Kaip saugoti įmonių duomenis ir tapti atsparesniais išorės grėsmėms? Kokių IT saugumo standartų reikia šiuolaikinei verslo įmonei? Kaip padėti darbuotojams išmokti apsisaugoti ir neprarasti budrumo? Įžvalgomis dalijasi IT įmonės „Devbridge“, priklausančios „Cognizant Softvision“ kompanijai, saugumo analitikas Justinas Radzevičius.
– Kaip Lietuvos verslas galėtų ir turėtų šiandien stiprinti savo kibernetinį saugumą?
– Kibernetinis saugumas yra labai plati tema, aprėpianti technologinius sprendimus, žmonių mąstymą, taisykles, gerąsias ir blogąsias praktikas, rizikas. Kiekvienas verslas turėtų atsakyti sau į klausimą – ar jis galėtų tęsti veiklą, įsilaužimo, IT infrastruktūros sugriovimo ar duomenų praradimo atveju? Ir jei ne, kokia ir ar ,apskritai, yra kibernetinio saugumo kultūra įmonės viduje?
Visos pažangios verslo įmonės turėtų kelti savo darbuotojų bendrą IT saugos išprusimą, tai nebūtinai turi būti gilūs techniniai mokymai, bet labiau bendras supažindinimas ir kibernetinės saugos svarbos suvokimas. Nes absoliučiai kiekvienas įmonės darbuotojas yra atsakingas už IT saugą, tik skiriasi jų atsakomybių lygmenys.
– Kaip saugoti įmonių duomenis ir tapti atsparesniais išorės grėsmėms?
– Suvokimas ir atidumas yra du pagrindiniai faktoriai. Suvokti reikėtų, kokią įtaką verslui gali turėti duomenų praradimas. Geras pavyzdys yra asmeninės pašto dėžutės slaptažodžio nutekinimas. Greičiausiai dažnam tektų ne tik pasikeisti tos dėžutės slaptažodį, bet ir papildomai keliauti per skirtingus tinklalapius, kur buvo naudojamas tas pašto adresas, o galimai ir net toks pat slaptažodis ir atnaujinti prisijungimo informaciją. Nerimauti ar nebuvo jautrios informacijos tarp gautų ar išsiųstų laiškų ir panašiai. Duomenų nutekinimo atveju įmonėje, visą šį galvos skausmą reiktų padidinti kelis kartus, nes pasekmės dažniausiai virsta dideliais finansiniais nuostoliais.
Darbuotojų atidumo skatinimas ir nuolatinis priminimas apie to svarbą yra efektyviausias būdas apsisaugoti nuo išorės grėsmių. Tam nereikalingos didelės išlaidos ar sudėtingi sprendimai.
– Kaip nepasiklysti tarp naujų ir skirtingų technologijų bei suprasti, kokia įranga ar sprendimas yra reikalingas organizacijai?
– Deja, nėra vieno teisingo atsakymo į šį klausimą, įtakos sprendimams turi įmonės dydis, veiklos sritis, vidaus darbuotojų kompetencijos. Labai stiprią sprendžiamąją galią turi biudžetas, nes įrangos ir sprendimai dažnai yra brangūs. Tais atvejais, kai yra techniškai stiprių darbuotojų įmonės viduje, galima diegti nemokamus sprendimus (angl. Open Source) ir gauti tiek pat gerą rezultatą.
Reikėtų įsivertinti rizikas, apsirašyti įmonės vidaus taisykles ir aiškiai žinoti, ką ir kaip norima apsaugoti ir pagal tai spręsti, kokios įrangos ar sprendimo reikia. Visa tai yra gana sudėtingas procesas. Mažesnėms įmonėms, neturinčioms savo vidinių IT saugos resursų, geriausias būdas būtų pasisamdyti konsultacinę įmonę ir pradėti inicijuoti pokyčiais, pasikonsultavus su šiais specialistais.
– Kokį vaidmenį užtikrinant įmonės saugumą vaidina darbuotojai?
– Žmogus (darbuotojai) yra pirmas ir svarbiausias įmonės saugumo faktorius. Šiais laikais yra nepaprastai daug technologinių sprendimų, padedančių užtikrinti aukštą saugumo lygį įmonėje, bet visiems jiems yra reikalingi atitinkamas technines žinias turintys specialistai. Tačiau net ir įdiegus inovatyvius techninius sprendimus, darbuotojai vis tiek atliks labai svarbią rolę, nes net ir labiausiai pažengę techniniai sprendimai negali apsaugoti nuo žmogiškųjų klaidų.
Viena iš opiausių pastarųjų metų temų yra vidaus duomenų apsauga. Nutekinti duomenys gali turėti milžiniškas bei neigiamas pasekmes įmonei – nuo sugadintos įmonės reputacijos iki tiesioginių ir nemenkų finansinių nuostolių. Dažniausiai tokie duomenys patenka į sukčių rankas dėl žmogiškųjų klaidų ir nepakankamo bendro kibernetinio saugumo išprusimo įmonės viduje. Viešosiose ir nesaugiose vietose darbas su jautria informacija, palikti be priežiūros ir „neužrakinti“ kompiuteriai, slaptažodžiai, kurie surašomi ant lapelių – tai yra tik keletas pavyzdžių, kaip lengvai galima nutekinti informaciją apie tai daugeliui nė nesusimąsčius.
– Kaip išvengti šių incidentų ir pakelti kibernetinio saugumo brandos lygį įmonėje?
– Žmonių mokymas ir švietimas apie kibernetinį saugumą yra pagrindinis būdas kelti bendrą IT saugos lygį įmonėje, bet tai nėra lengva užduotis, nes nebūtinai visi darbuotojai yra techniškai išprusę ar noriai domisi šia sritimi.
– Galbūt galėtumėte pasidalyti gerosios praktikos pavyzdžiais, pasiteisinusiais jūsų įmonėje?
– Vienas iš pavyzdžių – velykinis žaidimas biure, kai vietoje paslėptų margučių, po biuro erdves buvo išdėliotos tikros „saugumo spragos“: bendrose erdvėse palikti kompiuteriai, USB laikmenos ir lapeliai su netikrais slaptažodžiais. Darbuotojams buvo duota užuomina, kad vyks žaidimas ir žmonės suradę spragą, apie ją informuos biuro administratorę ir galės iš karto atsiimti prizą. Smagu, kad mūsų darbuotojai taip įsitraukė į veiklą, prisiminė ir mokymus, jiems kilo klausimų ir pastebėjimų dėl potencialių saugos spragų, kurios net nebuvo žaidimo dalimi. Tokiais būdais darbuotojai ne tik tampa apdairesni, bet ir patys prisideda prie bendro saugumo stiprinimo organizacijoje, dalindamiesi pastebėjimais ir idėjomis, kurios palengvina IT saugos specialistų darbą.
– Kokie būtų trys esminiai patarimai, kurie padėtų padidinti kiekvieno darbuotojo budrumą?
– Pirmiausia, niekada nesidalykite savo slaptažodžiu, net ir su šeimos nariais. Antra, neapsigaukite per gerai skambančiais pasiūlymais. Trečia, neskubėkite suteikti informacijos, neįsitikinus prašančiosios pusės autentiškumu. Ir tai tik keli baziniai pavyzdžiai, tačiau tai turėtų žinoti kiekvienas įmonės darbuotojas, nepriklausomai nuo jo užimamų pareigų.
