IT saugumas dar ne prioritetas: susirūpinti paskatina tik kitų klaidos

Lietuvos verslus susirūpinti savo IT saugumu neretai skatina žiniasklaidoje pasirodžiusi informacija apie būsimus patikrinimus ar jau įvykdytus įsilaužimus į kitas įmones, valstybės institucijas. Tokią praktiką „Baltic Amadeus“ Informacijos saugumo architektas Tomas Stamulis vadina ydinga: „IT saugumo rizikų vertinimas ir pažeidžiamumų paieška turi būti nuolatinis procesas.“

Asociatyvi „Pixabay“ nuotr.

„Lietuvoje, kaip ir pasaulyje, yra daug skirtingą IT pažangą pasiekusių įmonių ir jos skirtingai rūpinasi savo saugumu. Tikrai turime nemažai gerųjų pavyzdžių, atsakingų verslų, kurie siekia užtikrinti tiek savo, tiek klientų duomenų saugumą ir periodiškai atlieka atsparumo testus. Bet taip elgiasi toli gražu ne visos įmonės“, – sako T. Stamulis.

Pasak jo, apie atsparumo testus turėtų priminti ne straipsniai žiniasklaidoje apie nutekėjusius duomenis. Atvirkščiai – atsparumo testai klientams turėtų tapti pasikartojančia veikla dienotvarkėje.

Kiekvienas atvejis individualus

Įmonės IT atsparumo testus gali suprasti dvejopai. Vienoms tai – atsparumo kibernetinėms atakoms patikrinimas: jį atliekant vykdomi įsilaužimo testavimai, įvertinamas valdomų informacijos ir ryšių technologijų įrangos saugumas, naudojamų saugumo priemonių efektyvumas. Kitos tai supranta kaip IT ir informacijos saugumo rizikų vertinimą, kuris apima visą įmonės IT aplinką, veiklos procesų priklausomumą nuo IT įrangos ir paslaugų, jų grėsmių bei pažeidžiamumų, rizikos lygio apskaičiavimą.

IT atsparumo įsivertinimas ne tik atskleidžia silpnąsias IT infrastruktūros vietas, bet ir siūlo priemones spragoms pašalinti. Tai sumažina duomenų praradimo tikimybę, padeda išvengti su tuo susijusių finansinių nuostolių, grėsmės įmonės reputacijai, užtikrinti veiklos tęstinumą.

„Pirmą kartą atliktas atsparumo testas leidžia sužinoti, kokia yra reali situacija, kas įmonėje yra kritiškiausia, nuo ko būtina pradėti saugotis, kokių veiksmų imtis pirmiausia. Pakartotiniai testai parodo, ar veiksmai davė rezultatą bei ką dar reikia sustiprinti kibernetinio saugumo srityje“, – sako IT saugumo ekspertas.

Kiekvienu atveju tiek įsilaužimo testavimas tiek informacijos saugumo rizikų vertinimas yra individualūs, kadangi skiriasi vertinamų įmonių IT ir saugumo branda, naudojamos technologijos ir paslaugos, vidinės bei išorinės grėsmės. Priklausomai nuo rizikos lygio kritiškumo, parenkamos rizikos valdymo priemonės, padėsiančios sumažinti riziką iki toleruojamo lygio.

Į saugumą ragina ne tik žiūrėti, bet ir jį prižiūrėti

Atsainus požiūris į IT saugą kainuoja vis daugiau. JAV programinės ir techninės įrangos prekybos bendrovės IBM ekspertų vertinimu, kibernetiniai įsilaužimai kasmet sudėtingėja, o jų žala bei poveikis tampa vis reikšmingesnis. Skaičiuojama, kad šiuo metu vidutinė vieno įsilaužimo padaroma žala pasauliniu mastu siekia 4,35 mln. JAV dolerių (beveik 4,5 mln. Eur).

Investuoti į IT atsparumo didinimą skatina ir kiti veiksniai, tokie kaip taikomas reguliavimas. Pavyzdžiui, vien už Bendrojo duomenų apsaugos reglamento pažeidimus per praėjusius metus skirtų baudų suma viršija 1 mlrd. eurų, kai ankstesniais metais ji siekė 158 mln. eurų.

„Tiek įsilaužimo testai, tiek informacijos saugumo rizikų vertinimai yra aktualūs visoms įmonėms, kurios savo veikloje naudoja technologijas. Atvejų būna pačių įvairiausių: vienose įmonėse saugumo spragų randame vidiniame tinkle, kitos naudoja „skylėtas“ programėles ar interneto svetaines, el. prekybos ir kitokius portalus. Kiekvienas toks atradimas padeda sustiprinti jų saugumą“, – teigia T. Stamulis.

IT saugumo ekspertas pabrėžia, kad vienkartinis rizikos įsivertinimas yra geriau nei nieko, tačiau informacijos saugumo rizikas reikėtų vertinti, apsvarstyti nuolat, o dar svarbiau – imtis veiksmų.

Pavyzdžiui, pasirašant sutartį su trečiąja šalimi reikėtų įvertinti ne tik kainą, teikėjo gebėjimą užtikrinti paslaugą, bet ir jo patikimumą, t.y. ar jūsų klientų informacija bus saugi, nebus pakenkta naudojamų sistemų saugumui. Taip pat kaskart kuriant, perkant ar modernizuojant sistemas būtina atlikti jų IT saugumo patikrą, kadangi jei to nepadarysite jūs, tuo gali „pasirūpinti“ įsilaužėliai.