IT darbuotojų nuoma: kada labiau apsimoka turėti vidinį specialistą, o kada – samdyti išorinius IT paslaugų teikėjus?

IT darbuotojų nuoma: kada labiau apsimoka turėti vidinį specialistą, o kada – samdyti išorinius IT paslaugų teikėjus?

Lietuvoje dažnai kalbama apie didelę IT darbuotojų migraciją ir jų trūkumą, tačiau specialistai sako, kad trūksta ne šiaip IT darbuotojų, o kvalifikuotų tam tikros srities profesionalų.

„NOD Baltic“ vyresniojo kibernetinio saugumo inžinieriaus ir ESET eksperto Ramūno Liuberto teigimu, Lietuvos rinkoje pakanka universalių IT specialistų su ribotomis saugumo žiniomis, tačiau trūksta duomenų analitikų, programų kūrėjų, DevOps ir debesijos kompiuterijos specialistų, ir ypač – kibernetinio saugumo specialistų. Ši kompetencija itin svarbi turint omenyje, kad kibernetiniai incidentai skaičiuojami tūkstančiais.

Nacionalinės teismų administracijos Informacinių technologijų skyriaus vadovas Adrijus Makuška, dalyvaudamas rugsėjį vykusioje „ESET Security Day“ konferencijoje, sakė, kad kvalifikuotų IT darbuotojų trūkumo problema ypač opi biudžetiniame sektoriuje.

„Visas kompetencijas turėti viduje šiais laikais, kai darbuotojai labai migruoja ir juntamas darbuotojų trūkumas, sudėtinga. Be to, valstybinis sektorius niekada negali įpirkti pačių geriausių. Išorės pagalba, kuri atsineša gilių techninių žinių ir gerąsias praktikas, labai padeda“, – sakė A. Makuška.

Kada įmonei reikia vidinio IT specialisto?

Samdyti nuolatinius vidinius darbuotojus rekomenduotina:

  • jei įmonė vykdo ilgalaikius IT projektus arba jai nuolat reikia tam tikros srities IT specialistų;
  • jei įmonės verslas priklauso nuo unikalių technologijų ar sistemų ir reikia užtikrinti nuolatinę šių sistemų priežiūrą bei valdymą;
  • jei įmonei reikia tvirtų saugumo priemonių ir konfidencialumo;
  • jei įmonė turi pakankamai lėšų darbuotojų IT mokymams – tuomet verta motyvuoti vidinius darbuotojus ir investuoti į jų tobulinimą bei prisitaikymą prie įmonės verslo poreikių.

Dažnai efektyviausias pasirinkimas gali būti mišrus, t. y. turėti vidinių IT specialistų komandą ir tuo pačiu metu bendradarbiauti su išoriniais IT paslaugų tiekėjais bei jiems skirti tam tikras specializuotas užduotis. Pavyzdžiui, nuolatinis saugumo būklės įmonės tinkle stebėjimas pagelbėtų operatyviai aptikti grėsmę ir apie tai laiku informuoti vidinę komandą.

Pastebi nuslėptus trūkumus

Liubertas atkreipia dėmesį į psichologinį aspektą, kodėl įmonėms verta pasitelkti išorinius specialistus atlikti turimų sistemų auditą.

„Išorinis IT specialistas įmonės viduje neturi draugų, todėl jis gali pastebėti nuslėptus trūkumus, spragas, vidinių darbuotojų klaidas ir parodyti jas vadovams“, – kalba R. Liubertas.

„Ignitis grupės“ skaitmeninės saugos vadovas Donatas Vitkus „ESET Security Day“ diskusijoje pažymėjo, kad įmonėms ir organizacijoms auditus pasitelkiant išorės specialistus reikia daryti reguliariai.

„Išorinis auditas, kai nepriklausoma šalis įvertina, kokios taikomos organizacinės ir techninės priemonės, kokie galimi pažeidžiamumai, kokios taikytinos perimetro apsaugos, yra būtinas, ir jį reikia atlikti periodiškai – du kartus per metus, kasmet ar kas dveji metai, priklausomai nuo organizacijos dydžio“, – sakė D. Vitkus

Kartais sistemų nenorima liesti tol, kol jos veikia, bet jeigu sistema pasenusi, išorinis specialistas būtinai atkreips į tai atsakingų darbuotojų dėmesį. Dar viena dažna problema organizacijose yra nepakankama prisijungimų kontrolė. Auditą atliekantis išorės specialistas tokias problemas identifikuoja ir primena ištaisyti.

Išeitis nepatraukliems regionams

Liuberto nuomone, turėdamos išorinius konsultantus, įmonės gali nesirūpinti, kad, vienam žmogui išėjus atostogų arba pakeitus darbą, sustos visi projektai. Jei įmonei reikia papildomų IT specialistų tam tikram projektui arba užduočiai, kurie truks ribotą laiką, samdyti specialistus iš išorės gali būti efektyviau nei nuolatinius darbuotojus. Tai leidžia greitai pritaikyti komandą pagal projektui keliamus reikalavimus.

„Be to, jei įmonės pagrindinė veikla yra regione, į kurį gana sudėtinga prisivilioti specializuotos srities IT specialistus, galima pasirinkti dirbti su išorine komanda, kuri gali būti kitame mieste, šalyje ar net kitame pasaulio krašte“, – pažymi R. Liubertas.

Konferencijoje 20 kibernetinio saugumo ekspertų dalinosi patirtimi

Konferencijoje 20 kibernetinio saugumo ekspertų dalinosi patirtimi

Įpusėjant 2023 m., kibernetinio saugumo aplinka ir toliau sparčiai vystosi, atnešdama daug naujų iššūkių ir grėsmių. Kibernetiniai nusikaltėliai tampa vis gudresni – jie pasitelkia vis sudėtingesnes taktikas bei pažangesnes technologijas ir meistriškai išnaudoja skaitmeninių sistemų pažeidžiamumą.

Pasaulinė statistika rodo, kad per dieną įvyksta maždaug 2200 kibernetinių atakų, vienai iš jų įvykstant vidutiniškai kas 39 sekundes. Prognozuojama, jog šių metų gale bus pažeisti beveik 33 milijardai internetinių paskyrų, o šių įsilaužimų kaina sieks netgi 8 trilijonus dolerių. Grėsmė kibernetinio saugumo srityje puikiai matoma ir Lietuvoje: ESET telemetrijos duomenimis 2023 metais, palyginus su praėjusiaisiais, dar labiau plinta tokios kibernetinės grėsmės kaip nuotolinio ryšio puolimai (angl. remote connection exploits), atakos pasinaudojant kenkėjiška kompiuterio programa Trojan bei duomenų vagystės (angl. phishing). Tvyrantį pavojų įrodo ir švieži, rugsėjo 4 dieną užfiksuoti, įsilaužimai į 10–ties lietuviškų organizacijų internetines svetaines, kuriais buvo siekiama paskatinti Baltijos šalis nustoti remti karą Ukrainoje.

Esant tokioms aplinkybėms nenuostabu, jog rugsėjo 7 d. LITEXPO renginių centre į jau devintais metais iš eilės vykusią kibernetinio saugumo konferenciją ESET Security Day 2023 susirinko net daugiau nei 600 lankytojų. Šį kartą dalyviai galėjo ne tik klausytis pranešimų pagrindinėje salėje, bet savo žinias pagilinti ir Tech Demos salėje, kurioje dėmesys buvo sutelktas į konkrečių technologijų funkcionalumą.

Dirbtinis intelektas – ar reiktų jo bijoti?

