Pavyzdžiai, kaip kibernetiniai nusikaltėliai naudojasi dirbtiniu intelektu (DI), gali atimti žadą. Naujausias Baltijos šalyse atliktas SEB banko tyrimas rodo, kad kibernetinės grėsmės smulkiam ir vidutiniam verslui ne tik auga, bet ir tampa vis sudėtingesnės – jų dinamika ir įvairovė kelia didžiausią nerimą įmonių vadovams.
Asociatyvi DI sugeneruota „Pixabay“ nuotr.
Daugiau negu trečdalis (34 proc.) Lietuvoje apklaustų įmonių atstovų nurodė, jog kibernetinės grėsmės nuolat kinta ir tai yra viena svarbiausių rizikų jų verslo organizacijoms. Kita rizika – sukčių atakos ir bandymai apgauti pasinaudojant vieša informacija apie organizaciją ir jos darbuotojus. Sukčiavimo riziką išskiria 28 proc. respondentų Lietuvoje.
Apie tai įspėja Europos Sąjungos kibernetinio saugumo agentūra ENISA. Ji pažymi, jog DI įrankiai padeda nusikaltėliams greičiau rinkti informaciją, kurti apgaulės schemas ir vadinamojo „fišingo“ laiškus. Ne mažiau aktyvūs išlieka bandymai pavogti duomenis ar užšifruoti įmonių sistemas, siekiant išpirkos ar tiesiog bandymai sutrikdyti verslo veiklą.
Ekspertai pripažįsta, kad grėsmes lemia ir dabartinė geopolitinė aplinka. Tad kibernetinis saugumas šiandien yra ne vien technologinis, bet ir vadovų atsakomybės klausimas. Pripažįstant grėsmes, svarbu atsižvelgti į tris esminius žingsnius, nuo kurių priklauso organizacijos atsparumas.
Pirmas žingsnis – kurkite atvirą dialogą
Šiandien kibernetinis saugumas yra viena esminių verslo rizikų, todėl nuo bendro susitarimo dėl jo svarbos turėtų prasidėti saugumo kultūros stiprinimas organizacijoje. Pirmiausia reikia aiškiai pasidalyti atsakomybes už kibernetinio saugumo „higieną“ ir susitarti, kaip ji bus užtikrinama.
Šios „higienos normos“ nustatomos atsižvelgiant organizacijos rizikas ir įgyvendinamos diegiant konkrečias praktikas bei sistemas. Tam reikia nuolatinio vadovų ir kibernetinio saugumo specialistų dialogo. Vadovo atsakomybė – užtikrinti, kad šis dialogas vyktų nuosekliai ir nebūtų susiaurintas vien iki techninių klausimų.
Dažnai didelė kliūtis yra atotrūkis tarp techninės ir verslo kalbos. Jei pokalbiai su IT specialistais apsiriboja tik sistemų atnaujinimais ar ugniasienėmis, saugumas suprantamas per siaurai. Vadovas neturi tapti IT ekspertu. Jo vaidmuo – būti saugumo kultūros formuotoju ir rūpintis visų darbuotojų įsitraukimu. Grėsmių dinamika šiandien tokia intensyvi, kad kiekvieno darbuotojo atsparumas yra visos organizacijos atsparumas.
Antras žingsnis – sutelkite dėmesį į verslo tęstinumą
Išlaikyti dialogo kryptį padeda taiklūs klausimai. Vadovai turėtų kalbėti ne apie konkrečias priemones, bet apie galimą poveikį verslui. Pavyzdžiui, kokius nuostolius per valandą patirtų verslas, jeigu dėl kibernetinio incidento sustotų gamybos linija ar nebeveiktų e. parduotuvė. Tokia analizė leidžia kitu kampu pažvelgti į kibernetinį saugumą ir vienodai suvokti atsakomybės išraišką.
Suprantant ir apibrėžiant riziką, atsiveria galimybės tikslingiau paskirstyti biudžetą, kartu planuojant eilutes kitų rizikų (tiekimo grandinės sutrikimų, likvidumo, infliacijos, atitikties, teisinės atsakomybės ir t. t.) valdymui. Verta atsižvelgti į organizacijų, veikiančių kritiniuose – energetikos, transporto, sveikatos ar finansų – sektoriuose požiūrį. Kibernetinio saugumo įstatymo nuostatas aktyviai įgyvendinančios organizacijos kibernetinį saugumą vertina kur kas plačiau negu išlaidas IT infrastruktūrai.
Trečias žingsnis – testuokite ir sistemas, ir žmones
Įvairūs interaktyvūs testai ir pamokos yra naudingi, tačiau tikrąjį organizacijos atsparumą geriausiai atskleidžia pratybos ir kasdienė praktika. „Fišingo“ ir kitų apgaulės formų taikiniai pirmiausia yra ne IT skyriaus specialistai. Dažniausiai tai – finansų skyriaus darbuotojai ar patys verslo vadovai.
Taigi, darbuotojai gali būti atsakę į teorinių testų klausimus ir gavę priminimus apie kibernetines grėsmes, tačiau silpnąsias grandis ir tobulintinas vietas geriausiai atskleidžia krizės simuliacija – realios pratybos.
Išanalizavus simuliacijos metu priimtus sprendimus ir veiksmus, galima įvardyti, ką verta pagerinti jau dabar – patikslinti reagavimo tvarkas, perskirstyti atsakomybes, sustiprinti vidinę komunikaciją ar surengti tikslinius mokymus. Išryškėja ir ilgesnės perspektyvos poreikiai: kuriuos procesus būtina peržiūrėti iš esmės, kokias technologines spragas užpildyti ir kur reikės didesnių investicijų. Krizės simuliacija tampa praktiniu įrankiu, padedančiu pagrįstai susidėlioti prioritetus bei paskirstyti investicijas ten, kur jos sukurs didžiausią poveikį.
Kibernetinis saugumas – tarsi filtras
Remiantis Nacionalinio kibernetinio saugumo centro duomenimis, 2025 metais Lietuvoje per vieną mėnesį buvo užfiksuojama vidutiniškai apie 260 kibernetinių incidentų. Kiekvienas jų galėjo būti egzaminas, parodantis, ar organizacija skyrė pakankamai dėmesio atsparumui.
Tačiau ir be incidentų patirties šiandien vis daugiau vadovų sutaria, kad kibernetinis saugumas turi būti bendros rizikų valdymo sistemos dalis. Žinoma, tai nereiškia, kad kitos rizikos turėtų likti nuošalyje.
Sėkminga integracija prasideda tada, kai kibernetinis saugumas tampa strategijos dalimi, o ne papildoma užduotimi. Taip saugumas tampa sprendimų vertinimo įrankiu ir savotišku filtru. Pavyzdžiui, IT skyrius atsakingas už įrankius ir priemones, o verslo savininkas – už rizikos tolerancijos lygį. jeigu organizacija susitaria, kiek valandų prastovų gali sau leisti, IT investicijos turėtų padėti šio tikslo laikytis. Vadovas turi matyti investicijų grąžą – sumažintą riziką.
Komentaro autorė Eglė Dovbyšienė, SEB banko valdybos narė ir Mažmeninės bankininkystės tarnybos vadovė
