Kibernetinio saugumo įstatymas. Ar esate pasiruošę?

Kibernetinio saugumo įstatymas. Ar esate pasiruošę?

Didėjantis kibernetinių atakų skaičius, informacijos nutekėjimo rizika ir griežtėjantys tarptautiniai saugumo reikalavimai paskatino Lietuvą atnaujinti Kibernetinio saugumo įstatymą (KSĮ). Šiuo metu ypatingos svarbos sektoriams priklausančios įmonės įgyvendina naujus reikalavimus, o tai kelia nemažai iššūkių. Vienoms tai yra galimybė nuosekliai tobulinti savo IT infrastruktūrą, kitoms – tampa sudėtingu uždaviniu, reikalaujančiu papildomų resursų ir naujos strategijos kūrimo. „Baltimax“ pardavimų vadovas Tadas Pitrėnas, remdamasis skirtingu įmonių pasiruošimo lygiu ir požiūriu į naujus reikalavimus, išskyrė tris pagrindines organizacijų grupes. Kuriai iš jų būtų galima priskirti jūsų organizaciją?

Įgyvendinant Europos Parlamento ir Tarybos Tinklo ir informacinių sistemų (TIS2) direktyvą, Kibernetinio saugumo įstatymu siekiama suvienodinti saugumo standartus visoje Europos Sąjungoje ir užtikrinti didesnį organizacijų atsparumą skaitmeninėms grėsmėms. Šis įstatymas nustato griežtesnius reikalavimus svarbiausiems sektoriams, tokiems kaip energetika, transportas ar sveikatos priežiūra, apsaugą, bet ir skatina visas organizacijas vertinti savo IT infrastruktūros pasirengimą bei imtis veiksmų, siekiant užkirsti kelią potencialiems pavojams.

„Didžioji dalis organizacijų, kurioms yra taikomas KSĮ, šiais metais vienaip ar kitaip ėmėsi aktyvių pasiruošimo veiksmų. Dėl nuosaikios Nacionalinio kibernetinio saugumo centro (NKSC) ir rinkos dalyvių komunikacijos, juntamas grįžtamasis ryšys, poreikis domėtis būsimais reikalavimais kibernetiniam saugumui užtikrinti. Retas kuris visai nieko nežino apie įstatymą ir gyvena įprastu ritmu”, – komentuoja T. Pitrėnas. 

IT sprendimus siūlančios įmonės „Baltimax” ekspertų komanda pastebi, kad dalis organizacijų iš anksto pasirengusios pokyčiams ir į tai žiūri kaip į galimybę tobulėti, tačiau kitoms šis procesas tampa rimtu išbandymu dėl ribotų resursų, kompetencijų trūkumo ar neaiškių prioritetų. 

„Baltimax“ atstovas T. Pitrėnas sako, kad organizacijas pagal pasiruošimo lygį galima suskirstyti į tris grupes – pirmūnus; darbščius, bet pasimetusius; ir bandančius praslysti. Šis skirstymas leidžia geriau suprasti, su kokiais iššūkiais susiduria įvairios organizacijos ir kaip joms galima padėti.

1. Pirmūnai. Organizacijos, kurios nestokoja žmonių bei kompetencijų, turi savo teisininkus ir supranta, kad įstatymas sukonstruotas ISO 27001 pagrindu (LST EN ISO/IEC 27001:2023 standartas – tarptautinis standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai, kad organizacija galėtų įvertinti rizikas ir įdiegti tinkamas kontrolės priemones informacijos konfidencialumui, vientisumui ir prieinamumui užtikrinti). Tokios organizacijos geba lengvai įvertinti likusių techninių bei organizacinių reikalavimų dalį, sklandžiai susitvarkyti su iššūkiais.

„Įmonės pirmūnės kreipiasi į mus jau žinodamos, kokių technologinių sprendimų ieško, pavyzdžiui, privilegijuotos prieigos valdymo (angl. privileged access management, PAM), rizikų valdymo įrankių ar papildomų kibernetinio saugumo technologijų, pritaikytų specifiniams jų poreikiams”, – sako T. Pitrėnas.

2. Darbštūs, bet pasimetę. Antroji grupė – organizacijos, turinčios sąlyginai nedidelę IT žmonių komandą, o atsakomybė sprendimų paieškose krenta ant IT vadovo pečių. IT vadovas įprastai inicijuoja daugybę pokalbių su išorės specialistais, konsultuojasi ir ieško, kas galėtų padėti „susitvarkyti” su reikalavimais, vertina turimas technines priemones, geba prioretizuoti veiksmus, atlieka saugumo auditus ir pan. 

