Pasitikrinkite, ar jūsų kibernetiniai langai ir durys – atsparūs

Reklama publikuota: 2021-10-08
svg svg

Lietuva nebėra užkampis, kuris kibernetiniams sukčiams yra neįdomus. Be kitų priežasčių, tam įtakos turi ir tobulėjančios technologijos, leidžiančios automatinėmis bei nuotolinėmis priemonėmis „nulaužti“ puslapius ar informacines sistemas. Dažnu atveju nusikaltėliai net tiksliai nežino, kur įsilaužė ir kokius duomenis pasiekė. Taip pat mūsų šalyje riziką didina ir besikeičianti kibernetinių nusikaltimų sfera — dalis įsilaužėlių grupuočių pereina prie įrankių kūrimo ir pardavinėjimo modelio.  Tačiau ne tik grupuotės ar pavieniai asmenys kelia grėsmę — negalima pamiršti ir priešiškai nusiteikusių šalių kryptingų atakų, pavyzdžiui tokių, kaip prieš Ukrainos infrastruktūrą, kai 2016-ais metais vykdyta ataka prieš Ukrainos infrastruktūrą, kuomet dalis sostinės Kijevo buvo likusi be elektros.

Pirmas žingsnis stiprinant savo kibernetinę erdvę daugeliui organizacijų yra pasitikrinti, ar jų kibernetinės durys, langai ir sienos sandarūs ir atsparūs išorės bei vidaus veiksniams – tai yra atlikti pilną arba dalinį IT saugos auditą. Apie tai – NRD Cyber Security kibernetinio saugumo audito paslaugų vadovas Vytautas Kuliešius bei „Vičiūnų grupės“ prevencijos vadovas Rolandas Terminas.

Rizikos – ne tik išorinės

Viena iš pilno IT saugos vertinimo dalių yra saugumo rizikų vertinimas. Tai būdas, kurio pagalba nustatomi kritiniai organizacijos procesai ir juos įgalinantys turto vienetai (informacinės sistemos, techninė įranga ar kt.) bei identifikuojama kokios grėsmės, pagal konkrečios organizacijos infrastruktūrą bei veiklos sričiai keliamus saugumo reikalavimus, yra didžiausios ir labiausiai gali sutrikdyti kritinę organizacijos veiklą. Rezultatas – tarsi raudonų taškelių žemėlapis, indikuojantis kur paskirtos investicijos bus proporcingos saugumo grėsmėms bei nukreiptos „užlopyti“ didžiausius pažeidžiamumus. Vytautas Kuliešius atkreipia dėmesį, kad neretai susiduria su klaidingu įsitikinimu, kad išoriniai veiksniai kelia didžiausias grėsmes:

nuotrauka::1 right

„Grėsmės organizacijos IT infrastruktūrai gali būti išorinės, pavyzdžiui, kai bandoma įsilaužti į tinklą ir pavogti arba užšifruoti duomenis. Tačiau jos taip pat gali būti ir vidinės, tiek tyčinės, tiek netyčinės. Tyčiniai vidiniai veiksmai kelia labai didelę grėsmę, nes nesąžiningi darbuotojai gali labai gerai žinoti apie esamas saugumo spragas, tokias kaip bet kam išduota prieiga prie jautrių duomenų ar nesaugūs kolegų prisijungimo slaptažodžiai, ir jas išnaudoti. Taip pat verta paminėti grėsmes, susijusias su netyčiniais vidinių grėsmių atvejais, kai prieigą prie jautrių duomenų gauna kibernetinis nusikaltėlis, nes šį „įsileidžia“ organizacijos darbuotojai atidarę užkrėstą el. laišką ar suvedę netikroje svetainėje savo prisijungimo duomenis.“

Specialistas taip pat pabrėžia, kad siekiant sustiprinti organizacijos atsparumą kibernetinėms grėsmėms, bet nežinant jai kylančių rizikų, gali būti sunku tinkamai nukreipti investicijas:

„Nevaldant rizikų tikėtina, kad nebus tinkamai pasiruošta užtikrinti kritinių procesų veiklos tęstinumą. Taip pat AD-HOC būdu taikomos priemonės jau pasireiškusiai rizikai suvaldyti dažnu atveju gali būti gerokai brangesnės, nei tinkamos prevencinės priemonės. Pavyzdžiui, atsparumo socialinei inžinerijai mokymų kaštai yra nesulyginamai žemesni už galimus nuostolius sėkmingos atakos atveju.“

