Programišiai veikia vis veiksmingiau. Tačiau dirbdami konsultantais pastebėjome, kad įmonės nuo programišių atakų tinkamai neapsaugotos ir dėl kitos priežasties – jos per daug dėmesio skiria techninėms silpnybėms, todėl nežino arba nesupranta, kokie kibernetiniai pavojai joms kyla.

Jei kalbant apie kibernetines atakas dėmesys sutelkiamas tik į technologiją, vienintelis rezultatas – tinkamų žinių stokojantys įmonių vadovai ir prastai apsaugotos organizacijos. Diskusijos apie kibernetines grėsmes būna pilnos techninio žargono, todėl vyriausi vadovai nesugeba prasmingai jose dalyvauti.

Dėl to atsakomybė už riziką perduodama tik kibernetinės saugos ir informacinių technologijų srityje dirbantiems darbuotojams, kurie savo dėmesį sutelkia į įmonių kompiuterių sistemas. Tada dažniausiai sudaromas ilgas sąrašas metodų, kaip mažinti riziką, o pirmenybė tame sąraše ne visada teikiama svarbiausiems dalykams. Kadangi nė viena įmonė neturi išteklių atsižvelgti į visas kibernetinio saugumo problemas, kartais neatkreipiama dėmesio į labai dideles grėsmes.

Dėl to geriau būtų laikytis požiūrio, kad norint užtikrinti kibernetinį saugumą reikia daugiau dėmesio skirti galimam atakų poveikiui verslo veiklai. Įsivaizduokite, kad vadovaujate cheminių medžiagų įmonei. Užuot galvoję, kokios kibernetinės atakos gali pakenkti jūsų kompiuterių sistemai, užduokite klausimą – kaip kibernetinė ataka gali sutrikdyti tiekimo grandinę? Arba sukelti pavojų žmonijai? Kai vadovai pradeda galvoti apie svarbiausią įmonės veiklą, vystant kibernetinio saugumo priemones prioritetai paskirstomi geriau.

Apsauga

KIBERNETINĖS RIZIKOS NARATYVAS

Atpažinti kibernetinius pavojus ir nuo jų apsisaugoti – socialinis procesas. Kad galėtumėte tiksliai nustatyti, kokie didžiausi jums kylantys kibernetiniai pavojai, privalote į problemą pažvelgti iš daugybės skirtingų darbuotojų požiūrio taškų. Aptardami riziką su didele grupe, iš pat pradžių sutarsite dėl svarbiausių faktų ir smulkmenų, todėl lengviau rasite bendrą sprendimą, kai vėliau reikės nuo pavojų apsisaugoti.

Kad padėtume įmonėms tvarkyti svarbią informaciją ir ja dalintis su didelėmis žmonių grupėmis, sukūrėme įrankį, vadinamą „kibernetinių pavojų naratyvu“. Jame įvardijamos keturios galimos kibernetinės atakos sudedamosios dalys: svarbiausia įmonės veikla ir jai kylantis pavojus; tai veiklai reikalingos kompiuterių sistemos; galimų atakų tipai ir jų pasekmės; bei ataką įvykdyti galintys pavojingiausi užpuolikai. Detaliai aptarus visas keturias sritis įmonėms lengviau atpažinti ir pagal svarbą išdėlioti galimus pavojus bei paruošti atsakomuosius veiksmus.

Už kibernetinių naratyvų vystymą turėtų būti atsakinga už kibernetinės saugos komanda, tačiau jos nariai turėtų paprašyti, kad prisidėtų ir:

— VADOVYBĖ: generalinis direktorius, vadovų komanda ir kiti vyriausi vadovai.

— OPERATORIAI: darbuotojai, dalyvaujantys kasdienėje pagrindinėje įmonės veikloje.

IT SISTEMOS: darbuotojai, atsakingi už įmonės veiklai reikalingas kompiuterių sistemas.

— AKTUALIŲ SRIČIŲ SPECIALISTAI: darbuotojai, turintys patirties jūsų išskirto pavojaus srityje ir suprantantys galimas pasekmes – pavyzdžiui, teisės, viešųjų ryšių, žmogiškųjų išteklių ir fizinės apsaugos srities darbuotojai.

