Svarbūs duomenys vis dažniau prarandami dėl žmogiškųjų klaidų: kaip nuo to apsaugoti savo įmonę ir darbuotojus?

Kibernetinių atakų augimas tampa vis sunkiau kontroliuojama problema, apimanti nuo asmenų tapatybės vagysčių iki didelio masto įmonių duomenų pažeidimų. Tarp dažniausių atakų priskiriamos ir socialinės inžinerijos grėsmės, kylančios dėl mėginimo pasinaudoti žmogaus klaida arba žmonių elgesiu, siekiant pavogti informaciją. Skaičiuojama, kad net 82 proc. duomenų saugumo pažeidimų buvo susiję su žmogiškuoju faktoriumi.

Europos sąjungos (ES) Tarybos duomenimis, per mėnesį pavagiama daugiau kaip 10 terabaitų duomenų, todėl išpirkos reikalavimo programinė įranga yra viena pagrindinių kibernetinių grėsmių ES, o dažniausia tokių atakų pirminė priemonė yra duomenų viliojimas. Viena iš pagrindinių grėsmių taip pat yra paskirstytojo paslaugos trikdymo (DDoS) atakos.

Per pastaruosius dvejus metus kibernetinės grėsmės tapo dar agresyvesnės dėl Rusijos pradėto karo Ukrainoje – padidėjo daugelio įsilaužėlių aktyvistų, kibernetinių nusikaltėlių ir valstybės remiamų grupių aktyvumas.

Sukčių atakas padeda atremti praktiniai užsiėmimai

Kaip pabrėžia „NOD Baltic“ kibernetinio saugumo ekspertai, nauji sukčiavimo būdai tampa vis išradingesni ir sunkiai identifikuojami, tad įmonės privalo imtis kūrybiškų prevencinių veiksmų, siekiant treniruoti darbuotojų budrumą.

„Norint apsaugoti savo įmonę ir komandą, pirmas žingsnis yra edukacija. Deja, bet šiais laikais sukčiai atakų būdus kruopščiai apgalvoja, kad apgavystė atrodytų kuo įtikinamesnė, tad nebeužtenka IT skyrių darbuotojams išsiųstų įspėjamųjų informacinių laiškų – kur kas efektyviau darbuotojams rengti mokymus ir simuliacijas“, – sako „NOD Baltic“ vadovas Tomas Parnarauskas.

Vienas iš būdų edukuoti darbuotojus apie kibernetines atakas – organizuoti telefoninių sukčių skambučių simuliaciją, kurios metu darbuotojai efektyviai treniruojami atpažinti nusikaltėlį.

„Planuodami mokymus ir pratybas akcentuojame, kad višingo ar fišingo simuliacijomis siekiama ne bausti suklupusius darbuotojus, o didinti jų kibernetinį sąmoningumą. Gavus elektroninį laišką žinome, kad privalu tikrinti siuntėjo adresą, teksto rišlumą, atsiųstas nuorodas ar failus, taip ir skambučio atveju darbuotojai mokomi užduoti specifinius klausimus patikrinant skambinančiojo tapatybę ar tikslą. Kiekvieną simuliaciją vertinkite kaip galimybę parengti kolegas atremti tikrą socialinės inžinerijos ataką. Gerai apmokyti darbuotojai, laiku sustabdę priešišką kibernetinę veiklą, neabejotinai sutaupo įmonių išteklius – tiek nematerialius, tiek finansinius“, – akcentuoja „NOD Baltic“ mokymų lektorius Viktoras Irtmonas.

„NOD Baltic“ organizuoja kibernetinio saugumo mokymus gyvai arba nuotoliu, taip pat atlieka fišingo, višingo ir smišingo simuliacijas.

Didelė grupė įmonių įpareigota imtis priemonių

Verta žinoti, kad Lietuva, kaip ir kitos ES šalys, iki 2024 m. spalio 17 dienos Tinklo ir informacinių sistemų saugumo direktyvą (TIS2, angl. NIS2), kuri 2022 m. buvo sudaryta siekiant užtikrinti bendrą kibernetinio saugumo lygį visoje Sąjungoje, turės perkelti į nacionalinę teisę.

TIS2 direktyva reikalauja, kad organizacijose būtų užtikrintas tiekimo grandinės saugumas, įskaitant su saugumu susijusius aspektus, taip pat žmogiškųjų išteklių saugumą, prieigos kontrolės politikas ir turto valdymą. Tai tik keli TIS2 direktyvos reglamentai, kuriuos įgyvendinti padeda privilegijuotų paskyrų valdymo (PAM) sprendimas.

„Artėjanti TIS2 direktyva įpareigoja imtis veiksmų ir edukuoti darbuotojus apie kibernetines grėsmes. Reglamentas bus įteisintas jau šių metų spalio 17 dieną, tačiau nereikėtų laukti paskutinės dienos – būtų protingas žingsnis mokymus ir pratybas savo komandai surengti ilgai nedelsiant. Juk niekada nežinome, kada užklups grėsmė ir reikės žinių siekiant sėkmingai atremti ataką”, – sako T. Parnarauskas.
Svarbūs duomenys vis dažniau prarandami dėl žmogiškųjų klaidų: kaip nuo to apsaugoti savo įmonę ir darbuotojus?TIS2 direktyva siekiama ES mastu padidinti organizacijų, įvairiuose sektoriuose atliekančių itin svarbias funkcijas, kibernetinio atsparumo lygį; sumažinti kibernetinio atsparumo neatitikimus tarp sektorių ir sektoriuose, kuriems taikoma TIS2 direktyva; pagerinti informacijos mainus ir kolektyvinius gebėjimus pasirengti ir reaguoti į incidentus.

Šiuo metu Lietuvos Krašto apsaugos ministerija atlieka subjektų, kuriems būtų taikoma direktyva, analizę bei tikslina subjektų atrankos kriterijus, todėl šiuo metu konkretūs kriterijai dar nėra paskelbti. Tačiau TIS2 direktyva taikoma šiuose sektoriuose veikiantiems subjektams: energija, transportas, bankininkystė, finansų rinkų infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas. Kiti itin svarbūs sektoriai: pašto ir kurjerių paslaugos, skaitmeninių paslaugų teikėjai, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbimas ir platinimas, gamyba, atliekų tvarkymas, moksliniai tyrimai.