Vos prieš kelis mėnesius Kinijoje įvykęs duomenų nutekėjimas parodė, kad duomenys – atrodo, brangiausias, bet dažnai ir lengviausias grobis, pasisavinamas dėl iš pirmo žvilgsnio menkos klaidos. Šis įvykis įspūdingas ne tik savo apimtimi (nutekėjo 1,7 milijardo unikalių įrašų), bet ir priežastimi: pasirodo, nutekėjusi informacija buvo pasiekiama be slaptažodžio.
Kitaip tariant, metų metus kaupti duomenys tapo viešai prieinami dėl vieno neapgalvoto žingsnio. Ir tai – ne išimtis. Pasaulio ekonomikos forumo duomenims, net 95 % visų kibernetinio saugumo incidentų įvyksta dėl tokių ar panašių žmogiškų klaidų.
Statistika verčia pripažinti: technologijos nėra tikroji problema. Daug dažniau ja tampa mūsų pačių įpročiai, skubėjimas ar duomenų apsaugos kultūros trūkumas. O jei tokie duomenų nutekėjimai įvyksta nacionaliniu ar net pasauliniu mastu, ką jau kalbėti apie smulkesnius verslus, kuriuose duomenys kasdien keliauja per dešimtis rankų, įrenginių ir programų.
Juk dažniausiai būtent čia ir slypi daugiausia spragų: tarp kasdienybės, skubėjimo ir nežinojimo, kas už ką atsakingas. Kaip šią riziką suvaldyti ir duomenų apsaugą paversti ne gąsdinančia pareiga, o kasdieniu įpročiu? Svarbiausiai atsakymais dalijasi Eglė Tankevičienė, verslo procesų konsultantė, prekių ženklo „Laikas plėstis“ įkūrėja ir ISO standartų diegimo praktikė.
Nevaldote prieigos prie duomenų? Rizikuojate, kad ją turės ne tik komanda
Patogumas ar saugumas? Daugelis įmonių vis dar renkasi pirmą variantą, kai informaciją prie tų pačių failų suteikia visai komandai – net ir tiems darbuotojams, kuriems ji nebūtina. Bet ar toks sprendimas, sutaupantis laiko šiandien, nekainuos prarastų duomenų rytoj?
Vienas svarbiausių principų saugant įmonės duomenis – užtikrinti, kad kiekvienas komandos narys matytų tik tą informaciją, kuri reikalinga jo kasdienėms užduotims atlikti. Kai darbuotojai mato daugiau, nei turėtų, didėja ne tik blaškymosi tarp skirtingų failų rizika, bet ir galimų nutekinti duomenų apimtis.
Net ir buvęs kolega, vis dar turintis galiojantį leidimą prie vidinių dokumentų, gali tapti silpnąja grandimi: pakanka vieno nulaužto el. pašto, kad konfidenciali informacija taptų vieša. E. Tankevičienė pabrėžia, jog saugumo kultūra prasideda nuo kasdienybės: „Prieigos valdymas – tai įprotis, kuris parodo, ar organizacija iš tiesų supranta savo duomenų vertę.
Jeigu šis procesas neprižiūrimas, vadinasi, komandoje nėra žmogaus, atsakingo už duomenų saugumą. O tai reiškia, kad rizikuojame tuos duomenis prarasti.“ Kaip suvaldyti duomenų prieigas komandoje? Verslo procesų konsultantė primena šiuos žingsnius:
- Riboti prieigas pagal pareigas – kiekvienas turėtų matyti tik tai, kas būtina jo funkcijoms;
- reguliariai peržiūrėti leidimus ir pašalinti nebereikalingus prisijungimus;
- išeinančių darbuotojų paskyras ar prieigas pašalinti iškart;
- kiek įmanoma, naudoti tik darbinius el. paštus ir įrenginius, o jungiantis per asmeninius – įvertinti, ar tai tikrai būtina.
Silpni slaptažodžiai, stiprios pasekmės
Nors duomenys šiandien verti tiek pat, kiek ir pinigai ar reputacija, slaptažodžiai, kuriuos naudojame jiems apsaugoti, dažnai prilygsta nuliui apsaugos. Eglė Tankevičienė, įmonėms padėdama diegti ISO 27001 – informacijos saugumo standartą – neretai pastebi tą pačią klaidą: „ISO 27001 – vienas dažniausiai pasirenkamų standartų, kai verslai pradeda galvoti apie duomenų saugumą.
