Kibernetinis saugumas prasideda nuo suvokimo

Publikuota: 2019-11-15

Visi privalome rūpintis kibernetiniu saugumu, nes tobulėjant technologijoms vis didesnę riziką kelia jų tinkamai nevaldantys žmonės. Taip tvirtina kibernetinio saugumo ekspertė Akvilė Giniotienė, įsitikinusi, kad kibernetinio saugumo kultūros stiprinimas ir švietimas yra svarbiausi iššūkiai Lietuvai ir kitoms pasaulio valstybėms.

„NRD Cyber Security“ saugos valdysenos ekspertė ir Pasaulinio kibernetinės saugumo forumo (Global Forum for Cyber Expertise) patariančioji valdybos narė kritinės infrastruktūros apsaugos pajėgumų modelio vystymui pasakojo apie nacionalinio kibernetinio saugumo užtikrinimo iššūkius, kibernetines grėsmes verslui ir įmonės patirtį kuriant kibernetinio saugumo gebėjimus tarptautinėje rinkoje bei užtikrinant klientų saugumą Lietuvoje.

Kas yra nacionalinis kibernetinis saugumas?

Ši sąvoka ne visada vienodai suprantama. Neturėtume įsivaizduoti, kad nuo kibernetinių grėsmių apsisaugome, visiškai apsisaugoti nuo jų neįmanoma. Svarbiausia yra reakcijos mechanizmas, o jis sukuriamas valstybei sudarant įgalinančią aplinką, įsteigiant atsakingas organizacijas, ir užtikrinant, kad jose dirba savo sritį išmanantys žmonės. Įgalinanti aplinka sukuriama per teisės aktus ir reguliavimą, sąlygojančius ekonominius ir visuomenės pokyčius. Tuomet organizacijos visuose sektoriuose ir lygiuose gali stiprinti savo gebėjimus ir tinkamai reaguoti, kai incidentai atsitinka. Taip pat reikalinga kritinės informacinės infrastruktūros apsauga – valstybė turi žinoti, kurios sistemos ir tinklai yra kritiniai ir imtis priemonių jiems saugoti. Trečias svarbus komponentas – gebėjimai tirti ir užkardyti kibernetinius nusikaltimus. Tam reikalingi ir tinkami teisės aktai, ir teisėjų bei policijos gebėjimai dirbti su skaitmeniniais įrodymais.

Ar nacionalinis kibernetinis saugumas – vien valstybės institucijų pasirengimo klausimas?

Yra ir kiti elementai. Incidento epicentras dažnai yra konkretus žmogus, kuris sėdi prie kompiuterio ir įsileidžia (galbūt nežinodamas) kenkėjišką kodą ar kitokią grėsmę. Jeigu visuomenė neturi kibernetinio saugumo kultūros ir higienos įpročių, tai valstybės tampa pažeidžiamos, atakos plinta ir yra nestabdomos. Todėl suvokimas apie kibernetinį saugumą turi būti formuojamas nuo mokyklos. Tai bene dažniausiai pasitaikanti spraga. Žmonės gauna technologijas, bet neturi įgūdžių, todėl nukenčia patys. Kadangi nėra pakankamo švietimo, valstybei trūksta reikiamų specialistų — nėra kam kurti kibernetiniam saugumui reikalingas technologijas. Tai labai svarbus gebėjimas siekiant aukšto lygio kibernetinio saugumo. Perkant produktus iš užsienio visada išlieka tikimybė, kad technologija bus nepatikima ar net panaudota priešiškiems tikslams.

Kaip valstybės pasiekia reikiamą pasirengimo lygį?

Jokia valstybė negali viena užtikrinti kibernetinio saugumo, nes internetas pasaulinis. Todėl šioje srityje labai svarbus bendradarbiavimas ir apsikeitimas informacija. Priešingu atveju stiprės užsidarymo tendencija, kurią jau pastebime. Esą internetas toksiškas, grėsmių daug, todėl galima tiesiog neįsileisti pavojingo srauto. Bet kaip tuomet su demokratija ir žmogaus laisvėmis, kiek mes pasitikime, kad valstybė nefiltruos ar nekontroliuos ir informacijos turinio? Tokius uždarus tinklus kuria Rusija, Kinija, dabar jau ir Baltarusija – vargu, ar tai įkvepiantys pavyzdžiai.

Kaip įvertinti, ar valstybė tinkamai pasirengusi atremti kibernetines grėsmes?

Yra įvairių metodų ir metrikų. Viena iš žinomiausių metodikų yra sukurta Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos (ITU). Jos metrikos nustato, kas turi būti įgyvendinta valstybėje, kad ji būtų atspari. Pagal ITU skelbiamą atsparumo indeksą Lietuva šiais metais pakilo net į ketvirtą vietą pralenkdama Estiją. Mes patys savo darbe naudojame kitą metodiką – vadinamąjį Oksfordo modelį sukurtą Oksfordo universitete. Svarbiausias šio modelio privalumas tas, kad ne tik surenkami faktai apie teisės aktų ar institucijų egzistavimą, bet ir vertinamas jų realus poveikis. Į kibernetinio saugumo sistemą žiūrima per penkias dimensijas: kibernetinio saugumo politikos planavimo, teisinio reguliavimo, kibernetinės kultūros lygio, švietimo mokykloje, universitetuose ir profesinio ugdymo įstaigose bei kibernetinio saugumo gerųjų praktikų taikymo valstybiniame ir privačiame sektoriuje.

