Kas tai? Eksperto įžvalgos

SVV – gardus kąsnis kibernetiniams nusikaltėliams

Reklama publikuota: 2018-04-24
Anot Vytauto Zulono, IT sprendimų ir paslaugų UAB „Atea“ tinklų ir saugumo grupės vadovo, investuojant į naujausias technologijas, saugančias nuo kibernetinių atakų, verslui nereikėtų pamiršti, kad didžiausia kibernetinės saugos spraga išlieka žmogus. Ryčio Galadausko nuotr.
svg svg
Anot Vytauto Zulono, IT sprendimų ir paslaugų UAB „Atea“ tinklų ir saugumo grupės vadovo, investuojant į naujausias technologijas, saugančias nuo kibernetinių atakų, verslui nereikėtų pamiršti, kad didžiausia kibernetinės saugos spraga išlieka žmogus. Ryčio Galadausko nuotr.

Jau ne pirmus metus kibernetinės atakos karaliauja nusikaltimų topuose. Ekspertai skaičiuoja, kad  būtent kibernetinis saugumas artimiausius du dešimtmečius bus vienu pagrindinių iššūkių verslui. Vytautas Zulonas, IT sprendimų ir paslaugų UAB „Atea“ tinklų ir saugumo grupės vadovas, perspėja, kad viena didžiausių grėsmių bendrovėms yra naivus tikėjimas, jog kibernetiniai nusikaltimai vyksta tik didžiųjų korporacijų kiemuose, o smulkusis ir vidutinis verslas programišiams neįdomus.

Didžiosios Britanijos draudimo kompanija „Lloyd‘s“ yra apskaičiavusi, jog kibernetinės atakos verslui kasmet atsieina 400 mlrd. USD. IBM korporacijos vadovė Ginni Romerty neabejoja, kad kibernetiniai nusikaltimai yra didžiausia grėsmė viso pasaulio verslui, o tyrimų agentūra „Cybersecurity Ventures“ prognozuoja, kad jau 2021 m. dėl kibernetinių atakų pasaulis patirs 6 trilijonus USD nuostolių.

 „Kalbėdami apie kibernetinę saugą dažniausiai įsivaizduojame apsaugą nuo virusų, ar programišius,  laužančius tinklalapius. Tačiau kibernetinė sauga yra daug platesnė sritis, tiesiogiai susijusi su organizacijos veikla ir jos aspektų kritiškumu, - sako p. Zulonas. - Kibernetinė sauga svarbi visoms įmonėms, tačiau jos aktualumas varijuoja, kai kalbama apie skirtingus sektorius ar net įmones. Pavyzdžiui, jeigu bendrovei pajamas neša gaminiai, jai svarbiausia užtikrinti gamybos veiklos tęstinumą. Tokiu atveju privalu saugoti pramoninius įrenginius ir jų valdiklius, logistikos sistemas, brėžinius ir receptūras. Kitai įmonei gali būti svarbūs klientų duomenys, trečiai – patentai ir pan. Yra kibernetinės saugos aspektų, kuriuos galima priskirti bendrai IT higienai, tačiau yra ir labai specifinių pusių, kurios svarbios tik atskirose verslo šakose“.

Nenuostabu, kad garsiausiai nuskamba atvejai, kai dėl programišių piktavališkumo nukenčia pasaulinės korporacijos: pvz. tris metus nepastebėta 2013-ųjų ataka prieš „Yahoo“, kai nusikaltėliai pasisavino visų 3 mlrd. vartotojų duomenis ar 2016 metų ataka prieš „Uber“, kai buvo pasisavinta 57 mln. kompanijos klientų ir vairuotojų duomenys, o kompanija mėgino tai nuslėpti. Taip pat dėmesį patraukia itin didelio masto nusikaltimai (pvz., „WannaCry“ ataka, kai pinigų reikalauta užšifravus duomenis), kurių, tikina ekspertai, ateityje galime tikėtis vis daugiau. Visgi, kone pusė kibernetinių atakų visame pasaulyje yra nukreiptos prieš smulkiojo ir vidutinio verslo (SVV) įmones. Deja, tyrimų duomenimis, kol kas tik 38% bendrovių teigia turinčios priemonių kovoti su kibernetiniais nusikaltėliais, o į 60% šio segmento bendrovių nusikaltėliai virtualiai įsilaužtų vos per kelias minutes.

„Lietuvoje kibernetinės atakos prieš verslo organizacijas yra tokios pat dažnos kaip ir prieš valstybinį sektorių, tiesiog daug mažiau informacijos iškyla į viešumą“, - komentuoja p. Zulonas.

Man taip nenutiks

Anot pašnekovo, klaidinga manyti, kad prieš programišius kovoti neįmanoma. Nuo nesudėtingų kibernetinių puolimų galima gana lengvai apsiginti. Tačiau netrūksta įmonių, kurios neįsigilina į kibernetinės saugos esmę, mano, kad jos nusikaltėliams neįdomios ar vis dar tikisi, jog visas grėsmes įmanoma numalšinti universalaus poveikio tablete.