Žengdami pirmuosius žingsnius informacijos saugumo vadybos sistemos link, beveik visada randame tą pačią silpnąją grandį – slaptažodžių politiką. Net vertingų duomenų apsaugai dažnai naudojami tokie slaptažodžiai kaip „admin123“.“ Anot Eglės, silpni slaptažodžiai – ne technologinė, o elgesio kultūros problema. „Jei įmonėje duomenys yra vertybė, juos turi saugoti tokio pat lygio slaptažodžiai,“ – sako ji.
Kiekvienas darbuotojas turėtų turėti savo paskyrą ir unikalų prisijungimą – įvykus duomenų nutekėjimui, tai leidžia paprasčiau atsekti jo priežastį. Slaptažodžiai turi būti stiprūs – su didžiosiomis ir mažosiomis raidėmis, skaičiais ir specialiais simboliais. Taip, tokias kombinacijas atsiminti sudėtinga, tačiau egzistuoja slaptažodžių tvarkytuvės, leidžiančios patikimai ir patogiai saugoti visus darbuotojui reikalingus prisijungimus.
Dirbtinis intelektas – pagalba ar pavojus?
Dirbtinio intelekto įrankiai šiandien tapo įprasta daugelio kasdienybės dalimi. Tačiau kartu su efektyvumu, kurį jie suteikia, atsiranda ir nauja rizika: informacija, perduodama šiems įrankiams, nebelieka tik mūsų rankose. Ji gali būti saugoma, analizuojama, panaudojama modeliui tobulinti ar net tapti viešai prieinama.
„Dirbtinis intelektas pats savaime nėra pavojingas – pavojus atsiranda tada, kai juo naudojamasi neapgalvotai,“ – teigia E. Tankevičienė. „Vis dažniau matau, kad dirbtinis intelektas kelia naujų iššūkių įmonėms, todėl darosi ypač svarbu susikurti aiškias taisykles ir atsakomybes.
Tai apima ir jau naudojamų įrankių analizę, ir konkrečias gaires, kokius duomenis dirbtiniam intelektui galima pateikti, o kokius – griežtai ne.“ Pastaraisiais metais atsirado ir priemonės šiai rizikai suvaldyti: ISO/IEC 42001 standartas, skirtas dirbtinio intelekto sistemų valdymui, bei įsigaliojęs Europos dirbtinio intelekto aktas (AI Act), nustatantis griežtas ribas, kaip šios technologijos turi būti prižiūrimos. Kodėl tai svarbu?
Ne visada žinome, kur nukeliauja informacija, kurią perduodame dirbtiniam intelektui. Ji gali būti panaudota kitiems atsakymams generuoti ar net atsidurti konkurentų rankose. Todėl ribų, ties kuriomis verslas turėtų nustoti „kalbėtis“ su dirbtiniu intelektu, apibrėžimas – jau ne rekomendacija, o būtinybė. Prieš kuo nors dalijantis su dirbtinio intelekto įrankiu, verta sustoti ir paklausti savęs: ar tą patį galėčiau pasakyti konkurentui?
Duomenų saugumas – tik didžiųjų verslų rūpestis?
Nesvarbu, ar įmonėje dirba penki žmonės, ar penki šimtai – duomenų apsauga svarbi kiekvienam verslui. Net ir mažiausios komandos kasdien prisiliečia prie informacijos, kuri kažkam gali būti itin vertinga. Tad klausimas šiandien – ne „ar verta saugoti duomenis?“, o „kaip tai padaryti?“.
„Duomenų apsaugos sistemas įmonės dažniausiai kuria labai skirtingai,“ – dalijasi Eglė Tankevičienė. – „Vieni kuria savas taisykles ir procesus, kiti remiasi jau visame pasaulyje pripažintomis praktikomis – pavyzdžiui, ISO standartais, kurie padeda susikurti aiškią duomenų apsaugos politiką organizacijos viduje. Bet svarbiausia, kad tai veiktų praktiškai, o ne tik būtų užfiksuota dokumentuose.“
Ir nesvarbu, ar kalbame apie prieigų valdymą, slaptažodžius ar dirbtinio intelekto naudojimą – visus duomenis svarbu saugoti taip pat, kaip saugome bet kokį kitą vertingą turtą, nes tai – vertybė, kuri saugo verslo tęstinumą, unikalumą ir reputaciją.
