Priešingai įprastai nuomonei, kad kibernetiniai nusikaltėliai pirmiausia taikosi į dideles korporacijas, iš tiesų vienodą riziką patiria tiek didelės įmonės, tiek smulkusis verslas. Skirtumas tas, kad kol korporacijos gali investuoti į visą kibernetinio saugumo infrastruktūrą, vidutinio dydžio ar mažos įmonės šiai sričiai skiria mažiau dėmesio arba saugumo priemonėmis nepasirūpina visai. Anot eksperto, vertinant modernių atakų tobulėjimą ir galimas pasekmės, verslas turėtų pasirūpinti kibernetiniu saugumu iš anksto.
Kodėl verslas nepasirūpina saugumu?
Raimondas Mikalajūnas, „Tele2“ verslo projektų vadovas, sako, kad tai, jog kibernetiniam saugumui skiriama per mažai resursų, lemia kelios priežastys. Pirmiausiai, vis dar vyrauja klaidinga nuomonė, kad programišiai taikosi tik į stambias įmones. Naujausi pasauliniai tyrimai rodo, kad daugiau nei pusė kibernetinių atakų yra nutaikytos į vidutinio dydžio ir mažas įmones bei jų darbuotojus.
„Mažesnių įmonių savininkai dažnai nesuvokia, kokie pažeidžiami yra kibernetiniams nusikaltimams. Kibernetiniai sukčiai vis dažniau taikosi į mažąsias įmones, nes jos turi ribotus išteklius ir dažnu atveju nediegia pažangių kibernetinio saugumo priemonių. Mažesnės įmonės taip pat rečiau apmoko savo darbuotojus, kaip atpažinti programišių atakas, todėl šie yra labiau pažeidžiami, kas kenkia ir bendram įmonės saugumui“, – sako R. Mikalajūnas.
Antroji priežastis, priduria ekspertas, yra ta, kad įmonės kibernetinio saugumo strategijos kūrimas – ilgas ir brangus procesas. Bendrovėms tenka kurti atskirą departamentą, samdyti šios srities specialistus, kurti visą informacinių technologijų infrastruktūrą, kas kainuoja tūkstančius eurų.
„Kai esi, pavyzdžiui, tarptautinė korporacija, tokios sumos neatrodo labai didelės ir jau yra tapusios savotiška verslo „higiena“. Tačiau vidutinio ar mažo verslo savininkams tokios investicijos yra labai skaudžios ar net neįmanomos“, – tikina jis.
Vis dėlto, aplaidumas gali kainuoti dar daugiau – kibernetinių atakų padariniai kai kurioms įmonėms gali būti itin nuostolingi. Tai gali būti finansiniai nuostoliai, ilgalaikės prastovos, klientų pasitikėjimo praradimas ir ilgalaikė žala reputacijai – visa tai gali lemti net verslo žlugimą.
Remiantis bendrovės „IBM“ 2022 m. duomenų saugumo pažeidimo ataskaita, vidutinis sėkmingos kibernetinės atakos nuostolis verslui yra 4,35 mln. JAV dolerių, o jei verslas veikia pačiose Jungtinėse Amerikos Valstijose, šis skaičius išauga daugiau nei dvigubai. Tad akivaizdu, kad, nepaisant įmonės dydžio, vis tiek būtina apsaugoti jautrią informaciją ir užtikrinti sklandžią veiklą.
Reikalauja išpirkos, pasisavina pinigus
Dažniausiai pasitaiko kelios kibernetinių nusikaltimų, nukreiptų į vidutines ir mažas įmones, rūšys. Vienos populiariausių – išpirkos reikalaujančios programos (angl. „Ransomware“). Tai kenkėjiškos programinės įrangos rūšis, kuria naudodamiesi sukčiai užšifruoja aukos duomenis ir reikalauja išpirkos mainais už iššifravimo raktą. JAV 2021 m. atliktas tyrimas parodė, kad net 70 proc. tokių atakų buvo nukreiptos būtent į mažąsias ir vidutines įmones.
Dar viena dažnai pasitaikanti kibernetinė grėsmė – verslo el. pašto pažeidimas (angl. „BEC“). Šios atakos būna nukreiptos prieš darbuotojus, turinčius prieigą prie įmonės finansų ar slaptos informacijos. Kibernetiniai nusikaltėliai dažnai apsimeta aukšto lygio vadovu ir prašo pervesti pinigų arba suteikti konfidencialios informacijos. 2020 m. pabaigoje nuo „BEC“ atakos nukentėjo JAV benamių labdaros organizacija „One Treasure Island“, kuri prarado daugiau kaip 650 tūkst. JAV dolerių. Apsimetę teisėtais partneriais, įsilaužėliai sėkmingai pavogė milžinišką sumą pinigų, o labdaros organizacija neturėjo jokių teisinių gynimo priemonių.