Kaip pastebi T. Pitrėnas, didžiajai daliai šios grupės klientų trūksta technologinių sprendimų, papildomų integracijų su esamais įrankiais, pavyzdžiui, dviejų veiksnių autentifikacijos (2FA), pažeidžiamumų skanavimo ir kitų elementų. „Tokiu atveju galime padėti susidėlioti aiškų veiksmų planą, nustatyti prioritetus ir parinkti tinkamiausius sprendimus”, – teigia „Baltimax” atstovas ir priduria, kad šios įmonės ekspertų komanda gali klientus konsultuoti dėl reikalingų įrankių pasirinkimo, integracijos galimybių ir esamų sistemų optimizavimo. 

„Pavyzdžiui, galime pasiūlyti, kaip efektyviai įdiegti dviejų veiksnių autentifikaciją (2FA) ar automatizuotą pažeidžiamumų skanavimą, kuris padėtų identifikuoti saugumo spragas ir užtikrinti sistemų patikimumą, – akcentuoja T. Pitrėnas. – Esminė mūsų misija – padėti organizacijoms ne tik atitikti minimalius saugumo reikalavimus, bet ir sukurti tvirtą technologinį pagrindą, kuris leistų verslui augti ir vystytis. Kartais užtenka nedidelių patobulinimų, kad organizacijos IT procesai taptų žymiai efektyvesni ir saugesni.”

3. Bandantys praslysti. Trečioji grupė – abejojantys, ar įstatymas jiems galios, pragmatiškai laukiantys kovo mėnesio pranešimo iš NKSC. Šiai grupei dažniausiai priklauso įstaigos, atliekančios visuomenei svarbias funkcijas, tačiau metų metus turinčios minimalų IT palaikymą ir ribotus resursus. „Tokiais atvejais su organizacijų atstovais pirmiausia kalbame apie būtiniausias priemones”, – aiškina T. Pitrėnas.

IT ekspertai pastebi, kad tokiose organizacijose neretai vyrauja požiūris – geriau likti nepastebėtiems, ir manymas, jog kibernetinis saugumas yra svarbus tik dėl teisinių reikalavimų. „Bandantys praslysti” pasižymi žema IT branda, trūksta stebėsenos bei centralizuotų valdymo įrankių, o daug procesų vykdoma rankiniu būdu – tai ir lemia prastą saugumo lygį.

„Organizacijų vadovai nebegali ignoruoti šios problemos ir turėtų suprasti, kad atsakomybė už saugumo priemonių įgyvendinimą pirmiausia tenka jiems”, – komentuoja ekspertas. 

Nuo ko pradėti? 

Prieš imantis pirmųjų veiksmų, organizacijoms pirmiausia reikėtų įsivertinti, ką jos turi ir ko trūksta: pagal savo galimybes nusistatyti, kokių techninių bei organizacinių priemonių trūksta. 

„Techninės priemonės dažnai yra lengvoji dalis – daugeliu atvejų užtenka tinkamai ir pilnavertiškai išnaudoti jau turimas IT priemones, pavyzdžiui, užtikrinti duomenų šifravimą, pasinaudoti įrankiais inventorizacijai ir pan. Svarbu nepulti visko atlikinėti stačia galva – geriausia yra planuoti veiksmus, turėti aiškius prioritetus ir nusimatyti, kurie poreikiai yra svarbiausi”, – pataria „Baltimax” atstovas ir priduria, kad ši IT sprendimus platinanti įmonė turi kone visus reikalingus įrankius KSĮ užtikrinimui. 

„Galime įvertinti organizacijos turimas technines priemones, pateikti įžvalgas, ko trūksta bei pasidalinti patarimais. Technologinių reikalavimų grandinėje centrinė figūra dažnai būna įrankiai, gebantys užkardyti kibernetines atakas, renkantys žurnalinius įrašus t. y. EDR, XDR ar SIEM priemonės. Siekdamos efektyvumo, įmonės renkasi skirtingo lygio diegimo, optimizavimo bei priežiūros paslaugas”, – tvirtina T. Pitrėnas. 

