Kibernetinio saugumo dekalogas vadovams
„Lietuvoje turėtume nustatyti tam tikrą IT saugumo standartą, žemiau kurio nei mūsų institucijos, nei verslo įmonės neturėtų nusileisti“, – įmonių ir institucijų vadovams skirtame renginyje „Telia VIP Gyvai“ pažymėjo Andrius Šemeškevičius, „Telia“ technologijų vadovas. Tuomet mūsų bankai, mokesčius administruojančios institucijos, pensijų fondai ir kita šiuolaikinei visuomenei bei verslui svarbi infrastruktūra būtų apsaugota žymiai patikimiau nei dabar.
I. Užkirskite kelią atakoms iš įmonės vidaus
Statistika rodo, jog 62% įsilaužimų iš vidaus įvyksta dėl darbuotojų aplaidumo.
„Darbuotojui į el. paštą atėjo įtartinas dokumentas, tačiau jis jį vis tiek atidarė, namuose į kompiuterį jis įdeda neaiškios kilmės USB raktą ar leidžia su darbo kompiuteriu žaisti vaikams – toks ir panašus elgesys gali baigtis įmonei labai rimtais nuostoliais“, – perspėjo A. Šemeškevičius. Daug ko galime pasimokyti iš kibernetinio karo Ukrainoje. Pavyzdžiui, vienas telekomunikacinės bendrovės darbuotojas Ukrainoje sulaukė siuntinio, kuriame buvo graži „Microsoft“ pakuotė su USB raktu ir raginimu atsinaujinti „Microsoft Office“ versiją. Darbuotojas paklausė šio patarimo ir tokiu būdu buvo nulaužta vienos didžiausių ryšio tiekėjų Ukrainoje IT sistema.
„Reikia tinkamai edukuoti darbuotojus, o aplaidumui ir žioplumui neturėtų būti jokios tolerancijos, – pabrėžė A. Šemeškevičius. Anot jo, nepakanka saugotis patiems, reikia pasidomėti ir paslaugų teikėjais, kurie turi teisę jungtis prie bendrovės ar valstybinės įstaigos tinklo. Ukrainoje į vieną banką užkratas atėjo per bendrovę, prižiūrinčią banko klimato kontrolės įrenginius ir turinčią teisę jungtis prie banko IT. „Telia“ pataria tinkamai valdyti prieigos teises ir slaptažodžių kūrimo bei keitimo procesus. Rizikas taip pat gali sumažinti VPN ryšio naudojimas, apribojimas iš namų dirbti tik su tam tikromis sistemomis. Taip pat galima, pavyzdžiui, leisti jungtis prie sistemų tik darbo metu, naudoti mobiliųjų išmaniųjų prietaisų saugos sprendimus.
„Būtina stebėti ir reaguoti į incidentus ir svarbiausia – nereikėtų visų šių darbų numesti tik savo IT skyriui, nes ši sritis labiau priklauso vadybos ir darbo su žmonėmis sričiai, todėl IT skyrius nebūtinai geriausiai atliks šias užduotis“, – patarė A. Šemeškevičius.
II. Apsisaugokite nuo DDoS ir kitų išorės atakų
Įprastos paslaugų trikdymo atakos (DDoS, angl. Distributed Denial-of-Service) metu iš išorės tinklų ateina daug užklausų, su kuriomis serveriai nesusidoroja, todėl sistema užsikemša. Šios kenkėjiškos užklausos vienu metu gali ateiti iš daugelio pasaulio šalių, sistema nepajėgia jų apdoroti ir įmonės ar institucijos veikla sutrikdoma.
„Kartais DDoS atakomis prisidengiama kaip dūmų uždanga – jos metu vaikšto daug informacijos, todėl nepastebimai gali būti pavogti įmonės duomenys“, – pažymėjo A. Šemeškevičius. Jis akcentavo, kad telekomunikacijų bendrovių klientai nėra automatiškai apsaugoti nuo tokių atakų – apsauga nuo jų yra papildoma mokama paslauga. Apsiginti nuo tokių atakų gali padėti Web aplikacijų ugniagesė, ji aptinka anomalijas ir atitinkamai reaguoja. Taip pat labai svarbu tinkamai atlikti IT sistemos nustatymus. Pavyzdžiui, nustatyti, jog jungtis prie įmonės IT sistemos galima tik darbo dienomis, tik iš tam tikros kartos „Windows“ sistemų ir tik iš tam tikro pasaulio regiono. Visos šios priemonės gali sumažinti atakų žalą. Slaptažodžiai turi būti ilgi ir sudėtingi, o verslui itin svarbius duomenis reikėtų šifruoti, naudojant kriptografines priemones.
„Prieiga prie įvairių IT sistemų lygių turi turėti tik tie darbuotojai, kuriems jos iš tikrųjų reikia, svarbu nuolat atnaujinti savo programinę įrangą, pasirūpinti alternatyviomis ryšio linijomis ir nuolat testuoti sistemas“, – dėsto A. Šemeškevičius.
embedgallery::https://foto.vz.lt/embed/1714?placement=
III. Tinkamai valdykite debesijos paslaugas
Debesijos technologijos skirtos dalintis informacija ir prieiti prie jos iš bet kurios pasaulio vietos, tačiau šiose galimybėse slypi ir tam tikri pavojai.
