„Daugeliui atrodo, kad tai vyksta tik su tomis įmonėmis, kurios kažkuo svarbios, tačiau jautrios informacijos turi visos organizacijos. Ir didelė dalis šių nusikaltimų yra įmonių atmestino požiūrio į elektroninį saugumą pasekmė“, – teigia Giedrius Meškauskas, UAB „TeraSky Baltic“ Kibernetinio saugumo paslaugų ir operacijų vadovas.
Ilgametis kibernetinės erdvės saugumo ekspertas G.Meškauskas pateikė 5 dažniausiai įmonėse daromų klaidų sąrašą:
1. Slaptažodžių politika
Nors kurti sunkiai atspėjamus slaptažodžius, regis, jau išmokome, tačiau pamačius, kaip su jais elgiamasi įmonėse, kartais sunku suprasti, kam jie išvis reikalingi.
Lietuvoje jau įvykdytas ne vienas nusikaltimas, kai pavagiami įmonės duomenys ir po to vadovai šantažuojami mokėti pinigus, jei nori juos atgauti. Dažną iš šių nusikaltimų net sunku pavadinti kibernetiniu, nes taip pasielgia buvę darbuotojai, kurių slaptažodžiai lieka galioti net nutraukus darbo sutartį. Po kurio laiko jie, vedami piktų kėslų, pasinaudoja palikta prieiga ir atsisiunčia/pavagia jautrius duomenis ar juos sunaikina.
Nors kai kuriose įmonėse visų darbuotojų slaptažodžiai sistemingai keičiami naujais, tačiau dažnai jie tiesiog prisiklijuoja juos prie monitoriaus, laiko užsirašę stalčiuose, kitose lengvai pasiekiamose vietose, o tai reiškia, kad bet kuris apsilankęs svečias gali juos pamatyti.
Reikia suprasti, kad slaptažodis yra kiekvieno vartotojo autentifikavimosi raktas. Jis užtikrina, kad konkrečia sąsaja, su jai suteiktomis teisėmis pasiekti informaciją ar atlikti veiksmus, naudosis tik tos sąsajos savininkas. Paprastas pavyzdys: ant įmonės finansininkės kompiuterio monitoriaus užklijuotas lapelis su slaptažodžiais; prisėdome, pasižiūrėjome kolegų atlyginimus, padarėme keletą algų pervedimų ir vėl užrakinome kompiuterį; į klausimą kas atliko veiksmus atsakymas tik vienas – pati buhalterė, nes visi veiksmai atlikti tik su jai žinomu slaptažodžiu. Ir tai toli gražu ne baisiausia, ką galima padaryti.
2. „Wi-Fi“ ryšys
Galimybė naudotis įmonės „Wi-Fi“ ryšiu bent kiek labiau įgudusiam žmogui reiškia ir priėjimą prie serverio bei jame sukauptų duomenų. Tačiau daugelyje įmonių šis ryšio kanalas apsaugotas tik slaptažodžiu, kuris nėra taip jau sunkiai surandamas toje pačioje įmonėje arba jį galima sužinoti iš darbuotojų.
Įmonės vis dar vengia atskirti bevielį tinklą nuo savo pagrindinio tinklo, tad per „Wi-Fi“ prieigą dažniausiai galima pasiekti tiek pat įmonės IT resursų, kiek ir per laidinę tinklo prieigą. Dar paprasčiau piktavaliams darbuotis, jei taupumo ar nežinojimo sumetimais prie įmonės IT resursų galima prisijungti per svečių „Wi-Fi“ pieigą, kuri turėtų būti autonominė.
Taip pat įmonės vidaus „Wi-Fi“ ryšys turi būti toks, kad prie jo galėtų prisijungti tik konkretūs darbuotojų įrenginiai. Tada priėjimą bus paprasta kontroliuoti net keičiantis darbuotojams, tiesiog užteks išeinančiųjų telefonams, kompiuteriams ir kitiems įrenginiams atjungti teisę jungtis prie įmonės „Wi-Fi“.