Įmonėms, kurios dar nieko nesiėmė dėl naujojo KSĮ, ekspertai pataria pradėti veikti nuo informacijos rinkimo. „NKSC atlieka puikų darbą, suteikia visą reikalingą informaciją, rekomendacijas ir įstatymo „vedlį“ – tiesiog skirkite laiko ir pasinaudokite valstybės suteikiamais nemokamais informacijos ištekliais, – ragina T. Pitrėnas. – Žinoma, privatus sektorius, konsultantai, teisininkai ir kibernetinio saugumo ekspertai taip pat pasiruošę padėti. Tiesiog nebijokite kreiptis – pirmi pokalbiai dar niekam nekainavo.”

Kibernetinis pastiprinimas – ypatingos svarbos sektoriams

TIS2 direktyva reikalauja, kad ypatingos svarbos sektoriams priklausančiose organizacijose būtų užtikrintas tiekimo grandinės saugumas, įskaitant su saugumu susijusius aspektus, taip pat žmogiškųjų išteklių saugumą, prieigos kontrolės politikas ir turto valdymą. 

TIS2 direktyva siekiama Europos sąjungos mastu padidinti organizacijų, įvairiuose sektoriuose atliekančių itin svarbias funkcijas, kibernetinio atsparumo lygį; sumažinti kibernetinio atsparumo neatitikimus tarp sektorių ir sektoriuose, kuriems taikoma TIS2 direktyva; pagerinti informacijos mainus ir kolektyvinius gebėjimus pasirengti ir reaguoti į incidentus.

Ypatingos svarbos sektoriai: energija, transportas, bankininkystė, finansų rinkų infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas. Kiti itin svarbūs sektoriai: pašto ir kurjerių paslaugos, skaitmeninių paslaugų teikėjai, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbimas ir platinimas, gamyba, atliekų tvarkymas, moksliniai tyrimai.

AV-Comparatives įvardija ESET kaip strateginę lyderę

AV-Comparatives įvardija ESET kaip strateginę lyderę

ESET, pasaulinė kibernetinio saugumo lyderė, su džiaugsmu praneša, kad ištyrus ESET PROTECT Enterprise verslui skirtą sprendimą ir palyginus su atitinkamais sprendimais rinkoje, ESET buvo pripažinta 2023 m. AV-Comparatives Endpoint Prevention and Response (EPR) lyginamosios ataskaitos strategine lydere. Šiame vertinime, kurį atliko nepriklausoma testus atliekanti organizacija AV-Comparatives, ESET PROTECT Enterprise, testuojant prevencijos ir aptikimo bei reagavimo efektyvumą, naudojant 50 realių scenarijų, aplenkė 11 kitų gamintojų ir užėmė pirmaujančią poziciją. Pagal EPR CyberRisk Quadrant™ testo metodiką, atsižvelgiama į produkto veiksmingumą pažeidimų prevencijos srityje, apskaičiuotas sutaupytas lėšas vertinant „viskas viename“, operacinio tikslumo ir veikimo delsos laiko sąnaudas. ESET PROTECT Enterprise versija 10.1, apimanti ESET PROTECT ir ESET INSPECT, įrodė savo efektyvumą, užtikrinant įmonių prevencijos, aptikimo ir reagavimo į grėsmes galimybes. Bandymo metu programa efektyviai neutralizavo grėsmes, nukreiptas į verslą.

Produktas pademonstravo apsaugos priemonių rinkinį, veiksmingai apsaugodamas įmonių sistemas ir tinklus nuo bandytų kenkimo scenarijų ir pasiekė aukščiausią aptikimo lygį iš visų ištirtų produktų. Bendrai vertinant, ESET PROTECT Enterprise parodė 100% aktyvaus atsako rodiklį ir 100% pasyvaus atsako rodiklį visuose scenarijuose, demonstruodama gebėjimą automatiškai sustabdyti atakas ir tiksliai apie jas pranešti . Sprendimo suderinamumas su MITRE ATT&CK® taktikomis, technikomis ir procedūromis (TTP) padeda net pradedantiems SOC analitikams atlikti išsamius tyrimus ir prireikus eskaluoti incidentus.

Ataskaitoje rašoma, kad ESET PROTECT Enterprise išsiskiria aukštu grėsmių aptikimo rodikliu, minimaliu klaidingai teigiamų (angl. false positive) rezultatų skaičiumi ir intuityviu dizainu. Įmonės, kurios pradėjo naudoti ESET, užsitikrina ne tik geresnį saugumą, bet taip pat ženkliai sumažina IT išlaidas, lyginant su kitų tiekėjų sprendimais.