Dabar pažvelkime į kiekvieną kibernetinio pavojaus naratyvo dalį atskirai ir aptarkime, kaip ją vystyti ir kokius darbuotojus į ją įtraukti.

Apsauga

SVARBIAUSIA ĮMONĖS VEIKLA IR JAI KYLANTYS PAVOJAI

Kad galėtų atsakyti į klausimą, kokia veikla jūsų įmonei svarbiausia ir kokie jai kyla pavojai, kibernetinio saugumo komanda turėtų pasikalbėti su įmonės vadovais, ištirti raštiškus įmonės pareiškimus apie priimtiną rizikos lygį ir atsižvelgti į įmonės tikslus, pavyzdžiui, plėtrą naujose rinkose. Pavyzdžiui, gali būti, kad norint padidinti klientų ratą, įmonei būtina plėstis kitoje šalyje. Svarbiausia veikla gali būti vykdoma už organizacijos ribų, ji gali būti susijusi su vidinėmis operacijomis arba strategine įmonės ateitimi.

Kiekviena įmonė turi skirtingą svarbiausių verslo operacijų kiekį, o kiekviena operacija nevienodai svarbi, todėl vystytinų kibernetinio saugumo naratyvų kiekis taip pat skirsis.

Kad galėtumėte įvertinti savo organizacijai kylančią riziką, pagalvokite, kaip įmonei gali pakenkti sutrikimai kiekvienoje svarbiausioje įmonės veiklos srityje. Pavyzdžiui, jei sutrikdoma cheminių medžiagų įmonės gamyklos procedūrų veikla, gali būti, kad ji nebesugebės pagaminti reikiamos dervos ir neteks pajamų. Atkreipkite dėmesį ir į papildomus nuostolius jūsų klientams ar kitoms suinteresuotosioms šalims – pavyzdžiui, kas nutiktų, jei į aplinką patektų nuodingų medžiagų.

Pačios paprasčiausios kibernetinės atakos naudojasi kompiuterinės sistemos silpnybėmis. Pavyzdžiui, kenkimo programinės įrangos atakose naudojama tam tikra programinė įranga, suteikianti galimybę pasinaudoti programavimo klaidomis taikomosiose programose. Kibernetinę saugą užtikrinantys darbuotojai gali ir privalo atpažinti technikas, leidžiančias pasinaudoti svarbiausių jūsų kompiuterinių sistemų silpnybėmis.
Thomas J. Parenty ir Jack J. Domet

ĮMONĖS VEIKLAI REIKALINGOS SISTEMOS

Įmonei nepavyks sukurti veiksmingos kibernetinės apsaugos sistemos, jei nežinosite, ką reikia saugoti. Todėl reikia sudaryti kompiuterinių sistemų bei tų sistemų svarbiausiai įmonės veiklai teikiamų paslaugų ir funkcijų katalogą. Šį procesą turėtų pradėti kasdienę įmonės veiklą vykdantys darbuotojai, nes jie žino, kokia programine įranga naudojasi ir kas nutiktų, jei toji įranga nebeveiktų. Kataloge taip pat turėtų būti parašyta, kokioje fizinėje vietoje laikomos sistemos, kad įvykus kibernetinei atakai, už saugą atsakingi darbuotojai žinotų, kur eiti jas taisyti.

KIBERNETINIŲ ATAKŲ TIPAI IR JŲ PASEKMĖS

Paskui komanda turėtų surašyti svarbiausią veiklą sutrikdyti galinčių atakų tipus bei paaiškinti, ko reikia, kad atakos būtų sėkmingos, ir kokios galimos atakų pasekmės.

Pačios paprasčiausios kibernetinės atakos naudojasi kompiuterinės sistemos silpnybėmis. Pavyzdžiui, kenkimo programinės įrangos atakose naudojama tam tikra programinė įranga, suteikianti galimybę pasinaudoti programavimo klaidomis taikomosiose programose. Kibernetinę saugą užtikrinantys darbuotojai gali ir privalo atpažinti technikas, leidžiančias pasinaudoti svarbiausių jūsų kompiuterinių sistemų silpnybėmis.

