Maža įmonė po kibernetinės atakos gali bankrutuoti tyliai. Didelė institucija – ne. Kai nukenčia bankas, energetikos bendrovė ar valstybinė įstaiga, tai žino visi. Žiniasklaida, reguliatoriai, klientai. Ir pasekmės matuojamos ne tik pinigais.
Didelės organizacijos susiduria su fundamentaliai kitokiais iššūkiais. Sudėtingesnė infrastruktūra, griežtesni reikalavimai, didesnis viešas dėmesys. Čia klaidos kaina – ne tik finansinė, bet ir politinė.
Reguliacinė realybė
Europos Sąjungos NIS2 direktyva, įsigaliojusi 2024 metais, pakeitė žaidimo taisykles. Kritinės infrastruktūros operatoriai, viešojo administravimo subjektai, sveikatos priežiūros įstaigos, finansų sektorius – visi dabar privalo atitikti griežtus saugumo standartus.
Neatitikimas – ne tik teorinė rizika. Baudos siekia iki 10 milijonų eurų arba 2 procentus metinės apyvartos. Vadovams gresia asmeninė atsakomybė. Reguliatoriai turi teisę atlikti patikrinimus bet kuriuo metu.
Tai nebėra klausimas „ar investuoti į saugumą”. Klausimas – kaip tai padaryti efektyviai, nepaskęstant biurokratijoje ir nepraleidžiant realių grėsmių.
Sudėtingumo prakeikimas
Didelės organizacijos auga organiškai. Sistema prijungiama prie sistemos, sprendimas lipdomas ant sprendimo. Po dešimties metų niekas tiksliai nežino, kas su kuo susiję ir kur slypi silpnosios vietos.
Legacy sistemos – atskira galvos skausmo kategorija. Kritiniai procesai veikia ant programinės įrangos, kuri nebeatnaujinama nuo 2015 metų. Pakeisti – brangus ir rizikingas projektas. Palikti – nuolatinė saugumo spraga.
Tokioje aplinkoje kibernetinis saugumas reikalauja sisteminio požiūrio. Ne pavienių sprendimų, o išsamios architektūros, apimančios visus sluoksnius – nuo darbuotojų kompiuterių iki duomenų centrų.
Vidinė grėsmė – nepopuliarus pokalbis
Apie išorines atakas kalbėti lengva. Apie vidines – nemalonu. Tačiau statistika negailestinga: reikšminga dalis duomenų nutekėjimų įvyksta dėl dabartinių ar buvusių darbuotojų veiksmų. Ne visada tyčinių – dažnai tiesiog neatsargių.
Didelėse organizacijose šimtai ar tūkstančiai žmonių turi prieigą prie jautrios informacijos. Kiekvienas – potencialus rizikos taškas. Ne todėl, kad būtų blogi žmonės, o todėl, kad žmonės klysta. Persiunčia dokumentą ne tam adresatui. Palieka laptopą kavinėje. Naudoja tą patį slaptažodį visur.
Prieigos valdymas, veiksmų auditas, anomalijų stebėsena – tai ne nepasitikėjimas darbuotojais. Tai profesionali higiena, būtina bet kuriai organizacijai, valdančiai jautrius duomenis.
Tiekimo grandinės spąstai
Jūsų organizacija gali būti saugi. Bet ar saugūs jūsų tiekėjai? Rangovai? IT partneriai, turintys prieigą prie jūsų sistemų?
SolarWinds ataka 2020 metais parodė, kaip vienas kompromituotas tiekėjas gali atverti duris į tūkstančius organizacijų. Programinės įrangos atnaujinimas, kuriuo visi pasitikėjo, tapo Trojos arkliu.
Didelės institucijos privalo vertinti ne tik savo saugumą, bet ir visos ekosistemos. Tiekėjų auditai, sutartiniai saugumo reikalavimai, prieigos ribojimai. Tai biurokratija, kuri gali išgelbėti.
Incidentų valdymas – kai laikas skaičiuojamas minutėmis
Mažoje įmonėje krizė – tai savininkas, kuris nežino ką daryti. Didelėje organizacijoje krizė – tai dešimtys žmonių, kurie turi veikti sinchroniškai pagal iš anksto paruoštą planą.
Kas praneša vadovybei? Kas bendrauja su žiniasklaida? Kas koordinuoja techninius veiksmus? Kas informuoja reguliatorius? Per BDAR organizacija privalo pranešti apie duomenų pažeidimą per 72 valandas. Tai ne laikas improvizuoti.
Incidentų valdymo planai, reguliarios pratybos, aiškiai paskirstytos atsakomybės – tai investicija, kuri atrodo nereikalinga, kol jos neprireikia. O kai prireikia – ji neįkainojama.
Nepertraukiamas veikimas
Ligoninė negali sustoti. Elektros tinklai negali sustoti. Mokėjimų sistema negali sustoti. Kai infrastruktūra kritinė, prastova matuojama ne nuostoliais, o žalos mastais.
Patikimos serverių priežiūros paslaugos tokioms organizacijoms – ne pasirinkimas, o būtinybė. Tai apima ne tik techninę priežiūrą, bet ir atsarginius scenarijus, gedimų toleranciją, greito atkūrimo galimybes.
Kiek laiko jūsų organizacija gali veikti be pagrindinių sistemų? Valandą? Dieną? Jei atsakymas neaiškus – tai jau problema.
Kompetencijų iššūkis
Kibernetinio saugumo specialistų trūkumas – globali problema. Lietuvoje ji dar aštresnė. Kvalifikuotų ekspertų paklausa viršija pasiūlą kelis kartus.
Didelės organizacijos konkuruoja dėl tų pačių talentų. Algos auga, bet žmonių vis tiek trūksta. Alternatyva – išoriniai partneriai, galintys užtikrinti kompetenciją, kurios neįmanoma sukaupti viduje.
Tai ne silpnybės pripažinimas. Tai racionalus išteklių valdymas. Net didžiausios pasaulio korporacijos naudoja išorines ekspertizes saugumo srityje – nes grėsmių laukas keičiasi greičiau nei bet kuri vidinė komanda gali sekti.
Strateginis požiūris
Institucijoms ir didelėms įmonėms saugumas negali būti reaktyvus. Negali būti „ugnies gesinimas”. Turi būti strategija, integruota į bendrą organizacijos valdymą.
Valdybos lygiu – rizikų supratimas ir resursų skyrimas. Vadovų lygiu – procesų diegimas ir kultūros formavimas. Operaciniu lygiu – kasdienė stebėsena ir greita reakcija.
Kai šie trys lygiai veikia kartu – organizacija tampa atspari. Ne neįveikiama – tokių nėra. Bet pakankamai atspari, kad atlaikytų daugumą grėsmių ir greitai atsigautų nuo tų, kurios prasiveržia.
Klausimas vadovybei
Ar jūsų organizacija yra pasiruošusi ne klausimui „ar nutiks incidentas”, o klausimui „kada nutiks incidentas”? Nes statistiškai – nutiks. Skirtumas tik tai, ar būsite pasiruošę, ar ne.
