Nacionalinio kibernetinio saugumo centro duomenimis, per 2021 m. pirmąjį pusmetį užfiksuota beveik dvigubai daugiau virtualių įsilaužimų nei metais prieš tai. Klaidingai manoma, kad kibernetinių atakų taikiniais tampa tik didelės įmonės. Įsilaužėliai taikosi ir į mažesnius verslus, nes jų apsaugoje tikisi atrasti spragų. Užkirsti kelią galimiems įsilaužimams mažose įmonėse galima iš anksto jiems ruošiantis ir laikantis svarbiausių saugumo taisyklių.
„Dėl kibernetinės atakos mažosios įmonės gali netekti svarbių duomenų, prarasti reputaciją, gali būti sutrikdyta ir verslo veikla. Siekdami apsaugoti įmonę nuo virtualių įsilaužėlių, vadovai turėtų imtis svarbiausių atsargumo priemonių ir saugumu rūpintis iš anksto“, – teigia Mantas Užupis, „Tele2“ IT saugumo ekspertas.
Kokias saugumo priemones taikyti?
Vykdyti galiojančius įstatymus ir reikalavimus. Mažesnės įmonės, kuriose dirba iki 10 žmonių, taip pat privalo tinkamai saugoti bei tvarkyti klientų asmeninę informaciją, nes neapsaugoti duomenys tampa lengviau prieinami kibernetiniams įsilaužėliams ir trečiosioms šalims. Pirmiausia, įmonės turi atitikti Bendrojo duomenų apsaugos reglamento (BDAR) keliamus reikalavimus. BDAR numato pareigą įmonėms imtis tinkamų techninių ir organizacinių priemonių asmens duomenų apsaugai. Tai atliekama organizuojant ir vykdant asmens duomenų auditą (inventorizaciją) bei parengiant asmens duomenų apsaugos dokumentus. Įmonėms taip pat svarbu laikytis Lietuvos kibernetinio saugumo įstatymo, kuris apibrėžia aiškius kibernetinio saugumo principus.
Reguliariai atlikti atnaujinimus. Viena dažniausiai pasitaikančių saugumo spragų priežasčių – neatliekami reguliarūs programinės įrangos atnaujinimai. Ir moderniausia įranga po tam tikro laiko tampa pažeidžiama, atsiranda sistemos neatitikimų bei įvairių saugumo spragų – tai leidžia programišiams „nulaužti“ svetainę ar pasisavinti sukauptą informaciją.
Prižiūrėti slaptažodžius. Kaip ir paprastiems vartotojams, taip ir mažoms įmonėms, patariama laikytis saugaus slaptažodžių kūrimo bei naudojimo principų. Siekiant užtikrinti prevenciją, verslams svarbu turėti griežtą prieigos kontrolę ir taikyti dviejų žingsnių autentifikavimą. Rekomenduojama nenaudoti vienodų ar itin populiarių slaptažodžių skirtingoms paskyroms, rinktis sudėtingesnius ir daugiau simbolių turinčius slaptažodžius bei reguliariai juos atnaujinti. Būtina nuolat valyti sistemą nuo senų prieigos kodų ir slaptažodžių, kad buvę darbuotojai negalėtų prisijungti ir pasisavinti įmonės duomenų.
Kurti kopijas. Prieš susiduriant su kibernetiniu įsilaužimu, verta pasirūpinti duomenų atsarginėmis kopijomis. Svarbesnių verslo duomenų kopijas patartina laikyti ne vienoje pasirinktoje vietinėje saugykloje, geriau jas saugoti pasirinktame tiekėjo duomenų debesyje. Kibernetinės atakos atveju šis veiksmas padės apsisaugoti nuo svarbių dokumentų pakeitimo ar net praradimo.
Apmokyti darbuotojus. Pavojų saugumui kelia hibridinis darbo modelis, nes darbuotojai turi prieigą prie konfidencialios informacijos, prie kurios jungiasi per neapsaugotus „Wi-Fi“ tinklus. Labai svarbu, kad visi komandos nariai būtų informuoti apie kibernetinį saugumą. Verta reguliariai rengti praktinius mokymus darbuotojams ir nuolat atnaujinti jų žinias. Dar prieš susiduriant su kibernetiniais pavojais, komanda turi būti apmokyta, kaip saugiai perduoti informaciją, laiku atnaujinti sistemas, atpažinti apgaules ir užkirsti kelią neteisėtai prieigai prie įmonės tinklų.
Sukurti planą. Joks tinklas ir sistema nėra visiškai apsaugota nuo kibernetinių atakų ir saugumo grėsmių. Jei siekiate užtikrinti, kad įmonė neprarastų visų duomenų, pajamų ar reputacijos, svarbu turėti veiksmų planą. Kiekvienoje įmonėje turėtų būti parengtas reagavimo į kibernetinius incidentus planas, nurodantis darbuotojams, kaip elgtis duomenų saugumo pažeidimo atveju ir kam pranešti apie galimas grėsmes. Iš anksto suplanuokite, ką darysite atakos atveju – išjungsite visą tinklą, sustabdysite visas operacijas, informuosite klientus ir kaip atstatysite prarastą informaciją? Galima kreiptis ir į Nacionalinį kibernetinio saugumo centrą, kuris turi paruošęs gaires, kaip apsisaugoti ir elgtis kibernetinio incidento metu.
Įdiegti virtualios apsaugos įrangą. Investicija į pažangią kibernetinio saugumo programinę įrangą kainuoja mažiau nei prarasti svarbūs duomenys. Antivirusinė programa sukuria ugniasienę („firewall“), kuri apsaugo tinklą nuo virusų ir neteisėtų bandymų prisijungti prie sistemų. Ugniasienės skenuoja įrenginius ir nešiojamuosius diskus, ieško kenkėjiškų programų ir neleidžia piktavaliams įsilaužti į įmonės internetinį skydą. Naudojant antivirusinę įrangą, svarbiausia ją nuolat atnaujinti ir pasirinkti stiprius apsaugos nustatymus.
Apsaugoti darbuotojų informaciją. Kibernetiniai įsilaužėliai naudojasi viešai prieinama informacija ir taip manipuliuoja žmonėmis, kad šie pasidalintų konfidencialiais įmonės duomenimis. Dėl šios priežasties verslai turėtų riboti internete skelbiamos informacijos kiekį. Įmonėms taip pat labai svarbu saugiai laikyti savo duomenis ir turėti atsarginių kopijų, kad konfidenciali informacija būtų apsaugota nuo kibernetinės vagystės, praradimo ar sunaikinimo.
