Skirtingoms įmonėms – skirtingi reikalavimai

Norint geriau suprasti internete slypinčius pavojus, būtina išsiaiškinti, kokios skirtingos gali būti šios atakos. Įmonės dažniausiai susiduria su kenkėjiškais programiniais kodais, kaip trojos arkliai (angl. Trojan Horse), išpirkos reikalaujančiais ir kitokiais virusais, kurie gali būti platinami ne tik internetinėse svetainėse, bet ir el. paštu, net per socialinius tinklus ir mobiliųjų telefonų programėles. Verslas taip pat neretai nukenčia nuo vadinamojo „fišingo“, duomenų viliojimo, kai kuriami suklastoti internetiniai puslapiai, kuriais bandoma išgauti konfidencialią informaciją. Rimčiau nusiteikę kibernetiniai nusikaltėliai gali bandyti į įmonės informacines sistemas įsilaužti ir tiesiogiai.

Įdomu, kad nors kiekviena įmonė gali susidurti su šiomis problemomis, tačiau ne visos ir ne visais atvejais privalo apie tai informuoti Nacionalinį kibernetinio saugumo centrą, Valstybinę duomenų apsaugos inspekciją ir policiją. Remiantis Kibernetinio saugumo įstatymo nuostatomis, apie kibernetinius incidentus privalo pranešti tos įmonės, kurios valdo ar tvarko valstybės informacinius išteklius, pavyzdžiui, „Registrų centras“. Taip pat – valdančios ypatingos svarbos informacinę infrastruktūrą, teikiančios viešųjų ryšių tinklų ar viešųjų elektroninių ryšių, elektroninės informacijos prieglobos ir skaitmenines paslaugas, pavyzdžiui, telekomunikacijų bendrovės, duomenų centrai ir daugelis kitų. Beje, skaitmeninių paslaugų teikėjai informuoja tik apie didelio poveikio kibernetinius incidentus, o savanoriškai apie incidentą pranešančios įmonės neturi vertinti, kokio dydžio poveikį incidentas sukėlė.

Skiriasi ir informavimo laikas – jei įmonė patiria didelio poveikio kibernetinį incidentą, informuoti Nacionalinį kibernetinio saugumo centrą būtina ne vėliau kaip per vieną valandą nuo incidento nustatymo. Jei patiriamas vidutinio poveikio kibernetinis incidentas – ne vėliau kaip per keturias valandas nuo jo nustatymo, jei nereikšmingas – periodiškai kalendorinio mėnesio pirmą dieną. Koks incidentas patirtas, reikia spręsti pagal paslaugos sutrikdymo mąstą, paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičių, nuostolius, ar buvo pažeistas ryšių ir informacinės sistemos konfidencialumas bei vientisumas. Visa tai nustatyta viešai internete prieinamame Nacionaliniame kibernetinių incidentų valdymo plane. Taip pat, verta atsiminti, kad net ir prievolės pranešti apie incidentą neturinti įmonė gali savanoriškai kreiptis į situaciją suvaldyti padedantį Nacionalinį kibernetinio saugumo centrą.

Žala reputacijai ir piniginei

Ignoruoti kibernetines grėsmes šiais laikais yra labai neatsakinga, nes kibernetinio incidento žala yra ne tik prarasti duomenys ar sutrikdoma internetinės svetainės veikla, tačiau ir finansiniai nuostoliai. Kibernetine ataka gali turėti rimtų ekonominių padarinių: tai ir finansinės informacijos kaip banko ar mokėjimo kortelių duomenų, pinigų vagystė, sutrikdyta prekyba ar net prarastas verslas. Išlaidų pareikalaus ir paveiktų sistemų, tinklų ir įrenginių taisymas.