Apsauga

Svarbu pabrėžti, kad kibernetinė ataka gali būti įvykdoma daugybe būdų ir visų jų surašyti nebūtina. Užtenka įvardyti svarbiausių atakų tipus, pavyzdžiui, išorinius įsilaužimus, kurių metu instaliuojama kenkimo programinė įranga, arba savo privilegijomis piktnaudžiaujančius įmonės darbuotojus.

— ATAKOMS REIKALINGI ELEMENTAI: Kad galėtumėte apsisaugoti nuo atakų, būtina suprasti, ko užpuolikams reikia, kad galėtų jas įvykdyti. Jūsų įmonės kibernetinio saugumo komanda ir kasdienę įmonės veiklą vykdantys darbuotojai reikiamus dalykus gali įvardyti detaliau, tačiau daugumą jų galima priskirti vienai iš trijų grupių:

1. ŽINIOS: užpuolikams reikalinga informacija – pavyzdžiui, kaip naudoti kenkimo programinę įrangą.

2. ĮRANKIAI IR ĮRANGA: kokių prietaisų užpuolikams reikia – pavyzdžiui, kibernetinius įsilaužimus palengvinančių programų (slaptažodžius atspėjančių programų arba tinklo analizatorių) bei įrangos, pavyzdžiui, kompiuterių ir radijo siųstuvų.

3. POZICIJA: kur turi būti užpuolikas – pavyzdžiui, ar jam reikia fiziškai būti šalia tam tikro pastato?

— ATAKOS PASKEMĖS: vykdomieji ir vyriausieji įmonės vadovai gali padėti įvardyti, kokios pasekmės lauktų sutrikdžius svarbiausią įmonės veiklą, todėl padėti kibernetinio saugumo komandai atlikti šią užduotį turi ir jie. Kasdienę įmonės veiklą vykdantys ir sistemas naudojantys darbuotojai gali padėti įvardyti papildomas pasekmes, o kitų skyrių specialistai – nurodyti, kokia gali būti papildoma žala.

Geriausiai galimus užpuolikus gali įvardyti įmonės vadovai ir svarbiausias kasdienes operacijas atliekantys darbuotojai, nes jie geriausiai žino, kas gali motyvuoti užpuolikus ir kokios naudos jie gali gauti iš atakų. Iš pradžių geriausia užduoti klausimą, kokia jūsų įmonės nuosavybė galėtų būti naudinga kitiems. Pavyzdžiui, varžovai gali norėti sužinoti jūsų komercines paslaptis.
Thomas J. Parenty ir Jack J. Domet

KIBERNETINIAI UŽPUOLIKAI

Įvertinti, kokia tikimybė, kad prieš jūsų įmonę bus įvykdyta ataka ir sukurti tinkamus įrankius nuo jos apsiginti bus lengviau, jei įvardysite galimus užpuolikus bei jų motyvus ir gebėjimus. Užpuolikai gali būti tam tikros valstybės, nusikalstamos organizacijos, varžovai, nepatenkinti darbuotojai, teroristai ar įvairių interesų grupuotės.

Geriausiai galimus užpuolikus gali įvardyti įmonės vadovai ir svarbiausias kasdienes operacijas atliekantys darbuotojai, nes jie geriausiai žino, kas gali motyvuoti užpuolikus ir kokios naudos jie gali gauti iš atakų. Iš pradžių geriausia užduoti klausimą, kokia jūsų įmonės nuosavybė galėtų būti naudinga kitiems. Pavyzdžiui, varžovai gali norėti sužinoti jūsų komercines paslaptis.

Kibernetinių pavojų įvardijimas – tai nenutrūkstamas procesas: įmonei vystantis atsiras vis naujų silpnybių. Kad jas pastebėtumėte, įmonės pakeitimų valdymo procesuose turėtų būti tiksliai nurodyta, kada ir kaip iš naujo įvertinami kibernetiniai pavojai.