Daugelis žmonių sieja kibernetinį saugumą išskirtinai su atakomis prieš valstybės infrastruktūrą. O kokios kibernetinės grėsmės pavojingos verslui?

Iš tikrųjų grėsmės visiems vienodos. Tik intencijos kartais skiriasi. Kai vykdomos atakos prieš valstybę, tai paprastai reiškia kitos valstybės siekį pakenkti. Bet kadangi internetinėje erdvėje visi vartotojai susiję, tai net ir atakos prieš valstybę gali pakenkti verslui. Verslui atakos gali sukelti rimtą reputacinę ir finansinę žalą. Aš, tiesą sakant, nedaryčiau takoskyros tarp atakų prieš valstybinį ir privatų sektorių. Juo labiau, kad nemaža dalis kritinės infrastruktūros Lietuvoje priklauso verslo subjektams: bankai, elektros, interneto tiekimas. Atakos prieš šią infrastruktūrą kenksmingos ir valstybei, ir privačioms organizacijoms.

O kuri pusė tokiu atveju privalo užtikrinti saugumą?

Visi privalome rūpintis saugumu. Idealiausia situacija būtų tokia, kad ataką patyrusi organizacija, nesvarbu – valstybinė ar privati, sugebėtų pati suvaldyti incidento pasekmes ir neleistų joms toliau plisti. Ir čia vėl grįžtame prie kibernetinio saugumo kultūros ir supratimo. Dabar, kai technologijos tobulėja ir daugelis atakų iš išorės gali būti atremta automatizuotai, užpuolikai ieško priėjimo prie organizacijų per žmones. Pakanka rasti vieną vartotoją, kuris dėl neišmanymo atidarytų užkrėstą laišką ar dokumentą ir kenkėjiška įranga gali būti paskleista visoje organizacijoje, o iš organizacijos išplisti po visą valstybę ir toliau.

Kaip veikia kibernetinės gynybos konsultacijų verslas, kuriuo užsiima jūsų įmonė?

Mes patariame organizacijoms ir valstybėms kaip susikurti kibernetinio saugumo pajėgumus ir atsispirti kibernetinėms grėsmėms. Mūsų veikloje daug tarptautinių projektų, kuriuos vykdome kartu su organizacijomis donorėmis. Tarptautinė donorų bendruomenė puikiai supranta, kad kibernetinio saugumo negali iš tikrųjų užtikrinti, kol ši problema neišspręsta besivystančiose valstybėse. O besivystančios valstybės šiuo metu sparčiai diegia skaitmenines technologijas, nes mato jas kaip galimybę pakelti ekonomikos lygį. Kartu su technologijomis ateina ir grėsmės, todėl tai yra didelė problema.

Ar tarptautiniai projektai ir yra jūsų pagrindinė veikla?

Tai tikrai didelė jos dalis. Dirbame su Pasaulio banku, Afrikos vystomuoju banku, Azijos vystomuoju banku, ES. Bet daug klientų turime ir Lietuvoje, kur teikiame reagavimo į incidentus paslaugas. Vieni iš pirmųjų Baltijos valstybėse sukūrėme savo reagavimo komandą, aptarnaujančią organizacijas, kurios apsisprendžia nekurti vidinių reagavimo padalinių. Lietuvoje mes prisidėjome ir kurdami kritinės infrastruktūros identifikavimo metodiką, kuri vėliau buvo patvirtinta Vyriausybės ir gerai įvertinta tarptautinių ekspertų. Taip pat vykdome projektus Ukrainoje, Moldovoje, Gruzijoje.

Kas jūsų darbe svarbiausia?

Geri darbo rezultatai. Mūsų srityje vertinamas kiekvieno projekto poveikis. Pasitaiko nemažai projektų, kai technologijos pristatomos į vietą, bet nepanaudojamos, taip ir lieka dėžėse, nes nėra nei teisės aktų, organizacijos neturi mandato, nėra suvokimo ir supratimo kaip, kada ir kodėl jas naudoti. Mes savo projektuose padedame sukurti reguliacinę aplinką, parengti procedūras ir apmokyti žmones. Siekiame, kad sukurtos kibernetinio saugumo sistemos realiai veiktų. Tai visada atsispindi mūsų projektų vertinimuose. Svarbu ir tai, kad savo komandoje esame sutelkę labai plačias kompetencijas, galime pasiūlyti visą paslaugų spektrą – nuo politikos analizės ir teisinių paslaugų iki technologinių konsultacijų. Esame itin glaudžiai susiję su tarptautine kibernetinio saugumo bendruomene, suprantame pasaulinį kontekstą ir iššūkius, dalyvaujame kuriant geriausias praktikas kūrimą ir galime jas perduoti savo klientams.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Kibernetinis saugumas prasideda nuo suvokimo Verslo tribūna 1

Visi privalome rūpintis kibernetiniu saugumu, nes tobulėjant technologijoms vis didesnę riziką kelia jų...

Verslas nepasimoko: grėsmę kelia seni programišių metodai Verslo tribūna

Kai girdime apie kibernetines atakas, darome prielaidą, kad nusikaltėliai panaudojo naujo tipo, iki šiol...

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau