Tai, kad fizinis saugumas yra svarbus, žmonėms įkalta su kuoka, tačiau tokio pat atsakingo požiūrio kibernetikoje sulauksime dar negreitai, mano bendrovės „TeraSky Baltic“ Kibernetinio saugumo paslaugų ir operacijų vadovas Giedrius Meškauskas. IQ apžvalgininkui Gyčiui Kapsevičiui jis pasakojo apie kibernetinio saugumo padėtį šalyje ir atskleidė, kodėl šią sritį verslas dažnai linkęs pamiršti.
– Kiek dažnos yra kibernetinės atakos mūsų šalyje?
– Nacionalinio kibernetinio saugumo centro (NKSC) atstovai teigia per metus registruojantys apie 50 tūkst. incidentų. Aš manau, kad jie mato tik ledkalnio viršūnę.
Vienais atvejais su atakomis susidūrusios organizacijos jų nemato, todėl negali apie tai pranešti arba nuspręsti, kad tai buvo kibernetinė ataka, o ne gedimas. Kartais organizacijos vengia pranešti apie pastebėtas atakas, siekdamos išsaugoti reputaciją. Ne visomis atakomis siekiama pažeisti duomenis ar sutrikdyti veiklą, būna ir kitų tikslų. Todėl matome tik tai, kas akivaizdu.
– Kokia pagrindinė motyvacija įsilaužėliams vogti verslo duomenis ir trikdyti veiklą?
– Įvairi. Tai gali būti pinigai. Kitaip tariant, už įsilaužimą ar ataką gaunamas atlygis. Užsakyti ataką galima dėl įvairių priežasčių: tai kerštas, konkurencija, noras gauti informacijos. Net iššūkis gali tapti priežastimi atakuoti.
Pavyzdžiui, jei viešai pareiškiate, kad esate saugūs ir jums niekas nebaisu. Galite net atlikti eksperimentą ir paskelbti tokią žinutę – neabejoju, kad po pusvalandžio jau būsite atakuojami. Taigi, ambicijos gali būti atakų variklis. Politiniai motyvai irgi.
– Ar galima sakyti, kad situacija kibernetinio saugumo srityje gerėja?
– Lietuvoje padėtis gerėja, bet labai lėtai. Įmonės, kurios tiesiogiai nepatyrė akivaizdžių atakų, vis dar galvoja: kam man to reikia?
Lietuvos situacija paprastai pradeda gerėti, kai atsiranda reikalavimai. NKSC prieš keletą metų pristatė organizacinius ir techninius kibernetinio saugumo reikalavimus Valstybės informacinių išteklių arba ypatingos svarbos informacinės infrastruktūros valdytojams.
Privačiame sektoriuje padėtis nė kiek nepagerėjo. Man yra tekę susidurti su bendrovėmis, kurios patyrė šimtus tūkstančių eurų siekiančius nuostolius, bet viskas baigėsi maršrutizatoriaus slaptažodžio pakeitimu. Atrodo, jau nėra geresnės indikacijos ar įrodymo, kiek gali kainuoti ši rizika, bet vis tiek jai tinkamo dėmesio neskiriama.
– Bet ar tai nėra platesnė tendencija? Turiu omenyje, ar Lietuva šioje srityje kuo nors skiriasi nuo kitų Europos ar pasaulio šalių?
– Pirmiausia skiriamės teisine atsakomybe. Paimkime Vokietijos pavyzdį, kur teisinė bazė buvo tokia, kad dėl nelegalios programinės įrangos ar turinio, parsiųsto naudojantis atvira kavinės belaidžio tinklo prieiga, kavinė pagal nutylėjimą tapdavo atsakinga. Nesvarbu, tai padarė klientas ar praeivis. Todėl Vokietijoje gerokai mažiau atvirų prieigų nei kitose šalyse.
