Mažos ir vidutinės įmonės (MVĮ) vis dažniau tampa kibernetinių atakų taikiniu. Ne todėl, kad jos būtų didžiausios ar turėtų išskirtinai vertingus duomenis, o todėl, kad jų apsauga dažnai būna silpnesnė, IT ištekliai riboti, o pasiruošimas incidentams nepakankamas.
„Primend“ internetiniame seminare „Kodėl MVĮ įmonės patiria kibernetinius incidentus ir ką gali padaryti vadovai?“ kalbėjome apie tai, kokios rizikos šiandien aktualiausios mažam ir vidutiniam verslui, kodėl vadovų vaidmuo yra lemiamas ir nuo kokių praktinių žingsnių verta pradėti.
Užpuolikai ieško silpniausios vietos
Kibernetinės atakos šiandien gali būti vykdomos masiškai. Užpuolikai skenuoja tūkstančius įmonių ir ieško lengviausiai pažeidžiamų vietų: silpnų slaptažodžių, neapsaugotų paskyrų, neatnaujintos programinės įrangos, neaiškių prieigos teisių ar darbuotojų, kurie gali patikėti įtikinamai atrodančia žinute.
Dėl to mažos ir vidutinės įmonės tampa patraukliu taikiniu. Jos dažnai turi mažesnes IT komandas arba visai neturi dedikuotų saugumo specialistų, tačiau susiduria su panašiomis grėsmėmis kaip ir didelės organizacijos.
Vieno incidento gali pakakti, kad nustotų veikti el. paštas, apskaita, vidinės sistemos ar klientų aptarnavimas. Mažesnėms įmonėms tokios prastovos gali būti ypač skausmingos, nes finansinių rezervų dažnai būna mažiau.
Žmogiškos klaidos vis dar išlieka viena didžiausių rizikų
Daugelis incidentų prasideda nuo paprasto žmogaus veiksmo: paspaustos nuorodos, atidaryto priedo, pakartotinai naudojamo to paties slaptažodžio ar patikėjimo sukčių žinute.
Socialinė inžinerija tampa vis įtikinamesnė. Sukčiai gali naudoti vadovų vardus, nuotraukas, informaciją iš „LinkedIn“ ar kitų viešų šaltinių ir sukurti labai realistiškai atrodančias žinutes. Tokiose situacijose vien technologinių priemonių neužtenka.
Vadovai turi užtikrinti, kad darbuotojai suprastų pagrindines rizikas, mokėtų atpažinti įtartinas situacijas ir žinotų, kaip elgtis kilus abejonei. Kibernetinis saugumas turėtų tapti nuolatine organizacijos kultūros dalimi, o ne vienkartiniu mokymu.
Vadovų vaidmuo yra lemiamas
Kibernetinis saugumas apima daug daugiau nei techninius įrankius. Tai procesai, atsakomybės, sprendimų priėmimas ir pasiruošimas.
Įmonės vadovai turėtų žinoti, kokie duomenys ir sistemos yra kritiškai svarbūs, kas turi prieigą prie jų, kaip greitai įmonė pastebėtų incidentą ir ką darytų pirmosiomis minutėmis ar valandomis. Būtent incidento pradžioje priimami sprendimai dažnai nulemia žalos mastą.
Aiškus veiksmų planas padeda išvengti chaoso. Todėl labai svarbu įsivardinti, kas priima sprendimus? Kas bendrauja su darbuotojais, klientais ar partneriais? Kas atsakingas už techninį reagavimą? Kas informuoja vadovybę? Incidento metu šie dalykai turi būti labai aiškūs.
Ne mažiau svarbi ir komunikacija. Atvira, aiški ir laiku pateikta informacija padeda mažinti paniką, išlaikyti pasitikėjimą ir parodyti, kad organizacija valdo situaciją.
Nuo ko pradėti?
Pirmas žingsnis turėtų būti esamos situacijos įvertinimas. Įmonė turi suprasti, kur yra didžiausios silpnosios vietos: technologijose, darbuotojų elgsenoje ar procesuose.
Praktiniai pirmieji žingsniai gali būti:
- rizikų ir esamos saugumo situacijos įvertinimas;
- aiškus atsakomybių paskirstymas;
- darbuotojų mokymai ir phishing atakų simuliacijos;
- atsarginių kopijų strategija ir atkūrimo testavimas;
- pažeidžiamumų skenavimas;
- įrenginių, paskyrų ir prieigos valdymas;
- incidentų valdymo plano parengimas;
- nuolatinė saugumo stebėsena.
Įmonėms, kurios neturi vidinio informacijos saugumo vadovo, gali padėti vCISO (virtualus informacijos saugumo vadovas) paslauga. Tai patyręs saugumo ekspertas, kuris padeda įvertinti rizikas, nustatyti prioritetus, parengti veiksmų planą ir užtikrinti, kad kibernetinio saugumo klausimai būtų valdomi sistemingai bei nuosekliai.
„Microsoft 365 Business Premium“ kaip praktinis saugumo pagrindas
Seminare taip pat aptarėme, kodėl „Microsoft 365 Business Premium“ gali būti tinkamas pasirinkimas daugeliui mažų ir vidutinių įmonių. Šis sprendimas apjungia modernios darbo vietos galimybes ir pagrindinius saugumo įrankius.
Jis padeda valdyti tapatybes, įrenginius, prieigas, el. pašto saugumą ir duomenų apsaugą. Vis dėlto vien licencijos turėjimas saugumo neužtikrina. Įrankius reikia tinkamai įdiegti, sukonfigūruoti, prižiūrėti ir naudoti kartu su aiškiais procesais.
Čia svarbu turėti patikimą partnerį, kuris padeda ne tik pasirinkti tinkamus sprendimus, bet ir realiai juos įveiklinti.
AI įrankiai: galimybė ir rizika vienu metu
Dar viena svarbi seminaro tema buvo dirbtinis intelektas. Net jei įmonė oficialiai nėra įdiegusi AI įrankių, darbuotojai dažnai jau naudojasi viešai prieinamais sprendimais patys.
Tai gali kelti riziką, nes į išorinius įrankius gali patekti įmonės duomenys, vidinė informacija ar klientų duomenys. Todėl vadovams verta ne ignoruoti AI naudojimą, o susitarti dėl aiškių taisyklių: kokius įrankius galima naudoti, kokiems tikslams ir kokių duomenų į juos negalima kelti.
Saugiai naudojami AI įrankiai gali padėti ir kibernetinio saugumo srityje: analizuoti incidentų informaciją, rengti vidines santraukas, kurti mokymų medžiagą ar greičiau pasiruošti komunikacijai incidento metu. Tačiau rizikų vertinimas, sprendimų priėmimas ir atsakomybė lieka žmogui ir įmonės vadovams.
Svarbiausia pasiruošti prieš incidentą
Pasiruošimas visada yra pigesnis ir efektyvesnis nei reagavimas po incidento. Tai nereiškia, kad įmonė turi viską įgyvendinti iš karto. Svarbiausia suprasti, nuo ko pradėti.
Vadovams verta reguliariai užduoti sau kelis paprastus klausimus:
- Ar žinome, kokie mūsų svarbiausi duomenys ir sistemos?
- Ar žinome, kas turi prieigą prie jų?
- Ar darbuotojai atpažintų phishing ataką?
- Ar turime atsargines kopijas ir žinome, kaip greitai galėtume atkurti veiklą?
- Ar turime aiškų veiksmų planą incidento atveju?
Jeigu atsakymai nėra aiškūs, verta pradėti nuo esamos situacijos įvertinimo.