Neleiskite terminui „vidutinės reikšmės incidentas“ jūsų suklaidinti: tai rimti atvejai, su kuriais susidūrusios įmonės patyrė labai didelių sunkumų. Pavyzdžiui, tūkstančio darbo vietų „nulaužimas“, įsilaužimai į duomenų bazes ar duomenų nutekinimai ir incidentai, kurių nuostoliai siekia nuo 250 iki 500 tūkst. eurų.
Taigi vien per pusmetį kibernetiniai nusikaltėliai sukėlė labai rimtų problemų mažiausiai 27 Lietuvos įmonėms. Dar bent 120 verslų susidūrė su nereikšmingo poveikio atakomis: pavyzdžiui, valandai buvo sutrikdytos jų informacinės sistemos, paveikta iki šimto paslaugos gavėjų ar darbo vietų, o nuostoliai siekė iki 250 tūkst. eurų.
Ir tai – tik oficialioji statistika, o realus įsilaužimų ir duomenų nutekėjimų atvejų skaičius versle tikrai yra bent kelis kartus didesnis.
Trys saugumo lygiai
Priklausomai nuo įmonės dydžio ir veiklos, vieni kibernetiniai incidentai gali turėti mažą įtaką, kiti – netgi labai skausmingų padarinių, pavyzdžiui, baudas už asmens duomenų nutekėjimą, jau nekalbant apie žalą reputacijai ar pačių klientų iškeltas bylas. Todėl nesvarbu, kokio dydžio įmonė ir koks jos verslas, – jei ji dirba su klientų duomenimis, būtina imtis visų saugumo priemonių šiems duomenims apsaugoti.
Bendrai kalbant, įmonių IT saugumo priemones ir sprendimus galima skirstyti į tris lygius:
• Bazinis – įmonės įrenginiuose įdiegta antivirusinė programa, ugniasienė. Visi įrenginiai apsaugoti PIN kodu, slaptažodžiu ar kitomis priemonėmis.
• Vidutinis – papildomai, įmonės darbuotojai prie vidinio tinklo, sistemų ir programų jungiasi naudodami VPN. Įmonė nuolat daro atsargines duomenų kopijas ir bent vieną jų laiko už biuro ribų. Naudojama tik verslui skirta programinė įranga ir sprendimai. Kompiuterių kietieji diskai ir telefonų vidinės atmintinės yra užšifruotos, kad įrenginio netekus duomenų nebūtų galima lengvai atkurti. Įmonė gali nuotoliniu būdu valdyti jai priklausančius įrenginius ir, pavyzdžiui, jei įrenginys pavagiamas, ištrinti jame esančią verslo informaciją per atstumą.
• Aukštas – papildomai, įmonė taiko tinklo perimetro apsaugą. Taip pat atliekami periodiniai saugumo patikrinimai, testuojami tinklo, programinės įrangos, sistemų patikimumas tam pasitelkus išorinius partnerius, specializuotus įrankius ir pan.
Kada bazinio saugumo gana?
Aukštas saugumo lygis privalomas didžiajam verslui, o taip pat finansinių technologijų bei lošimų bendrovėms – būtent šie sektoriai labiausiai domina įsilaužėlius, ieškančius lengvo ir greito finansinio grobio.
Tuo tarpu smulkusis ir vidutinis verslas turėtų būti pasilypėjęs bent jau ant antrojo, vidutinio lygio, laiptelio. Jam priskirti saugumo sprendimai šiai dienai jau yra tapę higiena ir yra būtini daugeliui įmonių, ypač jei jos vykdo veiklą internetu.
Bazinis saugumo lygis tinkamas nebent pavieniais atvejais, ypač smulkioms įmonėms, pavyzdžiui, tris darbuotojus turinčiai kirpyklai, siuvyklai ar kepyklėlei.
Visgi realybė kita: patirtis dirbant su „Telia“ verslo klientais rodo, kad daugelis smulkių ir vidutinių įmonių vis dar naudojasi tik bazinėmis priemonėmis ir, geriausiu atveju, vienu–dviem sprendimais.
Dažnai taip galvojama ir apie žaibolaidį. Deja, iki pirmo žaibo.
