karalystėje, kaip ir didžiojoje dalyje pasaulio, kriptopaslaugos yra mažai arba visiškai...

Inovacijos
2022.03.29
JAV įtraukė „Kaspersky“ į grėsmių sąrašą

JAV reguliuotoja Rusijos kibernetinio saugumo programinės įrangos gamintoją „Kaspersky“ pripažino grėsme...

Inovacijos
2022.03.29
Startuolio savo noru nepaliko nė vienas darbuotojas: ką galima būtų pritaikyti ir kitoms organizacijoms Premium 3

Lietuviškas transporto užsakymų valdymo startuolis „GoRamp“ per pastaruosius kelerius metus užaugino komandą...

Vadyba
2022.03.28
RRT: elektroninių ryšių rinka per ketvirtį augo iki 195 mln. Eur

Lietuvos elektroninių ryšių rinka 2021 metų ketvirtąjį ketvirtį siekė 195 mln. Eur ir palyginti su trečiuoju,...

Inovacijos
2022.03.28
„Huawei“ skelbia pernai pasiekusi rekordinį pelną

Kinijos telekomunikacijų milžinė „Huawei“ pirmadienį pranešė apie rekordinį 2021 m. grynąjį pelną, pasiektą...

Inovacijos
2022.03.28
IT specialistų iš Baltarusijos ir Ukrainos viliones žada tik patvirtinus saugiklių sąrašą 2

Informacinių technologijų (IT) specialistų ir įmonių iš Rusijos ir Baltarusijos priėmimas Lietuvoje prasidės...

Inovacijos
2022.03.28

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku