Verslas
Kai IT skyrius bejėgis: ar jūsų verslas pasiruošęs atakoms, nukreiptoms ne į kompiuterius, o į žmones?
Nuo šių metų Lietuvoje įsigaliojęs naujasis Kibernetinio saugumo įstatymas, kuriuo į nacionalinę teisę perkeliama Europos Sąjungos TIS2 (dar žinoma kaip NIS2) direktyva, tapo reikšmingu pokyčiu verslo aplinkoje. Anksčiau tik kritinei infrastruktūrai taikyti saugumo reikalavimai dabar apima kur kas platesnį verslo spektrą – nuo gamybos ir maisto pramonės iki atliekų tvarkymo, kurjerių ar net IT paslaugų teikėjų. Nacionalinio kibernetinio saugumo centro (NKSC) duomenimis, šiuo metu jau identifikuota beveik 1500 įmonių, kurios patenka į šios direktyvos taikymo sritį ir privalės vykdyti naujus įpareigojimus. Kaip įspėja advokatas Rokas Venslauskas, šie pokyčiai daugeliui verslų reiškia ne tik papildomas pareigas, bet ir realią atsakomybę – tiek finansinę, tiek asmeninę.
Reklama
Auganti grėsmė: atakų skaičius auga, taikinys – ne serveriai, o žmonės
2024 metais NKSC Lietuvoje fiksavo 3874 kibernetinius incidentus – tai net 63 proc. daugiau nei pernai. Daugiau nei pusę jų – apie 60 proc. – sudarė socialinės inžinerijos atakos. Tai ne techniniai įsilaužimai, o atakos prieš žmogų: apgaulingi laiškai, suklastotos sąskaitos, tariami vadovų prašymai atlikti pavedimus.
„Šiandien pavojingiausi išpuoliai yra tie, kurie remiasi ne technika, o žmogaus psichologijos silpnybėmis“, – pažymi advokatų profesinės bendrijos LAWCORPUS vadovaujantysis partneris, advokatas R. Venslauskas.
Pasak jo, socialinės inžinerijos esmė – pasitikėjimo išnaudojimas. Nusikaltėliai ne programuoja, o apgauna: siunčia buhalteriui „partnerio“ sąskaitą su nauju rekvizitu arba prašo skubaus pervedimo, neva nuo vadovo. Rezultatas – šimtai tūkstančių eurų nuostolių per kelias valandas. Kokiu laikotarpiu galima tikėtis kibernetinių atakų aktyvumo?
Verslo saugumo pagrindas – auditas, mokymai ir aiškios taisyklės
Efektyviausia gynybos nuo psichologinių atakų strategija yra kompleksinė. Advokatas pabrėžia, kad vien techninių sprendimų neužtenka – jei darbuotojai nežino, kaip atpažinti apgaulę, net ir brangiausios IT sistemos taps bejėgės.
„Pirmiausia svarbu atlikti nepriklausomą kibernetinio saugumo auditą, kuris padeda įvertinti ne tik technologijas, bet ir organizacinius procesus. Audito metu identifikuojamos realios spragos, parengiamas konkretus veiksmų planas, o įmonė gauna įrodymą, kad ėmėsi „protingų atsargumo priemonių“ – tai svarbu ir draudimo bendrovėms, ir institucijoms“, – sako teisininkas. Lietuvoje pirmą kartą startuoja iniciatyva „Stop portalų klonams!“
„Kitas esminis elementas – reguliarūs darbuotojų mokymai ir praktinės simuliacijos. Kritinis mąstymas ir gebėjimas atpažinti apgaulę yra įgūdžiai, kuriuos galima ir reikia ugdyti, o praktiniai pavyzdžiai – veiksmingiausia priemonė. NKSC rekomenduoja bent kartą per metus vykdyti praktinius socialinės inžinerijos mokymus. Statistika rodo, kad įmonės, kurios tai daro reguliariai, kelis kartus rečiau patiria realius finansinius nuostolius“, – prideda R. Venslauskas
Galiausiai, advokatas pabrėžia, kad būtina sukurti aiškius ir realiai veikiančius procesus: dvigubą pervedimų tvirtinimą, sutartines atsakomybes partneriams, nustatytą incidentų pranešimo tvarką ir atsakomybes organizacijoje. Bankai pasiruošę skolinti, bet ar skolintis pasiruošęs verslas?
Pagal naująjį Kibernetinio saugumo įstatymą, pareiga užtikrinti saugumą tenka vadovybei. Būtent vadovas atsako už tai, kad įmonė būtų pasiruošusi atakoms – ne tik turėtų priemones, bet ir mokėtų jomis naudotis. Dėl netinkamai įgyvendintų saugumo priemonių atsakomybė gali būti ir asmeninė – nuo reputacijos iki realių finansinių nuostolių.
Reklama
„Kibernetinis saugumas šiandien yra ne IT klausimas, tai strateginis įmonės išlikimo klausimas. Todėl verslo apsauga turi prasidėti nuo žmogaus – jo žinių, įgūdžių ir gebėjimo kritiškai vertinti informaciją“, – reziumuoja advokatas. Ar esi pasiruošęs? Antros pakopos pensijų fondų pokyčiai 2025-aisiais, kurių negali ignoruoti
Reklama
