Kibernetinis saugumas: šiuolaikinio verslo Achilo kulnas

21.03.2021 Kibernetinis saugumas: šiuolaikinio verslo Achilo kulnas

Komentaro autorius - partneris Mindaugas Civilka

Verslui skaitmenizuojant veiklos procesus kibernetinių atakų rizika tampa vis sunkiau išvengiama. Nors kibernetinio saugumo tema nenauja, ji sunkiai skinasi kelią į bendrovių valdybų darbotvarkes.

Verslo IT sveikata iki šiol yra antrinis reikalas, apipintas gajais mitais.

Mitas Nr.1: „Mums nebūtina, nes esame ne IT įmonė“

Šiandieniniame pasaulyje verslas vis dažniau grindžiamas ne materialiuoju turtu, įranga ar pastatais, o informaciniu turtu ir žmogiškuoju potencialu. Skirstymas į technologines ir netechnologines įmones yra beviltiškai pasenęs. Be abejo, liks tradiciniai, istoriniai amatai ir verslai, tačiau nyks organizacijos, kurių verslo pamatą sudarys ne žmogiškasis ir informacinis turtas. IT ir informacijos apsauga taps ne egzotišku „nice to have“, o bus būtina kiekvieno verslo higiena.

Mitas Nr. 2: „Gal ir svarbu, bet šiuo metu tai – ne prioritetas“

Kitas mitas – kad kibernetinis saugumas gali palaukti, kad tai yra ne pirmo būtinumo dalykas, ypač dabar. Verslas galvoja, kad jeigu šiemet neinvestuos į informacinės sistemos saugą, kitais metais galės įsigyti naujesnę, pažangesnę technologiją, ir taip sutaupys.

Tai – ydingas ir brangus požiūris. Verslai, kaip ir žmogus, turi pasirinkimą – investuoti į vaistus pasireiškus ligos simptomams arba investuoti į sveiką gyvenseną (verslo atveju – kibernetinę sveikatą). Abu požiūriai yra galimi, tik vienas iš jų – brangus ir trumparegiškas.

Labiausiai veikti skatina išorės veiksniai

Egzistuoja nemažai išorinių „dirgiklių“, kurie karts nuo karto priverčia verslą suklusti. Vienas tokių – reguliavimas. Nėra vieno įstatymo, kuris glaustai įvardintų visus sveikos kibernetinės gyvensenos reikalavimus (kaip būtų lengva ir aišku – turėti išsamų pratimų sąrašą!). Susiduriame su painiu teisiniu labirintu, kurį sudaro dvi dalys – bendrieji reikalavimai, skirti visiems verslams (pvz., asmens duomenų apsauga) ir specialieji, sektoriniai reikalavimai, taikomi reguliuojamiems verslams. Pavyzdžiui, finansų rinkoje turime stiprią priežiūros tarnybą (Lietuvos bankas), kuri kelia griežtas sąlygas kibernetinei finansų įmonių sveikatai. Tai turi sisteminį poveikį finansų rinką aptarnaujantiems verslams (IT ir pan.), kuriems bankai, fintech ir kitos finansų įmonės ima kelti analogiškas sąlygas.

Kitas reikšmingas „dirgiklis“ – investuotojai, kurie verslus vertina ne tik iš finansinių rodiklių perspektyvos, bet vis didesnį dėmesį telkia į jų IT sistemų ir duomenų atsparumą, saugumą, tvarumą.

Na, ir aišku, verslą mintims apie kibersveikatą neretai „motyvuoja“ vis pasirodančios žinios apie vieną ar kitą bendrovę ištikusį duomenų saugumo incidentą.

Kas atsakingas už kibernetinę saugą?

Kibernetinė sveikata įmanoma tik suderinus tris kertinius komponentus: technologijas, organizacines priemones (įskaitant teisines) ir žmogiškuosius išteklius. Tai – toli gražu ne vienkartinis techninis ar teisinis niuansas. Tai – organizacijos kultūros dalis. Kultūra neatsiranda per trumpą laiką, o jai sukurti reikalingas sistemingas, metodinis procesas. Dėl šios priežasties verta sunerimti gavus klientų prašymą „kaip galima greitai susitvarkyti šią temą“, arba „gal galima užsidengti bent esmines rizikas“. Puikiai žinome, kuo baigiasi gydymasis pačiam pagal kaimyno patarimus. Štai dėl šios priežasties kibernetinės saugos nevalia „atiduoti“ tik IT skyriui ir laikyti, kad šis klausimas tuo ir išspręstas.

Išmintingo vadovo užduotis yra padėti rasti sveiką balansą tarp teisės, IT ir personalo valdymo, padėti šioms komandoms dirbti kartu paskirstant atsakomybes ir sistemiškai valdant rizikas.

Be abejo, įtampa tarp minėtų procesų būtina – tam, kad nepradėtų vyrauti viena kuri nors dedamoji. Pavyzdžiui, negerai, kai kibernetiniam procesui vadovauja tik teisinė komanda, kuri rūpinasi vien popierių, tvarkų parengimu ir tinkamu įforminimu.

Klausimai, kuriuos būtina užduoti IT ir teisės skyriams

Nors ir keliais klausimais kibernetinės diagnostikos atlikti yra neįmanoma, tačiau štai tie penki klausimai, kuriuos kiekvienas įmonės vadovas privalo užduoti IT vadovui:

  • kaip samdome IT žmones, kaip išorės konsultantams ir paslaugų teikėjams suteikiame prieigą prie mūsų informacinių sistemų; ar suteikiame prieigą prie realių duomenų?
  • ar yra daromos esminių duomenų atsarginės kopijos ir ar kada bandėme jas atstatyti?
  • ar taikome VPN / dvigubo faktoriaus prieigą prie įmonės resursų (pvz., prieinant iš išorės)?
  • ar šifruojame duomenis, jei taip – tai kuriuos?
  • ar nėra nebenaudojamų duomenų bazių, prie kurių vis dar galima prieiti?

Na, o įmonės teisininkui privalu užduoti šiuos tris klausimus:

  • kaip tvarkome sutartis su IT tiekėjais, ar galėsime į juos nukreipti išieškojimą incidento atveju?
  • ar teisės skyrius susikalba su IT personalu?
  • ar turime kibernetinių rizikų draudimą?

Svarbiausia ir galingiausia kibernetinio saugumo prevencijos priemonė – žinios, švietimas ir dalinimasis informacija organizacijos viduje. Žmonės – kertinė dedamoji, ir deja, silpniausia kiekvienos organizacijos kibernetinio saugumo dalis, todėl investicijų į jų švietimą niekada nebus per daug.