Trečia dažniausiai pasitaikanti sukčių priemonė – internetinių slaptažodžių atakos. Bendrovės „Verizon“ tyrimas parodė, kad daugiau kaip 80 proc. visų sėkmingų įsilaužimų įvyksta praradus prisijungimo duomenis. Kibernetiniai nusikaltėliai naudoja įvairius metodus, kad gautų prieigą prie prisijungimo duomenų, o tam pasitelkia įvairius metodus, pavyzdžiui, „fišingą“ (angl. „phishing“). Turėdami naudotojo duomenis, nusikaltėliai gali gauti prieigą prie slaptos informacijos ar net finansų.
Kaip apsisaugoti?
Pasak R. Mikalajūno, turėdamos reagavimo į incidentus planą, mažesnės įmonės gali padidinti savo kibernetinį atsparumą, o tam nebūtinai prireiks milžiniško biudžeto. Ekspertas teigia, kad kiekvienas verslas turėtų pirmiausia pasirūpinti kibernetinio saugumo strategija: „Gerai apibrėžta kibernetinio saugumo strategija suteikia holistinį požiūrį į organizacijos saugumo padėtį, įvertina grėsmių aplinką ir prieinamus skaitmeninius išteklius, apibrėžia apsaugos priemones. Svarbu, kad kibernetinio saugumo strategija būtų išsami, lanksti ir pritaikoma, atsižvelgiant į nuolat kintantį kibernetinių grėsmių pobūdį.“
Pasak jo, yra keli žingsniai, kuriuos be didelių investicijų gali savo veikloje praktikuoti vidutinio dydžio ir mažosios įmonės:
1. Reguliariai rengiami darbuotojų mokymai. Būtina reguliariai apmokyti savo darbuotojus, kaip atpažinti ir reaguoti į galimas kibernetines atakas, taip pat kaip sukurti saugius slaptažodžių ir el. pašto apsaugą. Kibernetinio saugumo aplinka nuolat keičiasi, todėl laiku edukuoti savo komandos narius yra itin svarbu.
2. Kelių žingsnių autentiškumo patvirtinimas. Sudėtingo slaptažodžio ne visuomet pakanka apsiginti nuo programišių. Kelių žingsnių autentifikavimas suteikia papildomą saugumo lygmenį, nes naudotojai, norėdami prisijungti prie sistemų ar informacijos, privalo pateikti daugiau nei vieną identifikavimo įrodymą.
3. VPN. Įmonės išteklius gali apsaugoti virtualus privatus tinklas – VPN. Tai ne tik veiksminga, bet ir paprasta naudoti priemonė. Naudojant VPN sukuriamas privatus šifruotas tinklas, per kurį naudotojo įrenginys gali pasiekti internetą, o jo asmeninė informacija, buvimo vieta ir kiti duomenys slepiami.
4. Nuolat atnaujinama programinė įranga. Svarbu nepraleisti reguliarių techninės ir programinės įrangos saugumo atnaujinimų. Kibernetiniai nusikaltėliai dažnai pasinaudoja pasenusios programinės įrangos pažeidžiamumais, kad gautų prieigą prie jautrių sistemų ar duomenų.
5. Investicijos į išorės įrankius. Įmonėms, kurios pačios negali sukurti kibernetinio saugumo, gali išbandyti technologijų verslo siūlomus įrankius. Pavyzdžiui, „Tele2“ paslauga „Interneto apsauga PRO“ padeda apsaugoti įmonės įrenginius nuo potencialių įsilaužėlių veiksmų, duomenų vagystės, gali aptikti įtartiną arba kenksmingą veiklą. Paslauga susideda iš penkių skirtingų saugumą tinkle užtikrinančių dalių: ugniasienės, įsilaužimo aptikimo ir įsilaužimo užkardymo sistemų, interneto adresų filtravimo, programėlių naudojimo filtravimo ir statinio IP adreso.
6. Reagavimo į incidentus planavimas. Nors svarbu imtis prevencinių priemonių, įmonių savininkai taip pat turėtų turėti reagavimo į incidentus planą tam atvejui, jei kibernetinė ataka vis dėlto įvyktų (o šiais laikais ji beveik neabejotinai įvyks).
„Verslas, kuris rūpinasi kibernetiniu saugumu, daug išlošia. Tai užtikrina sklandesnį verslo tęstinumą, konfidencialios, jautrios klientų informacijos apsaugą, suteikia didesnį klientų pasitikėjimą ir geresnę prekės ženklo reputaciją. Be to, nors iš pradžių reikalauja bent minimalių investicijų, vėliau padeda verslui sutaupyti pinigų kibernetinių atakų žalos ištaisymui“, – sako R. Mikalajūnas.
Pranešimą paskelbė: Gertrūda Stripeikytė, UAB „Publicum”