„Būti pripažintam strateginiu lyderiu 2023 metų EPR lyginamosios ataskaitos kontekste – didelis džiaugsmas. Šis pripažinimas rodo mūsų įsipareigojimą teikti aukščiausio lygio kibernetinio saugumo sprendimus įmonėms visame pasaulyje. ESET siekia suteikti įmonėms galimybę naudotis pažangiausiomis technologijomis, kurios ne tik pagerina jų saugumo būklę, bet ir sumažina veiklos sąnaudas. EPR lyginamosios ataskaitos tyrimo rezultatai sustiprina mūsų misiją kurti saugesnį skaitmeninį pasaulį visiems ir pabrėžia mūsų pažangią grėsmių aptikimo technologijos efektyvumą.“ – sakė Roman Kovač, ESET vyriausiasis tyrimų vadovas.

„ESET parodo savo stipriąsias puses įrenginių saugumo ir EDR srityje, nuo pat EPR testo įvedimo ketverius metus iš eilės, gaudama EPR testo sertifikatus.Išskirtiniai ESET rezultatai taip pat pripažįstami kituose pirmaujančiuose verslo saugumo lyginamuosiuose tyrimuose, tuo is gamintojas išsiskiria iš kitų šios pramonės šakos atstovų.“ – teigė Andreas Clementi, AV-Comparatives generalinis direktorius ir įkūrėjas.

ESET buvo viena iš keturių gamintojų, gavusių aukščiausius įvertinimus ir EPR CyberRisk Quadrant™ sertifikatą. ESET ir toliau puikiai pasirodo kibernetinio saugumo pasaulyje, siūlydama inovatyvius sprendimus, kurie efektyviai apsaugo verslus, o šis rezultatas patvirtina ESET, kaip strateginės lyderės, poziciją.

Kodėl dar neapsaugojote darbuotojo mobiliojo telefono?

Kodėl dar neapsaugojote darbuotojo mobiliojo telefono?

Tikriausiai kalbant apie kibernetines grėsmes dažniausiai galvojame apie kompiuterių apsaugą. Bet, o kaip kiti įrenginiai? Manote, kad jų nereikia apsaugoti? Išmanieji telefonai kartais pamirštami. Dažnai pasitaiko, kad darbdavio suteiktas mobilusis telefonas naudojamas ne tik darbui, bet ir asmeniniams poreikiams. Ir darbuotojai, ir darbdaviai supranta, kad telefonai bus naudojami ne tik darbui, bet jais bus žaidžiama, siunčiami filmai, naudojamasi socialiniais tinklais ir t. t. Visa tai gali tapti nemenka įmonių informacijos saugumo problema.

Išmanieji įrenginiai gali patirti tokias pat kibernetines grėsmes kaip ir „Windows“, „Mac“ ar „Linux“ įrenginiai. Jų savininkai lygiai taip pat patiria fišingo atakas per telefonuose naudojamą el. paštą, ir jeigu juose nėra įdiegta jokia apsauga, mažų mažiausiai rizikuojama į telefoną gauti kenkėjišką kodą. Jau nekalbant apie tai, kad telefonuose įdiegtos programėlės gali rinkti informaciją apie juose atliekamus veiksmus, nutekinti asmens duomenis ir t. t.

Kad darbuotojų išmanieji telefonai būtų saugi darbo priemonė, naudojami įvairūs mobiliųjų įrenginių valdymo sprendimai.

Galima apriboti programas

Jeigu įrenginį yra suteikusi įmonė, rekomenduojama įdiegti sprendimus, kaip pavyzdžiui, lenkų gamintojo Proget sprendimą, kuris padės užtikrinti mobiliųjų įrenginių kontrolę. Imkime, pavyzdžiui, tolimųjų reisų vairuotojus, kurie turi vežėjų įmonių suteiktus išmaniuosius telefonus arba planšetinius kompiuterius. Ne paslaptis, kad šie įrenginiai naudojami ne tik  navigacijos tikslais, bet ir žiūrėti filmus, klausytis muzikos, naudotis įvairiomis programėlėmis ir t. t. Ir tai jokia problema, kol vairuotojas nežiūri filmų vairuodamas ir nekelia grėsmės eismo saugumui.

Naudojant mobiliųjų įrenginių valdymo programas galima nustatyti, kad, jeigu įrenginys juda, tam tikros jo funkcijos arba prieigos prie programų apribojamos. Galima apriboti kai kurias programas, pavyzdžiui, vairuotojo prieigą prie „Youtube“, arba visas programas, išskyrus navigaciją, kai automobilis važiuoja. Automobiliui sustojus, tokie apribojimai dingsta, ir programos tampa vėl pasiekiamos.

