Saugumo trūkumas

Dažniausiai Lietuvos įmonės susiduria su kenksmingos programinės įrangos ir paskirstytų paslaugų trikdymo atakomis.

„Jų metu sutrikdomas tam tikrų paslaugų teikimas ar užšifruojami organizacijos duomenys ir reikalaujama išpirkos už jų atkūrimą. Nors labai daug kalbama apie socialinės inžinerijos atakas (angl. phishing), per kurias siunčiami apgaulingi laiškai ar žinutės, siekiant išvilioti prisijungimo duomenis, jos vis dar pasitelkiamos organizacijų veiklai trikdyti: vien 2022 m. Lietuvoje buvo užregistruota 1 005 tokios atakos“, – įžvalgomis dalijasi Justinas Jurkonis, startuolio „TrustGuru“, padedančio valdyti TIS2 direktyvos atitiktį, bendrakūrėjis.

Eksperto teigimu, dažniausios priežastys, lemiančios sėkmingas kibernetines atakas, – kibernetinio saugumo higienos trūkumas.

„Daugelyje Lietuvos organizacijų nėra efektyvių svarbiausių kibernetinio saugumo procesų, priemonių ir juos įgyvendinančių atsakingų asmenų. Bet kurios įmonės kibernetinio saugumo higiena prasideda nuo IT ir kibernetinio saugumo valdymo procesų sukūrimo, jų laikymosi ir darbuotojų apmokymo“, – pasakoja J. Jurkonis.

Pasak jo, higiena prasideda nuo tinkamo slaptažodžių laikymo ir saugojimo, saugios nuotolinės prieigos ir viešųjų tinklų naudojimosi, nešiojamųjų įrenginių laikmenų šifravimo – tai tik keletas paprastų pavyzdžių, kurie padeda apsisaugoti nuo dažniausiai pasitaikančių kibernetinių atakų.

Nuostoliai dideli

Kaip vieną didžiausių pastarojo meto kibernetinių atakų J. Jurkonis išskiria 2024 m. įvykdytą kibernetinę ataką prieš „Ignitis ON“ elektromobilių įkrovimo stotelių platformą.

„Jos metu nutekėjo daugiau kaip 20 tūkst. klientų duomenų. Nors tikslus atakos pobūdis nebuvo aiškiai nustatytas, tai pabrėžė debesijos sprendimų saugumo svarbą. Šis incidentas galėjo turėti tiek tiesioginės finansinės žalos, tiek ilgalaikį reputacinį poveikį organizacijai. Ne ką mažiau įdomus Užimtumo tarnybos (UžT) atvejis, kai dėl žmogiškosios klaidos buvo netyčia nutekinti jautrūs 30 tūkst. klientų duomenys. UžT buvo skirta 9 tūkst. eurų bauda, tačiau reali žala buvo didesnė dėl nutekėjusių duomenų ir galimo reputacinio poveikio“, – vardija startuolio „TrustGuru“ bendrakūrėjis.

Įmonės turės atlikti kibernetinio saugumo rizikos vertinimus ir įdiegti rizikos mažinimo priemones.

„Nuolatos kiekvienam – nuo vadovo iki darbuotojo ar jos šeimos narių – reikia priminti, kaip susikurti stiprius ir unikalius slaptažodžius, atpažinti socialinės inžinerijos atakas, apsaugoti savo naudojamus įrenginius ir paskyras įvairiose programose keliais patvirtinimo žingsniais (kodais ir kt.), kurti atsargines duomenų kopijas“, – pirmuosius žingsnius, kurie gali padėti apsisaugoti, vardija J. Jurkonis ir akcentuoja dar praėjusiais metais įsigaliojusios ES Tinklų ir informacinių sistemų (TIS2) direktyvos svarbą.

Nauja direktyva

Įsigaliojus TIS2 direktyvai, šių metų pavasarį daugiau kaip 1 tūkst. šalies įmonių pateko į įmonių ir organizacijų, turinčių laikytis šios direktyvos, sąrašą. Joms direktyva nustato griežtesnius kibernetinio saugumo reikalavimus, skirtus įmonių ir organizacijų informacinėms sistemoms nuo kibernetinių grėsmių apsaugoti.

„Įmonės turės atlikti kibernetinio saugumo rizikos vertinimus ir įdiegti rizikos mažinimo priemones, jas pradėti taikyti per dvylika mėnesių nuo reikalavimų įsigaliojimo. Tinkamai neįgyvendinus pokyčių, baudos didelėms įmonėms gali siekti iki 10 mln. eurų, arba 2 proc. metinės pasaulinės apyvartos, o vidutinėms ar mažesnėms įmonėms – proporcingos jų veiklos mastui, bet vis tiek reikšmingos“, – sako J. Jurkonis.

Pasak jo, Nacionalinio kibernetinio saugumo centro atnaujintame šių įmonių registre – jau 1 443 organizacijos iš aštuoniolikos sektorių, nors realus subjektų skaičius kartais didesnis, nes griežtesnių kibernetinio saugumo reikalavimų turės laikytis ir šių įmonių tiekimo grandinės dalis.

Nuo ko pradėti?

„Atlikti vadinamąsias GAP (atitikties atotrūkio) analizes, tvarkyti savo vidinius teisės aktus, apgalvoti, kiek ir kokių techninių ar žmogiškųjų išteklių reikės, kad TIS2 būtų įgyvendinama tinkamai. Ypač svarbu, kad už netinkamą direktyvos įgyvendinimą atsakomybė bus taikoma įmonių vadovams – jie galės būti ne tik finansiškai baudžiami, bet ir nušalinami nuo vadovavimo, įmonių veikla galės būti stabdoma“, – sako J. Jurkonis.

Jis teigia pastebintis, kad direktyvos taikymas nemažai daliai verslų išties taps nemenka našta, daugiausia susijusia su žmogiškųjų, finansinių ir techninių išteklių trūkumu.

„Direktyvos atitikčiai reikės papildomų žmonių, mat kiekviena TIS2 atitikti turinti įmonė privalo paskirti kibernetinės saugos pareigūną ar samdomų ekspertų, kurie patartų, kaip direktyvą taikyti, prižiūrėtų jos taikymą. Šią užduotį gali palengvinti inovatyvių technologinių sprendimų naudojimas – vieną tokių sukūrėme ir mes, įvairių kompetencijų ekspertų komanda. Įrankis padeda savarankiškai kontroliuoti savo kibernetinės saugos sritį ir sumažinti išorės ekspertų poreikį.

Svarbu žinoti, kad Krašto apsaugos ministerija planuoja išleisti nemokamai prieinamas TIS2 reikalavimus atitinkančias tvarkas, kurių šablonus „TrustGuru“ esame paruošę ir mes – užpildžius įmonės informaciją ir atsakius į platformoje pateiktus klausimynus, sistema automatiškai sugeneruoja reikiamas tvarkas“, – apie verslams lengvai prieinamus nieko nekainuojančius sprendimus pasakoja startuolio bendrakūrėjis.