IT saugumo mokymai darbuotojams šiemet turėtų parūpti tiek verslui, tiek valstybinėms organizacijoms. Juk 2020 metais kibernetinių išpuolių skaičius padidėjo net ketvirtadaliu. Blogėjančią situaciją puikiai iliustruoja neseniai valstybinį sektorių paveikusi Emotet ataka bei kiti išpuoliai aprašomi spaudoje.
Tačiau yra ir kitų priežasčių, kurios verčia sunerimti ir atkreipti dėmesį į IT saugumo kultūrą organizacijoje 2021 metais. Kokios jos?
IT saugumo mokymai darbuotojams ir BDAR reikalavimai
Stebint tarptautines tendencijas aiškiai matyti per 2020 metus išaugęs tiek baudų kiekis, tiek ir jų dydis Europos Sąjungoje.
Pirmosios baudos už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus Lietuvoje buvo skirtos dar 2019 metais tačiau bendras baudų bei skundų kiekis kol kas yra ganėtinai žemas. Vis dėlto, tarptautinės tendencijos signalizuoja, kad ir Lietuvoje šiais metais veiksmai bus griežtinami. Baudos dydis gali siekti iki 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000–20 000 000 EUR.
Darbuotojų mokymų vykdymas atitinka BDAR nurodymą (47 straipsnis) užtikrinti, kad organizacijos darbuotojai yra tinkamai informuoti apie asmens duomenų tvarkymo ir jų apsaugos reikalavimus
Raktas į klientų pasitikėjimą
Ankščiau įvykus saugumo incidentui žiniasklaidos dėmesys buvo kreipiamas į nuostolius, kuriuos patyrė įmonė. Tačiau pastaruoju metu situacija keičiasi. Vis dažniau nukentėjusiojo vietoje atsiduria ne pati įmonė, o jos klientai.
Puikus to pavyzdys – „Grožio Chirurgijos“ atvejis, apie kurį vis dar pasirodo informacijos viešojoje erdvėje. Po duomenų vagystės, įmonė neteko kvalifikuotų specialistų, reputacijos, klientų. Vienas padalinys uždarytas, o likusi įmonė turėjo keisti pavadinimą bei vizualinį identitetą. Taigi, atlaidaus požiūrio į IT saugumo spragas kaina – kur kas didesnė, nei viso labo bauda.
Beje, tokios situacijos griauna ne tik nuo atakų nukentėjusių įmonių reputaciją. Tai formuoja bendrą vartotojų požiūrį į skirtingų verslų gebėjimą apsaugoti jautrius duomenis. Todėl klientų informavimas apie veiksmus, kuriais siekiama apsaugoti jų duomenis, pvz. apie tai, kad įmonėje rengiami IT saugumo mokymai darbuotojams, gali tapti raktu į klientų pasitikėjimą.
Darbo iš namų pavojai
Prasidėjus pasaulinei pandemijai, darbo iš namų apimtys 2020 metais ženkliai išaugo ir panašu, kad situacija greitai nepasikeis.
Kita vertus, net ir tinkamai paruošta kompiuterinė darbo vieta neapsaugo, jei darbuotojai nežino saugaus darbo namuose taisyklių. Tokie darbuotojai darbo įrenginius naudoja asmeniniams tikslams, jungiasi prie nesaugių WiFi tinklų ir atlieka kitą veiklą net nesuprasdami, kad kelia pavojų įmonės duomenų saugumui.
Taigi siekiant sumažinti lengvai išnaudojamas saugumo spragas, įmonės privalo adaptuotis ir investuoti į darbuotojų švietimą.
Darbuotojų kompiuterinio raštingumo spragos
Dėl neišvengiamos skaitmenizacijos į elektroninę erdvę šiemet persikėlė tūkstančiai darbuotojų. Panašu, kad darbuotojus perkvalifikuoti ir paruošti skaitmeninei transformacijai įmonės suspėjo, bet ar liko laiko juos supažindinti su IT saugos taisyklėmis?
IT saugos raštingumo spragos gali išryškėti tarp darbuotojų įvairiose amžiaus grupėse. Pažeidžiami ypač tie, kuriems pernai teko greitai persikvalifikuoti ir išmokti naudotis ne tik naujomis programomis, bet ir įrenginiais.
Visgi nevertėtų skirstyti darbuotojų į rizikingus ir mažiau rizikingus – tik reguliarus darbuotojų mokymų organizavimas ir žinių kartojimas gali sutvirtinti visos komandos atsakomybę saugant darbovietės resursus.
Dirbtinio intelekto grėsmės
Dirbtinis intelektas (DI) jau naudojamas rengiant kibernetines atakas. Net Microsoft, vienai didžiausių technologinių inovacijų įmonių pasaulyje, apsisaugoti nuo dirbtiniu intelektu paremto išpuolio 2020 metais nepavyko.
Forrester tyrimo duomenimis net 88% IT saugos specialistų mano, kad dirbtiniu intelektu paremti išpuoliai greitai taps kibernetinės saugos kasdienybe. Viena DI paremta IT saugos grėsmė, į kurią įmonės nebegali lengvai numoti ranka – tobulėjantis gebėjimas imituoti gyvus žmones. Tokių algoritmų panaudojimas programišiams leis didinti meistriškai automatizuotų socialinės inžinerijos ir fišingo atakų mastus.
Taigi atvejų, kai darbuotojams teks atskirti tikruosius verslo partnerius nuo apsimetėlių, ar atpažinti kenksmingu kodu užkrėstą prisegtuką laiške, 2021 metais tik daugės. Kritinio mąstymo ugdymas ir specialių žinių suteikimas visiems darbuotojams padės organizacijoms šias grėsmes aplenkti.
Pasikeitusi darbo aplinka, spartesnė skaitmenizacija ir tobulėjančios DI grėsmės 2021 metais tampa papildoma našta organizacijų IT saugumui. Vis dėlto nuolat rengiami IT saugumo mokymai darbuotojams gali ženkliai sumažinti minėtas rizikas ir prisidėti prie klientų pasitikėjimo įgijimo bei BDAR atitikties užtikrinimo.