Naudodamiesi mobiliųjų įrenginių valdymo sprendimais, administratoriai gali užrakinti įrenginius, ištrinti iš jų įmonės duomenis, naudoti nuotolinį darbalaukį pagalbai teikti ir t. t.

Virtualūs konteineriai atskiria erdves

Papildomų iššūkių kyla, jeigu organizacija leidžia darbo tikslais naudoti asmeninius įrenginius. Situacija, kai asmeniniame telefone yra pasiekiami įmonės duomenys, nesmagi abiem pusėms. Sunku būtų įsivaizduoti situaciją, kai administratorius surenka asmeninius telefonus ir juose sudiegia tam tikrus ribojimus.

Tokiu atveju įrenginyje būtina sukurti specialią erdvę, vadinamąjį darbinį profilį, arba virtualų konteinerį. Šiame konteineryje jautrūs verslo duomenys būtų atskiriami nuo asmeninių duomenų.

Naudodami mobiliųjų įrenginių valdymo sprendimus, kurie leidžia sukurti tokius konteinerius, įmonės administratoriai gali per nuotolį valdyti ir stebėti tuos verslo duomenis, prie kurių jie turi prieigą, bet kartu užtikrinti darbuotojo, įrenginio savininko, privatumą.

Asmeninė informacija – atribota

Dažnai sulaukiu klausimų, ar įmonių vadovai nenori žinoti daugiau apie savo darbuotojų asmeninį gyvenimą. Žinoma, toks noras gali kilti, todėl mobiliųjų įrenginių valdymo sprendimų gamintojams nuolat tenka laviruoti, kad būtų apsaugoti ne tik darbdavio, bet ir darbuotojo interesai.

Naudojant tokius sprendimus, administratorius iš darbo aplinkos į asmeninę pereiti negali. Jis gali valdyti tik tai, kas yra virtualiame konteineryje, bet nei administratorius, nei mobiliųjų įrenginių valdymo programa negali pasiekti jokių darbuotojo asmens duomenų, matyti asmenines darbuotojo nuotraukas, klausytis pokalbių, įjungti kameros ir t. t.

Darbuotojo asmeninė informacija tokiuose konteineriuose nuo įmonės informacijos atribota lygiai taip pat, kaip įmonės informacija nuo asmeninio naudojimo. Maža to, tam, kad administratorius galėtų prisijungti prie įmonės informacijos konteinerio, darbuotojas telefone turi aktyvuoti tam tikrą aplikaciją.

Mobiliųjų įrenginių valdymo sprendimai gali būti pritaikyti ne tik išmaniuosiuose telefonuose, planšetiniuose kompiuteriuose, bet ir specifiniuose įrenginiuose, skirtuose atlikti siauros paskirties užduotis, pavyzdžiui, sveikatos apsaugos srityje.

SMB tyrimas: dėl duomenų saugumo pažeidimų įmonės praranda šimtus tūkstančių eurų

SMB tyrimas: dėl duomenų saugumo pažeidimų įmonės praranda šimtus tūkstančių eurų

Kibernetinio saugumo sprendimų kūrėja ESET paskelbė 2022 m. mažų ir vidutinių įmonių skaitmeninio saugumo ataskaitą, kurioje apklausė daugiau nei 1 200 Europos ir Šiaurės Amerikos mažų ir vidutinių įmonių (angl. Small-medium size business, SMB) sprendimus dėl kibernetinio saugumo priimančių asmenų. Ataskaitoje kibernetinio saugumo situacijos analizuojamos platesniame naujausių saugumo pokyčių ir pasaulio įvykių, formuojančių SMB įmonių saugumo suvokimą, kontekste.

Remiantis naujais duomenimis, daugiau nei du trečdaliai mažų ir vidutinių įmonių per pastaruosius 12 mėnesių patyrė duomenų saugumo incidentą, kuris vidutiniškai kainavo beveik 220 000 eurų.  Tačiau kaip didžiausią kibernetinės atakos pasekmę SMB įvardino įmonės duomenų praradimą (29%). Kol kibernetinio saugumo srityje sprendimus priimantys asmenys nerimauja dėl galimų atakos padarinių, net 70% apklaustų įmonių pripažino, kad jų investicijos į kibernetinį saugumą nespėja prisitaikyti prie pastaruoju metu pasikeitusių veiklos modelių (pvz., hibridinio darbo). 