„Nereikėtų tikėtis, kad tokie debesijos infrastruktūros tiekėjai kaip „Microsoft“ „Google“ ar IBM už jus padarys viską – jie tik suteikia infrastruktūrą, kuri turi šimtus parinkčių“, – perspėjo A. Šemeškevičius. Statistika rodo, kad 62% kibernetinių incidentų naudojant debesijos paslaugas nutinka dėl klaidingai pasirinktų jų nustatymų. Būtina tinkamai pasirinkti, kas, kada, kokiu būdu ir iš kurių vietų galės jungtis prie jūsų IT sistemų. Šį darbą galima patikėti ir savo debesijos paslaugų teikėjui.
IV. Pasirūpinkite, kad kuriant WEB aplikacijas būtų taikomi saugumo standartai
WEB aplikacijos – tai programos, kurios veikia internete. Jų užsakovai ir kūrėjai dažnai tokioms programoms nekelia aukštų saugumo reikalavimų.
„Apie saugumą reikia pradėti kalbėti jau nuo tokių aplikacijų kūrimo pradžios“, – nurodė A. Šemeškevičius. Jis pataria reikalauti, kad jų kūrėjai vadovautųsi standartiniu kūrėjų ir internetinių programų saugumo informavimo dokumentu „OWASP ". Anot „Telia“ technologijų vadovo, tokį reikalavimą verta įrašyti į sutartis su užsakovu. Jeigu vėliau įmonė patirs nuostolių ir paaiškės, kad kūrėjai nesivadovavo šiais standartais, įmonė galės pareikalauti garantinio remonto ar žalos atlyginimo.
V. Laiku atnaujinkite techninę įrangą
Kartais įmonės susigundo įsigyti seno modelio įrangą, kuri parduodama su nuolaida, nes jau atsirado nauja jos versija.
„Iš pirmo žvilgsnio atrodo viskas gerai – pardavėjas siūlo jai, tarkime, 5 metų garantiją. Tačiau vėliau paaiškėja, kad programinis įrangos palaikymas baigsis už kokių 1,5 m., o tai jau kelia riziką bendrovės saugumui“, – komentavo A. Šemeškevičius. – Nebus atnaujinimų – kentės ir kibernetinė įmonės sauga.“ Pavyzdžiui, prieš porą metų IT bendruomenę sudrebino žinia, kad „Intel“ gaminami procesoriai turi spragų. Tuomet tiek „Intel“, tiek kitos bendrovės leido atnaujinimus ir tokiu būdu bandė spręsti šį klausimą. „Telia“ rekomenduoja prieš perkant įrangą pasiteirauti, kada baigsis IT įrangos programinis palaikymas.
VI. Naudokite naujausias programinės įrangos versijas
„Jeigu programinę įrangą kuriate patys ar užsakote ją sau, didelė tikimybė, kad ji niekada nebus atnaujinama, nes vėliau tam neatsiras lėšų biudžete, – mintimis dalinosi A. Šemeškevičius. – Todėl geriau rinktis IT sprendimus, kurie nuolat atnaujinami ir diegti jų naujausias versijas.“ Tai leis palaikyti ne tik geresnį funkcionalumą, bet ir aukštesnį saugumo lygį. Anot „Telia“ technologijų vadovo, svarbu ilgai neužsibūti prie vienos ir tos pačios programos versijos, nes vėliau iš karto pereiti prie daug naujesnės programinės įrangos versijos bendrovei gali kainuoti daug lėšų ir laiko.
VII. Turėkite alternatyvią interneto ryšio infrastruktūrą
„Rekomenduojame turėti rezervinį ryšį – tai gali būti dubliuota linija: fiksuotas šviesolaidis ir mobilusis ryšys ar kombinacija su satelitiniu ryšiu“, – patarė A. Šemeškevičius. Turimą ryšio įrangą svarbu testuoti.
„Kiekvieno testo metu, kai fiziškai ištraukiame laidą iš įrangos, išlenda tie trūkumai, dėl kurių avarijos atveju veiklos atnaujinimas gali užtrukti“, – sakė A. Šemeškevičius. Įmonės taip pat gali turėti atsarginį ryšį nuotoliniam darbui, atsarginę įrangą, galimi hibridinės debesijos sprendimai.
VERSLO TRIBŪNA
Rimas Bakanauskas vedamas didelio užsispyrimo ir ryžto dirbti nesamdomą darbą įkūrė UAB „Stikmeta“ 2005 m. rugpjūčio 30 d. Simboliškai – 2 dienos po savo paties gimtadienio. Įmonė, pradėjusi veiklą nuo berėmio stiklo konstrukcijų projektavimo, gamybos bei montavimo, per 20 m. patyrė ir iššūkių, ir labai gerų laikų. Šiandien vedama darnaus šeimyninio kolektyvo gali didžiuotis savo gaminiais, džiaugtis patikimais partneriais ir drąsiai planuoti naujas perspektyvas bei investicijas.