Jei Lietuvoje savo belaidžio interneto neapsaugai slaptažodžiu, tau netaikoma jokia atsakomybė. Vilniaus centre tokių tinklų tikrai bus bent keletas. Galima laisvai prisijungti, atlikti kenksmingus veiksmus ir atsijungti.
Lietuvoje nėra kibernetinio saugumo reikalavimų privatiems ar juridiniams asmenims. Todėl nėra jokio kito stimulo jam augti, išskyrus nuostolius, kuriuos patiriame ir kiek juos rimtai įvertiname. Jei mums grėstų 50 eurų bauda, savo interneto slaptažodžiais pasirūpintume visi.
Kai kurie dalykai mums yra natūralūs, pavyzdžiui, vadovai visuomet supras, kad fizinei saugai tikrai verta išleisti pinigų. Net nepastebime, kiek daug išleidžiame būtent šiai sričiai: kameros, tvoros, apsauginiai. Net jei niekas gyvenime nesilaužė į būstą, niekam nekyla klausimas, kodėl reikia spynos ir raktų. Kai kurie turi ne vieną, o du raktus – IT tai galėtume prilyginti dviejų veiksnių autentifikacijai. O ir pačių raktų nedalijame bet kam.
Tai, kad fizinis saugumas yra svarbus, išmokome dar nuo laikų, kai gyvenome urvuose. O kibernetinis saugumas egzistuoja varganus 20–30 metų. Patirtis „per kraują“ to geriausiai išmoko.
Švietimas yra būtinas. Nors savo organizacijoje negali užtikrinti saugumo tik šviesdamas, kaip negali užtikrinti kelių eismo saugumo tik perduodamas žinias mokykloje, be šviesoforų, kelio linijų ar kitų priemonių.
Tas pats ciklas sukasi visur, taip pat kibernetinės apsaugos srityje. Tu švieti žmones, kuri jiems įrankius, taisykles, nors klaidų ir atakų visada bus.
– Kas galėtų pakeisti situaciją?
– Šiandien verslui nėra reikalavimų įsidiegti tam tikrus kibernetinio saugumo sprendimus.
Pavyzdžiui, įsivaizduokime, kad jūs statote pastatą, tačiau jam nėra priešgaisrinių reikalavimų. Vadinasi, gesintuvų nereikia, davikliai irgi neįdomūs. Tačiau teisiniu reguliavimu pasirūpinta, kad pastatas būtų kiek įmanoma atsparus ugnies grėsmei, taip pat kad būtų įdiegti reikalingiausi saugumo sprendimai.
Kibernetinio saugumo srityje to nėra. Dabar tai tiesiog prioriteto klausimas – ar tau svarbu, ar ne.
Nėra rizikos, nėra tam ir pinigų. Tinkamai vertinant riziką, atsiranda ir jos vertė – tiek finansinė, tiek reputacijos. Tuomet nebekyla klausimas, kiek verta išleisti kibernetiniam saugumui stiprinti ir kaip tai daryti.
Dar pastebiu tendenciją, kad organizacijose, kurių vadovai yra organizacijos veiklos specialistai, kibernetinio saugumo sritis jų versle neegzistuoja. Logistikos bendrovėse, kurioms vadovauja buvę vairuotojai, dažniausiai viskas veikia gerai, bet IT padalinys yra prastas. Teisės kontoros vadovas – puikus teisininkas, pinigai plaukia, bet su IT bus liūdna.
Džiugu, kad bent Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimai privertė susimąstyti, kad ir kibernetinėje erdvėje esančios grėsmės gali atnešti nuostolių per asmens duomenų apsaugą. Nors BDAR nėra kibernetinio saugumo reglamentas, tai puikus pavyzdys, kaip teisinės priemonės padeda keisti padėtį.
– Ar į asmeninius vartotojus nukreiptos atakos padėtų atkreipti dėmesį į verslo problemas?
