Kibernetinių grėsmių augimas: kaip išlikti budriems? 

2022 02 23

Autorius: Tomas Stamulis

Kibernetinių nusikaltėlių atakos nuolat tobulėja ir darosi vis sunkiau aptinkamos. Taip pat kibernetiniai išpuoliai virsta nauju metodu siekiant padaryti poveikį pasitelkiant informacines technologijas, o neretai žmogiškosios klaidos tampa pagrindine kibernetinių atakų priežastimi. Pastarosios grėsmės galima išvengti imantis kelių paprastų prevencinių veiksmų. 

Tad aptardami esminius žmogiškųjų klaidų tipus, šiame blogo įraše pristatysime, kaip užtikrinti elementarią informacijos saugumo higieną bei kokių veiksmų imtis, jei nuo kibernetinės atakos nepavyko apsisaugoti. 

Darbuotojų žmogiškoji klaida 

Apgauti žmogų yra daug lengviau nei ugniasienę, antivirusinę ar kitą saugumo įrankį. Dažnai žmonės patiki ar netinkamai įvertina el. laiške, pranešime nusikaltėlio pateiktą informaciją ir pradeda vykdyti nurodymus. Tiek pasaulinė, tiek Lietuvos praktika rodo, kad atsiranda vis daugiau atvejų apie pervestas įvairias pinigų sumas, kai buvo pateikti prisijungimų duomenys arba užšifruotą informaciją, kai buvo paspausta ant failo. 

Norėdami išvengti skaudžių nesėkmių, svarbu pradėti atsakingai elgtis, gerbti ne tik savo, bet ir kitų duomenis, informaciją ar veiklą. Taip pat reikalinga laikytis įmonėje nustatytų procesų ir vykdyti savo pareigas, o pastebėjus galimus saugumo neatitikimus bei grėsmes, svarbu ne ignoruoti, o nedelsiant informuoti atsakingus asmenis. 

Informacijos saugumo kontekste kaip niekur kitur yra patartina mokytis iš svetimų, o ne savų, klaidų. Jei pastebėjote informaciją apie pažeidžiamumą, nedelsiant įvertinkite, ar pas jus jo nėra. Jei pažeidžiamumas aktualus, imkitės pateiktų rekomendacijų jo pašalinimui ir nelaukite, kol nusikaltėliai bandys juo pasinaudoti. Dažnai pastebime, kad į pažeidžiamumus reaguoja darbuotojai ne tada, kai apie juos paskelbia, o tada kai kitos įmonės patiria kibernetines atakas pasinaudojus pažeidžiamumu. 

Ignoruojant saugumo rekomendacijas galime sugaišti nemažai laiko ir pastangų siekiant susigrąžinti klientų ar partnerių pasitikėjimą, atkurti reputaciją bei atstatyti įmonės veiklą. 

IT sistemų administratorių žmogiškoji klaida 

Prasta programinės įrangos priežiūra – kelias į nuolatinius pažeidžiamumus. Jei IT komanda tinkamai atlieka savo funkcijas, tai IT įranga bei įvairios aplikacijos neturės saugumo spragų arba nusikaltėliams reikės labai pasistengti siekiant įvykdyti įsilaužimą.  

Nei vienas nesame apsaugoti nuo to, kad mūsų duomenys ar veikla nukentės dėl netinkamų trečiųjų šalių veiksmų.  

Dėl šios priežasties yra ne tik labai svarbu sutartyse nustatyti įsipareigojimus ar atsakomybes, bet ir realiai įvertinti, ar mūsų partneriai, rangovai tinkamai apsaugo mūsų duomenis: ar jų kuriami, parduodami produktai atitinka mūsų lūkesčius ir reikalavimus saugumui? 

Kaip apsisaugoti nuo kibernetinių išpuolių?  

Pagrindinis dalykas – užtikrinkite elementarią kibernetinio saugumo higieną, tinkamai valdykite prieigas, pasirūpinkite atsarginėmis kopijomis ir reguliariai vertinkite saugumo situaciją ir naudojamų saugumo priemonių efektyvumą. 