„Didžiausios ir dažniausios Lietuvos verslo klaidos yra manymas, kad „man taip neatsitiks“ arba „aš neturiu ko saugoti“. Kompanijų vadovai Lietuvoje, tie, kas organizuoja IT darbą ir skirsto biudžetus vis dar tiki kitu gaju mitu - kad egzistuoja vienas universalus sprendimas visoms kibernetinės saugos problemoms. Verslas taip pat dažnai mano, kad kibernetinės saugos incidentai yra kažkas egzotiško ar tolimo, - pasakoja p. Zulonas. - Aš dažnai palyginu investicijas į kibernetinę saugą su savarankišku turto draudimu. Gali būti, kad įmonei niekada neteks susidurti su incidentu, tačiau incidentui įvykus jau bus vėlu. Investicijos į saugą turėtų atitikti galimus nuostolius - juk nemokėtume už automobilio draudimą sumos, kuri viršija paties automobilio kainą?“

Labiausiai pažeidžiami – darbuotojai

Ponas Zulonas teigia, kad daugiausia vadovai klysta, kai neįsigilina į įmonės veiklos rizikas ir neįvertina didžiausių saugos spragų.

„Lietuvoje labai trūksta kompetentingų kibernetinės saugos, veiklos rizikų, asmens duomenų saugos specialistų. Apibendrinant, didžiausia Lietuvos kibernetinė saugos spraga yra žmogus. Daugiau negu 90% tikslinių atakų būna nukreiptos prieš labiausiai pažeidžiamą saugos grandį - įmonių darbuotojus, kurie dažniausiai neturi elementarių saugaus darbo su IT žinių. Tai liūdina, nes išlaidos, kurių patirtų įmonės, nusprendusios kelti darbuotojų kvalifikaciją šioje srityje, tikrai nėra didelės, - stebisi p. Zulonas. - Statistika panaši beveik visose įmonėse ir organizacijose visame pasaulyje. Pavyzdys – elektroninių komunikacijų klastojimo (angl. phishing) atakos, kai piktavaliai siunčia darbuotojams laiškus su užkrėstais prisegtukais, arba apsimesdami įmonės darbuotojais prašo atlikti lėšų pervedimus. Kad išvengtumėte atakos užtektų neatidaryti prisegtuko, arba gavus įtartiną laišką kreiptis į įmonės saugos įgaliotinį ir atitinkamas institucijas“.

Paradoksalu, bet dar daugiau žalos gali pridaryti  tie specialistai, kuriems bendrovės dažniausiai ir patiki rūpintis kibernetinės saugos klausimais - reikiamų žinių neturintys ir neapmokyti IT specialistai.

„Jie turi prieigą ir labai daug galimybių paveikti infrastruktūrą. Dažnai pasitaiko incidentų, kai darbuotojai tyčia arba netyčia nutekina informaciją arbą ją net sunaikina, sutrikdo informacinių sistemų darbą. Pavyzdžiui, įsivaizduokite, kad iš darbo atleidžiamas IT administratorius ištrynė visas įmonės duomenų bazes. Jei nesate įdiegę kontrolės priemonių, vargu ar galėsite įrodyti jo kaltę. Kaip tik dėl to kibernetinės saugos institucija visais atvejais privalo veikti atskirai nuo IT skyriaus. Viena pagrindinių kibernetinės saugos specialistų užduočių ir yra IT veiklos priežiūra“, - užtikrina p. Zulonas.

Pirmieji žingsniai

Įmonėms, kurios iki šiol kibernetinę saugą laikė skambiu IT terminu ir šią sritį buvo apleidusios, p. Zulonas pataria pradėti nuo mažų žingsnelių.

„Pirmuosius žingsnius galima atlikti savo jėgomis arba minimaliomis investicijomis. Pirmiausia įvertinkite įmonės procesus, jų kritiškumą ir galimą žalą, bei procesų sąsajas su IT. Pavyzdžiui, jeigu žinote, kad valandos trukmės gamybos linijos prastova įmonei kainuoja konkrečią pinigų sumą, o penkių dienų prastova gali privesti įmonę prie finansinių sunkumų, nesunkiai suprasite, kurios IT sistemos yra kritiškos ir reikalauja papildomo dėmesio. Antras žingsnis – surengti saugaus darbo su IT mokymus įmonės darbuotojams. Tai nėra brangu, šią paslaugą siūlo dauguma konsultuojančių bendrovių, o rezultatas gali atnešti greitai apčiuopiamų pokyčių, - pasakoja p. Zulonas. –  Itin aktualus klausimas įmonėms yra ES bendrasis duomenų apsaugos reglamentas, kuris įsigalioja nuo gegužės. Jį pažeidusios įmonės gali prisidaryti daug rūpesčių ir net sulaukti didelių baudų. Dažnai verslui siūlome įvertinti, kokius asmens duomenis jie turi ir gerai apsvarstyti, ar tie duomenys yra reikalingi verslui. Kartais kur kas paprasčiau atsisakyti nereikalingų duomenų ar veiklų (pvz., nuolaidų kortelių), o gal perleisti jas tuo užsiimančioms įmonėms“.

