Pandemija atskleidžia verslo kibernetinį pažeidžiamumą: kas turi juo rūpintis?

Dėl pandeminės situacijos aplinkybių, kai visi privalome laikytis karantino sąlygų ir dauguma įmonių yra perkėlusios savo verslo procesus į virtualią erdvę, įmonės susiduria ne tik su iššūkiais, kaip tęsti darbus nuotoliniu būdu, bet ir potencialiais pavojais – kibernetinėmis grėsmėmis. Nors kibernetinės grėsmės nėra visada apčiuopiamos ar fiziškai matomos, jos neretai gali sukelti itin didelius nuostolius, kurie apima ne tik prarastus finansus, bet ir reputacijos bei verslo tęstinumo klausimus. „Cybersecurity Ventures“ kompanijos tyrimų apie kibernetinius nusikaltimus prognozėmis, kibernetinių nusikaltimų padaroma žala pasaulinei ekonomikai 2021 metais sieks net 6 milijardus JAV dolerių.

Apsisaugoti nuo kibernetinių grėsmių verslas gali įvairiomis kibernetinio saugumo priemonėmis – pradedant nuo nemokamų įrankių, baigiant sudėtingais techniniais sprendimais, reikalaujančiais nemažų finansinių išteklių. Stambios įmonės yra pajėgios naudoti platų kibernetinio saugumo priemonių spektrą, tačiau to negalime pasakyti apie mažas ir vidutines įmones. Deja, dažnai šios įmonės nesilaiko bazinio lygio kibernetinio saugumo ir higienos principų dėl įvairiausių priežasčių, kurias lemia kibernetinio saugumo sąmoningumo trūkumas.

Smulkusis ir vidutinis verslas (SVV) yra mūsų visuomenės atspindys. Neturėdami atsparaus verslo, negalėsime teigti turį aukštą nacionalinį kibernetinio saugumo lygį Lietuvoje. Tačiau kas ir kodėl turi rūpintis smulkiojo ir vidutinio verslo kibernetinio saugumo brandos kėlimu?

Valstybės vaidmuo

SVV yra vienas iš pagrindinių Lietuvos ekonomikos variklių, kuriantis 75,9% šalies BVP ir sudarantis 99,8% visų įmonių. Deja, tačiau būdamas tokia svarbia Lietuvos ekonomikos dalimi, SVV dar nepakankamai įvertina grėsmes šiame skaitmeniniame amžiuje – net 40% SVV įmonių per praėjusius metus visiškai nieko neinvestavo į įmonės kibernetinį saugumą, rodo „Kurk Lietuvai“ programos projekto atlikta apklausa.

Visuomenėje egzistuoja mitas, kad kibernetinis saugumas labiausiai liečia pagrindines valstybės institucijas, kritinę šalies infrastruktūrą bei didelius finansinius resursus laikančias organizacijas, o mažų ir vidutinių įmonių turima informacija nėra tokia vertinga, todėl šios įmonės piktavaliams nėra įdomios. Taip teigti yra klaidinga, nes kibernetinis saugumas paliečia visus: tiek mažus, tiek didelius verslo subjektus, tiek viešojo sektoriaus įstaigas, tiek mus visus – Lietuvos piliečius. Šioje vietoje svarbu atkreipti dėmesį į tai, kad įmonės yra tarpusavyje susijusios ir per vienos įmonės sistemą programišiai gali patekti ir į kitą, kuri gali būti ir kritinės infrastruktūros dalimi. Kibernetinis saugumas apima tiek visuomeninį, tiek ir nacionalinį Lietuvos saugumą, kibernetinio incidento pasekmės gali pasireikšti ne tik šalies lygmeniu, bet ir sukelti didelius nuostolius tarptautiniu mastu, kaip 2017 metais įvykusi „WannaCry“ ransomware ataka, kurios metu įsilaužta į beveik 200.000 kompiuterių visame pasaulyje, o bendra žala siekia daugiau nei 4 milijardus dolerių.

Įvairių šalių gerosios praktikos rodo, kad padėti kibernetinio saugumo srityje SVV gali šalies institucijos. Svarbu suprasti tai, kad valstybės nėra ekonomiškai pajėgios visapusiškai nuo kibernetinių įvykių apsaugoti visas įmones. Kibernetinis saugumas nėra baigtinis procesas, kurį užtikrintų tiesiog antivirusinės programos įsidiegimas, nes kibernetinės grėsmės nuolat kinta ir tobulėja.