Jau nuo pat sveikinimo žodžio buvo aišku, kad konferencijoje bus aktuali šiomis dienomis karšta, daug diskusijų sulaukianti dirbtinio intelekto (DI) tema. Renginį atidaręs ESET Lietuva vadovas Tomas Parnarauskas, pasiremdamas dirbtiniu intelektu sukurtos internetinės asmenybės Milla Sofia pavyzdžiu, pateikė mintį, kad tokiu pat greičiu, kokiu nuomonės formuotojai įgijo savo populiarumą, jie gali būti ir pakeisti savo kompiuterizuotais atitikmenimis. Tokia iliustracija T. Parnarauskas apeliavo į kylantį žmonių nerimą ateityje prarasti savo darbą ir būti pakeistiems mašininio mokymosi kompiuteriais.

Vis dėlto savo įvadinę kalbą jis pabaigė pabrėždamas, jog žmogus ir technologijos turėtų dirbti kaip vieningas intelektas, žmogui besinaudojant pastarosiomis kaip įrankiais. „Vinted“ vyriausiasis duomenų mokslininkas bei Lietuvos dirbtinio intelekto asociacijos prezidentas Dovydas Čeilutka klausytojus ramino teigdamas, kad tokie blogi DI panaudojimai, kaip žmonių karjeros pagrobimas, dar yra tolimoje ateityje. Užuot, šis pranešėjas supažindino auditoriją su dabartiniais būdais, kaip dirbtinis intelektas yra pasitelkiamas neigiamiems tikslams. Politiniams konfliktams kurstyti naudojami robotai, kurie socialiniuose tinkluose kuria automatinius skelbimus bei efektyviai kovoja už tam tikrą politinę pusę. Akivaizdžią grėsmę šioje sferoje įrodo ir Vladimiro Zelenskio bei Vladimiro Putino išmaniosios vaizdo klastotės (angl. deepfakes), dėl savo realistiškumo transliuotos netgi per televizijos kanalus. D. Čeilutka pabrėžė, jog svarbu yra kreipti dėmesį ne vien tik į piktavalius, savo veiklai apsukriai pasitelkiančius mašininio mokymosi modelius, tokius kaip „FraudGPT“, bet ir į paprastus žmones, savo darbams naudojančius laisvai prieinamas dirbtinio intelekto programėles. Neturint specialaus IT išsilavinimo yra lengva pridaryti klaidų. „Turime saugoti žmones nuo tų dalykų, kuriuos jie daro, bet nesupranta“, – savo pranešimą pabaigė asociacijos prezidentas.

Visgi konferencijos metu buvo kalbama ne vien tik apie dirbtinio intelekto tamsiąją pusę, bet ir apie jo teigiamus aspektus. Kibernetinio saugumo ekspertas Dr. Šarūnas Grigaliūnas atskleidė, kaip daugeliui žinomas modelis „ChatGPT-3“ gali būti utilizuojamas kibernetinių incidentų valdymui: scenarijų rašymui, kenkėjiško kodo analizavimui įsilaužimo į svetainę atveju, informacijos struktūrizavimui ar kalbų vertimui.

TIS2 – direktyva, kuriai verta tinkamai pasiruošti

Europos Sąjunga 2023-iųjų metų pradžioje paskelbė sugriežtintą visoms valstybėms narėms galiojančią Tinklų ir informacinių sistemų saugumo direktyvą (TIS2), kuria siekiama efektyviau kovoti su kibernetinėmis grėsmėmis, tad natūralu, jog konferencijos metu pastarajai taip pat buvo skirta nemažai dėmesio. Kalbą šia tema pradėjo LR Krašto apsaugos ministerijos ekspertas Antanas Aleknavičius. Pasitelkdamas kūrybišką baudų gavimo palyginimą su „Aukso Puodo“ žaidimu, pranešėjas pasakojo apie jų laimėjimą padidinančius šansus, kliūtis laimėti bei pagrindinius kandidatus, pretenduojančius į šį laimėjimą. Norint išvengti tokių prizų, svarbu suprasti, kad jau dabar yra galimybė veikti ir iš anksto įsivertinti savo organizacijos kibernetinio saugumo būklę, todėl kiekvienam įmonės atstovui domėtis TIS2 direktyva turėtų būti aktualu. „Dažniausiai apie kibernetinį saugumą pagalvojame tada, kai jau nukenčiame“ – sakė A. Aleknavičius.

