Živilė Simonaitytė

Živilė Simonaitytė

Živilė Simonaitytė. Trys svarbiausi aspektai nuo ko pradėti, siekiant padidinti įmonės IT saugą

Publikuota: 2022-10-07

Skaitmeninio pasaulio rizikos – kodėl už tai negali būti atsakingi tik IT specialistai?

 

 

Duomenys yra šių laikų auksas. Kiekviena organizacija turi svarbios informacijos, kurios apsauga tampa kritiškai svarbi. Žiniasklaidoje vis pasigirsta atvejų apie vienos ar kitos organizacijos informacinių sistemų užblokavimą, sugadinimą ar išpirkos už duomenis reikalavimą. Šiandieniniame skaitmeniniame pasaulyje niekas negali būti visiškai ramus dėl savo saugumo – nebegalime gyventi be informacinių technologijų, tačiau saugumo pažeidimo rizika vis auga. Taigi, ką svarbiausia žinoti įmonių atstovams, norint užtikrinti duomenų saugumą?

Ar esate užtikrinti, kad jūsų įmonės darbuotojai neapmokės sukčių atsiųstos fiktyvios sąskaitos ar nepaspaus ant nuorodos, kuri nuves į visos organizacijos tinklo užkrėtimą? Ar ėmėtės bent elementariausių saugumo priemonių, kad taip nenutiktų?

Ką daryti organizacijai, kuri negali investuoti daug lėšų, samdant IT specialistus ar perkant atitinkamas paslaugas? O net jei ir gali, galbūt visgi verta pasidaryti elementarių „švaros“ namų darbų, kurie saugumą tik padidins?

Yra toks posakis: „Ką reikia padaryti norint suvalgyti dramblį? Reikia jį valgyti po vieną kąsnį iš eilės“. Taip ir su skaitmenine sauga – norint pradėti ją didinti, reikia keliauti po vieną žingsnelį. O nuo kurios kojos žengti – reikia apsispręsti patiems. IT pasaulyje yra trys pagrindiniai elementai, kurie reikalingi bet kokios skaitmeninės informacijos kaupimui, apdorojimui, panaudojimui ir apsaugai:

• Techninė įranga (angl. hardware) – kompiuteriai, serveriai, jungtys ir visa kita technika;
• Programinė įranga (angl. software) – programos, kurios užtikrina jūsų darbą;
• Žmogus (angl. humanware) – jungtis tarp pirmų dviejų.

Techninė įranga
Dažnai įmonėms rizikos, susijusios su technine įranga, atrodo pakankamai menkos („Na ir kas, kad prarasime vieną ar kitą kompiuterį ar telefoną, juk šiais laikais jie nekainuoja tiek daug“), tačiau ir jos gali sukelti nemenkų problemų. Pavyzdžiui, prarastame įrenginyje gali būti jautrių duomenų arba naudojantis jame esančiais prisijungimais galima pasiekti vidines jūsų įmonės sistemas.

Jei sakote, kad tai jums neaktualu, prisiminkite prieš kelis metus Vilnių nuplovusią liūtį, kuri užtvindė Registrų centro serverius. Daugumos jų sistemų veikla buvo sutrikdyta keletui dienų, o atstatyti e. sveikatą prireikė daugiau nei savaitės.

Ar jūsų technika apsaugota nuo galimų panašių nelaimių? Ar jūsų įmonė galėtų veikti be kurių nors duomenų savaitę? Ar turėtumėte galimybę prarastus duomenis atstatyti? Jei nors iš vieną iš šių klausimų atsakėte neigiamai, tikrai reiktų pagalvoti apie techninės įrangos fizinės apsaugos pagerinimą.

Programinė įranga

Internete galima rasti daugybę tekstų su pavyzdžiais ir sąrašais apie kibernetines rizikas – bandymas „pagauti“ patiklius vartotojus (angl. phishing), DDoS atakos, kenkėjiškos programos (angl. malware) ir pan. Ir nors pavyzdžių, aprašymų ir net patarimų daugybė, ką daryti tiems, kurie nėra IT specialistai – nėra labai aišku. Be to, reikia pripažinti, kad žmogus, kuris nėra IT specialistas, nelabai ką ir pakeis. Tai ką gi daryti?

Visas skaitmenines grėsmes, kurios susijusios su programine įranga, galima skirstyti į dvi grupes – tas, kurioms nereikia vidinių vartotojų pagalbos ir tas, kurioms jų reikia. Pirmajai grupei priskirtinos tokios grėsmės kaip DDoS atakos, kur programišiai, pasirinkę jus atakai, specialiai tą daro – ir taip, tokiu atveju jums reikės patyrusio IT specialisto pagalbos.

Tuo tarpu antrajai grupei reikia, kad jūsų darbuotojas, klientas ar kitas prie vidinių sistemų prieinantis žmogus kažką paspaustų, atsidarytų ar persiųstų. Galime didinti vidinių vartotojų sąmoningumą to nedaryti. Būtent čia ir reikia trečio elemento – žmogaus.

Žmogus

IT specialistai, kalbėdami apie skaitmenines grėsmes, dažniausiai pamiršta patį svarbiausią elementą – tai žmogų, kuris ir būna tas, kuris pameta įmonės įrangą ar paspaudžia nesaugų el. laišką. Jei darbuotojas nesaugos jam išduotos įrangos, nuo to neapsaugos joks geriausias informatikas ar pati griežčiausia materialiai atsakingų asmenų sistema.

Jei darbuotojas vaikščios po neaiškios kilmės tinklapius – to nedaryti jam nepadės jokia sistema. Ir taip, žinoma, mes galime uždrausti (bent daliai) darbuotojų pasiekti tam tikrus tinklapius, sukurti neviešas interneto prieigas, imtis visų kitų rekomenduojamų saugumo priemonių, tačiau tik darbuotojų nuolatinis ugdymas ir jų kritinis mąstymas gali padėti apsisaugoti nuo to, apie ką informatikas net nepagalvotų.

Tai ką gi daryti? Turime suprasti, kad be skaitmeninio pasaulio ateityje nebegyvensime ir ne tik skaitmeninis raštingumas, bet ir kasdieninis skaitmeninis budrumas bus mūsų kasdienybė, todėl turime nuolatos to mokytis ir būti pasirengę gyventi kitaip.

 

Skaitmeninio pasaulio rizikos – kodėl už tai negali būti atsakingi tik IT specialistai?