Kibernetinis saugumas: išlaidos be naudos ar investicija į reputaciją ir įmonės ateitį?

Ji atkreipia dėmesį, kad anksčiau galiojusi direktyva atskiroms valstybėms leido skirtingai vertinti ir traktuoti kibernetinio saugumo reikalavimus. Tačiau COVID-19 pandemijos metu, apribojus žmonių judėjimą ir socialinį bendravimą, o didelei daliai prekybos persikėlus į internetą, nusikaltėliai taip pat savo veiklą internete suaktyvino. Tai lėmė kibernetinių nusikaltimų šuolį. Buvo aktyviai atakuojami ne tik asmenys, bet ir e. parduotuvės, sveikatos, energetikos ir kitų sektorių įmonės, kurios turi sukaupusios didelius asmeninių ar kitų duomenų kiekius. Paaiškėjo, kad įmonių kibernetinis saugumas nėra aukšto lygio, jame randama spragų, o skirtingose valstybės keliami skirtingi reikalavimai.

Suvienodino kibernetinio saugumo reikalavimus

„Europos Sąjungos lygiu imta galvoti, kaip griežtinti ir suvienodinti kibernetinio saugumo reikalavimus bei bausmes už su juo susijusius nusižengimus. Tuomet ir atsirado TIS2 (Tinklo ir informacinio saugumo) direktyva, kuri identifikavo kibernetinio saugumo subjektus, sureguliavo ir sugriežtino bei sukonkretino priemones šiam saugumui užtikrinti, numatė griežtesnes – milijonines baudas“, – pasakoja WIDEN partnerė, advokatė, duomenų apsaugos, intelektinės nuosavybės ir IT teisės praktikos vadovė.

Ji atkreipia dėmesį, kad Kibernetinio saugumo įstatymas taikomas tik tam tikrų sektorių vidutinėms ir didelėms įmonėms, kurios reglamento priede nurodytos kaip ypatingos svarbos, pvz., energetikos, transporto, sveikatos priežiūros, IRT ir finansinių paslaugų, ar svarbios, pvz., maisto gamybos, pašto, atliekų tvarkymo, vandentiekio.

„Tačiau įmonės dydis ne visuomet lemia, ar ji bus pripažinta kibernetinio saugumo subjektu. Juo gali būti pripažinta bet kuri įmonė, kuri teikia kritines paslaugas ypatingos svarbos ar svarbiai įmonei. Į šį sąrašą įtrauktos įmonės yra informuojamos ir joms suteikiamas 12–24 mėn. laikotarpis pasiruošti atitikti reikalavimams“, – atkreipia dėmesį A. Macijauskienė.

Ne ar įvyks, o kada įvyks

Pasak jos, kuo toliau, tuo lengviau pasiruošti atitikti Kibernetinio saugumo įstatymo reikalavimams. Prie to prisideda ir Nacionalinis kibernetinio saugumo centras, kuris rengia įvairią standartinę dokumentaciją, konsultuoja į sąrašą įtrauktas įmones.

„Tačiau pažeidžiama gali būti bet kuri įmonė, nors ji gal ir mano, kad kibernetinių nusikaltėlių nedomina. Todėl reikėtų įvykdyti ne tik privalomus reikalavimus, bet ir žengti papildomus žingsnius stiprinant kibernetinį atsparumą, – tikina advokatų kontoros WIDEN partnerė. – Kibernetinio saugumo specialistai visuomet akcentuoja, kad klausimą reikia formuluoti ne „ar įvyks incidentas, o kada jis jūsų įmonėje įvyks“. Kibernetiniai nusikaltėliai nuolat tobulėja, todėl ir įmonės savo kibernetinį saugumą turi nuolat stiprinti.“

Ji atkreipia dėmesį, kad spragų kibernetiniai įsilaužėliai ieško ne tik jūsų įmonės silpniausiose IT sistemų ir technologijų grandyse, bet jiems duris gali atverti net esami ar buvę jūsų „pikti“ arba tinkamai neparengti darbuotojai. Mat tokių atvejų jau yra pasitaikę.

„Darbuotojų mokymai, specialios treniruotės būtinos. Praktika rodo, kad testavimų metu daugelyje įmonių vis dar pasitaiko darbuotojų, kurie pasimauna ant kenkėjiškų laiškų, atskleidžia slaptažodžius ar kitaip atidaro savo įmonių IT sistemų saugos vartus. Tik gerai, kad juos siunčiame mes, kurie testuojame darbuotojų budrumą ir supratingumą“, – pasakoja A. Macijauskienė.

Kibernetinis saugumas: išlaidos ar investicijos?

Ano jos, dalis verslininkų atitikimą kibernetinio saugumo reikalavimams vis dar vertina kaip išlaidas be naudos. Tačiau, pasak advokatų kontoros WIDEN partnerės, toks požiūris trumparegiškas, nes nebūnant kibernetiškai saugiam gali nutikti taip, kad verslo iš viso neturėsi galimybių vykdyti.