Žemiau pateikiami paprasti, tačiau universalūs patarimai, kurių laikytis privalu, siekiant sumažinti kibernetinių grėsmių tikimybę iki minimumo: 

  • Laiku atnaujinkite organizacijos naudojamą programinę įrangą bei reguliariai atlikite saugumo pataisymus ir atnaujinimus.  
  • Periodiškai, kas pusmetį ar dažniau, atlikite įsilaužimo testavimo, rizikų vertinimo bei saugos vertinimo veiklas. Tai atlikdami patys galite nustebti sužinoję silpnąsias įmonės naudojamų sistemų vietas. Į jas tiesiog gali būti neatkreiptas dėmesys ar rizika nuvertinta. Geriausia, jei rizikos vertinimą atliktų išoriniai partneriai, bet ne įmonės vidaus IT skyriaus kolegos. 
  • Atsižvelgiant į rizikų vertinimo rezultatus, įdiekite būtinas saugumo priemones, reikalingas apsaugoti svarbiausią įmonės informaciją. 
  • Naudokite patys ir skatinkite kolegas naudoti saugius slaptažodžius, periodiškai juos keiskite. Jei sunku atsiminti slaptažodžius, naudokite slaptažodžių tvarkykles, o ne silpnus slaptažodžius ar vieną slaptažodį visoms sistemoms. 

Skaičiuojama, jog vienas interneto vartotojas turi apie 80 paskyrų internete, kurių slaptažodžių atsiminti tiesiog neįmanoma. Kurdami slaptažodžius, vartotojai neretai nepersistengia ir dažnai naudoja paprastas skaičių sekas, savo vardą arba kitokį lengvai atspėjamą žodį.  

Kurkite skirtingus slaptažodžius ar naudokitės įrankiais, padedančiais kurti skirtingus slaptažodžius. Tinkamai apsaugodami skirtingas paskyras, saugome save nuo nemalonumų ateityje. Jei tvarkingų interneto vartotojų bus daugiau, įsilaužėlių darbas taps kur kas sudėtingesnis. 

Kaip elgtis, jei kibernetinės atakos išvengti nepavyko?  

Tuo atveju, jei programišiai vis tik įgyvendino kibernetinę ataką, ypatingai svarbu vykdyti efektyvų veiksmų planą siekiant užkirsti kelią pakartotiniams išpuoliams. Vieni svarbiausių patarimų yra pateikiami žemiau:

  • Darbuotojų švietimas informacijos saugumo tema. Įsitikinkite, jog įmonės darbuotojai yra informuoti apie tai, kaip tinkamai elgtis naudojantis kompiuterine įranga bei internetu. Ypatingai – dirbant namuose ar hibridiniu būdu. Inicijuokite darbuotojams mokymus apie duomenų apsaugą ir prevencinius veiksmus, kaip reikėtų išvengti kibernetinių incidentų. Labai dažnai saugumo problemos prasideda ne nuo sisteminių klaidų, bet nuo žmogiškojo faktoriaus. Kiekvienas darbuotojas turi žinoti, kaip identifikuoti saugumo spragas dar prieš tai padarant piktavaliams programišiams. 
  • Operatyvi reakcija į kibernetinį išpuolį. Pastebėjus kibernetinę ataką, jei esate įmonės darbuotojas, informuokite apie tai vadovus. Jei esate įmonės vadovas, net ir esant nedidelei atakai, apie ją praneškite Nacionaliniam kibernetinio saugumo centrui. 

Bet kuriuo atveju, kuo ankščiau bus pradėta imtis veiksmų siekiant užtikrinti tinkamą informacijos saugumo lygį, tuo labiau sumažinsite kibernetinės atakos tikimybę arba bent jos sukeliamą žalą.  

Jei norite užtikrinti gerąsias informacijos saugumo praktikas savo įmonėje, bet nežinote nuo ko pradėti ar norite pasikonsultuoti konkrečiais klausimais, esame pasiruošę jums padėti. Susisiekite su „Baltic Amadeus“ komanda jau dabar. 

Užtikrinkinte būtinas saugumo praktikas savo versle SUSISIEKITE >