Patarimai nuo ko pradėti tvarkyti savo įmonės kibernetinį saugumą?

Patarimai nuo ko pradėti tvarkyti savo įmonės kibernetinį saugumą?

Šiandiena ne apie biologinius virusus ir ne apie pastaruosius metus dažniausiai girdimą raidžių sąskambį COVID-19. Tema, kuri jaudina ne vieną įmonę ar jos kompiuterinės įrangos naudotojus – kaip galima apsisaugoti nuo virusų ar kitų kibernetinių pavojų.

Įsivaizduokime – Jūsų įmonėje įtariama, kad kažkurioje kompiuterinėje darbo vietoje, atsirado virusas arba kita kenkėjiška programa. Kodėl? Kas tai padarė? Ir kas dabar bus?

Kodėl?

Asmenys, kurie kuria ir rašo kenkėjiškas programas supranta, kad jei jų „kūrinys“ bus aptiktas anksčiau laiko, tai įsilaužimo rezultatas bus nulinis. O kaip žinome, niekas nemėgsta, kai norimas tikslas yra nepasiekiamas. Todėl kenkėjiškų programų kūrėjai, dažniausiai stengiasi ir nori padaryti taip, kad jų programa šautų tiesiai į numatytą taikinį arba užčiuoptų/rastų silpnas saugumo grandis, vartotojus ar kitas saugumo spragas. Todėl, dažnu atveju, tokių programų pirminis tikslas nėra aiškus. O kodėl taip yra daroma, dažniausiai būna kelios priežastys: a) pasipelnymo tikslais; b) kažkieno užsakymu; c) atsitiktinai; d) todėl, kad kažkas paprasčiausiai tai gali padaryti. Vieno atsakymo nėra ir dažnu atveju atsakymas būna labai individualus.

Kas tai daro?

Nenoriu naudoti nuvalkioto žodžio hakeriai, nes dabartinėse realijose, tai gali padaryti praktiškai bet kas. Moksleivis, inspiruotas serialų ar filmų apie įsilaužėlius. Asmuo besimokantis vykdyti kibernetines atakas gerais ar nelabai gerais tikslais. Supykęs Jūsų darbuotojas. O gal, tai tiesiog atsitiktinė kibernetinių nusikaltėlių grupuotė ir jų masinė ataką. Kartais negalime atmesti ir tikslinės nusikaltėlių atakos galimybės, orientuotos konkrečiai prieš Jus ar Jūsų įmonę, pavyzdžiui konkurencinio pranašumo įsigijimo tikslais ar konkurentų užsakymu tiesiog sustabdyti Jūsų veiklą ir padaryti Jums nuostolių. Taip kad, kas tai daro ir kodėl tai daro – gali būti begalė variantų. Ir kalbant apie pati faktą, nėra svarbu, kas tai daro. Faktas lieka faktu, kad norint išsaugoti savo turtą, privatumą ar gal kitas paslaptis – reikia saugotis.

Ir kas dabar bus?

Iškarto užbėgant įvykiams už akių, pasakau, kad jei nuo šiandienos nepradėsite rūpintis savo kibernetinio saugumo higiena, tai su didele tikimybę – ateityje jums bus, tai padaryti daug sudėtingiau. Todėl, toliau straipsnyje, noriu Jūs šiek tiek supažindinti, su dažnai sutinkamais kibernetinio saugumo ir incidentų valdymo ypatumais ir situacijomis mažose, o kartais ir ne tik, įmonėse/įstaigose.

Nenoriu kurti iliuzijų, kad toliau rasite „sidabrinę kulką“ ir/ar vieną teisingiausią kelią, kurį pasirinkę pašalinsite savo saugumo problemas ir spragas. Deja, tokio vieno atsakymo nėra ir yra klausimas, kuris sprendžiamas kompleksiškai. Bet tikiu, kad įmonėms ir jose esantiems žmonėms, norintiems suprasti saugumo problematiką, šis straipsnis galės padėti įgyti bendrą suvokimą ir augimo kryptį, siekiant suvaldyti tamsiąsias kibernetines jėgas. Kas žino, gal jums tik šio pirmo žingsnio ir trūksta norit susitvarkyti savo IT ūkį.

Nuo ko pradėti?