Veiksmais, kurie turėtų padėti pasitikrinti, ar organizacija atitinka direktyvos nuostatas, su lankytojais pasidalino Edita Pulkauninkė – „Squalio Lietuva“ direktorė. Ji ypač akcentavo kibernetinio saugumo mokymų, leidžiančių  reguliariai edukuoti darbuotojus ne tik apie saugumo rizikas, bet ir apie reagavimo į incidentus metodus, svarbą. Pasiremdama Hermano Ebinghauzo tyrimais, atskleidusiais, kad žmonės greitai pamiršta praeitą informaciją, ypač jei jos nenaudoja ar neįdeda pastangų aktyviai atgaminti atmintyje, ekspertė akcentavo, jog darbuotojų žinios ir gerosios praktikos turi būti nuolat atnaujinamos bei pakartojamos pratimais. Juk visas kibernetinio saugumo užtikrinimo procesas prasideda nuo žmogaus ir kartu jis yra ir silpnoji jos grandis.

Saugumas prasideda nuo darbuotojo

Kadangi konferencijos metu daug kartų buvo akcentuojama, jog įmonės kibernetinio saugumo pamatas yra visi, nebūtinai IT departamentui priklausantys, darbuotojai, nemažai pranešimų sukosi aplink pastaruosius. Diskusijoje „Ignitis“ grupės skaitmeninės saugos vadovas Dr. Donatas Vitkus, Nacionalinės teismų administracijos IT vadovas Adrijus Mikuška, VU kibernetinio saugumo laboratorijos vadovas Linas Bukauskas bei ESET Lietuva vyr. kibernetinio saugumo inžinierius Ramūnas Liubertas aptarinėjo šių dienų trendą nuomotis IT darbuotojus. Samdytis šios srities profesionalus, nepriklausančius organizacijai, tam, kad jie atliktų auditą, yra ne tik vertinga, bet ir būtina, mat išoriniai žmonės įvertina įmonės saugumo būklę iš šalies. Jie gali pastebėti klaidas, kurias galbūt vidinis asmuo nusprendė nuslėpti, nenorėdamas priekaištauti bendradarbiui ar trokšdamas išvengti konflikto. Padarius analizę taip pat pastebima, kuri organizacijos IT sritis „šlubuoja“, kurioje trūksta specifinės kompetencijos, reikiamos trumpam laikui – ją būtent ir galėtų padengti pasamdytas darbuotojas. Diskusijos metu iškilus klausimui, kokios veiklos negalima būtų pateikti išorės ekspertams, buvo akcentuojama bendradarbiavimo svarba: reikia pasitikėti samdomaisiais bei pernelyg neriboti jų prieigos. Polemizuojantys ekspertai išryškino ir kibernetinio saugumo mokymų reikšmę – ne tik teorinių, bet ir praktinių.

Apie praktinę pusę informatyviai, bet kartu ir su humoru, konferencijos metu pakalbėjo RNDV įmonių grupės IT vadovas bei CIO.LT klubo narys Darius Želvys. Pastebėjęs, kad jeigu žmonėms mokymai pasirodo sausi ir nuobodūs, tokio ugdymo rezultatai yra menki, pranešėjas nusprendė atlikti socialinės inžinerijos eksperimentus ir savo darbuotojams siuntė duomenų viliojimo (angl. phishing) nuorodas, apsimesdamas tokiomis įmonėmis kaip „Swedbank“, „VMI“ ar „Maxima“. D. Želvys prezentaciją baigė anekdotu: „Vadovai skundžiasi, jog jie vis ugdo ir ugdo, o darbuotojai paima ir išeina. O aš jiems atsakau: „Įsivaizduokite, kas būtų, jei mes neugdytumėme ir jie pasiliktų?“

Nuolatinis mokymasis šiais laikais yra būtinybė

Kibernetinio saugumo tema šiandien išties yra aktuali labiau nei bet kada anksčiau. Tai yra ypač sparčiai besivystanti sritis, kuri nuolat tobulėja ir kinta, todėl negalima prarasti budrumo – reikia nuolatos sekti naujausias tendencijas.

