Daugelyje organizacijų kibernetinis saugumas vis dar paliekamas IT skyriui, nors be vadovo įsitraukimo neįmanoma sukurti realaus atsparumo. Anot ekspertų, būtent nuo vadovo priklauso, ar įmonė sugebės apsiginti ne tik nuo potencialių finansinių baudų, bet ir nuo kur kas skausmingesnių pasekmių. Ką iš tiesų reiškia vadovo atsakomybė, kodėl technologijos neveikia be kultūrinio pokyčio ir kokie praktiniai žingsniai lemia realų atsparumą, atsako teisės firmos „Sorainen“ ekspertė Irma Kunickė.
Per pastaruosius metus kibernetinės grėsmės tapo daug skaudesnės – anksčiau atakos buvo gana primityvios, o dabar jos sudėtingėja, vis dažniau kuriamos pasitelkiant dirbtinį intelektą. Tai reiškia, kad rizikos tampa tiesiogiai susijusiomis su organizacijos kultūra, procesais ir darbuotojų gebėjimu atpažinti rizikas.
„Anksčiau būdavo gana aišku, kad koks nors laiškas yra sukčių darbas. Dabar jie atrodo taip tikroviškai, kad net patyrę ne visada atskiria, kas yra tikra. Grėsmės tobulėja, tačiau pagrindinis incidentų veiksnys vis dar yra žmogus. Statistika rodo, kad spragos dažniausiai kyla ne iš technologijų, o žmonių sprendimų“, – sako I. Kunickė.
Nepaisant to, daugelyje įmonių kibernetinis saugumas vis dar laikomas technine „IT skyriaus“ funkcija, o ne vadovo atsakomybe. Pasak I. Kunickės, tai ypač būdinga mažoms ir vidutinėms įmonėms, kuriose vadovų darbotvarkė perpildyta ir saugumas nepatenka į prioritetų sąrašą.
Klaidingi įsitikinimai apie grėsmes
Situaciją komplikuoja ir klaidingas įsitikinimas, kad atakos taikosi tik į technologijų įmones ar organizacijas, dirbančias su jautriais duomenimis. I. Kunickės teigimu, praktikoje vieni dažniausių taikinių yra tradiciniai sektoriai – gamyba, logistika, mažmena.
„Gajus įsitikinimas, kad atakos nukreiptos tik į įmones, valdančias jautrius duomenis, arba tik į didžiąsias. Tačiau taikiniais dažnai pasirenkamos mažos ir vidutinės įmonės, nes jos, neskirdamos reikiamų resursų, tampa silpniausia grandimi. Dar vienas stereotipas, kad kibernetinė ataka yra tik duomenų vagystė ir nutekinimas. Tačiau rimčiausi padariniai kyla, kai naudojamos sistemos yra blokuojamos, prarandama prieiga prie informacijos: klientai negauna paslaugų, partneriai negali vykdyti savo įsipareigojimų, o žala skaičiuojama minutėmis“, – teigia I. Kunickė.
Anot ekspertės, neigiamos kibernetinės saugos incidentų pasekmės verslui pasireiškia milžiniškais finansiniais nuostoliais dėl sistemų atstatymo, reputacijos praradimo ir žalos atlyginimo reikalavimų.
„Kalbėdami apie rizikas, dauguma galvoja tik apie reguliatoriaus nustatytas baudas. Tačiau dažniausiai jos sudaro labai mažą dalį realios žalos. Didžiausia grėsmė – civiliniai ieškiniai iš partnerių ir klientų, kurie negalėjo teikti ar gauti paslaugų. Ne viena įmonė po tokių incidentų paprasčiausiai neatsistato finansiškai“, – pabrėžia I. Kunickė.
Žala, kurią verslai dažnai nuvertina
Reputacinė žala dar sunkiau įkainojama. Pasak I. Kunickės, viešai nuskambėję atvejai yra tik nedidelė dalis realių incidentų, tačiau jų pasekmės jaučiamos ilgai.
„Įmonės, patyrusios incidentą, mėnesius ar metus dirba tam, kad atgautų klientų ir partnerių pasitikėjimą. Investuotojai kibernetinį saugumą vertina kaip vieną pagrindinių kriterijų priimdami sprendimus. Tai – ne reputacijos klausimas tik komunikacine prasme, o tiesioginė verslo išlikimo sąlyga“, – sako I. Kunickė.
Papildomą rizikos sluoksnį sukuria tiekimo grandinių priklausomybės. Incidentai dažnai įvyksta ne pačiose įmonėse, o jų paslaugų teikėjų infrastruktūroje, tačiau atsakomybė tenka tam, kuris tą tiekėją pasirinko.
„Brandžios įmonės supranta, kad grandinė nutrūksta silpniausioje jos vietoje. Todėl jos pradeda edukuoti ne tik savo komandas, bet ir partnerius. Nesvarbu, kurioje grandies pusėje įvyko incidentas – atsakomybė vis tiek grįžta pas pagrindinį paslaugos teikėją“, – teigia I. Kunickė.
Be edukacijos, būtinas ir veiklos tęstinumo planavimas. Tai apima alternatyvius komunikacijos kanalus, rezervines sistemas, aiškias roles incidento metu ir nuolatinį planų testavimą.
„Veiklos tęstinumo planai dažnai egzistuoja tik dokumentuose, o realiose situacijose neveikia. Planas, kuris niekada netestuotas, nėra planas. Įmonė turi žinoti, kas tiksliai ką daro, kokie kanalai naudojami, jei pagrindinės sistemos neveikia, ir kaip atkuriama veikla. Testavimas parodo, kur procesai stringa, kokios atsakomybės nesuprastos, kur trūksta resursų. Tai organizacinės higienos klausimas, ir jis yra toks pat svarbus kaip technologijos“, – reziumuoja „Sorainen“ ekspertė.
About the Author