Atitikties vertinimas ir rizikų vertinimas – ne tas pats

Išsamaus organizacijos IT saugumo atitikties standartams, teisės aktams ir gerajai praktikai vertinimo dėka nustatomos dvi situacijos: kokia organizacijoje yra šiuo metu ir kokia ji turėtų būti. Vytautas Kuliešius pabrėžia, kad atitikties vertinimas svarbus ne tik įsivertinimui, kaip organizacija pasiruošusi pagal vidaus ir išorės keliamus standartus, bet ir prioritetų saugumo srityje kėlimui:

„Dažna problema yra ta, kad organizacijos, neturėdamos arba neskirdamos pakankamai resursų, sunkiai gali įsivertinti esamą techninės ir organizacinės informacijos saugumo būklę bei tinkamai suplanuoti kurios iš silpnesnių sričių turėtų būti tobulinamos prioriteto tvarka. Atitikties vertinimas leidžia pasinaudoti pasauline gerąja praktika siekiant įsivertinti kritinių informacijos saugumo vietų būklę bei pasirengti konkrečių prioritetizuotų veiklų planus.“

Neretai klaidingai manoma, kad rizikų vertinimas ir atitikties vertinimas yra sinonimai:

„Abu vertinimai yra pilno IT saugumo audito dalis. Pastarieji įprastai susideda iš atitikties įvertinimo, pažeidžiamumų įvertinimo, įsilaužimo testavimo, socialinės inžinerijos atakų bandymų ir rizikų vertinimo. Atitikties vertinimo atveju esamos būklės įvertinimas ir tobulinimo rekomendacijos pateikiamos atsižvelgiant į tuos informacijos saugumo elementus, kuriuos organizacija turėtų įsigyvendinti remiantis teisės aktais, tarptautiniais standartais ir gerąja praktika. Rizikų vertinimas dažnai remiasi kitų atliktų vertinimų informacija ir papildomai detaliau atsižvelgia į organizacijos veiklos pobūdį, kritinius resursus ir procesus. Jų pagrindu yra nustatomos tikėtinos rizikos bei galimi padariniai ir pagal tai parenkamos rekomendacijos dėl informacijos saugumo gerinimo prioritetų“, — esminius skirtumus vardija specialistas.

Rolandas Terminas, kurio atstovaujama „Vičiūnų grupė“ veikia ne tik daugelyje sričių, bet ir rinkų, sako, kad tokio masto organizacijai tiesiog būtina matyti viską vienoje vietoje:

nuotrauka::2 left

„Mūsų organizacija, veikdama korporatyvinio verslo modeliu pasaulyje, turi rimtą iššūkį informacinės saugos kontekste – kaip suvaldyti visą turimą IT infrastruktūrą, procesus ir žmones. Dauguma verslų susiduria su poreikiu sustoti ir įsivertinti, kokia šiuo metu yra reali situacija, ar esame saugūs? Atsakymus į šiuos klausimus būtina atrasti sistemingai atliekant IT saugumo auditus. Ar tai daryti patiems? Ar su išorės pagalba? Bet kokiu atveju, kita nuomonė organizacijos saugumo vystymo kelyje yra sveikintina ir būtina. Žvilgsnis iš išorės įneša daugiau objektyvumo realios situacijos įvertinime. Taip pat galime prisiminti ir gerai žinomą posakį: „savame kieme pranašu nebūsi“. Tai – neginčytina konstanta. IT saugumo audito išvados leidžia atnaujinti žemėlapį (angl. roadmap) tiek grėsmių užkardymo, tiek rizikų valdymo, tiek efektyvaus išteklių planavimo ir panaudojimo kontekstuose. Jei sistemingai derinsime IT saugumo atlikimą su įsilaužimų testavimu (angl. penetration testing), suvoksime savo silpnąsias ir stipriąsias puses. Tuomet galėsime efektyviai suplanuoti reikalingas investicijas, sukursime tarp padalinių derančią saugumo funkcijų architektūrą, padidinsime saugumo lygį. Ilgalaikėje perspektyvoje tai atsipirks su kaupu.“

Kaip žinoti, kokį saugumo lygį organizacijai reikėtų pasiekti?

