Pastarųjų savaičių kibernetiniai incidentai dar kartą priminė, kad tokios krizės gali paliesti ne tik technologijų įmones ar valstybės registrus. Po incidentų Registrų centre ir Valstybinėje akreditavimo sveikatos priežiūros veiklai tarnyboje vis daugiau organizacijų vadovų nebekelia klausimo: ar tai gali nutikti ir mums? Vis dažniau klausiama: kada tai nutiks ir ar organizacija tam pasirengusi?
Valstybinės duomenų apsaugos inspekcijos duomenimis, 2025 m. Lietuvoje dėl asmens duomenų saugumo pažeidimų buvo paveikta daugiau kaip 1,2 mln. duomenų subjektų. Daugiau kaip pusė jų – 57 proc., arba 713 644 asmenys – buvo paveikti būtent dėl kibernetinių incidentų. Skiriasi veiklos sritys, duomenų pobūdis ir incidentų mastas, tačiau visais atvejais kyla tas pats klausimas: kas organizacijoje atsakingas už kibernetinį saugumą?
VILNIUS TECH Verslo vadybos fakulteto docentas dr. Paulius Šūmakaris teigia, kad kibernetinis saugumas yra klausimas, kurį šiandien turi spręsti praktiškai visos įmonės. Nors ilgą laiką buvo įprasta manyti, kad tai daugiausia IT skyriaus atsakomybė, dabar kibernetinis saugumas vis dažniau tampa aukščiausio lygio vadovų strateginės darbotvarkės dalimi.
Kibernetinis incidentas nėra vien techninė problema
Pasak jo, kibernetinis incidentas nėra vien techninė problema. Dažnai tai signalas, kad organizacijoje trūko aiškiai paskirstytų atsakomybių, tinkamų procesų ir žmonių, gebančių kibernetinį saugumą valdyti ne reaktyviai, o sistemiškai – dar prieš incidentui įvykstant.
„Organizacijų veikla vis labiau priklauso nuo skaitmeninių technologijų – debesijos sprendimų, automatizuotų procesų, dirbtinio intelekto įrankių ir duomenų sistemų. Tai didina efektyvumą, tačiau kartu reiškia ir didesnį pažeidžiamumą: kibernetinis incidentas šiandien gali sustabdyti paslaugų teikimą, sutrikdyti tiekimo grandines, atverti jautrius duomenis ar tapti reputacine krize.
Dėl to vadovų atsakomybė už kibernetinį saugumą nebėra tik geroji praktika ar reputacijos klausimas – ji vis aiškiau įtvirtinama ir teisės aktuose. Vadovybė nebegali kibernetinio saugumo vertinti kaip vien IT skyriaus problemos: ji turi suprasti pagrindines rizikas, patvirtinti jų valdymo priemones, užtikrinti, kad jos būtų įgyvendinamos, ir paskirti už tai atsakingus žmones“, – teigia docentas.
Tokį požiūrį įtvirtina tiek europinis reguliavimas, tiek nacionaliniai teisės aktai. NIS2 direktyva numato, kad organizacijų valdymo organai turi prižiūrėti kibernetinio saugumo rizikos valdymą ir gali būti laikomi atsakingais už pareigų nesilaikymą. Finansų sektoriuje DORA reglamentas pabrėžia vadovybės atsakomybę už skaitmeninių ir kibernetinių rizikų valdymą. Lietuvoje šią atsakomybę sukonkretina Kibernetinio saugumo įstatymas: kibernetinio saugumo subjektais priskirtų organizacijų vadovai privalo paskirti už kibernetinį saugumą atsakingus asmenis, o už reikalavimų nevykdymą atsakomybė tenka pačiam subjektui ir jo vadovybei.
Praktikoje tai reiškia, kad vadovams nepakanka vien įsigyti saugumo technologijų ar pavesti šį klausimą IT skyriui. Organizacijoje turi būti aiškiai paskirta, kas atsakingas už kibernetinio saugumo valdymą, patvirtintas incidentų valdymo planas, reguliariai vertinamos rizikos ir testuojamas pasirengimas galimiems sutrikimams. Ne mažiau svarbu užtikrinti darbuotojų kompetenciją, nes dalis incidentų prasideda ne nuo technologinių spragų, o nuo žmogiškųjų klaidų. Galiausiai kibernetinis saugumas turi turėti aiškų biudžetą ir vietą vadovybės darbotvarkėje – kitaip jis lieka deklaracija, o ne realiai valdoma rizika.
Incidentai brangsta, o biudžetai auga
JAV kibernetinio saugumo milžinės „Fortinet“ organizacijų vadovų apklausos duomenimis, 80 proc. organizacijų per pastaruosius 12 mėnesių patyrė bent vieną kibernetinio saugumo incidentą, 19 proc. susidūrė su penkiais ar daugiau tokių incidentų, o 40 proc. vadovų nurodė, kad incidentų suvaldymas jų organizacijoms kainavo daugiau nei 1 mln. JAV dolerių.
Pasak doc. dr. P. Šūmakario, kibernetinis saugumas organizacijoms reiškia vis didesnes ir labiau apčiuopiamas išlaidas. Incidento kaina šiandien apima ne tik techninių sistemų atkūrimą, bet ir veiklos prastovas, duomenų apsaugos rizikas, klientų pasitikėjimo praradimą, teisinius procesus ir reputacinę žalą. Todėl investicijos į kibernetinį saugumą vis dažniau vertinamos ne kaip papildomos IT išlaidos, o kaip veiklos tęstinumo ir rizikos valdymo dalis.
Vienos didžiausių pasaulyje internetinių rinkos tyrimų, verslo įžvalgų ir statistikos platformų „Statista“ duomenimis, 2026 m. vidutinės išlaidos kibernetiniam saugumui Lietuvoje turėtų siekti apie 61 eurą vienam darbuotojui, iš kurių apie 40 eurų tenka technologiniams sprendimams, o 20 eurų – saugumo paslaugoms. Iki 2030 m. ši suma turėtų išaugti iki 80 eurų vienam darbuotojui. Tai rodo, kad organizacijos vis daugiau investuoja ne tik į technines apsaugos priemones, bet ir į paslaugas, procesus, konsultacijas bei kompetencijų stiprinimą. Kitaip tariant, kibernetinis saugumas tampa nebe pavieniu IT pirkiniu, o nuolatine organizacijos veiklos sąnaudų ir valdymo dalimi.
Dėl to vis svarbesnis tampa vadovų gebėjimas strategiškai suprasti kibernetines rizikas, incidentų valdymą ir organizacijos atsparumą. Šiuolaikinėje organizacijoje už kibernetinį saugumą atsakingas ne tik IT skyrius, bet organizacijos vadovas su komanda. Būtent jie turi formuoti kultūrą, kurioje kibernetinis saugumas nėra laikomas vien techniniu nesklandumu, paskirti atsakingus žmones, suteikti jiems aiškius įgaliojimus ir užtikrinti, kad visa organizacija būtų pasirengusi atpažinti bei valdyti rizikas.
Specialistų trūkumas didina spaudimą vadovams
„Statista“ duomenimis, 2024 m. pasaulyje dirbo apie 5,46 mln. kibernetinio saugumo specialistų, iš jų Europoje – apie 1,3 mln. Vis dėlto specialistų paklausa auga greičiau nei jų pasiūla: pasaulinė IT rinka susiduria su nuolatiniu daugiau nei 3,5 mln. darbuotojų trūkumu šioje srityje. Ši tendencija kelia didelį iššūkį organizacijoms, siekiančioms stiprinti kibernetinį saugumą.
JAV kibernetinio saugumo įmonės „Fortinet“ tyrimo duomenimis, 60 proc. organizacijų pripažįsta, kad joms sunku pritraukti kibernetinio saugumo talentus, o 52 proc. nurodo, kad net įdarbinus tokius specialistus sunku juos išlaikyti.
Pasak doc. dr. P. Šūmakario, kibernetinio saugumo srityje vis aiškiau matyti, kad organizacijoms reikia ne tik techninių specialistų. Joms reikia ir žmonių, gebančių suprasti rizikas, koordinuoti incidentų valdymą, planuoti veiklos tęstinumą ir priimti sprendimus krizinių situacijų sąlygomis. Tos pačios apklausos duomenimis, 95 proc. respondentų teigia, kad išsilavinimas šioje srityje daro teigiamą poveikį tiek jų pačių darbui, tiek visos komandos pasirengimui, o 81 proc. vadovų teikia pirmenybę kandidatams, turintiems tokį išsilavinimą ar tai patvirtinančius sertifikatus.
Vis dėlto čia išryškėja ir kita problema: 78 proc. organizacijų pripažįsta, kad išsilavinusių ir sertifikuotų specialistų rinkoje rasti sunku. Todėl vis daugiau organizacijų yra pasirengusios investuoti į savo darbuotojų kompetencijas kibernetinio saugumo valdymo srityje.
Pasak doc. dr. P. Šūmakario, kibernetinis saugumas šiandien tampa ne tik technologijų, bet ir nuoseklaus kompetencijų ugdymo klausimu. Todėl tikėtis, kad šią problemą pavyks išspręsti vien naujo specialisto paieška rinkoje, darosi vis sunkiau – kvalifikuotų kibernetinio saugumo vadovų trūksta. Organizacijose kibernetinis saugumas vis labiau tampa vadovavimo, procesų, atsakomybės pasidalijimo ir darbuotojų pasirengimo klausimu, todėl joms reikalingi vadovai, suprantantys ne tik technologijas, bet ir kibernetinio saugumo valdymą.
Daugeliui organizacijų teks nuosekliai auginti kompetencijas savo viduje: stiprinti vadovų supratimą apie kibernetines rizikas, aiškiau paskirstyti atsakomybę ir reguliariai tikrinti organizacijos pasirengimą incidentams. Kitaip tariant, vadovai nebegali laukti, kol kibernetinio saugumo problemą „sutvarkys IT“ – nuo jų sprendimų vis labiau priklausys ne tik technologinis saugumas, bet ir veiklos tęstinumas bei reputacija.
About the Author
