Kibernetinės atakos – rizika ne tik reputacijai

2022-10-12
 

Į internetinę erdvę keliantis vis daugiau gyvenimo sričių, vienu aktualiausiu klausimu tampa ir kibernetinis saugumas. Įvykus kibernetinei atakai ne tik paralyžiuojama įstaigos ar organizacijos veikla, prarandami intelektiniai ir asmeniniai duomenys, bet ir suduodamas stiprus smūgis reputacijai. Krizės valdymas pareikalauja gerokai didesnių išlaidų nei investicijos į duomenų saugumą, tačiau verslas ne visuomet tinkamai įvertina kibernetines grėsmes.

Lietuvos statistikos departamento skelbiami duomenys rodo, kad kuo mažesnė įmonė, tuo mažiau dėmesio ji skiria saugumo sistemoms internetinėje erdvėje diegti. Pavyzdžiui, šiemet visas tyrime įvardytas saugumo priemones 100 proc. naudojusios 250 ir daugiau darbuotojų turinčios įmonės. Tačiau 50–249 darbuotojus turinčiųjų grupėje šis skaičius siekė 96,4 proc. O mažiausių įmonių, turinčių 10–49 darbuotojus, grupėje visas tirtas saugumo priemones internete naudojo 85,9 proc.

Statistikos departamento skaičiavimais, 2021 m. 16 proc. įmonių yra turėjusios problemų dėl e. saugos incidentų. Didžiosios įmonės kibernetinių atakų patiria gerokai dažniau – 32,9 proc. Tarp vidutinių įmonių tokių būta 22,8 proc., tarp smulkiųjų – 13,9 proc. Nors draudimo bendrovės siūlo apdrausti verslą nuo e. saugos incidentų, tik 5,2 proc. visų įmonių turi tokį draudimą.

Komentaras

Ekonomikos kraujas

Pasaulyje kas 11 sekundžių prieš vieną ar kitą organizaciją yra įvykdomas išpuolis naudojant išpirkos reikalavimo programinę įrangą, o pasaulinės metinės su kibernetiniais nusikaltimais susijusios išlaidos 2021 m. pasiekė 5,5 trln. EUR (Jungtinio tyrimų centro ataskaita „Cybersecurity – Our Digital Anchor, a European perspective“).

Kaip teigė Lietuvos statistikos departamento Duomenų apsaugos skyriaus Informacinių technologijų ir ryšių saugumo specialistas Valerij Žavoronok, departamentas, saugojantis daugybę valstybės duomenų, taip pat yra patyręs kibernetinių atakų. „Šią vasarą, kaip ir daugelį valstybės institucijų, mus paveikė „atkirtimo“ nuo paslaugos atakos (DDOS). Pastarasis incidentas dar kartą parodė kolektyvinės apsaugos ir koordinuoto darbo svarbą“, – teigė V. Žavoronok.

Dauguma Lietuvos statistikos departamento duomenų yra mikroduomenys, iš kurių ruošiamas statistinis produktas. Todėl kibernetinis saugumas remiasi CIA triada (Confidentiality, Integrity and Availability) arba konfidencialumo, vientisumo ir prieinamumo išsaugojimu.

Smūgis reputacijai

Sakoma, vieni jau patyrė programišių atakų, kiti dar apie tai nežino. Kibernetinio saugumo specialistas, Vilniaus universiteto Kauno fakulteto dekanas, doc. dr. Kęstutis Driaunys pastebi, kad galima rasti ir labai gerų pavyzdžių, kaip reikia rūpintis e. saugumu organizacijoje, ir labai blogų. Lietuvoje jau ne kartą buvę skandalingų istorijų, kuomet pavogti ir nutekinti asmeniniai klientų duomenys ar net reikalaujama išpirkos už pavogtą informaciją. „Verslas saugumu elektroninėje erdvėje rūpinasi tiek, kiek sugeba. Visi tie skandalai, kai buvo pavogti asmeniniai klientų duomenys, parodė, kad nesirūpinimas saugumu gali ne tik pažeisti darbuotojų, verslo partnerių ar klientų privatumą, bet ir stipriai atsiliepti organizacijos reputacijai“, – sakė K. Driaunys.

Kodėl vis dar atsainiai žiūrima į e. saugumą, pasak kibernetinio saugumo specialisto, priežasčių gali būti įvairių. Prieš dvejus metus „Kurk Lietuvai“ atliktas „Smulkiojo ir vidutinio verslo įmonių kibernetinio saugumo sąmoningumo didinimo“ tyrimas atskleidė, kad daugiau kaip pusė visų apklaustų įmonių tinkamai neįvertina grėsmės tapti kibernetinių atakų aukomis. Dažnai net nesuprantama skaitmeninio turinio vertė ir tai, kad prarasti duomenys gali sukelti didelių neigiamų pasekmių jų verslui. „Labai dažnai manoma, kad įsilaužus į internetinę svetainę pakaks tik investuoti į jos atkūrimą. Tačiau didžiausia kibernetinių atakų grėsmė – pavogti darbuotojų, partnerių ir klientų duomenys. Atsiranda prielaidos juos šantažuoti ar reketuoti“, – pasakojo pašnekovas.

Dar viena priežastis – kompetencijų trūkumas, apsaugos priemonių kompleksiškumo nebuvimas ir kaina. „Kibernetiniam saugumui reikalingas visas kompleksas priemonių. Neužtenka įsigyti tik antivirusinės programos ir ugniasienės. Dažnai galima matyti reklamas, siūlančias įsigyti vieną ar kitą apsaugos internete įrankį, kuris turi apsaugoti nuo internetinių įsilaužėlių. Tačiau vienkartinė, atsitiktinė investicija į tam tikrą įrankį situacijos nekeičia, netgi, sakyčiau, pablogina. Kad iš tiesų organizacijoje keistųsi kibernetinio saugumo būklė reikia tarpusavyje derinti technologijas, personalo kompetencijas ir organizacijoje vykstančius verslo procesus, – pastebi K. Driaunys.

Kibernetinių išpuolių tik daugės

Yra ir psichologinė šio reiškinio pusė. Pasak kibernetinio saugumo specialisto, dažnai investicijos į organizacijos e. saugumą neduoda tiesiogiai matomos pridėtinės vertės. Tarsi investuojama į tai, kas gali ir neįvykti. Be to, pertvarkius organizacijos procesus ir įdiegus apsaugos priemones visada susiduriama su darbo įpročių pasikeitimu. „Darbuotojai ima skųstis, kad negali kažko padaryti, nebėra taip patogu dirbti, reikia laikytis tam tikrų taisyklių ir tvarkų, atsiranda diskomfortas. Tarsi su saugos sistemų įdiegimu gaunama tik papildomų problemų“, – pastebėjimais dalijasi K. Driaunys.

Pašnekovo teigimu, visiems reiktų suvokti, kad kibernetinis saugumas nėra tik organizacijos vidinis rūpestis. Programišiams įsilaužus į sistemas, pasekmes jaus gerokai platesnis ratas toje aplinkoje veikiančių struktūrų. O kai kuriais atvejais gali kelti grėsmę ir nacionaliniam saugumui. Žvelgiant į ateitį, anot akademiko, tiek gyventojų, tiek ir verslo kibernetinis raštingumas augs, tobulės apsaugos priemonės. Tačiau programišių atakos taps sudėtingesnės, rafinuotesnės ir brangesnės. „Kalbant apie ateitį, didės ir asmenų, ir verslo patiriami nuostoliai dėl kibernetinių atakų, bet augs ir investicijos į saugumo priemones bei žmonių kompetencijas šioje srityje“, – sakė K. Driaunys.