Rolandas Terminas sako, kad skaidrumas ir profesionalumas – nėra naujai girdimi žodžiai:

„Nešališkas IT saugumo auditas yra būtina prevencijos priemonė, tai patvirtina ir finansinių auditų modelis. Didžiosios organizacijos ir stambieji verslai jį būtinai turėtų vykdyti. Tačiau audito atlikimas yra tik vienas iš žingsnių įsivertinant saugumo būklę – būtinos ir kitos priemonės bei aiškus planas, kaip tai bus įgyvendinta, kokie bus kontrolės taškai, kaip matuosime investicijų panaudojimo efektyvumą ir kaip įsivertinsime gautą naudą.”

Vytautas Kuliešius atkreipia dėmesį į IT audito aktualumą pagal organizacijos savybes:

„Ne visoms organizacijoms reikia užtikrinti vienodą saugumo lygį. Kitaip tariant, ne visuomet maksimali visų sričių apsauga yra proporcinga ir pagrįsta. Reikiamo saugumo lygio ir saugumo priemonių parinkimui svarbu atsižvelgti į organizacijos tipą, dydį, veiklos pobūdį bei kitą specifiką, nes, pavyzdžiui, vienai organizacijai gali būti kritiškai svarbu užtikrinti nenutrūkstamą jos informacinių sistemų pasiekiamumą, o kitai — tinkamą tvarkomų duomenų apsaugą. Atlikus IT saugumo auditą, Vadovybė gauna tikslią informaciją, į kurias sritis investuojant galima labiausiai sumažinti kylančias rizikas ir galimus nuostolius organizacijai. Remiantis šia informacija, galima pasirinkti proporcingas išlaidas prevencijai ir rizikų valdymui“.

Rolandas Terminas antrina, pridurdamas, kad „Vičiūnų grupėje“ atliktas IT auditas ne tik padėjo „pamatyti, ką reikia sutvarkyti“, bet ir padėjo lengviau susikalbėti:

„Turėdami startinę nešališką ekspertų nuomonę, pastebėjome, kad informacinės saugos suvokimas ir įsiklausymas į rekomendacijas sprendimų priėmėjų tarpe ypatingai padidėjo. Saugumo specialistų nuomonė įgavo palaikymą tiek iš vadovų, tiek iš IT bei kitų padalinių kolegų. Kibernetinis saugumas  kolektyve tapo suprantamas, apie jį kalbama ir bendradarbiaujama siekiant jį sustiprinti. Be abejo, vienas svarbus aspektas – tinkamas ir suprantamas atliekamų auditų išvadų pristatymas ir kokybiškas koreguojančių priemonių įgyvendinimo planų sudarymas – kitas būtinas žingsnis. Po jo seka sisteminga kontrolė įgyvendinant pažeidžiamumų mažinimą.“

Plačiau paskaityti apie tai, kaip pasitikrinti ar jūsų organizacijos kibernetinės durys ir langai yra sandarūs, t. y. – sužinoti apie rizikų vertinimą, atitikties vertinimą bei pilną IT saugumo auditą galite NRD Cyber Security svetainėje: išsamus saugumo patikrinimas

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:














Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Pasitikrinkite, ar jūsų kibernetiniai langai ir durys – atsparūs Verslo tribūna

Lietuva nebėra užkampis, kuris kibernetiniams sukčiams yra neįdomus. Be kitų priežasčių, tam įtakos turi ir...

2021.10.08
SVV ir tvarumas – misija įmanoma? Verslo tribūna

Ar esate nedidelis prekybininkas, o gal kirpyklos savininkas, arba kuriate rankų darbo žaislus – visam...

2021.09.29
Vilnius kuria skaitmeninį lietaus nuotekų sistemos kloną Verslo tribūna

„Londone nuolat lyja“. Girdėta? O ar girdėta, kad Vilniuje lyja ir dažniau, ir smarkiau nei Londone? Beje,...