Naujausi ESET grėsmių ataskaitos (T2) duomenys rodo, kad 2022 m., palyginus su praėjusiais metais, 20% padaugėjo kibernetinių grėsmių aptikimo atvejų. Net 83% apklaustų įmonių mano, kad „kibernetinis karas yra labai reali grėsmė, kuri gali paveikti kiekvieną“, o tai rodo, kad nuolat augančios grėsmės daro didelę įtaką SMB įmonių nusiteikimui. Be to, 74% Šiaurės Amerikos ir Europos SMB įmonių mano, kad jos yra labiau pažeidžiamos kibernetinių atakų nei didžiosios įmonės.

Situacija Lietuvoje

Lietuvoje šiais metais taip pat buvo matomas kibernetinių išpuolių skaičiaus augimas, tam daugiausiai įtakos turėjo ilgai besitęsiantis karas Ukrainoje bei pandemijos padariniu tapęs dažnesnis darbas iš namų. ESET Lietuva pardavimų vadovo Andriaus Mickevičiaus teigimu, pastebima ir teigiamų tendencijų, kai dauguma organizacijų ir jų vadovų pradėjo rimčiau vertinti kibernetines grėsmes ir rizikas bei atsigrežė į saugumo sprendimus, kuriuos atidėliojo, kaip turinčius žemesnį prioritetą. „Susidomėjimas pažangiais saugumo sprendimais išaugęs itin smarkiai ir pagal savo saugumo produktų krepšelio ir pardavimų tendencijas, galiu tvirtai teigti, jog 2023 metus pasitiksime geriau pasiruošę“, – sako A. Mickevičius.

Atlikto tyrimo respondentai ateinantiems metams įvardijo šias svarbiausias kibernetinio saugumo problemas: 

  • Kenkėjiška programinė įranga (iš viso 70%, statistiškai reikšmingas skirtumas užfiksuotas Švedijoje – 50%) 
  • Tinklo atakos (iš viso 67%, statistiškai reikšmingas skirtumas užfiksuotas Ispanijoje – 87%)
  • Išpirkos reikalaujančios programos (iš viso 65%, statistiškai reikšmingas skirtumas Danijoje – 80%) 
  • Trečiųjų šalių saugumo problemos (64%) 
  • Paskirstytos paslaugos trikdymo atakos (angl. Denial-of-Service attack, DoS) (60%) 
  • Nuotolinio darbalaukio protokolo atakos (iš viso 60%, statistiškai reikšmingas skirtumas užfiksuotas Ispanijoje 79%)

Todėl nenuostabu, kad bendras SMB įmonių pasitikėjimas kibernetiniu atsparumu per ateinančius metus išlieka žemas – tik 48 % respondentų teigė, kad jie vidutiniškai arba labai pasitiki savo kibernetiniu atsparumu. Verta paminėti, kad Skandinavijos šalių respondentų pasitikėjimas (32%) buvo gerokai mažesnis nei likusios Europos ir Šiaurės Amerikos (abiejose šalyse – 49%).

Darbuotojų kibernetinis sąmoningumas

Nepaisant pasaulinių pastarųjų metų įvykių, tokių kaip Ukrainos karas ir COVID-19 pandemija, mažos ir vidutinės įmonės nurodė, kad svarbiausias veiksnys, dėl kurio labai padidėja kibernetinių atakų rizika, yra nepakankamas darbuotojų kibernetinis sąmoningumas (43%). Kiti svarbūs veiksniai – valstybių remiamos kibernetinės atakos (37%), partnerių ir / arba tiekėjų veiklos procesų pažeidžiamumai (34%), besitęsiantis hibridinis darbas (32%) ir nuotolinio darbalaukio protokolo naudojimas (31%). 

Mažoms ir vidutinio dydžio įmonėms, kaip ir visoms kitoms, svarbu suprasti, kad kibernetinio saugumo prevencija yra tęstinis procesas ir efektyviam saugumui užtikrinti tikslinga turėti rizikų vertinimo gaires. 

Anot Andriaus Mickevičiaus, vienkartiniai sprendimai, sparčiai tobulėjant kibernetinių nusikaltėlių naudojamiems metodams ir technologijoms, gali padėti tik laikinai. Šalia technologijų organizacijos privalo sparčiai vykdyti nuolatinę darbuotojų edukaciją kibernetinio saugumo klausimais, norint užtikrinti įmonės lygio saugumą.