Asmeninis archyvasPramonės konkurencingumo rūpesčius sprendžianti Vokietija turi ir kitą stiprų galvos skausmą – kibernetinių nusikaltimų bangą. Naujausia patirtis rodo, kad verslas yra atakuojamas taip pat intensyviai, kaip ir kritinė šalies infrastruktūra. Puolamos ne tik didžiosios įmonės, bet ir smulkesni verslai. Tai patvirtina, kad nusikaltėliams nėra per mažų taikinių. Vadinasi, per mažos nėra ir Lietuvos įmonės.
Atakų taikinys – ekonomikos kūrėjai
Apie smarkiai išaugusį kibernetinių atakų skaičių skelbianti Vokietijos vidaus reikalų ministerija nurodo, jog išpuoliai tampa vis profesionalesni. Nusikaltėliai naudoja dirbtinį intelektą, kuria specialiai kibernetinėms atakoms skirtus DI agentus, kurie gali veikti savarankiškai, priimti sprendimus ir įveikti saugumo mechanizmus.
Vokiečių ekspertai siūlo keisti įstatymus ir pabrėžia, kad 2025 metais kibernetinių nusikaltimų ir atakų ekonominė žala sudarė 202 mlrd. eurų. Smarkiai plito kenkėjiškos išpirkos reikalaujančios programos, kai įsilaužėliai užrakina sistemas ir reikalauja pinigų. Daugėjo ir paslaugų trikdymo operacijų, atakų per užgrobtų įrenginių tinklus, kai išauga sistemų apkrovos.
2025 metais Lietuvoje per vieną mėnesį buvo užfiksuojama vidutiniškai apie 260 kibernetinių incidentų, rodo Nacionalinio kibernetinio saugumo centro (NKSC) duomenys. Naujausias SEB banko tyrimas atskleidžia, kad smulkaus ir vidutinio verslo įmonių atstovai atkreipia dėmesį į kibernetinių grėsmių sudėtingumą.
Ne vien IT specialistų iššūkis
Daugiau negu trečdalis (34 proc.) Lietuvoje apklaustų įmonių atstovų pripažįsta, jog kibernetinės grėsmės nuolat kinta ir tai yra viena svarbiausių rizikų jų verslo organizacijoms.
Kita rizika – sukčių atakos ir bandymai apgauti pasinaudojant vieša informacija apie organizaciją ir jos darbuotojus. Sukčiavimo riziką išskiria 28 proc. respondentų Lietuvoje. Apie tai įspėja Europos Sąjungos kibernetinio saugumo agentūra ENISA. Ji pažymi, jog DI įrankiai padeda nusikaltėliams greičiau rinkti informaciją, kurti apgaulės schemas ir vadinamojo „fišingo“ laiškus. Ne mažiau aktyvūs išlieka bandymai pavogti duomenis ar užšifruoti įmonių sistemas, siekiant išpirkos ar tiesiog bandymai sutrikdyti verslo veiklą.
Tiek Lietuvos, tiek Vokietijos ekspertai pripažįsta, kad grėsmes stipriai lemia dabartinė geopolitinė aplinka. Akivaizdu, jog kibernetinis saugumas šiandien yra ne vien technologinis, bet ir vadovų atsakomybės klausimas. Pripažįstant grėsmes, svarbu atsižvelgti į tris esminius žingsnius, nuo kurių priklauso organizacijos atsparumas.
Pirmas žingsnis – kurkite atvirą dialogą
Šiandien kibernetinis saugumas yra viena esminių verslo rizikų, todėl nuo bendro susitarimo dėl jo svarbos turėtų prasidėti saugumo kultūros stiprinimas organizacijoje. Pirmiausia reikia aiškiai pasidalyti atsakomybes už kibernetinio saugumo „higieną“ ir susitarti, kaip ji bus užtikrinama.
Šios „higienos normos“ nustatomos atsižvelgiant organizacijos rizikas ir įgyvendinamos diegiant konkrečias praktikas bei sistemas. Tam reikia nuolatinio vadovų ir kibernetinio saugumo specialistų dialogo. Vadovo atsakomybė – užtikrinti, kad šis dialogas vyktų nuosekliai ir nebūtų susiaurintas vien iki techninių klausimų.
Dažnai didelė kliūtis yra atotrūkis tarp techninės ir verslo kalbos. Jei pokalbiai su IT specialistais apsiriboja tik sistemų atnaujinimais ar ugniasienėmis, saugumas suprantamas per siaurai. Vadovas neturi tapti IT ekspertu. Jo vaidmuo – būti saugumo kultūros formuotoju ir rūpintis visų darbuotojų įsitraukimu. Grėsmių dinamika šiandien tokia intensyvi, kad kiekvieno darbuotojo atsparumas yra visos organizacijos atsparumas.