2021.09.23
Nefinansinė darbuotojų motyvacija – ne tik įmanoma, bet ir būtina Verslo tribūna

Gal Jūsų verslas yra gana mažas, kolektyvas ne tik puikiai pažįsta vienas kitą, bet žino ir kiekvieno šeimos...

2021.07.21
Įvyko kibernetinio saugumo incidentas - kaip išvengti krizės? Verslo tribūna

2020 metų išvakarės tapo įsimintina diena tuometinei didžiausiai pasaulyje valiutų keitimo paslaugas...

2021.07.14
Kibernetinės krizės: kaip pasiruošti, kad nepasidarytų karšta Verslo tribūna

Kai tenka susitelkti ir skubiai sureaguoti į kibernetinį incidentą, organizacijoje labai greitai gali...

2021.06.14
Verslas verslui: paslauga gali būti ir tvari, ir ekonomiškai naudinga Verslo tribūna 1

Domėtis gaminių pakuočių tvarumu, ekologija, plastiko rūšiavimu ar net nekilnojamojo turto energetine klase...

2021.06.09
Vilniaus „Grinda“ padvigubino darbo našumą Verslo tribūna

Vilniaus miesto savivaldybės valdoma „Grinda“ sugebėjo prisitaikyti prie pandemijos sukeltų ekonominės...

2021.05.27
NRD Cyber Security kviečia į kibernetinių incidentų valdymo konferenciją Verslo tribūna

Gegužės 27 d., jau trečius metus iš eilės, vyks kibernetinių incidentų valdymui dedikuota konferencija...

2021.05.21
Pokyčių rikiuotėje – savitarnos kasos: automatizacijos galimybės Verslo tribūna 1

Lietuvoje mažėja parduotuvių, neturinčių savitarnos kasų, ir pirkėjų, neišbandžiusių šio apsipirkimo būdo.

2021.05.20
Restruktūrizavimas – vilties toliau veikti suteikianti alternatyva Verslo tribūna 1

Per pandemijos pažymėtus 2020-uosius metus bankrotų skaičius Lietuvoje sumažėjo daugiau nei dvigubai, tačiau...

2021.05.05
Kibernetinio saugumo mokymai darbuotojams: kas yra tikrasis laimėtojas? Verslo tribūna

Mokymai per karantiną buvo pirmoji taupymo eilutė – logiška, tačiau trumparegiška. Po duomenų nutekėjimo...

2021.05.03
Vilniaus „GRINDA“: skaitmeninės priemonės kuria naujos kartos inžinerinę infrastruktūrą Verslo tribūna

Baigusi judrios sostinės T. Narbuto gatvės lietaus nuotekų kolektoriaus rekonstrukciją Vilniaus „Grinda“...

2021.04.29
„Dezifog“ vienu šūviu nušauna du zuikius Verslo tribūna

Pandemijai nesitraukiant, „Dezifog“ tampa vis populiaresne ir itin efektyvia išeitimi, sprendžiant įvairių...

2021.04.26
„StrongPoint“ siūlo neišradinėti dviračio Verslo tribūna

COVID-19 ir šio viruso sukelti padariniai bene stipriausiai kirto mažmeninės prekybos sektoriui. Dažnas...

2021.04.14
Kaip išlikti saugiems skaitmeninėje erdvėje: viena auksinė taisyklė Verslo tribūna 1

Pastaruoju metu viešumoje vienas po kito nuskambėję didelio masto duomenų nutekinimo incidentai daugelį...

2021.04.01
Karantino gelbėjimo planas darbuotojams: edukacija apie savijautą ir pozityvios patirtys Verslo tribūna 1

Pasirūpinti savo darbuotojų psichologine sveikata – viena iš itin išryškėjusių darbdavių užduočių per...

2021.03.31
Naujoje realybėje „Dezifog“ tapo būtinybe Verslo tribūna 1

Praėjusiais metais užklupusi pandemija įmonių organizacijos kultūrą papildė dar viena dedamąja: darbuotojų ir...

2021.03.24
Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti Verslo tribūna

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar...

2021.03.12
Neišnaudoto e-komercijos veiklos efektyvumo potencialo – apstu Verslo tribūna 2

Pandemija ir pirmasis karantinas pralaužė ledus įstrigusioje internetinėje prekyboje maisto produktais.

2021.03.09

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku