– Kas yra informacijos duomenų saugumo analitikas ir ką jis veikia darbe?
– Informacijos saugumo analitikas (angl. Information Security Analyst) – tai specialistas, užtikrinantis, kad duomenys, esantys įstaigos ar įmonės žinioje, nebūtų pasiekiami tam teisės neturinčių žmonių, tie duomenys nebūtų sugadinami, pakeičiami ar kitaip paveikiami tiek duomenų saugyklose, tiek duomenis perduodant įvairiais kanalais.
Tinklo sauga (saugus kompiuterių tinklo konfigūravimas ir priežiūra) bei kibernetinė sauga (nusikaltimų virtualioje erdvėje prevencija bei reagavimas jiems įvykus) yra dvi gerai žinomos ir svarbios sudėtinės dalys, kurios įeina į informacijos saugumo analitiko atsakomybes, tačiau taip pat, informacijos saugumo analitikas žiūri ir dar plačiau. Pavyzdžiui, užtikrina technines ir fizines priemones „švaraus stalo“ politikai, konfidencialių spausdintų dokumentų utilizavimui, rengia periodinius personalo mokymus ar atestacijas duomenų saugumo bei kibernetinių nusikaltimų temomis.
Informacijos saugumo analitikas paprastai priklauso įmonės ar įstaigos IT skyriui, kur darbuojasi su kitais panašaus profilio specialistais. Didelėse įmonėse gali būti daugiau nei vienas informacijos saugumo analitikas, kiekvienas gali turėti tam tikrą specializaciją, ir ,kai tai yra logiška, sudaro atskirą departamentą, kurį valdo Chief Information Officer (CIO) arba Chief Information Security Officer (CISO).
– Kodėl šių specialistų poreikis taip staigiai išaugo ir kokius uždavinius jiems tenka išspręsti kasdieniame darbe?
– Įsivaizduokime keletą scenarijų: a) piktas darbuotojas, prieš išeidamas iš darbo gamykloje, neleistinai nusikopijuoja gamybos brėžinius, kaštų skaičiuokles, didžiausių klientų kontaktinius duomenis; b) iš vieno įmonės kompiuterio, apkrėsto virusu, užkratas („ransomware“) išplinta ir užšifruoja visus vidinius dokumentus be galimybės atstatyti; c) per klaidą, visi klientų duomenys kelias paras buvo viešai prieinami debesijos paslaugoje, ir po savaitgalio sužinojote, kad šie duomenys jau platinami užsienio hakerių forumuose.
– Tačiau jei organizacija rimtai žiūri į informacijos, duomenų apsaugą, gal šių specialistų ir nė nereikia samdyti? Kada verslui yra verta investuoti ir susimąstyti apie pastovios duomenų apsaugos analitiko darbo vietos steigimą?
– Turbūt jau pastebėjote, kad straipsnių apie duomenų saugos pažeidimus ir kibernetinius nusikaltimus viešojoje erdvėje vis daugėja, ir jų antraštės panašios į „Facebook patyrė 533 milijonų vartotojų duomenų vagystę – didžiausią įmonės istorijoje“. Tokios antraštės labai greitai gali virsti į „... didžiausią duomenų vagystę iki šiol“. 2020 metais, lyginant su 2019, pavogtų duomenų kiekis padidėjo apie 50 procentų. Duomenų saugos analitikai prognozuoja, kad ir šiemet didės tiek incidentų skaičius, tiek pavogtų duomenų mastai, tiek finansiniai ištekliai, skiriami likviduoti padarinius. Būtina suvokti, kad informacijos ir kibernetinės saugos problemos niekur nedings ir su jomis teks susigyventi, akivaizdu, kad verslui svarbu atkreipti į tai dėmesį ir planuoti investicijas.
– Kiek per metus įmonei yra verta investuoti į duomenų apsaugą?
– Tikslių gairių, kiek lėšų verslas šiandien turėtų skirti informacijos saugai, nėra. Tačiau įvairūs tyrimai rodo, kad dažniausiai svyruojama tarp 3 proc. viso IT biudžeto mažesnėse įmonėse, ir iki 10 proc. ar net daugiau sektoriuose, kurie yra labai jautrūs duomenų apsaugai ir konfidencialumui, pavyzdžiui, finansai, sveikatos apsauga.
Mažesnės įmonės, kurių kasdienė veikla nėra vien tik virtuali, šią sumą galėtų panaudoti kibernetinio saugumo mokymams, sertifikavimui, konsultantams, o didesnėse įmonėse reikėtų svarstyti apie pastovios darbo vietos steigimą bei šias funkcijas palengvinančios programinės įrangos ar debesijos paslaugų pirkimą. „Devbridge“ komandos dirba su Šiaurės Amerikos bei Europos korporacijomis, taigi kone kasdien susiduriame su šių įmonių politika, taisyklėmis bei specialistais, kurie rūpinasi informacijos sauga. Todėl galime drąsiai teigti, kad Lietuvos įmonėms tikrai yra kur tobulėti.
– Paprastai, tik rimti incidentai priverčia į duomenų apsaugą pažvelgti rimtai, tačiau ką daryti, kad tai taptų normalia įmonių praktika?
– Požiūrio į duomenų apsaugos praktiką pokyčiui yra svarbus švietimas bei mokymai. Bet kokie mokymai, susiję su konfidencialumu, duomenų apsauga ir saugiu internetu, yra geriau, nei visiškai jokių: jau keletą metų įmonės, tvarkančios klientų duomenis pagal Bendrąjį duomenų apsaugos reglamentą, gali konsultuotis dėl BDAR reikalavimų, Nacionalinis kibernetinio saugumo centras vykdo valstybės tarnybos ir savivaldų darbuotojų mokymus.
– Per pandemiją visame pasaulyje išaugęs kenkėjiškų atakų bei incidentų skaičius galbūt jau suformavo šiek tiek brandesnį verslo požiūrį į duomenų apsaugą?
– Lietuvos verslo požiūris į duomenų ir informacijos apsaugą, greičiausiai, keisis priklausomai nuo to, kokia baigtis laukia jau įvykusių incidentų, kurių 2021 metais turėjome ne vieną – pavėžėjimo paslaugos teikėjo, pažinčių portalo, kompiuterinės ir buitinės technikos pardavėjo, lažybų svetainės, Užsienio reikalų ministerijos. Iki šiol matome, kad jokio atgarsio dėl versle patirtų incidentų nėra, vykdomi tyrimai vėluoja, ministerijos duomenų nutekinimai yra su žyma „slapta“ ir komentarų sulaukti yra sunku. Kita vertus, užsienyje tokie incidentai įvertinami daug griežčiau, o viešai veikiančios įmonės gana atvirai komunikuoja, kokio lygio pažeidimas įvyko, kokie duomenys buvo pasisavinti, kaip užtikrinti, kad incidentas nepasikartotų. Tikiu, kad pamažu gerosios praktikos pasieks ir mūsų šalį.
