Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas?

Jei anksčiau kibernetinio saugumo klausimus prioretizuodavo daugiausia reguliuojamos finansų institucijos bei nacionalinį saugumą užtikrinančios valstybinės įstaigos, pastarieji keleri metai akivaizdžiai parodė, kad organizuotos kibernetinės atakos taikiniu gali tapti bet kuri kompanija.

Skaitmenizacija į virtualų pasaulį perkėlė praktiškai visą verslo gyvenimą. Skaitmeniniai įrankiai šiandien naudojami ir darbui organizuoti, ir kasdienius procesus valdyti, ir kurti, gaminti bei teikti produktus ar paslaugas. Kai pandemija sugynė žmones į namų biurus ir ant pjedestalo iškėlė hibridinį darbo modelį, kibernetinių atakų organizatoriams apskritai išaušo aukso amžius. O organizacijos pamatė, kokios pažeidžiamos jos tampa aplinkoje, kur didžioji dalis verslo procesų bei tarpusavio komunikacijos vyksta online: cybersecurityventures.com  pateikiami duomenys rodo, kad vien per 2019 – 2020 m. JAV kibernetinių atakų padaugėjo 69 proc., o Europoje – 75 proc. Užpraeitais metais pasaulyje pavogta 30 mlrd. įrašų – tiek, kiek per visus prieš tai buvusius 15 metų kartu sudėjus.

Požiūris, kad kibernetinis saugumas – ne valdybos, o informacinių technologijų departamento ar vadovo rūpestis, vis dar sutinkamas, tačiau jis sparčiai keičiasi. Naujoji realybė su augančiais skaitmenizavimo mastais, stulbinantis kibernetinių įsilaužimų šuolis ir vis griežtėjantys reikalavimai saugumo užtikrinimui, įtvirtinami teisės aktuose (ypač, kai tai susiję su duomenimis) – štai trys svarūs argumentai, kodėl kibernetinis saugumas yra ne vieno žmogaus ar skyriaus rūpestis, o viso verslo gyvybingumo klausimas. Įvertinti verslui kylančias rizikas ir užtikrinti, kad būtų sukurta jų valdymo sistema, yra valdybos kompetencija. Būtent dėl pasekmių, galinčių sujudinti visos organizacijos pamatus, kibernetinį saugumą privalu pirmu numeriu įtraukti į visas valdybos diskusijas.

„Tiesiog „būti informuotai“ apie kibernetinių atakų riziką valdybai jau nebeužtenka. Ji turi suprasti ir kritiškai įvertinti realius padarinius, kuriuos verslui sukeltų įvairių tipų atakos, ir imtis konkrečių priemonių, kad juos užkardytų arba maksimaliai sumažintų“, – teigiama Deloitte ataskaitoje „Besikeičiantis valdybos vaidmuo kibernetinio saugumo srityje.“

„Jei valdyboje kibernetinio saugumo klausimai nesusilaukia reikiamo dėmesio, tai ne visada reiškia, kad ji nesuvokia jų svarbos. Valdybos nariai tiesiog neišgirsta pagrįstų argumentų, kiek pinigų reikėtų skirti kibernetiniam saugumui ir kokių konkrečių priemonių imtis“, – teigia Romualdas Lečickis, bendrovės „NRD Cyber Security“ Kibernetinio saugumo grupės direktorius.

Anot jo, supažindinus su esminėmis tendencijomis kibernetinio saugumo kontekste, aiškiai parodžius galimas pasekmes ir argumentuotai pagrindus biudžeto lėšų poreikį, galima išjudinti ledus šioje reikšmingoje verslo saugumo srityje ir padėti valdybos nariams priimti teisingus sprendimus.

Tie, kurie ketina imtis šio uždavinio, turėtų atkreipti dėmesį ir į tai, kad kibernetinį saugumą reikėtų atskirti nuo IT biudžeto ir jį pristatyti atskirai, antraip rizikuojama nesulaukti deramo dėmesio.

„Kibernetinio saugumo eilutė, įtraukta į IT biudžetą, neretai tiesiog pasimeta tarp kitų svarbių investicijų. Ji turi būti išskirta, nes IT biudžetas reikalingas užtikrinti IT paslaugų teikimą, o kibernetinio saugumo – kibernetinio saugumo paslaugų teikimą. Nors tarp jų yra daug bendrumų, tačiau sudedant abi į vieną krepšį, neišvengiama interesų konflikto, kai vykdančioji komanda pati save ir prižiūri“, – aiškina R. Lečickis.

Ne vien kaštai

Pradėti galima nuo to, kad kibernetinio saugumo užtikrinimas nėra vien didėjantys kaštai. Šiandien tai – būtina saugumo higiena, apie kurios reikalingumą diskusijų nebeturėtų kilti. Statistika iškalbinga: kibernetinių nusikaltimų žala pasaulyje skaičiuojama trylikaženkliais skaičiais, o per šešis metus ji padidėjo dvigubai (nuo 3 trilijonų USD 2015 m. iki 6 trilijonų USD 2021 m.) Cybersecurityventures.com prognozuoja, kad dar po ketverių metų ji sieks 10 trilijonų dolerių – tai yra visos trečiojo pasaulio ekonomikos apimtis.

„Net jei išlaidas kibernetiniam saugumui traktuosime vien kaip kaštus, jie yra neišvengiami, nes tokia realybė. Tačiau savaime suprantama, kad į kiekvieną papildomą lėšų poreikį valdyba žiūrės įtariai. Todėl pirmiausia reikia išsklaidyti mitus, kad kibernetinis saugumas yra vien išlaidos ir nieko daugiau“, – dėsto R. Lečickis.

Tinkami saugumo sprendimai didina įmonės patikimumą verslo santykiuose, o tai stiprina jos konkurencingumą. Nemažai kompanijų šiais laikais partneriais renkasi įmones, kurios gali sertifikatais ar kitaip įrodyti, kad saugumui skiria pakankamai dėmesio. Maža to, kibernetinio saugumo užtikrinimas ir tiesiogiai susijęs su įmonės finansiniais rezultatais: veiksmingai sumažinus pavojingų incidentų galimybę, jų potencialią žalą įmonei ir išvengus skaudžių pasekmių, pajamos ir pelnas tik didės.

Naudą galima monetizuoti

Investicijų į kibernetinį saugumą nauda ypač išryškėja suvokus, koks ir kokio dydžio įmonės turtas saugomas. R. Lečickis siūlo atlikti dviejų žingsnių pratimą, padėsiantį išgryninti, kiek įmonei kainuotų esminių jos išteklių sugadinimas, susijęs su IT problemomis.

„Tai vadinamoji „business impact“ analizė (BIA), kurią atliekant reikėtų įsivertinti tokius rodiklius, kaip negautas bei vėluojantis pelnas, baudos, padidėjusios išlaidos, baudos už sutarčių nevykdymą, sistemų ir, kas ne mažiau svarbu – reputacijos atstatymas. Atlikti šiuos namų darbus reikia labai sąžiningai, atsakingai. Mačiau atvejų, kai įmonės su šimtamilijoninėmis apyvartomis nuostolius vertindavo iki šimto tūkstančių ar dar mažiau. Tačiau taip jos apgauna tik save“, – tikina „NRD Cyber Security“ ekspertas.

Apskaičiavus galimus nuostolius, reikėtų atsakyti sau, nuo kokių rizikų turtas nepakankamai apsaugotas bei kuris turtas lengviausiai pažeidžiamas dėl saugos priemonių trūkumų. Atsakymai į šiuos klausimus ir bus toji rizika, į kurios valdymą bendrovė turėtų sutelkti savo dėmesį.

Kiek investuoti?

Anksčiau ar vėliau svarstant kibernetinio saugumo klausimus tenka nuspręsti, kiek vis dėlto reikėtų skirti pinigų tam, kad apsauga būtų pakankama?

R. Lečickis teigia, kad apsispręsti dėl sumos racionaliausia tiesiog parengus verslo planą (business case), kur nuodugniai paskaičiuojama, kiek ir į ką reikia investuoti. Į pagalbą čia gali ateiti ir trečioji šalis – auditoriai arba konsultantai, įvertinsiantys, kas įmonei iš tiesų kritiškai svarbu.

Kitas būdas nustatyti kibernetinio saugumo priemonių biudžetą – vadovavimasis principu, kad investicijų suma turėtų būti mažesnė už galimų nuostolių sumą. Pravartu ir pasižvalgyti po rinkos tendencijas, tačiau aklai jomis vadovauti nevertėtų, nes kiekvienos įmonės atvejis – individualus. Europos investicinio banko tyrimas, kuriame dalyvavo ir „NRD Cyber Security“, atskleidė, kad vidutiniškai bendrovės kibernetiniam saugumui užtikrinti skiria 4,14 proc. viso IT biudžeto. Pagal „Gartner“, šis rodiklis dar didesnis – 6 proc. R. Lečickis atkreipia dėmesį, kad šie skaičiai atspindi stambių kompanijų investicijas, o jei kalbama apie smulkų ir vidutinį verslą, IT biudžeto dalis, skiriama kibernetiniam saugumui, yra neabejotinai didesnė.

McKinsey tinklalaidėje „Inside the strategy room“ apie valdybų vaidmenį kibernetinio saugumo srityje pabrėžiama ir tai, kad investicijos turi būti ne tik pakankamos, bet ir apgalvotos.

„Kartais bendrovės perlenkia lazdą ir tiesiog švaistosi pinigais, tačiau nesusimąsto apie tai, kaip šias investicijas įgalinti dirbti kasdieniuose sprendimuose. Viena pirmaujančių kibernetinio saugumo kompanijų neseniai pasakojo apie atvejį, kaip jų apsaugos sistema, naudojanti dirbtinį intelektą, aptiko įsilaužimą į įmonės sistemas. Paaiškėjo, kad bendrovėje, į kurią buvo įsilaužta, nebuvo žmogaus, kuris sektų sistemos parodymus ir į juos reaguotų. Taigi nepaisant visų į brangią įrangą ir sofistikuotus sprendimus investuotų lėšų, įmonėje niekas nesugebėjo užfiksuoti įsilaužimo ir imtis veiksmų“, – pasakoja Johnas Nobleas, buvęs Jungtinės Karalystės nacionalinio kibernetinio saugumo centro vadovas.

Brangi gamintojų siūloma įranga dažnai traktuojama kaip burtų lazdelė, galinti išspręsti visus saugumo klausimus. Visgi šis lūkestis prasilenkia su realybe. Vieno sprendimo, kuris šimtu procentų užtikrins kibernetinį saugumą nėra ir negali būti, nes jį lemia ne tik technologijos, bet ir įgūdžiai, gerai sustyguoti procesai bei žmonės. Į pastaruosius įmonės ne tik „pamiršta“ investuoti – šiandien dažnas verslas skundžiasi, kad kibernetinio saugumo profesionalų rasti be galo sunku. Tačiau populiarėjant hibridiniam darbo modeliui darosi akivaizdu, kad daugumą, o gal net visas kibernetinio saugumo paslaugas galima teikti nuotoliniu būdu. Tad saugumo stebėseną, ataskaitų rengimą, reagavimą į incidentus ir kitus darbus gali atlikti ir specialistų komanda, išsibarsčiusi po įvairias pasaulio šalis.

Valdybos vaidmuo – itin svarbus

Taigi esminis organizacijos valdybos uždavinys yra įsitikinti, kad įmonės vadovybė suvokia, kaip verslą gali pažeisti kibernetiniai išpuoliai, ir disponuoja visais reikiamais įgūdžiais bei ištekliais, leidžiančiais sumažinti tokių išpuolių riziką arba nuostolius, jei jie visgi įvyktų. Verslo veiklos modeliai šiandien sudėtingėja, daugėja ne tik išorinių, bet ir vidinių kibernetinio saugumo grėsmių. Vykdomoji komanda turėtų pateikti valdybai aiškų atsakymą, kaip visos šios rizikos yra suvaldomos.

Pagunda palikti šiuos klausimus spręsti įmonės IT komandai gali būti didelė, tačiau valdyba privalo įsitraukti – jau vien dėl to, kad jie tiesiogiai susiję su įmonės išlikimu. Be to, reikalauja ne tik investicijų, bet ir kartais sudėtingų sprendimų balansuojant tarp kaštų, teikiamos naudos bei naudojimosi patogumo.

„Gartner“ prognozuoja, kad iki 2025 m. 40 proc. organizacijų savo valdybose turės kibernetinio saugumo komitetą – komandą, kuri padės spręsti šios srities klausimus, o jai vadovaus saugumo srityje kvalifikuotas valdybos narys. Šiuo metu tokį dedikuotą valdymo organą turi mažiau nei 10 proc. valdybų.

„Kibernetinis saugumas nėra raketų mokslas. Tai viskas, kas susiję su įmonės procesais, sistemomis ir duomenimis. Bus paprasčiau, jei valdyba pripažins, jog tai jos darbas yra užtikrinti, kad organizacija yra visapusiškai pasiruošusi. Iš tiesų klausimas yra net ne ar toks įsilaužimas įvyks. Realiau būtų savęs paklausti, kada tai nutiks?“ – sako W. Richteris, „McKinsey“ partneris, technologinių transformacijų ekspertas.

Ir nors šimtaprocentinė apsauga nuo kibernetinių incidentų bei atakų praktiškai neįmanoma, jų poveikis organizacijai ir ją supančiai ekosistemai gali ir turi būti minimizuotas naudojant itin akylas prevencines programas, kurių dėka saugumo aspektas persmelkia kiekvieną bendrovės veiklos sritį ir priimamus sprendimus.