Jau kaip supratote, taip ir čia – vienareikšmio atsakymo, deja nėra. Viskas priklauso nuo to ką esate jau prevenciškai padarę dėl saugumo savo įmonėje. Ar jau pradėjote edukuoti savo darbuotojus saugumo klausimais, ar esate įsidiegę saugumo sprendimus, ar stebite galimas saugumo trikdžių anomalijas savo tinkle, ar naudojatės industrijoje rekomenduotinomis gerosiomis praktikomis ir standartais?

Labiau pažengusios arba įmonės jau patyrusios kibernetinių nusikaltėlių įtaką ir supratusios potencialių nuostolių rizikas, anksčiau ar vėliau vis vien pradeda rūpintinis savo saugumu. Jungiasi prie kibernetinių incidentų stebėjimo centrų, diegia saugumo politikas viduje, valdo prieigos teises prie resursų, apsirašo procesus, pradeda vertinti procesų automatizavimo naudas ir pan. Įmonės, kurioms kibernetinis saugumas yra ne tušti žodžiai ir jaučia poreikį, ne retai diegia įvairius saugumo sprendimus vadovaudamiesi populiariomis saugumo metodologijomis, pvz.: ISO 27003.2017 ir pan. Tai yra ne vien tik gera praktika, bet tai yra ir papildomos vertės Jūsų verslui kūrimas – konkurencinis pranašumas.

Įmonės, kurios nėra linkusios diegtis rimtus saugumo sprendimus, dažnu atveju prisiima sąmoningai arba nesąmojingai potencialias rizikas. Labai dažnu atveju, iš patirties, įmonės tai daro dėl nežinojimo.  Liūdna, bet namų vartotojai, smulkios ir mažos, kartais ir vidutinės įmonės, dar rečiau susimąsto apie potencialius kenkėjus ir kylančius kibernetinius pavojus. Esu linkęs sutapatinti namų vartotojus su smulkiomis ir mažomis įmonėmis, nes dažnu atveju jų techniniai sprendimai yra labai panašūs ir tolygaus saugumo lygio – žemo.

Todėl, kiekvienos įmonės pirminis laiptelis link saugios IT aplinkos yra skirtingas, nes kiekviena įmonė yra skirtingoje vystymosi stadijoje.

Pasiūlymas paprastas – pirmiausia išsiaiškinkite savo IT saugumo išsivystymo lygį – atlikite IT auditą, bent jau paprastą. Pabandykite suprasti, kuriose mazguose yra problemos. Toliau pabandykite suprasti arba apibrėžti saugumo lygį, kurio norėtumėte pasiekti ir atitinkamai darykite, įdiegtie sprendimus. Jei neturite patys tokios kompetencijos viduje, susiraskite išorėje.

Dažni atvejai – iš patirties

Norėčiau aprašyti tiesiog vieną, tikrai dažnai pasitaikanti scenarijų, kai tipinėje mažoje įmonėje, iki 15 kompiuterinių darbo vietų, niekas dorai nesirūpina saugumu.

Situacija: kompiuterinis tinklas su minimaliais saugumo nustatymais, kompiuterių operacinės sistemos su administratorių teises turinčiais vartotojais, nes taip patogiau, nemokamos antivirusinės programos, ugniasienių nustatymai yra išjungiami, nes įjungus neveikia iš torrentų atsiųstos programos, programų atnaujinimai irgi yra išjungiami, nes jie trukdo darbui, naudojama piratinė programinė įranga, įmonės duomenys saugomi NAS įrenginyje be jokių prieigos teisių apribojimų, VPN prieigos yra padarytos prie NAS ir niekas neprižiūri prieigos suteikimo proceso, paklausus įmonės vadovo kas atsakingas už IT ūkį ir jo priežiūrą, nurodo į administratorę. Ir dar daug kitų panašių situacijų. Gal šie išvardinti dalykai negąsdina ir nieko nesako paprastam vartotojui, bet IT žmogui, kuris atsakingai žiūri į savo darbą ir IT ūkio saugumą, tiesiog varo į neviltį. Kartais įmonės vadovo ar įmonės darbuotojų naivumas stebina, kai jie pradeda kalbėti apie savo įmonės saugumą, rimtu veidu, sakydami, kad viskas yra tvarkoje ir viskas yra saugu. Ir po to, staiga, kaip iš niekur, pastebimos problemos – pradėjo stabdyti kompiuteris, nesisiunčia laiškai, dingo duomenys, netyčia kažkas ištrynė svarbų dokumentą, ar pastebėjo kad kažkas neaiškaus vyksta kompiuteryje, ar pradėjo neatsidarinėti kažkokios programos ir dar begalė keistų dalykų. Atsiranda klausimas – o ką dabar daryti?

Įmonės atstovai, pradeda ieškoti pagalbos išorėje, per pažystamus ar skelbimus. Suranda specialistą, kuris tiesiog ateina ir sutvarko konkrečios kompiuterinės darbo vietos problemą. Suranda kenkėjišką programą, ne retai ir kelias, atnaujina programinę įrangą, pašalina „nulaužtas“ ar atviro kodo programas skirtas pavyzdžiui youtube filmukų atsisiuntimui ar pdf dokumentų konvertavimui į word formatą ir tuo darbas pasibaigia (tikiuosi mano ironiją suprasite).

Taip, tikėtina inžinierius išvalo kompiuterinę darbo vietą ir atlieka savo darbą gerai. Bet jis pačios saugumo situacijos nepakeičia. Ateityje, kai darbuotojas, vėl sąmoningai ar nesąmoningai nuspręs kažką įdiegti kompiuteryje ar benaršant internete pasigaus neaiškų ką – situacija kartosis.

Sprendimas turėtų būti saugumo situacijos įmonėje keitimas, gerinimas ir deja to paprastas kompiuterinis inžinierius nepadarys. Tai nėra vien tik kompiuterio išvalymas, tai yra bendrai saugumo taisyklių ir procesų paruošimas, diegimas ir jų laikymasis su atitinkamais valdymo organais ir aiškiomis atsakomybės ribomis. Taip – tai reikalauja resursų ir nemažai pastabų.

Paprasta, bet neprasta, žinutė

Turi būti imamasi kompleksinių saugumo sprendimų, ne vien tik atsitiktinių incidentų sprendimo.

Dažnas įmonės vadovas pasakys, kad jam neapsimoka samdyti IT saugumo specialistą ir/ar IT vadovą, kuris būtų atsakingas už kibernetinį saugumą. Ir šis vadovas bus visiškai teisus. Išeitis šioje situacijoje yra, tai trečiosios šalys, kurios galėtų padėti susitvarkyti IT ūkio saugumą iki tam tikro lygio ir jį prižiūrėti. Toks sprendimas turi teisę gyventi, nes leidžia išvengti nemažai išlaidų, ypač kai kalba eina apie mažas įmones, kuriose atvirai sakant IT žmonės dažniausiai neturi ką veikti, ypač pilną darbo dieną.

Noriu atkreipti dėmesį dar į du punktus.

Pirmas punktas renkantis šios paslaugos tiekėją – reikia atkreipti dėmesį ar tiekėjas ne vien tik turi kompetencijos, patirties, bet ir noro. Nes labai dažnai būna situacijų, kad įmonės neturinčios savo kvalifikuotų IT darbuotojų – neturi ir reikiamų saugumo kompetencijų, net teisingai suformuluoti turimų problemų. Todėl trečioji šalis, turi turėti noro pati skirti laiko ir išsiaiškinti tikrą situaciją ir problematiką.

Ir antrą, į palaikymą, kuris manau yra reikalingas, nes pats kibernetinio saugumo priežiūros procesas yra tęstinis ir reikalaujantis dėmesio. Elementariai darbuotojai turi turėti galimybę ateityje gauti kompetentingą informaciją ar patarimą, kaip elgtis vienoje ar kitoje situacijoje. Geriausia, kai patarimas yra ne bendrinio pobūdžio, o individualiai orientuotas į konkrečią įmonę. Taip pat turi būti vykdomas tęstinis darbuotojų edukavimo procesas apie potencialias kibernetines grėsmes.

Neretai sprendžiant saugumo klausimus, tenka siūlyti ir vykdyti nepopuliarius sprendimus.

Pasitaiko atvejai, kai žmonėms naujovės labai nepatinka, ir jiems atrodo, kad jos trukdo dirbti. Bet, galiu pasakyti tiek – kad šiuos pokyčius daryti yra vienareikšmiškai verta, nors ir nepatinka.

Palinkėjimas – nesirkite virusais 🙂