Patyrusi kibernetinį incidentą, įmonė neabejotinai pajus ir reputacinę žalą. Juk tai mažina pasitikėjimą, norą bendradarbiauti, gali lemti klientų praradimą ir pelno sumažėjimą. Svarbu, kad kibernetiniai incidentai dažnai sukelia ir teisinių padarinių – įstatymai įpareigoja atsakingai tvarkyti turimus darbuotojų ir klientų duomenis, užtikrinti jų saugumą, tad to neužtikrinusioms įmonėms skiriamos baudos, suvaržymai, tenka bylinėtis teisme dėl nuostolių atlyginimo.

Už Kibernetinio saugumo įstatymo pažeidimus – neatlikus savalaikių veiksmų, nesikooperavus su institucijomis, joms neteikiant informacijos ar nevykdant nurodymų – gali grėsti bauda iki 1950 eurų. Visgi tai niekis, lyginant su tuo, jei kibernetinė ataka įvykdyta kartu su asmens duomenų pažeidimu, apie ką būtina pranešti Valstybinei duomenų apsaugos inspekcijai, o tam tikrais atvejais – ir patiems nukentėjusiems asmenis, ne vėliau nei per 72 val. nuo sužinojimo apie pažeidimą.

Atsižvelgiant į kiekvieno skirtingo atvejo aplinkybes, įmonei gali būti skiriama bauda, kurios dydis gali siekti iki 4 proc. įmonės grupės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos. Tai dar ne viskas – duomenų nutekėjimo atveju galima sulaukti ir pavienių ar grupės asmenų ieškinių dėl žalos atlyginimo. Žinant visa tai, turbūt bus lengviau apsispręsti, kiek vertėtų investuoti į saugumo užtikrinimą. Ypatingai įvertinus tai, kad po didžiulių baudų ir reputacijos sukrėtimų kartais verslas taip ir nebeatsistato.

Kas padeda apsisaugoti nuo kibernetinių atakų ir kaip elgtis joms įvykus?

Įvykus kibernetinei atakai nebūtinai apie ją bus sužinoma – kibernetiniam vagišiui kartais reikia tik tam tikros informacijos, kurios šis nesiekia parduoti ar paskelbti viešai. Visgi dažniausiai naudojamos duomenis šifruojančios (angl. Ransomware) kenkėjiškos programos ir už pavogtų duomenų nepaskelbimą prašoma išpirkos. Jos kibernetiniai vagišiai gali reikalauti ir už duomenų atblokavimą. Egzistuoja skirtingos nuomonės dėl to, kaip reikėtų elgtis tokiu atveju – niekada nėra aišku, ar sumokėjus išpirką, prieiga ar duomenys bus atgauti.

Siekiant apsidrausti nuo tokių incidentų ar sumažinti jų žalą, rekomenduotina turėti atskirą, užkoduotą prieigą prie duomenų ir veiksmų planą, kaip reikėtų kontaktuoti su visuomene, klientais, partneriais, kurių duomenys yra nutekinti arba užblokuoti. Visada galima kreiptis pagalbos į Nacionalinį kibernetinio saugumo centrą, kuris turi paruošęs gaires, kaip reikėtų elgtis kibernetinio incidento metu ir norint nuo jo apsisaugoti.

Užtikrinant prevenciją, įmonėje patariama laikytis saugaus slaptažodžio kūrimo ir naudojimo principų, turėti griežtą prieigos kontrolę, kelių žingsnių autentifikavimą, įdiegti saugų bevielį tinklą. Taip pat rekomenduojama įdiegti HTTPS protokolą, antivirusines programas ir ugniasienę, nuolat atnaujinti programinę įrangą ir turėti atsargines duomenų kopijas. Svarbus ir žmogiškasis faktorius – ar įmonės darbuotojai supažindinti su kibernetinėmis rizikomis, ar mokymais skatinamas jų atidumas, ar jie atskiria darbo ir asmeninius prietaisus. Papildomai patariama užsiimti duomenų nutekėjimo prevencija, jautrių duomenų šifravimu, reguliariu kibernetinių įsilaužimų testavimu ir užsisakyti kibernetinių incidentų draudimą.