„Esu sulaukusi skambučių su prašymu gelbėti, nes kibernetiniai nusikaltėliai užblokavo visus įmonės duomenis ir veikla sustojo ne valandai, o savaitėms. Tuomet įmonės supranta, kad investicijos į kibernetinį saugumą grįžta su kaupu, nes verslas nenustoja veikti, jis gali gyvuoti“, – tikina A. Macijauskienė.

Lietuvoje apie kibernetinių nusikaltėlių sėkmingus įsilaužimus viešai kalbama gana retai, dažniausiai tik tuo atveju, kai įsilaužimai paveikia asmens duomenis. Mat apie įvykusį tokį duomenų saugumo pažeidimą įmonės privalo operatyviai pranešti Valstybinei duomenų apsaugos inspekcijai.

Ką daryti, kad atitiktum reikalavimus

Įmonėms, siekiančioms atitikti Kibernetinio saugumo įstatymo reikalavimus, būtina įdėti daug techninio ir teisinio darbo. Tačiau, pasak A. Macijauskienės, laiko prasme daugiausiai darbo reikalauja rizikos vertinimas, dokumentacijos pasirengimas ir jos įgyvendinimas. Todėl ir nustatytas pereinamasis 12–24 mėn. laikotarpis, kad įmonės spėtų pasirengti reikalavimų atitikimui.

Ji atkreipia dėmesį, kad Lietuvoje nėra daug specialistų, kurie gali tinkamai įvertinti įmonių kibernetinio saugumo rizikas, parengti dokumentus ir juos įgyvendinti. Ypač šį stygių jaučia mažesnės įmonės, kurios neturi savo IT skyrių ir specialistų, o šias paslaugas samdosi iš šalies.

„Net geri IT specialistai ar teisininkai nebūtinai išmano, kaip tinkamai įgyvendinti įstatymo reikalavimus, kokius produktus reikia įsigyti ar kaip konfigūruoti nustatymus ir pan., – patirtimi dalinasi advokatė. – Praktika rodo, kad tai bent kelių gerai temą išmanančių ekspertų darbas: retas Lietuvoje giliai išmano ir IT, ir teisinius kibernetinio saugumo klausimus. Tad geriausią rezultatą duoda šių sričių specialistų bendradarbiavimas.“

Ji taip pat primena, kad Kibernetinio saugumo įstatymas numato įmonės vadovo ir paskirtų atsakingų asmenų, pvz., kibernetinio saugumo vadovo (CISO), pareigas ir atsakomybes įgyvendinant saugumo priemones, prievolę kas dveji metai dalyvauti kibernetinio saugumo mokymuose, pranešti apie incidentus ir t. t.

Taip pat yra konkrečių reikalavimų ir nurodymų tiekėjams, kurie dirba su ypatingos svarbos sektoriams priklausančiomis įmonėmis ir organizacijomis. Nors toks tiekėjas gali būti ir labai mažas, bet jam taip pat keliami atitinkami ypač griežti reikalavimai. Todėl tiekėjai, kurie tik planuoja dirbti su kibernetinio saugumo subjektais, turi būti pasiruošę atitikti Kibernetinio saugumo įstatymo reikalavimus.

Kibernetinis saugumas – ne BDAR

A. Macijauskienė pastebi, kad dalis įmonių Kibernetinio saugumo įstatymo reikalavimus painioja su dar 2016 m. Europos parlamento ir Tarybos priimtu Bendrųjų duomenų apsaugos reglamentu (BDAR). Tiesa, šie reguliavimai turi panašumų, pvz., abu skirti informacijos apsaugai užtikrinti ir nustato dideles baudas juos pažeidusioms įmonėms.

Nors BDAR taikomas tiesiogiai visose ES valstybėse ir visiems, kurie tvarko asmeninius duomenis, bet veikia siauresne apimtimi – skirtas asmens duomenų apsaugai, o ne visai konfidencialiai informacijai, nenustato konkrečių įgyvendinimo priemonių. Kibernetinio saugumo reikalavimai taikomi tik specifiniams verslams ir įmonėms, kurie nurodyti  konkrečiame norminiame akte, kuris taip pat nurodo, kas turi būti užtikrinta. Tiesa, jei įmonė nėra kibernetinio saugumo subjektas, kibernetinį saugumą gali užtikrinti, laisviau laviruodama pasirenkant priemones bei sprendimus.

„Atsakymą į klausimą, ar verta rūpintis kibernetiniu saugumu, rasite paprastai, jei įsivaizduosite, kad vieną rytą ateinate į darbą, o ten – niekas neveikia, duomenys pavogti, reputacija sužlugdyta ir dar gavote reikalavimą sumokėti milijoninę išpirką. Ir ši situacija – ne hipotetinė. Deja, ją jau yra patyrusios ne viena įmonė ir organizacija, kuri aplaidžiai tvarkė savo IT sistemas, – konstatuoja kibernetinio saugumo ekspertė. – Beje, jokiu būdu nerekomenduojama mokėti išpirkos, nes taip finansuojami nusikaltėliai, o sumokėjusieji niekada nėra tikri, kad ateityje jų duomenys ir sistemos bus saugūs.“