Kiekvieno verslo sprendimo pagrindas yra rizikos valdymas ir subalansavimas. Kuo daugiau įmonėje skaitmenizuotų procesų, produktų ir infrastruktūros, tuo jis labiau pažeidžiamas kibernetinėmis atakomis. Kibernetinės atakos yra viena didžiausių verslo rizikų, su kuriomis susiduria įmonės. Jos kenkia ne tik įmonėms ir jų reputacijai. Virusai užmezga ryšius su klientais, siunčia jiems neteisingą informaciją, vagia jų pinigus, trina jų duomenis. Siekiant apsisaugoti nuo kibernetinių nusikaltėliu, vis garsiau kalbama, kad šio kelio pradžia yra įmonių valdybos susirinkimuose, kuriuose būtina sutelkti dėmesys į kibernetinį ir informacijos saugumą.

Kibernetines atakas skatina įvairūs ketinimai ir metodai. Vieni siekia pavogti duomenis ar šnipinėti, kiti – išvilioti pinigus. Kai kurie išpuoliai yra paprasti, kiti pažengę. Kibernetinius išpuolius gali vykdyti organizuoti nusikaltėliai, valstybės, mėgėjai ar konkurentai. Sėkmingas išpuolis gali paralyžiuoti visą įmonę, o pasekmių eliminavimas gali užtrukti labai ilgai, kartais per didelis poveikis gali reikšti įmonės veiklos pabaigą.

Kibernetinės atakos vyksta, kai nusikaltėlis bando sutrikdyti arba gauti neteisėtą prieigą prie duomenų, sistemų, skaitmeninių tinklų ar skaitmeninių paslaugų. Mes stebime su išpirkos reikalaujančiomis programomis susijusių mokėjimų padidėjimą, matome gausybę sutrikdytų įmonių veiklų dėl koncentruotų atakų vykdymo. Šiai dienai dvi labai paplitusios atakų rūšys yra sukčiavimo el. laiškai ir CEO sukčiavimas (pvz., prieš valdybos narius).

Iš kur gali kilti ataka? Įvairiose įmonėse skiriasi priklausomai nuo pramonės šakos, kaip organizuojami procesai ir kokių pažeidžiamumų ji turi. Pvz. įvestas nuotolinis darbas pagerina produktyvumą, bet padidina kibernetinio saugumo riziką. Kiekvienos įmonės rizika priklauso nuo saugumo įvertinimo. Nusikaltėliai padaro savo namų darbus, o ar padarote juos Jūs? Pradėti reikia nuo saugumo įsivertinimo, kuris leis pamatyti silpniausiai valdomas vietas.  

Neinvestuodami į kibernetinį saugumą kasdiena didiname savo atskirtį nuo kitų organizacijų, ir būdami silpnesni, natūraliai gauname daugiau dėmesio iš kibernetinių nusikaltėlių.

Ar jau savęs paklausėte, kokios yra pagrindinės kibernetinio saugumo temos, kurias reikia turėti savo radaruose 2023 m.? Kas yra būtina, kad save apsaugoti? Susipažinkite su galimomis kibernetinių atakų rūšimis.

Straipsnio tęsinyje panaudota „Valstybės kontrolės” viešinama informacija iš Kibernetinio saugumo užtikrinimo audito, paskelbto 2022.10.27.

Susipažinkite su Valstybės kontrolės audito išvadomis dėl Lietuvos įstaigų kibernetinio saugumo. Pirmoji vieninga išvada – Kibernetinis saugumas nepakankamas. Antroji, kad kibernetinis saugumas turi būti aukščiausio vadybos lygio klausimas ir rimtos diskusijos turi prasidėti valdybos posėdžiuose.  

Valstybės kontrolė paskelbė, kad nors įstatymas reikalauja, tačiau  „Kibernetinio saugumo subjektai neįsitikina savo valdomos informacijos saugumo valdymo sistemos faktine būkle: 2019–2021 m. beveik pusė (45 proc.) valstybės informacinių išteklių valdytojų ir (arba) tvarkytojų nė karto neatliko informacinių technologijų (IT) saugos atitikties vertinimo ir daugiau nei trečdalis (38 proc.) jų neatliko kibernetinio saugumo rizikų vertinimo.“

Straipsnyje Valstybės kontrolė rekomenduoja: „…sudarius ir kasmet atnaujinant nacionalinį kibernetinio saugumo rizikos profilį, būtų ne tik identifikuotos rizikos, bet ir periodiškai vertinamas jų potencialus poveikis, numatomos rizikos suvaldymo priemonės, taip užtikrinant atsparumą kibernetinėms grėsmėms. Įgyvendinus kitas Valstybės kontrolės rekomendacijas būtų užtikrintas sklandesnis komunikavimas apie kibernetinius incidentus, sustiprintos kibernetinio saugumo subjektų kompetencijos, patvirtintas tipinis detalus šių incidentų valdymo planas.“