Daugelyje organizacijų kibernetinis saugumas vis dar paliekamas tik IT skyriui, nors be vadovo įsitraukimo neįmanoma užtikrinti tikrojo atsparumo. Nuo vadovo sprendimų priklauso, ar įmonė sugebės apsiginti ne tik nuo galimų finansinių baudų, bet ir nuo kur kas skaudesnių pasekmių. Ką reiškia vadovo atsakomybė, kodėl technologijos neveikia be kultūrinio pokyčio ir kokie praktiniai žingsniai lemia realų atsparumą, aiškina teisės firmos „Sorainen“ ekspertė Irma Kunickė.
Pastaraisiais metais kibernetinės grėsmės tapo daug skaudesnės. Anksčiau atakos dažniausiai būdavo gana primityvios, o šiandien jos vis sudėtingesnės ir dažnai kuriamos pasitelkiant dirbtinį intelektą. Tai reiškia, kad rizikos tampa tiesiogiai susijusios su organizacijos kultūra, procesais ir darbuotojų gebėjimu atpažinti pavojus.
„Anksčiau dažnai būdavo nesunku suprasti, kad gautas laiškas – sukčių darbas. Dabar jie atrodo taip tikroviškai, kad net patyrę specialistai ne visuomet atskiria, kas tikra. Grėsmės tobulėja, tačiau pagrindinis incidentų veiksnys vis dar yra žmogus. Statistika rodo, kad spragos dažniausiai atsiranda ne dėl technologijų, o dėl žmonių sprendimų“, – sako I. Kunickė.
Nors rizikos akivaizdžios, daugelyje įmonių kibernetinis saugumas vis dar laikomas tik technine IT skyriaus funkcija, o ne vadovo atsakomybe. Pasak I. Kunickės, tai ypač būdinga mažoms ir vidutinėms įmonėms, kuriose vadovų darbotvarkės perpildytos, todėl saugumas dažnai nepatenka į prioritetų sąrašą.
Klaidingi įsitikinimai apie kibernetines grėsmes
Situaciją apsunkina ir klaidingas įsitikinimas, kad atakos taikosi tik į technologijų įmones ar organizacijas, dirbančias su itin jautriais duomenimis. I. Kunickės teigimu, praktikoje vieni dažniausių taikinių yra tradiciniai sektoriai – gamyba, logistika, mažmena.
„Gajus įsitikinimas, kad atakos nukreiptos tik į įmones, valdančias jautrius duomenis, arba tik į didžiąsias. Tačiau taikiniais dažnai tampa mažos ir vidutinės įmonės, nes jos, neskirdamos reikiamų resursų saugumui, lieka silpniausia grandimi. Dar vienas stereotipas – kad kibernetinė ataka yra tik duomenų vagystė ar nutekinimas. Rimčiausi padariniai kyla tuomet, kai naudojamos sistemos yra blokuojamos, prarandama prieiga prie informacijos: klientai negauna paslaugų, partneriai negali vykdyti įsipareigojimų, o žala skaičiuojama minutėmis“, – pažymi I. Kunickė.
Pasak ekspertės, neigiamos kibernetinio saugumo incidentų pasekmės verslui dažnai pasireiškia milžiniškais finansiniais nuostoliais – dėl sistemų atstatymo, reputacijos praradimo ir žalos atlyginimo reikalavimų.
„Kalbėdami apie rizikas, daugelis pirmiausia galvoja apie reguliuotojų skiriamas baudas. Tačiau dažniausiai jos sudaro labai nedidelę realios žalos dalį. Didžiausia grėsmė – civiliniai ieškiniai iš partnerių ir klientų, kurie dėl incidento negalėjo teikti ar gauti paslaugų. Ne viena įmonė po tokių įvykių paprasčiausiai neatsitiesia finansiškai“, – pabrėžia I. Kunickė.
Nuvertinama žala: reputacija ir pasitikėjimas
Reputacinė žala dar sunkiau įvertinama pinigine išraiška. Pasak I. Kunickės, viešai nuskambėję atvejai yra tik maža dalis realių incidentų, tačiau jų pasekmės jaučiamos ilgai.
„Įmonės, patyrusios incidentą, mėnesius ar net metus dirba tam, kad atgautų klientų ir partnerių pasitikėjimą. Investuotojai kibernetinį saugumą vertina kaip vieną pagrindinių kriterijų priimdami sprendimus. Tai nėra vien reputacijos klausimas komunikacine prasme – tai tiesioginė verslo tęstinumo ir išlikimo sąlyga“, – sako I. Kunickė.
Tiekimo grandinių silpnosios vietos
Papildomą rizikos sluoksnį sukuria priklausomybė nuo tiekimo grandinių. Incidentai dažnai įvyksta ne pačiose įmonėse, o jų paslaugų teikėjų infrastruktūroje. Vis dėlto atsakomybė dažniausiai tenka tam, kas tą tiekėją pasirinko.
„Brandžios įmonės supranta, kad grandinė nutrūksta silpniausioje jos vietoje. Todėl jos rūpinasi ne tik savo komandų, bet ir partnerių edukacija. Nesvarbu, kurioje grandies vietoje įvyko incidentas – atsakomybė vis tiek grįžta pas pagrindinį paslaugos teikėją“, – teigia I. Kunickė.
Veiklos tęstinumo planavimas ir testavimas
Be nuolatinės darbuotojų ir partnerių edukacijos, būtinas ir sistemingas veiklos tęstinumo planavimas. Tai apima alternatyvius komunikacijos kanalus, rezervines sistemas, aiškiai apibrėžtas roles incidento metu ir nuolatinį planų testavimą.
„Veiklos tęstinumo planai dažnai egzistuoja tik dokumentuose, o realiose situacijose neveikia. Planas, kuris niekada nebuvo testuotas, nėra planas. Įmonė turi tiksliai žinoti, kas ką daro, kokie kanalai naudojami, jei pagrindinės sistemos neveikia, ir kaip atkuriama veikla. Testavimas parodo, kur procesai stringa, kokios atsakomybės neaiškios, kur trūksta resursų. Tai – organizacinės higienos klausimas, ir jis yra toks pat svarbus kaip technologijos“, – apibendrina „Sorainen“ ekspertė.
