Pasitikrinkite, ar jūsų kibernetiniai langai ir durys – atsparūs

Reklama publikuota: 2021-10-08
svg svg

Lietuva nebėra užkampis, kuris kibernetiniams sukčiams yra neįdomus. Be kitų priežasčių, tam įtakos turi ir tobulėjančios technologijos, leidžiančios automatinėmis bei nuotolinėmis priemonėmis „nulaužti“ puslapius ar informacines sistemas. Dažnu atveju nusikaltėliai net tiksliai nežino, kur įsilaužė ir kokius duomenis pasiekė. Taip pat mūsų šalyje riziką didina ir besikeičianti kibernetinių nusikaltimų sfera — dalis įsilaužėlių grupuočių pereina prie įrankių kūrimo ir pardavinėjimo modelio.  Tačiau ne tik grupuotės ar pavieniai asmenys kelia grėsmę — negalima pamiršti ir priešiškai nusiteikusių šalių kryptingų atakų, pavyzdžiui tokių, kaip prieš Ukrainos infrastruktūrą, kai 2016-ais metais vykdyta ataka prieš Ukrainos infrastruktūrą, kuomet dalis sostinės Kijevo buvo likusi be elektros.

Pirmas žingsnis stiprinant savo kibernetinę erdvę daugeliui organizacijų yra pasitikrinti, ar jų kibernetinės durys, langai ir sienos sandarūs ir atsparūs išorės bei vidaus veiksniams – tai yra atlikti pilną arba dalinį IT saugos auditą. Apie tai – NRD Cyber Security kibernetinio saugumo audito paslaugų vadovas Vytautas Kuliešius bei „Vičiūnų grupės“ prevencijos vadovas Rolandas Terminas.

Rizikos – ne tik išorinės

Viena iš pilno IT saugos vertinimo dalių yra saugumo rizikų vertinimas. Tai būdas, kurio pagalba nustatomi kritiniai organizacijos procesai ir juos įgalinantys turto vienetai (informacinės sistemos, techninė įranga ar kt.) bei identifikuojama kokios grėsmės, pagal konkrečios organizacijos infrastruktūrą bei veiklos sričiai keliamus saugumo reikalavimus, yra didžiausios ir labiausiai gali sutrikdyti kritinę organizacijos veiklą. Rezultatas – tarsi raudonų taškelių žemėlapis, indikuojantis kur paskirtos investicijos bus proporcingos saugumo grėsmėms bei nukreiptos „užlopyti“ didžiausius pažeidžiamumus. Vytautas Kuliešius atkreipia dėmesį, kad neretai susiduria su klaidingu įsitikinimu, kad išoriniai veiksniai kelia didžiausias grėsmes:

nuotrauka::1 right

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

„Grėsmės organizacijos IT infrastruktūrai gali būti išorinės, pavyzdžiui, kai bandoma įsilaužti į tinklą ir pavogti arba užšifruoti duomenis. Tačiau jos taip pat gali būti ir vidinės, tiek tyčinės, tiek netyčinės. Tyčiniai vidiniai veiksmai kelia labai didelę grėsmę, nes nesąžiningi darbuotojai gali labai gerai žinoti apie esamas saugumo spragas, tokias kaip bet kam išduota prieiga prie jautrių duomenų ar nesaugūs kolegų prisijungimo slaptažodžiai, ir jas išnaudoti. Taip pat verta paminėti grėsmes, susijusias su netyčiniais vidinių grėsmių atvejais, kai prieigą prie jautrių duomenų gauna kibernetinis nusikaltėlis, nes šį „įsileidžia“ organizacijos darbuotojai atidarę užkrėstą el. laišką ar suvedę netikroje svetainėje savo prisijungimo duomenis.“

Specialistas taip pat pabrėžia, kad siekiant sustiprinti organizacijos atsparumą kibernetinėms grėsmėms, bet nežinant jai kylančių rizikų, gali būti sunku tinkamai nukreipti investicijas:

„Nevaldant rizikų tikėtina, kad nebus tinkamai pasiruošta užtikrinti kritinių procesų veiklos tęstinumą. Taip pat AD-HOC būdu taikomos priemonės jau pasireiškusiai rizikai suvaldyti dažnu atveju gali būti gerokai brangesnės, nei tinkamos prevencinės priemonės. Pavyzdžiui, atsparumo socialinei inžinerijai mokymų kaštai yra nesulyginamai žemesni už galimus nuostolius sėkmingos atakos atveju.“

Atitikties vertinimas ir rizikų vertinimas – ne tas pats

Išsamaus organizacijos IT saugumo atitikties standartams, teisės aktams ir gerajai praktikai vertinimo dėka nustatomos dvi situacijos: kokia organizacijoje yra šiuo metu ir kokia ji turėtų būti. Vytautas Kuliešius pabrėžia, kad atitikties vertinimas svarbus ne tik įsivertinimui, kaip organizacija pasiruošusi pagal vidaus ir išorės keliamus standartus, bet ir prioritetų saugumo srityje kėlimui:

„Dažna problema yra ta, kad organizacijos, neturėdamos arba neskirdamos pakankamai resursų, sunkiai gali įsivertinti esamą techninės ir organizacinės informacijos saugumo būklę bei tinkamai suplanuoti kurios iš silpnesnių sričių turėtų būti tobulinamos prioriteto tvarka. Atitikties vertinimas leidžia pasinaudoti pasauline gerąja praktika siekiant įsivertinti kritinių informacijos saugumo vietų būklę bei pasirengti konkrečių prioritetizuotų veiklų planus.“

Neretai klaidingai manoma, kad rizikų vertinimas ir atitikties vertinimas yra sinonimai:

„Abu vertinimai yra pilno IT saugumo audito dalis. Pastarieji įprastai susideda iš atitikties įvertinimo, pažeidžiamumų įvertinimo, įsilaužimo testavimo, socialinės inžinerijos atakų bandymų ir rizikų vertinimo. Atitikties vertinimo atveju esamos būklės įvertinimas ir tobulinimo rekomendacijos pateikiamos atsižvelgiant į tuos informacijos saugumo elementus, kuriuos organizacija turėtų įsigyvendinti remiantis teisės aktais, tarptautiniais standartais ir gerąja praktika. Rizikų vertinimas dažnai remiasi kitų atliktų vertinimų informacija ir papildomai detaliau atsižvelgia į organizacijos veiklos pobūdį, kritinius resursus ir procesus. Jų pagrindu yra nustatomos tikėtinos rizikos bei galimi padariniai ir pagal tai parenkamos rekomendacijos dėl informacijos saugumo gerinimo prioritetų“, — esminius skirtumus vardija specialistas.

Rolandas Terminas, kurio atstovaujama „Vičiūnų grupė“ veikia ne tik daugelyje sričių, bet ir rinkų, sako, kad tokio masto organizacijai tiesiog būtina matyti viską vienoje vietoje:

nuotrauka::2 left

„Mūsų organizacija, veikdama korporatyvinio verslo modeliu pasaulyje, turi rimtą iššūkį informacinės saugos kontekste – kaip suvaldyti visą turimą IT infrastruktūrą, procesus ir žmones. Dauguma verslų susiduria su poreikiu sustoti ir įsivertinti, kokia šiuo metu yra reali situacija, ar esame saugūs? Atsakymus į šiuos klausimus būtina atrasti sistemingai atliekant IT saugumo auditus. Ar tai daryti patiems? Ar su išorės pagalba? Bet kokiu atveju, kita nuomonė organizacijos saugumo vystymo kelyje yra sveikintina ir būtina. Žvilgsnis iš išorės įneša daugiau objektyvumo realios situacijos įvertinime. Taip pat galime prisiminti ir gerai žinomą posakį: „savame kieme pranašu nebūsi“. Tai – neginčytina konstanta. IT saugumo audito išvados leidžia atnaujinti žemėlapį (angl. roadmap) tiek grėsmių užkardymo, tiek rizikų valdymo, tiek efektyvaus išteklių planavimo ir panaudojimo kontekstuose. Jei sistemingai derinsime IT saugumo atlikimą su įsilaužimų testavimu (angl. penetration testing), suvoksime savo silpnąsias ir stipriąsias puses. Tuomet galėsime efektyviai suplanuoti reikalingas investicijas, sukursime tarp padalinių derančią saugumo funkcijų architektūrą, padidinsime saugumo lygį. Ilgalaikėje perspektyvoje tai atsipirks su kaupu.“

Kaip žinoti, kokį saugumo lygį organizacijai reikėtų pasiekti?

Rolandas Terminas sako, kad skaidrumas ir profesionalumas – nėra naujai girdimi žodžiai:

„Nešališkas IT saugumo auditas yra būtina prevencijos priemonė, tai patvirtina ir finansinių auditų modelis. Didžiosios organizacijos ir stambieji verslai jį būtinai turėtų vykdyti. Tačiau audito atlikimas yra tik vienas iš žingsnių įsivertinant saugumo būklę – būtinos ir kitos priemonės bei aiškus planas, kaip tai bus įgyvendinta, kokie bus kontrolės taškai, kaip matuosime investicijų panaudojimo efektyvumą ir kaip įsivertinsime gautą naudą.”

Vytautas Kuliešius atkreipia dėmesį į IT audito aktualumą pagal organizacijos savybes:

„Ne visoms organizacijoms reikia užtikrinti vienodą saugumo lygį. Kitaip tariant, ne visuomet maksimali visų sričių apsauga yra proporcinga ir pagrįsta. Reikiamo saugumo lygio ir saugumo priemonių parinkimui svarbu atsižvelgti į organizacijos tipą, dydį, veiklos pobūdį bei kitą specifiką, nes, pavyzdžiui, vienai organizacijai gali būti kritiškai svarbu užtikrinti nenutrūkstamą jos informacinių sistemų pasiekiamumą, o kitai — tinkamą tvarkomų duomenų apsaugą. Atlikus IT saugumo auditą, Vadovybė gauna tikslią informaciją, į kurias sritis investuojant galima labiausiai sumažinti kylančias rizikas ir galimus nuostolius organizacijai. Remiantis šia informacija, galima pasirinkti proporcingas išlaidas prevencijai ir rizikų valdymui“.

Rolandas Terminas antrina, pridurdamas, kad „Vičiūnų grupėje“ atliktas IT auditas ne tik padėjo „pamatyti, ką reikia sutvarkyti“, bet ir padėjo lengviau susikalbėti:

„Turėdami startinę nešališką ekspertų nuomonę, pastebėjome, kad informacinės saugos suvokimas ir įsiklausymas į rekomendacijas sprendimų priėmėjų tarpe ypatingai padidėjo. Saugumo specialistų nuomonė įgavo palaikymą tiek iš vadovų, tiek iš IT bei kitų padalinių kolegų. Kibernetinis saugumas  kolektyve tapo suprantamas, apie jį kalbama ir bendradarbiaujama siekiant jį sustiprinti. Be abejo, vienas svarbus aspektas – tinkamas ir suprantamas atliekamų auditų išvadų pristatymas ir kokybiškas koreguojančių priemonių įgyvendinimo planų sudarymas – kitas būtinas žingsnis. Po jo seka sisteminga kontrolė įgyvendinant pažeidžiamumų mažinimą.“

Plačiau paskaityti apie tai, kaip pasitikrinti ar jūsų organizacijos kibernetinės durys ir langai yra sandarūs, t. y. – sužinoti apie rizikų vertinimą, atitikties vertinimą bei pilną IT saugumo auditą galite NRD Cyber Security svetainėje: išsamus saugumo patikrinimas

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti? Verslo tribūna

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės –...

2022.06.08
Šiaulių banko eksperimentas – kada dirbti iš namų darbuotojai sprendžia patys Verslo tribūna 3

Pandemija parodė, kad dirbti iš namų įmanoma, o daliai darbuotojų tai yra net labiau priimtina. Kita vertus,...

2022.06.02
Abipusės naudos beieškant – ar įmanoma valstybės investicijų ir privačių finansuotojų sinergija? Verslo tribūna

Per 20 metų vien UAB „Investicijų ir verslo garantijos“ (INVEGA) į Lietuvos verslą įlieti daugiau nei 2 mlrd.

2022.05.31
Vilniaus kolegija parduoda sostinės centre esantį pastatą Verslo tribūna

Vilniaus kolegija (VIKO) parduoda nuosavybės teise valdomą pastatą, įsikūrusį Vilniuje Naugarduko gatvėje 5.

Statyba ir NT
2022.05.27
„NRD Cyber Security“ kviečia į kasmetinę „CyberSOC“ virtualią konferenciją Verslo tribūna

Gegužės 25 d. vyks jau ketvirtoji metinė konferencija, joje bus kalbama apie saugumo operacijų centrus (SOC),...

2022.05.18
Skaitmeninė revoliucija apskaitos darbų valdyme Verslo tribūna

Iš pirmo žvilgsnio gali atrodyti, kad apskaitoje daug vietos inovacijoms nėra, nes visi darbai persikėlė į...

2022.05.06
Patiriantiems finansinius sunkumus: namų darbai, kurie pravers kalbant su kreditoriais Verslo tribūna

Finansiniai sunkumai – nepriklausomai nuo to, ar jie sukelti vidinių, ar išorės veiksnių – neišvengiama...

2022.05.05
Kibernetinio saugumo specialistams IT žinios – privalumas, bet ne būtinybė Verslo tribūna

Kibernetinio saugumo specialistų poreikis auga ne tik Lietuvoje, bet ir visame skaitmenizacijos keliu...

2022.04.28
INVEGA: verslas turi būti finansuojamas atsakingai Verslo tribūna

Verslai skundžiasi, jog sulaukti finansavimo iš INVEGOS labai sudėtinga, esą keliami griežti reikalavimai,...

2022.04.26
Šiaulių banko patirtis: kodėl pardavimai ir rinkodara turi dirbti išvien Verslo tribūna

Sklandus skirtingų sričių kolegų darbas yra viena iš būtinų sąlygų verslo augimui. Bet realybėje skirtingi...

2022.04.07
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna 1

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku