Grėsmės didėja
Per pastaruosius metus kibernetinės grėsmės tapo daug pavojingesnės – anksčiau atakos buvo primityvesnės, o dabar vis dažniau kuriamos pasitelkiant dirbtinį intelektą (DI). Vadinasi, rizikos tiesiogiai susijusios su organizacijos kultūra, procesais ir darbuotojų gebėjimu atpažinti rizikas.
„Anksčiau būdavo gana aišku, kad koks nors laiškas yra sukčių darbas. Dabar jie atrodo taip tikroviškai, kad net patyrę darbuotojai ne visada atskiria, kas yra tikra. Grėsmės tobulėja, tačiau pagrindinis incidentų veiksnys vis dar yra žmogus. Statistika rodo, kad spragos dažniausiai atsiranda ne dėl technologijų, o žmonių sprendimų“, – konferencijoje „Kibernetinis atsparumas 2025: išmoktos pamokos ir naujos grėsmės“ sakė advokatų kontoros „Sorainen“ ekspertė Irma Kunickė.
Nepaisant to, daugelyje įmonių kibernetinis saugumas vis dar laikomas technine IT skyriaus funkcija, o ne vadovo atsakomybe.
„Nereguliuojamos įmonės dažnai į kibernetinį saugumą žiūri kaip į vitaminą – kaip kažką naudingo, bet nebūtino. Kol neįvyksta incidentas, sunku įvertinti tikrąjį rizikos mastą. Tačiau jeigu vadovui tai nerūpi, kodėl turėtų rūpėti darbuotojams? Organizacijos toną duoda vadovas – jeigu jis neįsitraukia, net ir geriausi įrankiai neveiks“, – pabrėžia Justas Morkūnas, „Nord Security“ sukurtos DI diegimo įmonėse platformos nexos.ai komercijos direktorius.
Klaidingi įsitikinimai
Situaciją komplikuoja ir klaidingas įsitikinimas, kad atakos taikosi tik į technologijų įmones ar organizacijas, dirbančias su jautriais duomenimis. I. Kunickės teigimu, praktikoje vieni dažniausių taikinių yra tradiciniai sektoriai: gamyba, logistika, mažmena.
„Taikiniais dažnai pasirenkamos mažos ir vidutinės įmonės, nes jos, neskirdamos reikiamų resursų, tampa silpniausia grandimi. Dar vienas gajus stereotipas, kad kibernetinė ataka yra tik duomenų vagystė ir nutekinimas. Tačiau rimčiausių padarinių kyla, kai naudojamos sistemos yra blokuojamos, prarandama prieiga prie duomenų: klientai negauna paslaugų, partneriai negali vykdyti savo įsipareigojimų, o žala skaičiuojama minutėmis“, – teigia I. Kunickė.
Anot ekspertės, neigiami kibernetinės saugos incidentų padariniai verslui pasireiškia milžiniškais finansiniais nuostoliais dėl sistemų atkūrimo, reputacijos praradimo ir žalos atlyginimo reikalavimų.
„Kalbėdami apie rizikas, dauguma galvoja tik apie reguliatoriaus nustatytas baudas. Tačiau dažniausiai jos sudaro labai mažą dalį realios žalos. Didžiausia grėsmė – partnerių ir klientų, kurie negalėjo teikti ar gauti paslaugų, civiliniai ieškiniai. Ne viena įmonė po tokių incidentų paprasčiausiai neatsigauna finansiškai“, – pabrėžia I. Kunickė.
Įmonės, patyrusios incidentą, mėnesius ar metus dirba tam, kad atgautų klientų ir partnerių pasitikėjimą.
Dažnai nuvertina
Reputacinė žala dar sunkiau įkainojama – anot I. Kunickės, viešai nuskambėję atvejai yra tik nedidelė dalis realių incidentų, tačiau jų padariniai jaučiami ilgai.
„Įmonės, patyrusios incidentą, mėnesius ar metus dirba, kad atgautų klientų ir partnerių pasitikėjimą. Investuotojai kibernetinį saugumą vertina kaip vieną pagrindinių kriterijų priimdami sprendimus. Tai ne reputacijos klausimas tik komunikacine prasme, o tiesioginė verslo išlikimo sąlyga“, – sako I. Kunickė.
Papildomą rizikos sluoksnį sukuria tiekimo grandinių priklausomybės. Incidentai dažnai įvyksta ne pačiose įmonėse, o jų paslaugų teikėjų infrastruktūroje, tačiau atsakomybė tenka tam, kuris tą tiekėją pasirinko.
„Brandžios įmonės supranta, kad grandinė nutrūksta silpniausioje jos vietoje, todėl jos pradeda edukuoti ne tik savo komandas, bet ir partnerius. Nesvarbu, kurioje grandies pusėje įvyko incidentas, atsakomybė vis tiek grįžta pagrindiniam paslaugos teikėjui“, – teigia I. Kunickė.
Pirmieji žingsniai
J. Morkūnas akcentuoja, kad pirmas ir svarbiausias vadovo veiksmas – objektyviai įvertinti, kur organizacija yra šiandien. Be aiškaus brandos suvokimo neįmanoma pasirinkti tinkamo veiksmų plano.
„Vadovas turi gebėti tiksliai įvardyti organizacijos padėtį: ką naudojame, kur slypi spragos, kas veikia, o kas tik formaliai egzistuoja. Tik tada tampa aišku, ar prioritetas yra procesai, kompetencijos, ar papildomos apsaugos priemonės. Saugumas – ne vienkartinis projektas, o nuolatinė disciplina“, – teigia J. Morkūnas.
Toliau – rizikos suvokimas ir kritinių sistemų identifikavimas. I. Kunickės teigimu, vadovas turi žinoti, kokios sistemos yra esminės, kur slypi didžiausia rizika ir kokie procesai gali sustoti incidento atveju. Tam reikia inventorizacijos, rizikos vertinimo ir prioritetų nustatymo – veiksmų, kurių negali atlikti vien IT skyrius.
Vienas dažniausių klaidingų sprendimų – manyti, kad užtenka įdiegti įrankį ar samdyti CISO. Pasak J. Morkūno, technologija be kultūrinio pokyčio yra bevertė.
„Didžiausia klaida – nusipirkti įrankį ir manyti, kad problema išspręsta. Tai nėra užduotis, kurią padarai, užsidedi varnelę, ir viskas. Jei organizacija nekeičia procesų, elgsenos ir nepakeičia požiūrio, įrankis nieko nesprendžia. Saugumas turi būti holistinis“, – teigia J. Morkūnas.
Naujausi komentarai