Kibernetinis saugumas: kaip be didelių investicijų sustiprinti silpniausias grandis?

Kibernetinis saugumas: kaip be didelių investicijų sustiprinti silpniausias grandis?

Kibernetinis saugumas įmonėse seniai tapo ne pasirinkimu, o būtinybe. Tai ypač aktualu įmonėms, kurios dirba su jautriais duomenimis, yra tarptautinių rinkų dalyviai ar savo veikloje naudoja pažangias technologijas. Kiekviena įmonė yra atsakinga už savo saugumą, o tai priklauso nuo investicijų dydžio, kurios nebūtinai turi reikalauti didelių finansinių išteklių. „Viena svarbiausių priemonių kibernetinio saugumo stiprinimui yra darbuotojų švietimas”, – tvirtina „NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas Domas Brazas.

Viena iš aktyviai į darbuotojų kibernetinio saugumo žinias investuojančių įmonių yra Lentvaryje veikianti „Retal Group”, kuri jau keletą metų bendradarbiauja su „NOD Baltic” kibernetinio saugumo mokymų ekspertais, nes, kaip patys sako, suvokia, kad šiuolaikinėje skaitmeninėje aplinkoje kiekvienas įmonės darbuotojas gali tapti kibernetinių grėsmių taikiniu ir užtenka vos vienos sukompromituotos paskyros, jog būtų galima paveikti visos įmonės veiklą. 

„Kibernetinis saugumas – tai ne tik IT specialistų, bet ir visų įmonės darbuotojų atsakomybė – apsaugoti organizacijos duomenis ir infrastruktūrą”, – yra įsitikinęs „Retal Group” Kibernetinio saugumo vadovas Elvinas Leskauskas. Jis pasidalijo patirtimi, kaip 400 darbuotojų komandai sekėsi specialiuose mokymuose.

Prieš mokymus – fišingo ataka

Ne tik darbo metu, tačiau ir per asmenines priemones internetiniai sukčiai mus atakuoja laiškais, žinutėmis, skambučiais ir kt. Tačiau ar tikrai sugebėtume atremti pavojingą ir kruopščiai apgalvotą ataką? Tai pasitikrinti galima organizacijose atliekant kibernetinių atakų simuliacijas. Mokymų paketą užsakiusi „Retal Group” komanda šįkart pasirinko fišingo pinkles, siekiant patikrinti darbuotojų budrumą elektroniniais laiškais. 

Kaip apie jų įmonėje vykusią simuliaciją lietuvių ir anglų kalbomis, o Ukrainos padaliniui – rusų kalba – pasakojo E. Leskauskas, daugelis darbuotojų nustebo sužinoję, kad net darbdavys gali siųsti kenkėjiškus laiškus, o komandos reakcijos buvo labai įvairios. 

„Pavyzdžiui, IT skyriaus darbuotojams nepatiko, kad apie simuliaciją jie nebuvo informuoti ir nežinojo, ką jos metu komunikuoti kitiems darbuotojams. Kiti darbuotojai, kurie anksčiau nematė priežasčių griežtinti saugumo priemonių, fišingo atakos pratybose „užkibo” lengviausiai, – patirtimi dalijosi jis. – Maloniai nustebino kai kurių mūsų gamyklų greita vidinė komunikacija – kolegos labai operatyviai dalijosi informacija apie grėsmingą laišką, ir taip fišingas buvo sustabdytas vos per kelias minutes.”

Tokių fišingo simuliacijų rezultatai su kibernetinio saugumo ekspertais ir pratybų dalyviais vėliau aptariami mokymuose. Mokymų metu darbuotojai supažindinami, kaip būti atsargesniems ir saugesniems ne tik darbo metu, bet ir kasdieniniame gyvenime – namuose, keliaujant ar dirbant iš namų. 

„Įmonei naudinga, kai darbuotojai yra budresni. Pradedant nuo paprastų, tačiau dažnai ignoruojamų dalykų, nes nesusimąstoma apie galimas grėsmes”, – aiškina NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas D. Brazas. Pavyzdžiui, po mokymų darbuotojai, atsitraukdami nuo kompiuterio, užrakina ekranus, o slaptažodžių nepalieka užrašytų ant lapelių prie kompiuterio. Net ir šie, atrodytų, smulkūs veiksmai žymiai prisideda prie organizacijos saugumo, mažinant riziką, kuri kyla dėl žmogiškojo faktoriaus.

Mokymai ir simuliacijos  – pritaikyti pagal individualius poreikius

Kaip sakė NOD Baltic” atstovas D. Brazas, rengiami mokymai kaskart būna specifiniai, nes pateikiama informacija ir / ar kuriamos simuliacijos būna pritaikytos atsižvelgiant į kliento veiklą, konkrečius poreikius bei tikslus.

E.Leskauskas patvirtina, kad šie kibernetinio saugumo mokymai buvo pritaikyti būtent jų įmonės veiklai, o medžiaga buvo itin praktiška ir įtraukianti. „Mokymų kokybė tikrai pateisino mūsų lūkesčius, o darbuotojų grįžtamasis ryšys buvo teigiamas. Darbuotojai ypač daug diskutavo apie interaktyvų testą ir džiaugėsi gautais sertifikatais”, – tvirtino jis.

Pakuotes gaminančios įmonės atstovas taip pat pasidalijo, kda šie mokymai padėjo išryškinti realias grėsmes ir gerokai padidino darbuotojų budrumą bei įsitraukimą. „Pastaruoju metu pastebėjome gerokai padidėjusį pranešimų apie įtartinus laiškus skaičių – darbuotojai aktyviai informuoja saugumo komandą. Be to, po gerų kolegų atsiliepimų apie mokymus, organizacija taip pat užsakė kibernetinio saugumo rizikų vertinimo mokymus vadovams, – sakė E. Leskauskas ir pridūrė, jog yra įsitikinęs, kad įmonės saugumas yra toks stiprus, kokia stipri yra silpniausia jos grandis. – Būtent dėl to kasdien tobuliname „Retal Group“ įmonių saugumą, o mokymai yra viena iš sričių, kuri ne tik didina įmonės atsparumą, bet ir kelia jos saugumo brandos lygį”.

Kodėl „NOD Baltic”? 

Lietuvoje veikianti „NOD Baltic” siūlo mokymus ir simuliacijas, padedančias sumažinti riziką patirti nuostolius dėl kibernetinių incidentų bei ugdyti darbuotojų kompetencijas kibernetinio saugumo srityje. Prieš vykdant bet kokią simuliaciją, su klientu aptariama, kaip jie įsivaizduoja pratybas, kokie kliento norai ir tikslai, apsikeičiama kita svarbia informacija, pasirašomos paslaugos ir konfidencialumo sutartys. 

Ruošiantis simuliacijai, klientas pateikia testavime dalyvausiančių darbuotojų sąrašą, nurodomas simuliacijos laikas bei sistemos, kurios bus imituojamos. Prieš vykdant telefoninius skambučius, atliekami papildomi žvalgybos metodai, siekiant rasti naudingos informacijos ir ją tikslingai panaudoti, kad ataka atrodytų kuo įtikinamesnė. 

Didžiąją dalį pasiruošimo darbų atlieka „NOD Baltic” profesionalai: kuriami kuo realistiškesni netikri el. laiškai, SMS žinutės ir sukuriamas identiškas prisijungimo puslapis ar panaši kliento sistema, į kurią nukreipiami vartotojai. Kiekvienas kliento atvejis yra individualus, todėl „NOD Baltic“ prisitaiko ir gali sukurti įvairias sistemas arba pasiūlyti klientui kitų idėjų. 