Norinčius lavintis ir toliau gilinti savo žinias ESET Lietuva kviečia registruotis į vebinarus kibernetinio saugumo temomis: https://www.eset.com/lt/verslui/eset-pristatymai/.

Ačiū ESET Security Day 2023 konferencijos partneriams: „Squalio“, „TeraSky Baltic“, „NRD Cyber Security“, „Baltimax“, „Senhasegura“, „Proget“, „KnowBe4“, „CIO.lt“, „AON“, „Vilnius Coding School“, „Baltijos Kompiuterių Akademija“.

Renginio nuotraukas galite peržiūrėti paspaudus šią nuorodą: https://flic.kr/s/aHBqjAUreK

Kibernetinės atakos prieš automobilius dažnėja: kokios grėsmės ir kaip nuo jų apsisaugoti?

Kibernetinės atakos prieš automobilius dažnėja: kokios grėsmės ir kaip nuo jų apsisaugoti?

Šiuolaikinius automobilius dėl įdiegtų naujausių technologijų ir programinės įrangos galima palyginti su kompiuteriais. Daiktų interneto dalimi tapę nauji automobiliai yra patogesni vairuoti, be to, juose įdiegiama vis daugiau su pramogomis susijusių funkcijų, kurios gali tapti ir kibernetinių atakų taikiniu.

„Automobilių kibernetinis saugumas kelia vis didesnių iššūkių, į kurių sprendimą automobilių bei jų detalių gamintojai investuoja daug pinigų ir laiko“, – sako automobilių kibernetinio saugumo specialistė Agnė Marija Bučytė, kuri apie aktualias automobilių kibernetinio saugumo problemas kalbės rugsėjo 7 dieną vyksiančioje kibernetinio saugumo konferencijoje „ESET Security Day“.

A. M. Bučytės teigimu, norint įsilaužti į automobilį, nebūtina turėti fizinę prieigą prie automobilio. Sparčiai auga nuotolinių kibernetinių atakų prieš automobilius skaičius. Pavyzdžiui, įsilaužimų į automobilius per API 2022 metais visame pasaulyje šoktelėjo net 380 proc. Nuotoliniu būdu automobilį galima atrakinti ir užrakinti, įjungti arba išjungti jo variklį. Kad būtų padaryta didelė žala, net nebūtina perimti automobilio vairą ar greičio kontrolę – avarinę situaciją galima sukelti ir perėmus automobilio muziką ar garsą ir taip sutrikdžius vairuotoją.

Ataką galima surengti paprastomis priemonėmis

Specialistė neigia mitą, kad, norint įsilaužti į automobilius, reikia specifinių žinių ir sudėtingos įrangos. A. M. Bučytės teigimu, saugiai neturėtų jaustis nė vieno modernaus automobilio vairuotojas, o fizinę ataką galima surengti naudojant visai paprastas ir prieinamas priemones, tokias kaip atsuktuvas ir USB jungtis.

„Praėjusiais metais tapo žinoma apie didžiulį „Hyundai“ ir KIA automobilių pažeidžiamumą, dėl kurio, naudojant tik atsuktuvą ir USB jungtį, automobilį galima užvesti ir juo nuvažiuoti. Paaiškėjo, kad šį pažeidžiamumą turi apie 3,8 mln. „Hyunday“ ir 4,5 mln. KIA automobilių. Skaičiuojama, kad dėl tokių įsilaužimų įvyko mažiausiai 14 automobilių avarijų, žuvo aštuoni žmonės“, – pasakoja A. M. Bučytė.

Ji pamini kitą paprastą, bet tarp įsilaužėlių paplitusią priemonę – vadinamąjį „Flipper Zero“ įrenginį, kuris kainuoja iki 200 JAV dolerių. Šis įrankis leidžia per tam tikrą ribotą atstumą „pagauti“ ir įrašyti užrakinamo arba atrakinamo automobilio dažnį. Vėliau, naudojant įrašytą dažnį, įmanoma įsilaužti į kai kuriuos automobilius ir juos apiplėšti.

Taikinys – ir elektromobilių krovimo stotelės

Sparčiai populiarėjant elektromobiliams, kibernetinio saugumo ekspertai atlieka daug bandymų, siekdami rasti galimus pažeidžiamumus ir užkirsti jiems kelią. Dėmesys skiriamas ne tik patiems elektromobiliams, bet ir krovimosi stotelėms baiminantis, kad ateityje jos taip pat gali tapti kibernetinių įsilaužėlių taikiniais.

2022 m. balandį Oksfordo universiteto ir „Armasuisse“ tyrėjai pranešė radę naują galimą atakos būdą, pavadintą „Brokenwire“, kuris leidžia nuotoliniu būdu sutrikdyti elektromobilių įkrovimą CCS tipo stotelėse. Tokias atakas galima įvykdyti per atstumą, siunčiant signalus, sukeliančius elektromagnetinius trukdžius, todėl vienu metu būtų sutrikdytas ne vieno elektromobilio įkrovimas.

„Elektromobiliai yra santykinai naujas dalykas, todėl gali būti, kad kai kurių grėsmių kol kas nežinome. Tačiau mokslininkų bandymai rodo, kad tam tikras atakas įmanoma įvykdyti jau dabar. Vienais atvejais, sutrikdžius elektromobilio krovimą, tik pailgėtų krovimo procesas, tačiau jei, pavyzdžiui, būtų nutrauktas greitosios pagalbos automobilio įkrovimas ir paaiškėtų, kad jis tėra įkrautas 10 ar 20 proc., o važiuoti reiktų toli, iškiltų reali grėsmė žmogaus gyvybei. Tokie pavyzdžiai ne tik skatina krovimo stotelių gamintojus tobulinti įrangą, bet ir ragina elektromobilių vairuotojus jau dabar gyvai arba per mobiliąją programėlę dažniau patikrinti, kaip vyksta automobilio įkrovimo procesas“, – kalba A. M. Bučytė.

Kaip išvengti kibernetinės atakos

Automobilių kibernetinio saugumo specialistė juokauja, kad ateityje saugiai jaustis savo automobilyje galės tik automobilių be jokios elektronikos, užvedamų paprastu rakteliu, vairuotojai. Kadangi daugelis mūsų vairuoja modernesnius automobilius, A. M. Bučytė pirmiausia rekomenduoja naudoti tik patikimą įrangą bei detales ir reguliariai, laikantis gamintojų rekomendacijų, atnaujinti automobilių programinę įrangą.

„Naudodami nepatikimą trečiųjų šalių tiekėjų įrangą negalėsime būti tikri, ar joje nebuvo įrašyta kokia nors kenkėjiška programa, kuri, mums neįtariant, galėtų išjungti svarbias automobilio funkcijas, pavyzdžiui, oro pagalvių veikimą.

Taip pat labai svarbu naudoti pačią naujausią programinės įrangos versiją. Prisijungę prie Wi-Fi nepatingėkite luktelti, kol atsinaujins programinės įranga. Programų atnaujinimai atliekami ne be reikalo  – jie ištaiso įvairias spragas ir pažeidžiamumus bei gali padėti išvengti kibernetinės atakos“, – pataria A. M. Bučytė.

Automobilio raktelius ekspertė pataria laikyti faradėjaus medžiagos dėkle. Tai paprasta, bet veiksminga priemonė, kuri gali padėti apsisaugoti nuo automobilio raktelio signalo įrašymo. Taip pat A. M. Bučytė pataria sekti naujausią informaciją apie automobilių saugumą ir pastebėtus automobilių pažeidžiamumus. O jeigu atakos išvengti nepavyktų, specialistė visada pataria būti įsirengus automobilyje sekimo prietaisą, kad dingusį automobilį būtų galima susekti.