Daugelyje organizacijų kibernetinis saugumas vis dar paliekamas IT skyriui, nors be vadovo įsitraukimo neįmanoma sukurti realaus atsparumo – anot ekspertų, būtent nuo vadovo priklauso, ar įmonė sugebės apsiginti ne tik nuo potencialių finansinių baudų, bet ir nuo kur kas skausmingesnių pasekmių. Ką iš tiesų reiškia vadovo atsakomybė, kodėl technologijos neveikia be kultūrinio pokyčio ir kokie praktiniai žingsniai lemia realų atsparumą, atsako advokatų kontoros „Sorainen“ ir verslo ekspertai.
Asociatyvi DI sugeneruota „Pixabay“ nuotr.
Per pastaruosius metus kibernetinės grėsmės tapo daug pavojingesnės – anksčiau atakos buvo primityvesnės, o dabar vis dažniau kuriamos pasitelkiant dirbtinį intelektą. Tai reiškia, kad rizikos tiesiogiai susijusios su organizacijos kultūra, procesais ir darbuotojų gebėjimu atpažinti rizikas.
„Anksčiau būdavo gana aišku, kad koks nors laiškas yra sukčių darbas. Dabar jie atrodo taip tikroviškai, kad net patyrę darbuotojai ne visada atskiria, kas yra tikra. Grėsmės tobulėja, tačiau pagrindinis incidentų veiksnys vis dar yra žmogus. Statistika rodo, kad spragos dažniausiai kyla ne iš technologijų, o žmonių sprendimų“, – konferencijoje „Kibernetinis atsparumas 2025: išmoktos pamokos ir naujos grėsmės“ sakė advokatų kontoros „Sorainen“ ekspertė Irma Kunickė.
Nepaisant to, daugelyje įmonių kibernetinis saugumas vis dar laikomas technine „IT skyriaus“ funkcija, o ne vadovo atsakomybe. Pasak I. Kunickės, tai ypač būdinga mažoms ir vidutinėms įmonėms, kuriose vadovų darbotvarkė perpildyta ir saugumas nepatenka į prioritetų sąrašą.
„Tos įmonės, kurios nėra reguliuojamos, dažnai žiūri į kibernetinį saugumą kaip į vitaminą – kažką naudingo, bet nebūtino. Kol neatsitinka incidentas, sunku įvertinti tikrąjį rizikos mastą. Bet jeigu vadovui tai nerūpi, kodėl turėtų rūpėti darbuotojams? Organizacijos toną užduoda vadovas – jeigu jis neįsitraukia, net ir geriausi įrankiai neveiks“, – pabrėžia Justas Morkūnas, „Nord Security“ sukurtos dirbtinio intelekto (DI) diegimo įmonėse platformos „nexos.ai“ komercijos direktorius.
Klaidingi įsitikinimai apie grėsmes
Situaciją komplikuoja ir klaidingas įsitikinimas, kad atakos taikosi tik į technologijų įmones ar organizacijas, dirbančias su jautriais duomenimis. I. Kunickės teigimu, praktikoje vieni dažniausių taikinių yra tradiciniai sektoriai – gamyba, logistika, mažmena.
„Yra įsitikinimas, kad atakos nukreiptos tik į įmones, turinčias jautrius duomenis, arba tik į dideles įmones. Tačiau taikiniais dažnai pasirenkamos mažos ir vidutinės įmonės, nes jos, neskirdamos reikiamų resursų, tampa silpniausia grandimi. Dar vienas gajus stereotipas, kad kibernetinė ataka yra tik duomenų vagystė ir nutekinimas. Tačiau rimčiausi padariniai kyla, kai naudojamos sistemos yra blokuojamos, prarandama prieiga prie duomenų: klientai negauna paslaugų, partneriai negali vykdyti savo įsipareigojimų, o žala skaičiuojama minutėmis“, – teigia I. Kunickė.
Anot ekspertės, neigiamos kibernetinės saugos incidentų pasekmės verslui pasireiškia milžiniškais finansiniais nuostoliais dėl sistemų atstatymo, reputacijos praradimo ir žalos atlyginimo reikalavimų.
„Kalbėdami apie rizikas, dauguma galvoja tik apie reguliatoriaus nustatytas baudas. Tačiau dažniausiai jos sudaro labai mažą dalį realios žalos. Didžiausia grėsmė – civiliniai ieškiniai iš partnerių ir klientų, kurie negalėjo teikti ar gauti paslaugų. Ne viena įmonė po tokių incidentų paprasčiausiai neatsistato finansiškai“, – pabrėžia I. Kunickė.
Žala, kurią verslai dažnai nuvertina
Reputacinė žala dar sunkiau įkainojama – anot I. Kunickės, viešai nuskambėję atvejai yra tik nedidelė dalis realių incidentų, tačiau jų pasekmės jaučiamos ilgai.
„Įmonės, patyrusios incidentą, mėnesius ar metus dirba tam, kad atgautų klientų ir partnerių pasitikėjimą. Investuotojai kibernetinį saugumą vertina kaip vieną pagrindinių kriterijų priimdami sprendimus. Tai ne reputacijos klausimas tik komunikacine prasme, o tiesioginė verslo išlikimo sąlyga“, – sako I. Kunickė.
