2021-ieji buvo vieni iš didžiausių kibernetinių atakų metų, palietę daugelį kompanijų visame pasaulyje. Didelę dalį atakų nulėmė žmogiškasis faktorius – darbuotojų neatidumas, patiklumas ar žinių apie kibernetinį saugumą stygius.
Asociatyvi „Pixabay“ nuotr.
Kokių IT saugumo standartų reikia šiuolaikinei verslo įmonei? Kaip padėti darbuotojams išmokti apsisaugoti nuo kenkėjiškų atakų bei neprarasti budrumo?
Kibernetinėms atakoms būtina pasiruošti
Vis dažniau pasitaiko atvejų, kai išaugę interneto vartotojų srautai padidina ir nusikaltimų elektroninėje erdvėje tikimybę. Sukčiai randa vis daugiau prieigos būdų, ne tik kaip įsilaužti į elektroninius įrenginius, tačiau vis dažniau pasikėsina į asmeninius vartotojų duomenis, sukeldami įmonėms nemenkų finansinių nuostolių.
Įmonės, norėdamos sklandžiai įdiegti aukštus kokybės ir saugumo standartus, turėtų tam rimtai ir iš anksto pasiruošti. Ypač svarbu nepamiršti, kad ne tik techniniai sprendimai padės išvengti atakų, bet taip pat svarbūs yra ir žmonės.
Ne IT srities įmonėms pirmiausia vertėtų atkreipti dėmesį į darbuotojų IT saugos suvokimą, ar jie atlikdami tam tikrus veiksmus iš tikrųjų laikosi taisyklių bei geriausių saugumo praktikų. Dažnai įmonių vadovai priima sprendimą pirkti techninius įrankius, įsidiegti sprendimus ar programinę įrangą, tikintis išspręsti IT saugos spragas ir klausimus įmonės viduje, tačiau tai nėra įvairiapusė apsauga, leidžianti išvengti pavojaus. Reikėtų nepamiršti, kad nėra vienos programos ar rengininio, kuris apsaugotų nuo visų įmanomų atakų, taip pat nėra žmogaus, kuris apsaugotų visą įmonės infrastruktūrą, neturėdamas tam tinkamų įrankių ar priemonių.
Neprarasti budrumo padeda mokymai
Nors ir vieno saugumo standarto, kuris padėtų verslui apsaugoti jautrius klientų duomenis ir išvengti nemalonių incidentų, vis dėlto dar nėra. Tačiau būtina nuolat edukuoti darbuotojus ir dalytis esminiais patarimais, kaip apsaugoti savo ir klientų duomenis.
Šiandien saugumas yra vienas iš svarbiausių prioritetų įmonėje, ypač tada, kai didžioji dalis procesų yra elektroninėje erdvėje, o daugelio įmonių darbuotojai nuolatos dirba nuotoliniu būdu. Deja, bet daugelį atakų dažniausiai nulemia žmogiškosios klaidos ir žinių stoka. Klaidos gali verslui kainuoti tiesioginius finansinius nuostolius, reputacijos žalą, klientų praradimą ar net visos IT infrastruktūros griūtį. Todėl būtina įsivertinti galimas rizikas ir susimąstyti apie visų darbuotojų, nepriklausomai nuo jų pareigų, atidumą ir saugos svarbos suvokimą. Ir tai tikrai nepriklauso nei nuo įmonės dydžio, nei nuo dirbančiųjų žmonių skaičiaus.
Privalu edukuoti visus
Net ir mažas incidentas ar ataka gali pakenkti reputacijai bei sukelti rimtus nuostolius, todėl būtina supažindinti įmonės darbuotojus su galimomis grėsmėmis, jų atpažinimu. Taip pat yra būtini nuolatiniai mokymai, tik taip galima išvengti atakų grėsmės.
Vienas iš pagrindinių saugumo užtikrinimo garantų yra nuoseklus darbas su įmonės darbuotojais. Imituotos socialinės inžinerijos atakos įmonėje padeda darbuotojams neprarasti budrumo bei išsigryninti esamas technines ar net procedūrines spragas. Taip pat su darbuotojais nuolat aptariamos grėsmės, kaip jiems išvengti apgaulių bei apsisaugoti nuo nemalonių incidentų. Nors esame IT įmonė, kurios komandą sudaro technologiškai išprusę specialistai, vis dėlto nuolat rengiame IT saugos mokymus visiems darbuotojams, kurių tikslas išlaikyti darbuotojų budrumą bei tobulinti vidinius saugumo procesus. Kiekvienas darbuotojas prisideda prie kokybės saugumo standartų, todėl nuolatinė jų edukacija yra privaloma bet kurios srities įmonei.
Incidentų išvengti padės ir darbo kultūra
Įmonėse jau pradedama žiūrėti į saugumą, kaip į vieną svarbiausių teikiamų paslaugų dalį.
Sistemų saugumas yra mūsų kultūros dalis. Todėl pasirinkome SOC2, kadangi jis plačiai naudojamas JAV ir taip pat yra pripažįstamas Europos Sąjungos šalyse. Žinoma, teko nemažai pavargti, kol procesai pradėjo sklandžiai veikti. Nors ir anksčiau turėjome griežtus saugumo procesus įmonėje, tačiau nusprendėme juos standartizuoti ir tai pasiteisino.
Kartais gali užtekti ir kelių esminių aspektų, kurie padėtų išvengti nemalonių incidentų.
Grėsmingų atakų ir incidentų būtų kur kas mažiau, jeigu įmonėje būtų laikomasi šių taisyklių darbo vietoje. Pavyzdžiui, ar darbuotojai saugiai elgiasi su asmenine informacija, nesidalija savo slaptažodžiais su kolegomis, neužsirašinėja jų ant lapelių? Ar kompiuteriai nėra paliekami atrakinti ir be priežiūros, darbuotojui nesant prie jo? Ar darbuotojai žino kaip elgtis, kai į elektroninį paštą atkeliauja daug reklaminių, arba apgaulingų laiškų? Ar nėra paliekami konfidencialūs dokumentai viešose erdvėse ar ant darbo stalų, ne darbo metu? Jeigu darbuotojai žino atsakymus į šiuos klausimus, tikėtina, kad apgaulingos atakos pasekmių bus galima išvengti arba sumažinti jų žalą.
Justinas Radzevičius, JAV programavimo paslaugų įmonės „Devbridge“ saugumo analitikas