3. Saugumą garantuoja antivirusinė programa
Viena didžiausių klaidų – galvoti, kad nusipirkus antivirusinę programą būsite visiškai saugūs. Antivirusinė programa saugo tik nuo masiškai platinamų virusų, galbūt dar nuo nepageidaujamų laiškų ir kenkėjiškų svetainių atidarymo, kurių gausu kibernetinėje erdvėje. Žinoma, antivirusinė programa yra būtina, tik reikia suprasti, kad ji dengia tik nedidelę, konkrečią grėsmių žemėlapio dalį.
Antivirusinė programa iš principo panaši į motociklininko šalmą: jis puikiai apsaugo nuo galvos sužalojimų ar vabzdžių atakų, bet viso motocikliniko kūno avarijos metu jis neapsaugo.
Kiekviena įmonė turi jautrių duomenų ir ne tik reglamentuojamų GDPR. Tad į duomenų apsaugą reikia pažiūrėti daug rimčiau. Tačiau tai labai plati specifinė tema, tad šiuo klausimu geriausia kreiptis į kibernetinės erdvės saugumo specialistus, kurie įvertins konkrečius poreikius ir pasiūlys sprendimus.
4. Kibernetiniu saugumu užsiima IT specialistas
Stebina, kai didelėse įmonėse už IT kasdienę veiklą ir elektroninės erdvės saugumą dažnai atsako tas pats žmogus ar padalinys. Tai tas pats, kas pastato ūkvedžiui patikėti ir jo apsaugą. Labai retai žmogus, kuris rūpinasi sistemos „ūkiniais“ reikalais, bus pakankamai kvalifikuotas tinkamai pasiruošti, vertinti ir reaguoti į kibernetines grėsmes.
IT skyrius siekia efektyviau išnaudoti išteklius, užtikrinti jų reikiamą prieinamumą, bei suteikti verslo poreikius atitinkantį funkcionalumą. Kibernetinės saugos atstovai rūpinasi, kad verslo veikla būtų apsaugota nuo kibernetinių grėsmių, vertina su tuo susijusias rizikas, užsiima švietimu bei kontrole. Be to, stebi saugumo būklę organizacijoje, o esant saugumo pažeidimui – imasi reagavimo veiksmų siekiant sumažinti organizacijos duomenų nutekėjimo ar veiklos sutrikdymo nuostolius.
Elektroninė duomenų apsauga apima labai daug sričių: nuo organizacijos saugumo įvertinimo iki jos darbuotojų apmokymo, planų kibernetinių išpuolių atvejams parengimo iki tokio lygio, kad ne tik būtų apsaugoti duomenys, bet tuo pačiu ir surinkta kuo daugiau informacijos apie įsilaužėlius.
5. Geriausias kibernetinio saugumo specialistas – hakeris
Bėda ta, kad hakerio specializacija yra atrasti spragas ir atakuoti jas išnaudojant. Greičiausiai jis labai gerai išmanys būdus įsilaužti ar pakenkti jūsų organizacijai pažeidžiant jūsų IT sistemas. Tačiau viena yra pulti, kita gintis.
Juk turėdamas futbolo komandą, nestatysite puolėjo į vartus vien todėl, kad šis žino kaip mušti įvarčius. Į vartus statysite vartininką – žmogų, kuris gerai žino, ko galima tikėtis iš puolėjo ir moka gaudyti kamuolį bei gali sustyguoti savo komandą taip, kad gynyba būtų efektyvesnė. Lygiai tas pats galioja ir jūsų IT futbolo aikštėje. Puolančiųjų yra ir visada bus pakankamai. Laikas pradėti galvoti, kaip jūsų organizacija geba suvaldyti grėsmes ir atsilaikyti prieš puolančiuosius.
