IT sistemų spragos šiandien išnaudojamos per kelias dienas, o kartais – ir per keliolika valandų nuo jų atsiradimo, todėl organizacijos dažnai nespėja net tiksliai įvertinti, kad yra pažeidžiamos. Situaciją apsunkina ir tai, kad realus saugumo vaizdas neretai skiriasi nuo to, kaip jį mato pačios įmonės. Būtent ši „nematoma zona“ šiandien kelia didžiausią riziką, ir paaiškina, kokia yra viena efektyviausių priemonių jai mažinti.
IT sistemų spragos šiandien išnaudojamos per kelias dienas, o kartais – ir per keliolika valandų nuo jų atsiradimo, todėl organizacijos dažnai nespėja net tiksliai įvertinti, kad yra pažeidžiamos. Situaciją apsunkina ir tai, kad realus saugumo vaizdas neretai skiriasi nuo to, kaip jį mato pačios įmonės. „Telia“ kibernetinio saugumo produktų vadovė Agnė Pastalienė teigia, kad būtent ši „nematoma zona“ šiandien kelia didžiausią riziką, ir paaiškina, kokia yra viena efektyviausių priemonių jai mažinti.
Asociatyvi „Piabay“ nuotr.
Kibernetiniai nusikaltėliai veikia vis greičiau
Remiantis „Google Cloud“ 2026 m. pirmojo pusmečio kibernetinio saugumo grėsmių ataskaita, kibernetiniai nusikaltėliai vis dažniau išnaudoja nebe pavogtus slaptažodžius, o pažeidžiamą programinę įrangą – tokios atakos sudaro 44,5 proc. visų pirminių įsilaužimo atvejų ir yra dažnesnis įsilaužimo būdas nei silpni prisijungimo duomenys, kurie sudaro 27,2 proc.
Tai reiškia, kad įsilaužėliams šiandien vis dažniau nebereikia bandyti atspėti slaptažodžių – jiems pakanka aptikti ir išnaudoti jau viešai žinomas programinės įrangos ar sistemų spragas. Dar svarbiau tai, kad tokios pažeidžiamos vietos išnaudojamos itin greitai: ataskaitos duomenimis, laikas nuo jų paviešinimo iki realių atakų 2025 m. antroje pusėje sutrumpėjo nuo savaičių iki vos kelių dienų. Todėl įmonėms lieka vis mažiau laiko reaguoti – spragos dažnai išnaudojamos dar nespėjus jų pilnai įvertinti ar užtaisyti.
„Šiandien organizacijos nebegali sau leisti manyti, kad jų saugumo būklė yra pakankamai gera. Kibernetinės grėsmės vystosi greičiau nei daugelis vidinių procesų, todėl būtina turėti nuolatinį matomumą – žinoti, kur yra spragos ir kaip greitai jas galima pašalinti“, – pažymi A. Pastalienė.
Kylanti TIS2 kartelė
Pasak jos, vis daugiau dėmesio šiai sričiai skiriama ir reguliaciniame lygmenyje. Europos Sąjungos Tinklų ir informacinių sistemų saugumo direktyva (TIS2) įpareigoja organizacijas valdyti rizikas, o kartu ir reguliariai vertinti pažeidžiamumus bei atlikti saugumo testavimą.
Lietuvoje šie reikalavimai įgyvendinami per Kibernetinio saugumo įstatymą, kuriame numatyta, kad tinklų ir informacinių sistemų spragų skenavimas turi būti atliekamas ne rečiau kaip kas 6 mėnesius. Vis dėlto, anot A. Pastalienės, praktika rodo, kad toks dažnis dažnai yra tik minimalus atskaitos taškas.
„Formalus reikalavimų atitikimas dar nereiškia realaus saugumo. Brandesnės organizacijos pažeidžiamumų skenavimą atlieka gerokai dažniau – kas mėnesį, kas savaitę ar net nuolat. Svarbiausia yra ne pats skenavimo faktas, o aiškiai apibrėžtas procesas: ką skenuojame, kaip vertiname riziką ir kaip greitai pašaliname spragas“, – pažymi eskpertė.
Pasak jos, dažna klaida – manyti, kad jau turimos saugumo priemonės, saugančios kompiuterius ir serverius, užtikrina visą organizacijos saugumą. Ir nors jos gali turėti pažeidžiamumų skenavimo funkcijų, dažniausiai jų nepakanka visapusiškam organizacijos saugumo vertinimui.
„Tokie sprendimai dažniausiai orientuoti į kompiuterių ir serverių apsaugą, tačiau neapima visos infrastruktūros – ypač iš išorės pasiekiamų sistemų. Be to, jie ne visada leidžia užtikrinti nuoseklų, dokumentuotą ir audito metu lengvai pagrindžiamą spragų valdymo procesą“, – sako ekspertė.
Nematomos spragos ir per optimistiškas vertinimas
Jos manymu, kartu vis labiau išryškėja ir kultūrinis organizacijų iššūkis – gebėjimas objektyviai įsivertinti savo saugumo būklę. Neretai spragos nėra iki galo identifikuojamos arba jų reikšmė nuvertinama, o saugumo vertinimas tampa daugiau formalumu nei realia rizikos analize.
„Vienas svarbiausių pokyčių, kurį šiandien matome, – tai poreikis organizacijose kalbėti apie saugumą atvirai ir kritiškai. Tik turint aiškų vaizdą galima priimti tinkamus sprendimus. Pažeidžiamumų skenavimas šiuo atveju tampa ir vadybiniu įrankiu, padedančiu priimti duomenimis grįstus sprendimus“, – teigia A. Pastalienė.