+++

Trumpai apie idėją

IŠŠŪKIS

Nors kibernetiniam saugumui išleidžiami milijardai, įsilaužimų daroma žala vis auga – iš dalies taip yra todėl, kad įmonės neatpažįsta arba nesupranta svarbiausių joms kylančių kibernetinių pavojų.

Apsauga

SENASIS METODAS

Pernelyg daug įmonių visą dėmesį sutelkia į technines silpnybes. Dėl to atsakomybė saugoti įmonę nuo kibernetinių atakų iš karto paskiriama IT specialistams, o rezultatas dažnai būna galimų atakų sąrašas, kuriame prioritetai paskirstomi neteisingai. Be to, diskusijose apie riziką dažnai kalbama techniniu žargonu, todėl vyriausi vadovai ir valdybos negali prasmingai jose dalyvauti.

GERESNIS BŪDAS

Geresnis metodas – įvardyti, kokia įmonės veikla svarbiausia, kokia jai gali kilti grėsmė, kokios sistemos reikalingos tai veiklai vykdyti, kokios tų sistemų silpnybės ir kas gali jas užpulti. Šiame procese gali dalyvauti įmonės vadovai ir įvairių sričių darbuotojai, o atsakomybė už kibernetinį saugumą paskiriama vyriausiems vadovams ir valdyboms.

+++

Kibernetinis saugumas – valdybos atsakomybė

Įmonės valdyba atstovauja savininkų interesus ir privalo rūpintis ilgalaike įmonės gerove, todėl manome, kad galia ir atsakomybė prižiūrėti, ar įmonės darbuotojai žino apie galimas kibernetines grėsmes, turi būti suteikiama jai. Kai taip iš tikrųjų daroma, įvyksta aiškių pokyčių – vien iškeldama klausimus apie keturis kibernetinių pavojų elementus valdyba gali paskatinti įmones į juos žvelgti rimčiau.

Taip turėtų būti visoje įmonės hierarchijoje – valdyba turėtų išsiaiškinti, ar įmonės vadovai supranta, kokio tipo atakos gali grėsti svarbiausiai įmonės veiklai, kokios galimos atakų pasekmės tiek įmonei, tiek suinteresuotosioms šalims, kas gali bandyti vykdyti atakas ir kokia tų žmonių motyvacija bei gebėjimai. Įmonės atstovai turėtų reguliariai supažindinti valdybą su esamais kibernetiniais pavojais, kylančiais kiekvienai svarbiausiai įmonės verslo sričiai.
Thomas J. Parenty ir Jack J. Domet

Pavyzdžiui, jei esate valdybos narys, paprašykite užtikrinti, kad įmonė įvardijo ir aprašė svarbiausias veiklos sritis, jų teikiamą naudą ir didžiausias joms kylančias grėsmes. Taip pat turėtumėte paprašyti patvirtinimo, kad procese dalyvavo įmonės vadovai.

Be to, paprašykite užtikrinti, kad įmonė turi tikslius ir atnaujintus svarbiausiai veiklai vykdyti būtinų kompiuterių sistemų katalogus. Nors asmeniškai katalogų smulkmenų patikrinti neprivalote, galite paprašyti, kad juos patikrintų nepriklausoma šalis arba liepti jas peržiūrėti vyriausiems vadovams. Taip pat turėtumėte įsitikinti, kad įmonė turi įrankių ir gali atlikti procesus, reikalingus norint užtikrinti, kad katalogai nepasenę, bei paprašyti pateikti kelis pavyzdžius, kada ir kaip jie buvo atnaujinti, kad žinotumėte, jog jais naudojamasi.

Taip turėtų būti visoje įmonės hierarchijoje – valdyba turėtų išsiaiškinti, ar įmonės vadovai supranta, kokio tipo atakos gali grėsti svarbiausiai įmonės veiklai, kokios galimos atakų pasekmės tiek įmonei, tiek suinteresuotosioms šalims, kas gali bandyti vykdyti atakas ir kokia tų žmonių motyvacija bei gebėjimai. Įmonės atstovai turėtų reguliariai supažindinti valdybą su esamais kibernetiniais pavojais, kylančiais kiekvienai svarbiausiai įmonės verslo sričiai.