Kibernetinio saugumo situaciją Lietuvoje G.Jasonas aptarė bei naudingais patarimais smulkiam ir vidutiniam verslui (SVV) pasidalino internetinių seminarų ciklo „Telia SVV gyvai“ laidoje.
Kibernetinis saugumas – tarsi draudimas
Pasak „Telia“ eksperto, kibernetinio saugumo srityje viena naujiena veja kitą, todėl snausti nėra kada – tai galioja ne tik stambioms įmonėms ar valstybės institucijoms, bet ir smulkiajam verslui, viešosioms įstaigoms, organizacijoms. „Įsilaužėlių, fišingo meistrų ar tiesiog kenkėjiškos programos taikiniu įmonė gali tapti ir visiškai atsitiktinai, todėl bent pirmi žingsniai, kibernetinio saugumo pradmenys, yra būtini visiems verslams, savo veikloje naudojantiems bent vieną kompiuterį ar telefoną, nesvarbu kokio jie dydžio ir kuo užsiima“, – sakė G.Jasonas.
Naujausiais Nacionalinio kibernetinio saugumo centro (NKSC) duomenimis, vien 2021 m. pirmąjį pusmetį Lietuvoje fiksuota 1780 kibernetinių incidentų. Kas antras jų buvo susijęs su verslu, dar 18 proc. įvyko valstybinėse institucijose.
Ir jei paslaugų trikdymo (DDoS) atakų ir mėginimų įsilaužti skaičiai sumažėjo atitinkamai 56 proc. ir 32 proc., tai sėkmingų įsilaužimų skaičius išaugo daugiau nei du kartus (129 proc.).
„Toks dramatiškas augimas kelia itin didelį nerimą, nes tai jau nėra mėginimai įsilaužti ar sutrikdyti veiką, bet faktiniai, įvykę įsilaužimai. Tai yra susiję su keliais svarbiais, naujais pažeidžiamumais, pavyzdžiui, vienas jų pernai metų pradžioje buvo aptiktas „Microsoft“ pašto sistemose“, – pastebėjo G.Jasonas.
Apmaudu, bet SVV atstovai į kibernetinį saugumą žiūri atsainiai. „Civitta“ ir „Telia“ prieš metus atliktas verslo bei valstybinių įstaigų tyrimas parodė, kad kas antrai apklaustai organizacijai apsauga nuo įsilaužimų ir kibernetinių atakų atrodo nereikalinga paslauga, o ji domintų tik 16–20 proc. apklaustųjų.
„Dažnai tenka girdėti, kad kibernetinio saugumo incidentai yra kažkas tolimo, nematyto, neaktualaus. Deja, taip nėra. Sauga ir užtikrinimas, kad tai neįvyktų, turėtų būti pagrindinis verslo tikslas“, – pabrėžė G.Jasonas.
Pirmi svarbūs žingsniai
Nuo ko pradėti SVV įmonėms, kurios iki šiol kibernetiniam saugumui dėmesio neskyrė? G.Jasonas ragina nieko nelaukiant, nors ir šiandien, atlikti pirmąjį veiksmą: susitvarkyti visų su verslu susijusių paskyrų slaptažodžius. Prisijungimai prie savitarnų, verslo valdymo, buhalterinių sistemų, galiausiai – kompiuterio slaptažodis ir telefono PIN kodas.
Susikurkite ilgus, sudėtingus slaptažodžius su raidėmis, skaičiais ir specialiais simboliais, taip pat pasirūpinkite, kad visi slaptažodžiai būtų skirtingi. Jei įmanoma, naudokite patvirtinimą dviem veiksmais.
Kitas SVV įmonėms aktualus klausimas – asmeninių ir verslo įrenginių bei duomenų atsiejimas. „Naudodamiesi tuo pačiu kompiuteriu ar telefonu ir darbo, ir asmeninėms reikmėms, riziką padidinate. Todėl rekomenduoju šiuos dalykus atskirti. Suprantu, kad tam gali prireikti laiko ir tai gali sukelti nepatogumų, tačiau verslo saugumas svarbesnis“, – teigė G.Jasonas.
Tam, kad kibernetinis saugumas įmonėje būtų ne deklaratyvus, o realus, į tai svarbu įtraukti žmones, kadangi jie yra labiausiai pažeidžiama ir jautriausia grandis. Kiekvienas darbuotojas turi žinoti taisykles ir jų laikytis, pvz., naudoti sudėtingus slaptažodžius, juos keisti, darbo reikmėms naudoti tik darbo įrankius, nesiųsti jautrių duomenų asmeniniu el. paštu ir pan.
Tuo tarpu vadovai turi pasirūpinti technologine dalimi: nuo saugios darbo vietos, iki vidinio tinklo ir debesijos paslaugų.
Atmintinė vadovams: nuo prieigų iki programų
SVV vadovams ir IT vadovams G.Jasonas parengė penkių punktų kibernetinio saugumo atmintinę, kurios rekomenduoja laikytis:
- Kriptografinių priemonių naudojimas. Šifruokite itin svarbius, verslui kertinius duomenis. Turėkite jų atsargines kopijas.
- Prieigų valdymas. Kiekvienam darbuotojui turi būti suteiktos tik tos teisės ir prieigos prie sistemų ar paslaugų, kurios yra būtinos jo darbui atlikti. Darbo reikmėms naudokite tik tokius įrankius, kuriuos galite pilnai kontroliuoti (pvz., nesusirašinėkite ir nesidalinkite darbo dokumentais „Facebook Messenger“ ar asmeniniu el. paštu).
- Slaptažodžių valdymas. Naudoti ilgus, sudėtingus slaptažodžius ir juos periodiškai keisti gali būti keblu, tačiau su šia užduotimi gali padėti susidoroti speciali programinė įranga – slaptažodžių tvarkyklės (angl. password manager). Rinkitės didžiuosius, mokamus ir patikimus sprendimus.
- Sistemų ir įrenginių konfigūracijų valdymas. Tai galioja ne tik serveriams, sistemoms, bet ir darbo vietoms – valdykite prieigas, duomenų dalinimąsi per debesiją ir kt.
- Programinės įrangos atnaujinimai. Pasirūpinkite, kad visur – nuo kompiuterių, telefonų, iki duomenų centrų, tinklų – būtų įdiegtos naujausios programinės įrangos versijos. Tai užkirs kelią „nulinės dienos“ pažeidžiamumams.
Sužinoti, kokia yra kibernetinio saugumo situacija jūsų įmonėje, gali padėti nauja „Telia“ paslauga – pažeidžiamumų skenavimas. Ji identifikuoja spragas – specialus algoritmas tikrina, kokių pažeidžiamumų įmonės naudojamoje įrangoje ir sistemose gali būti – bei pateikia ataskaitą, kurioje įvertinamas aptiktų spragų lygis, pateikiami pavyzdžiai, kaip jos gali būti išnaudotos, ir, jei įmanoma, ištaisymo būdai.
„IT specialistai mėgsta sakyti, kad absoliutaus saugumo nėra. Bet reikia nuolat link jo eiti. Todėl linkiu rinktis tik patikimą programinę įrangą ir paslaugų teikėjus“, – apibendrino G.Jasonas.
Visą „Telia SVV gyvai“ internetinio seminaro apie SVV kibernetinį saugumą įrašą galite pažiūrėti čia, o sužinoti daugiau apie „Telia SVV gyvai“ ir užsiregistruoti į kitus vebinarus galite paspaudę šią nuorodą. Artimiausias virtualus seminaras „Smulkaus verslo prekės ženklo pasirinkimas ir jo komunikacija“ vyks gegužės 26 dieną.