Papildomą rizikos sluoksnį sukuria tiekimo grandinių priklausomybės. Incidentai dažnai įvyksta ne pačiose įmonėse, o jų paslaugų teikėjų infrastruktūroje, tačiau atsakomybė tenka tam, kuris tą tiekėją pasirinko.
„Brandžios įmonės supranta, kad grandinė nutrūksta silpniausioje jos vietoje. Todėl jos pradeda edukuoti ne tik savo komandas, bet ir partnerius. Nesvarbu, kurioje grandies pusėje įvyko incidentas – atsakomybė vis tiek grįžta pas pagrindinį paslaugos teikėją“, – teigia I. Kunickė.
Mažmeninės prekybos įmonės taip pat jaučia šią riziką – pasak „IKI Lietuva“ generalinės direktorės Nijolės Kvietkauskaitės, net viena klaida gali sukelti procesų sutrikimus visoje organizacijoje, ypač jei sukčiai pasitelkia prekės ženklo vardą ar imituoja žmones.
„Vieno netinkamo laiško užtenka, kad į vidines sistemas būtų įleistas Trojos arklys. Rizika yra reali, o jos pasekmės – gali būti brangios. Todėl darbuotojų edukacija ir pasirengimas šiandien yra vienas svarbiausių atsparumo veiksnių“, – sako N. Kvietkauskaitė.
Pirmieji žingsniai vadovo darbotvarkėje
J. Morkūnas akcentuoja, kad pirmas ir svarbiausias vadovo veiksmas – objektyviai įsivertinti, kur organizacija yra šiandien. Be aiškaus brandos suvokimo neįmanoma pasirinkti tinkamo veiksmų plano.
„Vadovas turi gebėti tiksliai įvardyti organizacijos padėtį: ką naudojame, kur slypi spragos, kas veikia, o kas tik formaliai egzistuoja. Tik tada tampa aišku, ar prioritetas yra procesai, kompetencijos ar papildomos apsaugos priemonės. Saugumas ne vienkartinis projektas, o nuolatinė disciplina“, – teigia J. Morkūnas.
Toliau seka rizikos suvokimas ir kritinių sistemų identifikavimas. I. Kunickės teigimu, vadovas turi žinoti, kokios sistemos yra esminės, kur slypi didžiausia rizika ir kokie procesai gali sustoti incidento atveju. Tai pareikalauja inventorizacijos, rizikos vertinimo ir prioritetų nustatymo – veiksmų, kurių negali atlikti vien IT skyrius.
Vienas dažniausių klaidingų sprendimų – manyti, kad užtenka įsidiegti įrankį ar samdyti CISO. Pasak J. Morkūno, technologija be kultūrinio pokyčio yra bevertė.
„Didžiausia klaida – nusipirkti įrankį ir manyti, kad problema išspręsta. Tai nėra užduotis, kurią padarai, užsidedi varnelę ir viskas. Jei organizacija nekeičia procesų, elgsenos ir nepakeičia požiūrio, įrankis nieko nesprendžia. Saugumas turi būti holistinis“, – teigia J. Morkūnas.
Kasdienė higiena ir rezultatai
Ne mažiau svarbi yra kasdienė higiena: mokymai, simuliacijos, testavimai ir nuolatinė komunikacija. N. Kvietkauskaitės teigimu, būtent tai davė realius rezultatus „IKI Lietuva“.
„Sąmoningumas auga tik nuolat edukuojant. Atliekame simuliacijas, testuojame, aptariame rezultatus. Jei pavasarį kibernetinio eksperimento neišlaikė 9 proc. darbuotojų, tai rudenį – tik 3 proc. Tai rodo, kad pastovi komunikacija ir praktinis treniravimas veikia“, – pabrėžia N. Kvietkauskaitė.
Be mokymų, būtinas ir veiklos tęstinumo planavimas. Tai apima alternatyvius komunikacijos kanalus, rezervines sistemas, aiškias roles incidento metu ir nuolatinį planų testavimą.
„Veiklos tęstinumo planai dažnai egzistuoja tik dokumentuose, tačiau realiose situacijose neveikia. Planas, kuris niekada netestuotas, nėra planas. Įmonė turi žinoti, kas tiksliai ką daro, kokie kanalai naudojami, jei pagrindinės sistemos neveikia, ir kaip atkuriama veikla. Testavimas parodo, kur procesai stringa, kokios atsakomybės nesuprastos, kur trūksta resursų. Tai organizacinės higienos klausimas, ir jis yra toks pat svarbus kaip technologijos“, – reziumuoja I. Kunickė.
„Mūsų praktika rodo, kad organizacijos atsparumą labiausiai stiprina pastovi komunikacija, proaktyvus vidinis testavimas ir aiškus rezultatų aptarimas. Geriau testuoti kas kelis mėnesius ir parodyti pavyzdžius šimtą kartų, negu vieną kartą nukentėti nuo tikros atakos“, – pabrėžia N. Kvietkauskaitė.
Paieška archyve