Tyrimų duomenimis, įsilaužus į sistemas kasdien užgrobiama 3.809.448 duomenų įrašų: 158.727 per valandą, 2.645 per minutę ir po 44 kiekvieną sekundę.

„Net ir su didžiausiu pasiruošimu rizika išlieka. Todėl pašonėje visada reikia turėti specialistų, galinčių atstatyti duomenis, veiklą, išanalizuoti kibernetinės saugos incidentą. Dažnu atveju būna per vėlu. Tačiau kartais reikia visai nedaug pastangų, kad apsigintumėte nuo paskirstytų paslaugos trikdymo atakų (DDoS), kai pakenkiama serveriui ir užvaldomos informacinės sistemos,  ar atstatytumėte  duomenis po kriptovirusų incidento“ – sako saugos ekspertas.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Kaip išlikti saugiems skaitmeninėje erdvėje: viena auksinė taisyklė Verslo tribūna

Pastaruoju metu viešumoje vienas po kito nuskambėję didelio masto duomenų nutekinimo incidentai daugelį...

2021.04.01
Karantino gelbėjimo planas darbuotojams: edukacija apie savijautą ir pozityvios patirtys Verslo tribūna 1

Pasirūpinti savo darbuotojų psichologine sveikata – viena iš itin išryškėjusių darbdavių užduočių per...

2021.03.31
Naujoje realybėje „Dezifog“ tapo būtinybe Verslo tribūna 1

Praėjusiais metais užklupusi pandemija įmonių organizacijos kultūrą papildė dar viena dedamąja: darbuotojų ir...

2021.03.24
Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti Verslo tribūna

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar...

2021.03.12
Neišnaudoto e-komercijos veiklos efektyvumo potencialo – apstu Verslo tribūna 2

Pandemija ir pirmasis karantinas pralaužė ledus įstrigusioje internetinėje prekyboje maisto produktais.

2021.03.09
„Dezifog“– naujas standartas Verslo tribūna

Kauno bendrovė „Efektyvūs saugos sprendimai“ kovoje su tebesitęsiančiu koronavirusu siūlo pasitelkti jų...

2021.02.25
Pakuočių atliekų tvarkymo viešieji konkursai savivaldybėse įsibėgėja Verslo tribūna

Kelerius metus trukusios Lietuvos gamintojų ir importuotojų organizacijų ir Vilniaus miesto savivaldybės...

2021.02.25
Nutikus nelaimei, verslui svarbiausia kuo greičiau grįžt į vėžes Verslo tribūna

Gaisras, dėl kurio visiškai sustojo įmonės veikla, o jai atnaujinti reikalingos elektros nėra ir greitu metu...

2021.02.22
Mokėjimų rinkos naujovės palengvins SVV dalią Verslo tribūna

Daugelį smulkiojo ir vidutinio verslo įmonių pandemija privertė spausti stabdį ar bent jau jungti neutralių...

2021.02.17
Koordinuodamos kibernetinių spragų atskleidimą įmonės mato naudą Verslo tribūna

Kibernetinio saugumo spragas norinčios pašalinti įmonės ir įstaigos vis dažniau naudojasi pagalba iš šalies –...

2021.02.01
2021.01.21
Saugumo operacijų centrai – koncentruota gynyba prieš kibernetines atakas Verslo tribūna

Šiemet pandemija ne tik išmušė iš po kojų patikimas verslo strategijas, bet ir tapo padažnėjusių atakų...

2020.11.26
„Planas A“: kaip išlikti naujoje realybėje Verslo tribūna

Prie Šiaulių banko pagalbos projekto „Planas A“, kurio tikslas – sunkmečiu padėti smulkiajam verslui,...

2020.11.26
Tarp svarbiausių darbuotojų savybių – gebėjimas „kalbėti duomenimis“ Verslo tribūna

Nuolat augantis mus pasiekiančios informacijos srautas ir riboti laiko ištekliai daro įtaką kasdien priimamų...

2020.11.19
„Kelių priežiūra“: darbuotojų ugdymas augina konkurencingumą Verslo tribūna

AB „Kelių priežiūra“ įkurta 2017 m., sujungus 11 regioninių kelių priežiūros įmonių. Pora metų vėliau prie...

2020.11.16
Naujoji verslo realybė: kaip likti prie „Plano A“ Verslo tribūna

Šiaulių bankas iniciavo smulkiesiems verslams skirtą pagalbos projektą „Planas A“. Vienas iš jo tikslų –...

2020.11.04
2020.10.29
Skirtingi autentifikavimo būdai – kas laimėtų saugumo lenktynes? Verslo tribūna

Ilgą laiką buvęs mūsų atpažinimo karaliumi, slaptažodis sulaukia vis daugiau kritikos. Neretai slaptažodžiai...

2020.10.15
„Planas A“ – gelbėjimo ratas Lietuvos smulkiajam verslui Verslo tribūna 2

Smulkusis verslas dažnai vadinamas Europos stuburu, žemyno konkurenciniu pranašumu, šalies ekonomikos...

2020.09.24

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku