Nuotolinis darbas šiandien skatinamas dėl įvairių aplinkybių. Tačiau siekiant sėkmingai taikyti tokį veiklos modelį, būtina tinkamai susidėlioti ne tik organizacinius procesus, bet ir atkreipti dėmesį į įmonės duomenų apsaugą. Kibernetinio saugumo ekspertai įžvelgia, kad žmogus – vis dar dažniausia kibernetinio saugumo spraga, o nuotolinė darbo vieta šią riziką dar padidina. Kadangi taikinių į įdomius ar mažiau įdomius programišiai neskirsto, stiprinti savo kibernetinį skydą turėtų kiekvienas verslas be išimties. Tai daryti įmanoma mažais žingsniais, kurių vienas – reguliarus darbuotojų ugdymas.
Remiantis Nacionalinio kibernetinio saugumo būklės ataskaita, Lietuvoje pernai užfiksuota daugiau nei 3 tūkst. kibernetinių incidentų – triskart daugiau nei ankstesniu laikotarpiu. Vienas iš ypatingų šių kibernetinių grėsmių pavyzdžių – išpuolis prieš UAB „Kauno vandenys” informacines sistemas, galėjęs lemti didelius nuostolius ir sutrikdyti vandens tiekimą visame Kauno mieste. Dar visai neseniai kliuvo ir Alytaus savivaldybei – gavus klaidinantį el. laišką, atliktas 188 tūkst. eurų vertės Alytaus savivaldybės biudžeto lėšų pavedimas į sukčių sąskaitą.
Pažymėtina, kad nemažai įmonių Lietuvoje vis dar negeba įvertinti ar visai nevertina realaus kibernetinių incidentų poveikio, tačiau pandemijos sukelta suirutė tapo dar didesne atakų virtualiojoje erdvėje kurstytoja, o nepasiruošimas galimam pažeidimui gali sąlygoti ne tik finansinius nuostolius, teisines ir veiklos sutrikdymo bei jos atstatymo problemas, bet ir grėsmę įmonės reputacijai.
Kadangi daugelio darbo vieta šiandien įkurdinta namuose, neišvengiamai įmonės ir jos klientų duomenimis tenka disponuoti naudojantis nuosava prieiga prie interneto. Taigi kibernetiniams pažeidėjams atveriamas lengvas kelias į darbuotojo kompiuteryje nugulusią darbovietės informaciją, jį „įsileisti“ pastarasis gali tiesiog atidaręs kenkėjišką tinklalapį, programėlę, el. laišką su kenksmingu programiniu kodu arba paprasčiausiai palikęs prisijungimo prie įmonės sistemų kodus kitiems matomoje ar prieinamoje vietoje. Neturėdamas sparčių galimybių pasitarti su įmonės IT komanda, nuotoliniu būdu dirbdamas darbuotojas visai netyčia gali tapti kibernetinio incidento priežastimi.
Tuo pat dažnai klystama manant, kad siekiant sustiprinti įmonės kibernetinį saugumą pakanka įdiegti technologinius sprendimus. Jeigu įmonės darbuotojai negebės įvertinti galimų kibernetinių grėsmių, programišiai galės daug lengviau pasinaudoti technologinėmis spragomis ir pasiekti savo tikslų. „IBM“ kompanijos ir „Ponemon“ instituto tyrimas parodė, kad netyčinės žmogaus klaidos ir sistemų pažeidimai lemia beveik pusę (49 proc.) duomenų pažeidimų, žmogiškąjį faktorių kaip kibernetinių incidentų priežastį sustiprina ir Valstybinė duomenų apsaugos inspekcija (VDAI), savo veiklos ataskaitoje nurodanti, kad pernai Lietuvoje dėl žmogiškosios klaidos įvyko net 61 proc. visų duomenų saugumo pažeidimų.
Taigi vienas pirmųjų įmonių žingsnių, kurį turėtų atlikti ne tik verslas, bet ir valstybinės organizacijos – įsivertinti galimas rizikas pažeidimų atveju ir, siekiant išvengi galimų kibernetinių grėsmių dėl žmogiškosios klaidos, investuoti į darbuotojų ugdymą. Akcentuotina, kad gaunamą informaciją kritiškai vertinantys ir saugiai ją valdantys darbuotojai ženkliai prisideda prie organizacijos duomenų apsaugos, o reguliarus darbuotojų mokymų organizavimas ir žinių kartojimas tampa tinkama priemone sutvirtinti visos komandos atsakomybę prieš darbovietės resursus.
Nuotolinis darbas reguliariai tikrinti žinias nesutrukdys
Pasak nuo 2012 m. fizinius kibernetinio saugumo mokymus verslui ir valstybinėms organizacijoms rengiančios mokymų akademijos „Cyber Security Academy (CSA)“ atstovės Eglės Mockevičiūtės, tokie mokymai kuria didelę vertę verslui, o jų aktualumas šiandien dar labiau padidėjęs. Siekiant labiau susisteminti ir valdyti mokymų praktiką, akademija ilgainiui persikėlė ir į virtualią erdvę, todėl reaguojant į šiandieninę situaciją organizacijoms suteikiamos galimybės darbuotojų kibernetinio saugumo ugdymui pasitelkti ne tik online mokymus, bet ir nuotolinių mokymų platformą, pavadinimu „Responsu“, nurandančiu reagavimą (angl. responsiveness), kalbantį apie tai, kaip svarbu greitai ir tinkamai reaguoti į tobulėjančias IT saugumo rizikas.
„Mokymų akademijos projektą pradėjome nuo gyvų mokymų IT specialistams, tuomet auditorija išaugo iki visų įmonės darbuotojų. Šį projektą inicijavome suprasdami, kad technologijos nepadeda užtikrinti visiško organizacijos duomenų saugumo, kad būtina sukurti žmogiškąją ugniasienę. Net ir įdiegus naujausius technologinius sprendimus, užtenka vieno žmogaus paspaudimo ant kenkėjiškos nuorodos el. laiške, kad visa informacinių sistemų infrastruktūra sugriūtų, – dėsto E. Mockevičiūtė, CSA Kibernetinio saugumo mokymų projektų vadovė. – Mokymų praktika ilgainiui parodė, kad į fizinius mokymus surinkti visus darbuotojus vienu metu nėra paprasta, o tuo pačiu ir įvertinti jų mokymo medžiagos įsisavinimą ir įgytus įgūdžius, todėl nusprendėme pasiūlyti ir nuoseklesnius, paprasčiau valdomus mokymus skaitmeninėje erdvėje. „Responsu“ nuotolinės mokymų platformos atsiradimą paspartino rinkos poreikis, o aktualumą padidino ir šių dienų realijos.“
Vieni didžiausių šios nuotolinės mokymų platformos privalumų, pasak jos, yra gebėjimas ne tik suteikti darbuotojams reikiamą mokymų medžiagą ir reguliariai ją priminti, leisti darbuotojui pasikartoti, pasižiūrėti aktualią informaciją kritiniu atveju, bet ir nuolat tikrinti darbuotojų žinias. Tokia patikra, pažymi E. Mockevičiūtė, leidžia įvertinti verslo ar valstybinės įstaigos kolektyvo kibernetinio saugumo žinių lygį ir imtis tam tikrų veiksnių jo kėlimui. Mokymai taip pat suteikia praktinius įgūdžius, kaip apsiginti nuo programišių spąstų, patogūs tiek darbuotojams, tiek juos administruojantiems asmenims.
„Sakoma, kad kartojimas – žinių motina. Natūralu, kad informacija su laiku pasimiršta, todėl galimybė pasikartoti mokymų medžiagą ir įsivertinti savo žinias leidžia siekti maksimalių rezultatų. Ne veltui kibernetinio saugumo mokymai tampa ne tradiciniais mokymais, bet nuolatiniu darbuotojų ugdymu, – kalba ji. – Kadangi darbuotojai nuolat keičiasi ir naujus kolektyvo narius tenka apmokyti iš naujo, rekomenduojama periodiškai organizuoti darbuotojų mokymą duomenų saugumo klausimais.“
Prieš mokymus darbuotojams taip pat gali būti išsiunčiamas mokomasis sukčiavimo laiškas simuliuojant ataką, taip įvertinant jų žinias dar prieš pradedant mokymų programą. Prieš mokymus, pasak pašnekovės, nuorodą tokiame laiške paspaudžia apie 30-40 proc. darbuotojų, po mokymų – vienetai.
Atitinka BDAR nurodymą
„Responsu“ mokymų turinys prieinamas bet kuriuo metu, pateikiamas lietuvių kalba ir suskirstytas į trumpus, nedaug darbuotojo laiko reikalaujančius, tačiau informatyvius modulius, kurie baigiami žinių patikrinimo testais. Mokymo medžiagoje integruotos interaktyvios užduotys, aktualūs, adaptuoti Lietuvos rinkai, pavyzdžiai, patarimai, galima ir individualių verslo bei valstybinių organizacijų patirčių, informacinės medžiagos bei mokymų integracija. Platforma taip pat suteikia galimybę sekti darbuotojų mokymų progresą – prisijungimus, išlaikytus/neišlaikytus testų rezultatus ir bendrą statistiką – bei siųsti jiems automatinus priminimus. Baigus kiekvieną mokymų temą darbuotojui išduodamas elektroninis sertifikatas, kas taip pat aktualu pastarajam tęsiant karjerą kitose darbovietėse.
Platformos mokymų turinys kurtas remiantis realiomis situacijomis ir apima tokias temas kaip slaptažodžiai, švaraus stalo politika, fizinė sauga, Wi-Fi saugumas, mobilieji prietaisai, fišingas, socialiniai tinklai, višingas, sms fišingas, įvadas į informacijos saugumą, keliavimas ir saugumas, išpirkos reikalaujanti programinė įranga (angl. ransomware), socialinė inžinerija, el. pašto saugumas ir interneto naudojimas darbe, į temų lauką taip pat įtrauktas ir trumpas BDAR vadovas. „Responsu“ temos kasmet pildomos ir nuolat atnaujinamos atsižvelgiant į kibernetinio saugumo aktualijas. Platformos temų turinys – bendras mokymų organizatorių, IT praktikų, teisininkų ir Lietuvos bei užsienio kibernetinio saugumo lektorių ir dėstytojų praktikų rezultatas.
„Responsu“ mokymų taikymas taip pat atitinka Bendrojo duomenų apsaugos reglamento nurodymą (47 straipsnis) užtikrinti, kad organizacijos darbuotojai yra tinkamai informuoti apie asmens duomenų tvarkymo ir jų apsaugos reikalavimus. Mokymai atliepia ir VDAI gaires, skelbiančias, kad organizacija turi užtikrinti visų darbuotojų tinkamą informavimą apie IT sistemų saugumo reikalavimus, susijusius su jų kasdieniu darbu. Pasak VDAI, darbuotojai, susiję su asmens duomenų tvarkymu, turi būti mokomi apie atitinkamus duomenų saugumo reikalavimus ir atsakomybes, rengiant reguliarius mokymus, informavimo renginius ar instruktažus bent kartą per metus.
„Taigi jeigu įmonėje būtų vykdomas auditas, auditoriams būtų galima pateikti darbuotojų žinių kibernetinio saugumo klausimais patikros ataskaitas“, – papildo E. Mockevičiūtė.
Mitas, kad nukenčia tik didieji
„Kurk Lietuvai“ programos dalyvių kartu su Krašto apsaugos ministerija inicijuotos „Kibernetinio saugumo ir verslo“ 2020 m. leidinio duomenimis, kibernetinės atakos tampa vis didesniu rūpesčiu ne tik, kaip įprasta manyti, dideliam, bet ir smulkiam verslui Lietuvoje – net 3 iš 4 smulkiojo ir vidutinio verslo (SVV) vadovų sutinka, kad kibernetinis saugumas yra svarbus jų įmonei. Leidinio sudarytojų 129 verslo vadovų apklausa byloja, kad net 74 proc. apklausoje dalyvavusių Lietuvos SVV įmonių jaučiasi nepasiruošusios arba nežino, ar yra pasiruošusios atremti kibernetines atakas. Beveik pusė (44 proc.) jų nemano, kad gali būti kibernetinio incidento aukomis.
Apžvalgoje akcentuojama, kas SVV įmonės tampa puikiu programišiu taikiniu jau vien dėl pastarųjų saugumo resursų stygiaus lyginant su didžiosiomis įmonėmis, nuolat investuojančiomis į technologinius ir žmogiškuosius saugumo išteklius. Pabrėžtina, kad ir atsitikus lemtingai atakai, mažesnės įmonės neturi pakankamai galimybių užlopyti saugumo spragas, todėl patiria neproporcingai didelius nuostolius. Šiandien bet kokio dydžio verslas vis labiau linkęs keltis į virtualią erdvę ir integruoti automatizuotus IT sprendimus į savo veiklą, todėl grėsmė – neišvengiama nieko nedarant. Smulkus verslas taip pat gali būti puikiu tiltu įsilaužėliams pasiekti didžiuosius mažesniųjų verslo veiklos partnerius.
„Smulki įmonė gali net nepastebėti, kad programišiai, naudodamiesi jos resursais, kenkia kitai įmonei. Svarbu pažymėti, kad ta kita įmonė gali būti įmonės, pasirinktos tiltu į taikinį, klientas ar partneris. Išsiaiškinus incidento šaknis gali stipriai nukentėti verslo reputacija, o tai lemti klientų ir partnerių praradimą. Šiuo atveju nėra svarbu, ar įmonėje yra tik keli, ar kelios dešimtys darbuotojų, pakanka vieno neapgalvoto žingsnio, – detalizuoja E. Mockevičiūtė. – Dauguma atakų taip pat yra automatizuotos, neatsirenkant konkrečių verslų, todėl gali kliūti visiems be išimties. Kibernetinio saugumo mokymai ir juose pateikiami lokalūs pavyzdžiai yra puiki praktika suprasti, kad neapsaugotas nei vienas.“
Nors akivaizdu, kad visiško atsparumo nuolat evoliucionuojančioms kibernetinėms atakoms pasiekti neįmanoma, maži žingsniai šia linkme leidžia ženkliai sustiprinti įmonės duomenų saugumą ir jos reputaciją. Taigi veiksmai siekiant didinti įmonės kibernetinį saugumą turėtų tapti verslo higiena, prasidedančia nuo pačių įmonės darbuotojų ugdymo.
„Ne pats darbuotojas iš savęs yra silpnoji grandis. Silpnąja grandimi tampa neapmokytas darbuotojas, žinoma, prie to prisideda ir nuotolinis darbas. Tačiau jeigu jis gebės kritiškai vertinti gaunamą informaciją ir žinos, kaip su ja elgtis, ilgainiui nebebus laikomas pažeidžiamiausia kibernetinio saugumo dalimi. Svarbu suprasti, kad kibernetiniai nusikaltėliai taip pat yra žmonės, jiems žinomos mūsų taktikos, saugumo metodai ir technologijos, todėl belieka būti sąmoningais su jais susidūrus“, – akcentuoja E. Mockevičiūtė.