Kibernetinės atakos jau ne pirmus metus atsiduria tarp dažniausiai vykdomų nusikaltimų. Nepaisant to, kad atakos prieš smulkaus ir vidutinio verslo (SVV) įmones gana retai pasiekia žiniasklaidos antraštes, daugiau nei pusė visų kibernetinių atakų pasaulyje yra nukreiptos prieš SVV įmones. Ponemon instituto duomenimis, net 66 % smulkaus ir vidutinio verslo įmonių 2018 metais patyrė kibernetinius incidentus. Taigi, SVV įmonės tampa vienu pagrindinių programišių taikinių.
Nors Lietuvoje ir nėra daug statistikos apie SVV įmonių pažeidžiamumą, kibernetinių incidentų pobūdžiai ir ekspertų pasikartojantys patarimai leidžia teigti, kad mūsų įmonės susiduria su tomis pačiomis problemomis ir iššūkiais, kaip ir SVV visame pasaulyje. Apžvelgus kibernetinio saugumo ekspertų įžvalgas ir įvairių tyrimų rezultatus, galima įvardinti penkias pagrindines priežastis, kodėl SVV įmonės nėra tinkamai pasirengusios atremti kibernetines grėsmes.
Kibernetinio saugumo priemonių trūkumas
47 % SVV įmonių nežino kaip reikėtų apsisaugoti nuo kibernetinių atakų ir tik trečdalis jų jaučiasi visiškai pasiruošusios atremti kibernetinio saugumo atakas. Mažų įmonių kibernetinio saugumo priemonės dažnai yra nepakankamos – Lietuvos statistikos departamento duomenimis, SVV įmonės naudoja 36 proc. mažiau įrankių, skirtų apsisaugoti nuo kibernetinių atakų, nei didelės įmonės Lietuvoje. Dažnu atveju, atakai jau įvykus, smulkesnės įmonės neturi užtektinai žmogiškųjų ir techninių išteklių incidento suvaldymui ir situacijos atstatymui.
Kibernetinių atakų rizikos neįvertinimas
Nepaisant augančių grėsmių, verslas vis dar vangiai žiūri į kibernetinį saugumą kaip svarbų komponentą jų verslo tęstinumui. 51 % SVV teigia nemanančios, jog gali būti kibernetinės atakos aukomis. Technologijų plėtra ir platesnis daiktų interneto (angl. Internet of Things) naudojimas didina pažeidžiamumo mastą bei poreikį tinklo valdymo paslaugoms. Lietuvos statistikos departamento duomenimis, vos 19 % smulkių ir 37 % vidutinio dydžio įmonių atlieka kibernetinių rizikų vertinimą.
Didelės kompanijos apsaugai nuo tokių atakų skiria nemažai lėšų, todėl pagrindiniais taikiniais tampa mažos įmonės. SVV įmonės nėra izoliuotos viena nuo kitos – dažnu atveju jos yra didelių organizacijų tiekimo grandies dalis. Svetainė nėra tik svetainė – tai yra tiltas į kitus incidentus ir kitų organizacijų tinklus. Dėl to, rizika išlieka ne vien SVV įmonėms, bet ir jų verslo partnerių saugumui ir jų klientų duomenų apsaugai.
Skaitmeninio turto vertės nesuvokimas
Įmonės nesuvokia savo turimo skaitmeninio turto, jo vertės ir to, kad prarastas informacinis turtas gali sukelti didelių neigiamų pasekmių jų verslui. Dėl kibernetinės atakos sutrikusi įmonės ir internetinio puslapio veikla gali padaryti daug žalos, kurią sunku įvertinti. Ši žala neapsiriboja internetinio puslapio atkūrimu. Dėl veiklos sutrikimų įmonės praranda klientus, pajamas, o kai kuriais atvejais, gresia baudos dėl Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų nesilaikymo.
Neretai finansiniai nuostoliai po incidento yra didesni nei momentinė įsilaužimo žala. Lietuvoje nėra atliktų tyrimų apie vidutinę žalą įvykus kibernetiniam įsilaužimui. Palyginimui, Jungtinės Karalystės vyriausybės užsakyta apklausa parodė, kad vidutinė vieno įsilaužimo kaina smulkioms įmonėms siekia 5,430 svarų, o vidutinėms – 10,470 svarų. Tačiau užsienyje galima rasti ne vieną ir ne du atvejus, kai incidento nuostoliai siekė šimtatūkstantines sumas.
Verta prisiminti ir garsųjį „Grožio chirurgijos“ klinikos atvejį, kai programišiai į įmonės sistemą įsilaužė panaudoję buvusio klinikos darbuotojo prisijungimo duomenis ir taip pavogė daugiau nei 20 tūkstančių klientų asmeninius duomenis, nuotraukas prieš ir po operacijų. Iš klinikos buvo reikalaujama 500 tūkstančių eurų vertės išpirkos ir tai nebuvo vieninteliai galimi finansiniai nuostoliai – nukentėjusiųjų ieškinių suma dėl padarytos neturtinės žalos siekė 230 tūkstančių eurų.
Darbuotojų žinių trūkumas
Vien technologinių sprendimų neužtenka norint užtikrinti SVV kibernetinį atsparumą. Apklausos Jungtinėje Karalystėje rodo, kad net 43 % įmonių yra pažeidžiamesnės dėl nepakankamo kibernetinio sąmoningumo lygio įmonės viduje. Dėl to, dažnai verslo kibernetinė sauga atsiduria darbuotojų rankose. Daugiau nei 20 % kibernetinių incidentų privačiame sektoriuje įvyksta dėl darbuotojų aplaidumo ar nežinojimo. Duomenų vagystės „žvejybos“ būdu (angl. phishing) yra vis dar vienas iš pagrindinių (ir neretai labiausiai nuostolingų) sukčiavimo internete atvejų. Net 70 % SVV įmonių teigia, kad per tris mėnesius yra užfiksuojamas bent vienas „žvejybos“ atvejis.
Pavyzdžiui, vienas iš dažnai pasitaikančių tokių incidentų yra, kai siunčiamas laiškas darbuotojui, apsimetant įmonės vadovu ir yra prašoma pervesti pinigus į tam tikras sąskaitas. Vienos įmonės Alytuje buhalterė gavusi apgaulingą elektroninį laišką nuo jos direktoriumi apsimetusio asmens jam pervedė beveik 20 tūkstančių eurų. Kita įmonė Tauragėje prarado daugiau nei 5 tūkstančius eurų vos keliais mygtuko paspaudimais, kai į bendrovei priklausantį mobilųjį telefoną buvo atsiųsta apgaulinga užklausa, prašanti atnaujinti banko programėlę, kurią paspaudus moteris buvo nukreipta į netikrą elektroninės bankininkystės puslapį.
Kibernetinių saugumo priemonių kaina ir kompleksiškumas
Verslui dažnai yra labai sudėtinga ir neaišku kaip reikėtų tikslingai įsivertinti įsilaužimo žalą, ko pasekmėje, įmonėms yra sunku įvertinti investicijų į kibernetinio saugumo priemones grąžą. Jungtinės Karalystės atvejis rodo, kad 33 % smulkių ir 18 % vidutinio dydžio įmonių per metus kibernetinio saugumo priemonėms neišleidžia nė svaro, o vidutiniškai SVV įmonė išleidžia vos 200 svarų, kas yra lygu metiniam antivirusinės programos mokesčiui.
Kibernetinis saugumas nėra baigtinis procesas – IT sistemų kompleksiškumas ir sąveika yra nuolat kintanti bei reikalaujanti reguliarių priemonių atnaujinimo. Įmonės dažnai nežino nuo ko pradėti norint kurti sistemingą požiūrį į kibernetinio saugumo užtikrinimą. Bazinių kibernetinio saugumo mokymų pasiūla yra, tačiau mažesnės įmonės dažnai nemato prasmės apmokyti visų darbuotojų arba nėra linkusios tam skirti papildomų kaštų. Vos 12 % Lietuvos SVV įmonių organizuoja darbuotojų kibernetinio saugumo mokymus.
Stebėdami ir stabdydami kibernetines grėsmes negalime nuošalyje palikti mūsų šalies verslo. Nepamirškime, kad kibernetinis saugumas nėra tik vidinis įmonės ar žmogaus rūpestis, o vienas iš kertinių komponentų užtikrinančių Lietuvos nacionalinį ir visuomeninį saugumą. Visos skaitmeninės infrastruktūros tarpusavio sąsajos ir kompleksiškumas reiškia, kad vienos įmonės kibernetinio saugumo spragos ar vieno žmogaus neapdairumas atidarant el. laišką gali turėti ir didesnių pasekmių už įmonės ribų.
Dėl to, valstybė turi būti pasiruošusi ištiesti pagalbos ranką toms įmonėms, kurios neturi pakankamai žinių ar sugebėjimų pasirūpinti savo kibernetiniu saugumu. Tačiau, pagrindinis įsitraukimo ir sąmoningumo ugdymo tikslas turėtų būti įmonių elgsenos kaita. Supratusios kibernetinio saugumo svarbą ir skaitmeninio turto vertę įmonės pačios imsis daugiau investuoti į savo kibernetinio atsparumo stiprinimą. Tik tokiu būdu galėsime žengti saugesnio verslo ir saugesnės valstybės link.
—————————————————————————————————————————–
Šį pusmetį „Kurk Lietuvai“ programos projekto dalyviai (Rūta Beinoriūtė, Gabrielė Bilevičiūtė ir Justas Kidykas) Krašto apsaugos ministerijoje analizuoja Lietuvos SVV įmonių kibernetinio saugumo problematiką ir kuria sąmoningumo didinimui skirtą priemonių paketą. Šiuo metu yra vykdoma SVV įmonių vadovų ir darbuotojų apklausa (iki gruodžio 15 d.) siekiant detaliau išsiaiškinti jų kibernetinio saugumo spragas ir poreikius sąmoningumo ugdyme.
Kviečiame dalyvauti apklausoje:
- Jei esate SVV įmonės (darbuotojų skaičius iki 250) vadovas – (http://epilietis.lrv.lt/lt/formos/kibernetinis-saugumas-svv-vadovai)
- Jei esate SVV įmonės (darbuotojų skaičius iki 250) darbuotojas – (http://epilietis.lrv.lt/lt/formos/kibernetinis-saugumas-svv-darbuotojai)
EN