– Atsakyčiau, kad turbūt taip. Patirtis versle panaudojama asmeniniame gyvenime, ir atvirkščiai. Lygiai kaip darbuotojai, kurių organizacijos rūpinasi savo kibernetiniu saugumu, šviečia darbuotojus, kaip atpažinti grėsmes ir kaip saugiai elgtis kibernetinėje erdvėje, įgytas žinias jie panaudoja ir asmeniniame gyvenime. Situacija gal kiek kitokia kalbant apie patirtis asmeniniame gyvenime ir jų perkėlimą į organizaciją. Pirma, pavienis darbuotojas gal ir elgsis saugiau, bet tai nereiškia, kad visa organizacija taps saugesnė.
Antra, ne visada asmeniniai nuostoliai įvertinami taip, kaip tai apskaičiuotų organizacija. Sakykime, kenkiančiai programinei įrangai užšifravus asmeninį kompiuterį, asmuo prarado duomenis, bet veiklą atkurti užtruks, sakykime, dieną. Užšifravus organizacijos serverį viskas gali baigtis krize.
Tikiu, kad organizacijos patirtis ir veikla labiau nulemia darbuotojų elgseną privačioje gyvenimo dalyje nei atvirkščiai. Mes nieko nedarome šiaip sau ir visur ieškome naudos. Apsisaugojimas nuo nuostolio irgi yra nauda. Asmeniškai mes jautriau pajuntame, bet mums tai pigiau kainuoja, dažnai numanome, ką darėme blogai. Dėl nedidelio asmeninio nuostolio to nesusiejame su grėsmėmis darbe.
– Ar įmonių konkurencija kaip nors gali prisidėti prie saugumo didinimo?
– Po truputį, nors dar labai retai įmonės kibernetinės apsaugos veiklos vykdymą mato kaip savo žinomumo didinimą. Tos įmonės, kurios supranta, kad kibernetinis saugumas yra vertės dalis, rūpinasi juo taip pat kaip ir finansiniais rodikliais. Šiais laikais potencialiems investuotojams įdomu ne tik minėti finansiniai rodikliai ar rizikų valdymas, bet ir kaip tvarkomasi su kibernetiniu saugumu.
Tai gali būti ir komunikacija klientams – jūs sakote, mes ariam tam, kad jūsų duomenys būtų saugūs, nuolat tupime kibernetiniuose apkasuose, mūsų įranga kainuoja didžiulius pinigus. Klientų akimis, organizacijos, kurios rūpinasi savo kibernetiniu saugumu, atrodo kur kas patikimesnės, vertinant alternatyvas.
– Bet tiesioginės konkurencijos – tos, kuri įkvėptų varžytis viešojoje erdvėje – nėra?
– Paimkime bankus – kiek bankų turi kibernetinių saugumo problemų? Oficialiai nė vienas. Ta tema neegzistuoja ir jie apie tai nekalba, nes tai yra reputacijos klausimas. Aišku, kibernetinio saugumo veiklą jie vykdo, tik labai skirtingai.
Saugumas – toks dalykas, kuriuo negali girtis, bet kiti gali matyti ar jausti. Varžymasis viešojoje erdvėje – viešųjų ryšių specialistų kovos laukas. Ir kova jame išties nelengva, šnekant apie komunikaciją, susijusią su kibernetiniu saugumu, kuri pasitelkiama konkurenciniam pranašumui išreikšti. Giriantis reikia numatyti, kad ateis laikas, kai teks pranešti ir apie klaidas. Todėl organizacijoms kur kas lengviau savo kibernetinio saugumo brandą perteikti per savo paslaugas, produktus ar aptarnavimą. Klientai tai įvertina.
-----
G. Meškauskas
Kauno technologijos universitete įgijo strateginės lyderystės magistro laipsnį.
Nuo 2001 m. ėjo įvairias su IT susijusias pareigas tokiose įmonėse kaip „Telecentras“, „Hostex“, „Teo“, „Telia“.
Nuo 2019 m. dirba „TeraSky“ kibernetinio saugumo paslaugų ir operacijų vadovu.