Visgi, ką valstybė gali padaryti, tai – padėti įmonėms suprasti, kaip galima apsisaugoti nuo kibernetinių grėsmių, suteikiant joms rekomendacijų rinkinį, kuris keltų jų kibernetinio saugumo brandą ir parodytų, ką jos turi daryti norint geriau pasirūpinti savo kibernetiniu saugumu. Įvairias praktikas skirtas padėti verslui skirtingomis formomis, pavyzdžiui, virtualios mokomosios medžiagos, seminarai, informaciniai vadovai, platformos skirtos verslui, sėkmingai vykdo Jungtinė Karalystė, Belgija ir kitos pasaulio valstybės. Reaguodamas į susiklosčiusias aplinkybes dėl koronaviruso pandeminės situacijos, Lietuvos Nacionalinis kibernetinio saugumo centras (NKSC) pateikė bazines rekomendacijas dėl nuotolinio darbo iš namų. Tai puikus pavyzdys, kaip valstybė gali padėti verslui ir piliečiams suprasti bei priminti kibernetinio saugumo principus įvykus tokiai krizei. Tokios rekomendacijos įmonėms ne tik pandemijos, bet ir įprastu metu, gali būti geras šaltinis priverčiantis pagalvoti apie kibernetinio saugumo užtikrinimą savo versle. Greitu metu pasirodys ir tarpsektorinės iniciatyvos tarp Krašto apsaugos ministerijos, „Kurk Lietuvai“ programos bei privataus sektoriaus rezultatas — kibernetinio saugumo vadovas verslui, kuris, tikimasi, padės Lietuvos įmonėms žengti kibernetinio saugumo užtikrinimo keliu.

O kas, jei ne valstybė?

Valstybės vaidmuo didinant SVV kibernetinio saugumo brandą yra didelis ir svarbus, tačiau jei kiekvienas asmuo pats nepradės rūpintis kibernetiniu saugumu, valstybės įsitraukimas nebus efektyvus. Kibernetinis saugumas neveltui yra dažnai prilyginamas asmeninei higienai arba rūpinimuisi savo sveikata. Taip, kaip rūpinamės savo sveikata – reguliariai tikrinamės sveikatos būklę pas gydytoją, naudojame prevencines priemones nuo ligų, sveikai maitinamės, sportuojame, o susirgus imamės tam tikrų veiksmų, taip yra būtina elgtis ir kai kalbame apie kibernetinį saugumą. Yra svarbu laikytis bazinių kibernetinio saugumo higienos priemonių, tokių kaip saugių slaptažodžių naudojimo, automatinių atnaujinimų vykdymo, atsarginių kopijų kūrimo ar kelių žingsnių autentifikavimo. Kibernetinė higiena šių dienų pasaulyje, kai vis labiau priklausomi esame nuo skaitmeninių įrenginių ir paslaugų, turėtų būti neatsiejama kiekvieno asmens kasdienybės dalis.

Kalbant apie mažas ir vidutines įmones, nereikėtų pamiršti, kad pirmiausia įmonės yra sudarytos iš žmonių. Kibernetiniai incidentai labai dažnai įvyksta ne dėl silpnų ar netinkamų techninių kibernetinio saugumo priemonių, bet paprasčiausiai dėl neapdairumo, žinių trūkumo ar aplaidumo – žmogiškųjų klaidų. „IBM“ kompanijos ir

„Ponemon“ instituto tyrimo rezultatai atskleidė, kad netyčinės žmogaus klaidos ir sistemų pažeidimai yra beveik pusės duomenų pažeidimų priežastis. SVV įmonės, pirmiausia, turi rūpintis savo darbuotojų žinių kėlimu ir kibernetinio saugumo kultūros savo įmonėse kūrimu. Net jei valstybė ir suteiks nemokamų žinių apie tai, kas yra svarbiausia keliant darbuotojų kibernetinio saugumo brandą, galiausiai, ar įmonės to imsis vis tiek priklausys nuo jų pačių sprendimo, noro bei supratimo, kodėl to reikia.

Kibernetinė higiena yra būtinas įmonės saugumo ir bendros skaitmeninės aplinkos sveikatos komponentas. Tam, kad bendras ne tik SVV, bet ir visos šalies kibernetinio saugumo brandos lygis būtų aukštas, visi – tiek valstybė, tiek įmonės, tiek piliečiai, turi siekti to paties tikslo.

Komentaro autorė — Gabrielė Bilevičiūtė, „Kurk Lietuvai“ projektų vadovė Krašto apsaugos ministerijoje

Rašyti komentarą 0