„Savo žadėtus planus ir įsipareigojimus įvykdėme – liepą visą mėnesį dirbusių darbuotojų atlyginimų mediana pasiekė ir net viršijo simbolinius 2.000 Eur – buvo 2.097 Eur. Visą ir ne visą mėnesį dirbusiųjų atlyginimai taip pat perkopė šią ribą – buvo per 2.012 Eur“, – džiaugsmo įgyvendintais pažadais neslepia Dainius Dundulis, 160 parduotuvių Lietuvoje turinčios UAB „Norfos mažmena“ valdybos pirmininkas ir gamybos bei logistikos UAB „Rivona“ generalinis direktorius. Anot jo, kitiems didiesiems mažmeninės prekybos tinklams dabar teks dar labiau pasitempti dėl darbuotojų įvertinimo.
OWEXX siūlo didžiausią Lietuvoje reklamos plotų pasiūlą – tai efektyviai ir tikslinę auditoriją pasiekiančiai reklamos kampanijai reikalingos priemonės vienoje vietoje. Viena iš daugelio OWEXX siūlomų reklamos medijų – reklaminiai stendai, įrengti matomose miestų ir pagrindinių kelių vietose, tampantys drobe įsimintinai ir kokybiškai reklamos žinutei.
Seime vėl pasirodžius iniciatyvoms plėsti užstato sistemą, į ją įtraukiant alkoholinių gėrimų ir konservuotų maisto produktų pakuotes, ekspertai perspėja: tai gali sugriauti sėkmingai veikiančią dabartinę pakuočių atliekų tvarkymo sistemą, pabranginti prekes ir sukelti kitų nepatogumų vartotojams. Be to, tai nebūtinai atneštų laukiamą efektą – didesnį stiklo pakuočių surinkimą bei švaresnę aplinką.
VIII. Būkite gerai pasiruošę greitai atkurti savo veiklą
Jeigu jau įmonė ar institucija patyrė kibernetinę ataką, labai svarbu kuo greičiau grįžti į įprastą darbo ritmą. Pavyzdžiui, laikrodžių, navigacijos sistemų ir kitų įrenginių gamintoja „Garmin“ programišiams sumokėjo 10 mln. Eur išpirką mainais į savo IT sistemų atkūrimo raktus, nes paskaičiavo, kad pačiai atkurti veiklą užtruktų 2 savaites. Ir visą šį laiką bendrovės pagaminti laikrodžiai, navigacijos sistemos bei kita įranga neveiktų.
„Testai gali parodyti, per kiek laiko bendrovė iš tikrųjų pajėgi atkurti savo veiklą po atakos“, – pažymėjo A. Šemeškevičius. Įmonėms svarbu pasitikrinti ir savo atsarginių kopijų darymo strategiją.
XI. Turėkite krizių valdymo planą
Kibernetinė ataka yra krizė, todėl būtina pasitekti krizių valdymo taisykles. Vadinasi, įmonėje turi būti kibernetinės atakos valdymo planas, kuriame būtų numatyta komanda, veiksmų seka, komunikacija, naudojamos priemonės bei pratybos.
„Neturint plano veiksmai gali būti chaotiški – paaiškės, kad el. paštas neveikia, o reikalingų telefono numerių niekas nežino, taip pat nėra aišku, kas už ką atsako“ – teigė A. Šemeškevičius. Savo veiksmus kibernetiniu atakų atveju svarbu dokumentuoti, nes vėliau tokių dokumentų prireiks teisėsaugai, ar tariantis dėl žalos atlyginimo. Patirtos atakos masto ir vertinimo svarbu nekomentuoti viešai, nes tokiu būdu informacija perduodama kibernetiniams nusikaltėliams, kurie pagal tai koreguoja tolimesnę atakos strategiją bei taktiką.
X. Kibernetiniam saugumui skirkite atskirą eilute biudžete
Kibernetinis saugumas dažnai yra įtraukiamas į bendrą IT veiklos biudžetą. Tačiau, pasak „Telia“ technologijų vadovo, lėšos kibernetiniam saugumui neturi būti skiriamos pagal principą: „jeigu liks pinigų, tai ir finansuosime.“
„IT saugai skirtas biudžetas privalo turėtų atskirą eilutę – jo negalima sudėti į vieną krūvą su IT veiklos biudžetu, nes tuomet didelė tikimybė, kad visos lėšos bus skirtos IT plėtrai, o saugai nieko neliks“, – perspėjo A. Šemeškevičius. IT kibernetiniam saugumui skirtos lėšos turėtų būti investuotos būtent į šią sritį.
Verslai ir institucijos tapo kritiškai priklausomos nuo savo IT infrastruktūros, todėl reikėtų pabusti anksčiau nei jus pažadins kibernetinė ataka. Rūpestis saugumu yra nuolatinis procesas ir per vieną dieną jo nepasieksi, todėl tuo reikėjo pasirūpinti jau vakar.