Antras žingsnis – sutelkite dėmesį į verslo tęstinumą
Išlaikyti dialogo kryptį padeda taiklūs klausimai. Vadovai turėtų kalbėti ne apie konkrečias priemones, bet apie galimą poveikį verslui. Pavyzdžiui, kokius nuostolius per valandą patirtų verslas, jeigu dėl kibernetinio incidento sustotų gamybos linija ar nebeveiktų e. parduotuvė. Tokia analizė leidžia kitu kampu pažvelgti į kibernetinį saugumą ir vienodai suvokti atsakomybės išraišką.
Suprantant ir apibrėžiant riziką, atsiveria galimybės tikslingiau paskirstyti biudžetą, kartu planuojant eilutes kitų rizikų (tiekimo grandinės sutrikimų, likvidumo, infliacijos, atitikties, teisinės atsakomybės ir t. t.) valdymui. Verta atsižvelgti į organizacijų, veikiančių kritiniuose – energetikos, transporto, sveikatos ar finansų – sektoriuose požiūrį. Kibernetinio saugumo įstatymo nuostatas aktyviai įgyvendinančios organizacijos kibernetinį saugumą vertina kur kas plačiau negu išlaidas IT infrastruktūrai.
Trečias žingsnis – testuokite ir sistemas, ir žmones
Įvairūs interaktyvūs testai ir pamokos yra naudingi, tačiau tikrąjį organizacijos atsparumą geriausiai atskleidžia pratybos ir kasdienė praktika. „Fišingo“ ir kitų apgaulės formų taikiniai pirmiausia yra ne IT skyriaus specialistai. Dažniausiai tai – finansų skyriaus darbuotojai ar patys verslo vadovai.
Taigi, darbuotojai gali būti atsakę į teorinių testų klausimus ir gavę priminimus apie kibernetines grėsmes, tačiau silpnąsias grandis ir tobulintinas vietas geriausiai atskleidžia realios pratybos.
Antai šiemet NKSC surengė socialinės inžinerijos pratybas, kurių metu išsiųsta 142 tūkst. įtartinų laiškų beveik 200 organizacijų. Apie grėsmes pranešė 6,15 proc. gavėjų – t. y. 6 iš 100 asmenų. Kitas rezultatas – 2 iš 100 darbuotojų, gavusių įtartinus laiškus, pateikė prisijungimo ar kitus jautrius duomenis. Daugiausia žmonių suklaidino laiškai, kuriuose buvo imituojama įprasta darbo el. pašto ir biuro programų aplinka.
Analizuojant panašių pratybų ir krizių simuliacijų metu priimtus sprendimus ir veiksmus, galima įvardyti, ką verta pagerinti jau dabar – patikslinti reagavimo tvarkas, perskirstyti atsakomybes, sustiprinti vidinę komunikaciją ar surengti tikslinius mokymus. Išryškėja ir ilgesnės perspektyvos poreikiai: kuriuos procesus būtina peržiūrėti iš esmės, kokias technologines spragas užpildyti ir kur reikės didesnių investicijų. Krizės simuliacija tampa praktiniu įrankiu, padedančiu pagrįstai susidėlioti prioritetus bei paskirstyti investicijas ten, kur jos sukurs didžiausią poveikį.
Kibernetinis saugumas – tarsi filtras
Net ir be incidentų patirties šiandien vis daugiau vadovų sutaria, kad kibernetinis saugumas turi būti bendros rizikų valdymo sistemos dalis. Žinoma, tai nereiškia, kad kitos rizikos turėtų likti nuošalyje.
Sėkminga integracija prasideda tada, kai kibernetinis saugumas tampa strategijos dalimi, o ne papildoma užduotimi. Taip saugumas tampa sprendimų vertinimo įrankiu ir savotišku filtru. Pavyzdžiui, IT skyrius atsakingas už įrankius ir priemones, o verslo savininkas – už rizikos tolerancijos lygį. Jeigu organizacija susitaria, kiek valandų prastovų gali sau leisti, IT investicijos turėtų padėti šio tikslo laikytis. Vadovas turi matyti investicijų grąžą – sumažintą riziką.
Eglė Dovbyšienė yra SEB banko valdybos narė ir Mažmeninės bankininkystės tarnybos vadovė