„Pasirinkome „NOD Baltic” kaip kibernetinio saugumo mokymų tiekėją dėl jų sukauptos patirties ir individualizuoto požiūrio į turinį, kuris leido sukurti mokymų programą, puikiai atitinkančią mūsų organizacijos poreikius”, – sakė „Retal Group” Kibernetinio saugumo vadovas E. Leskauskas.

NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas D. Brazas pastebi, kad nemaža dalis įmonių kibernetiniam saugumui vis dar neskiria pakankamai dėmesio, kol nesusidūrė su realiomis grėsmėmis ir nepatyrė praradimų. „Posakis „mokytis iš savo klaidų” čia netinka, nes į internetinių sukčių pinkles pakliūva net ir gerai pasiruošusios įmonės, visgi apmokyti darbuotojai yra stipri priemonė užkirsti kelią atakai ar bent jau sumažinti nuostolius. Geriau nelaukti, kol įvyks skaudus incidentas, o iš anksto imtis prevencijos, taip sutaupant ne tik laiko, bet ir resursų”, – pataria D. Brazas. 

Susisiekime dėl jūsų įmonei skirtų mokymų.

Kodėl net pažangiausios technologijos neapsaugo nuo kibernetinių grėsmių?

Augant grėsmių skaičiui ir sudėtingumui, įmonės investuoja į pažangiausias technologijas, pasitelkia aukščiausio lygio specialistus ir diegia įvairius saugumo sprendimus. Tačiau net ir su geriausiomis technologijomis organizacijos lieka pažeidžiamos dėl vienos esminės priežasties – žmonių klaidų. Darbuotojai, kaip silpniausia saugumo grandis, dažnai tampa kibernetinių atakų taikiniais. Kodėl darbuotojų švietimas yra toks svarbus ir kokie žingsniai gali padėti sustiprinti organizacijos kibernetinį atsparumą? Apie šiuos klausimus ir būdus, kaip pasirinkti veiksmingus kibernetinio saugumo mokymus, dalijasi „NOD Baltic“ kibernetinio saugumo mokymų projektų vadovas Domas Brazas.

– Dažnai manoma, kad kibernetinio saugumo mokymai reikalingi tik IT skyriui. Ar toks požiūris teisingas?

Tai vienas didžiausių mitų. Kibernetinis saugumas nėra tik IT specialistų atsakomybė – kiekvienas organizacijos darbuotojas gali tapti kibernetinių nusikaltėlių taikiniu. Statistika rodo, kad beveik kas antras duomenų pažeidimas įvyksta dėl žmogaus ir sistemų klaidų, o daugiau nei 90 % kibernetinių atakų prasideda nuo paprasto el. laiško – paspaustos nuorodos ar atidaryto užkrėsto priedo.

Kasdien į mūsų pašto dėžutes patenka daugybė el. laiškų, tarp kurių gali būti apgaulingų pranešimų su sukčiavimo nuorodomis, šnipinėjimo programomis ar bandymais išvilioti jautrius duomenis. Todėl vienas efektyviausių ir mažiausiai kaštų reikalaujančių žingsnių įmonėms – darbuotojų švietimas. 

 „NOD Baltic“ baziniai kibernetinio saugumo mokymai padeda suprasti socialinės inžinerijos principus, išmokti atpažinti grėsmes, sukurti stiprius slaptažodžius ir išvengti dažniausiai pasitaikančių atakų. Mokymai skirti visiems, nes kibernetiniai sukčiai nesirenka – jie gali taikytis į bet kurį įmonės darbuotoją. 

Be bazinių mokymų, organizacijoms svarbu pasirūpinti ir pažangesnėmis priemonėmis. „NOD Baltic“ taip pat siūlo mokymus, skirtus IT vadovams, kibernetinio saugumo specialistams ir aukščiausio lygio vadovams, kurie padeda suprasti, kaip greitai reaguoti į incidentus, valdyti rizikas ir stiprinti organizacijos atsparumą kibernetinėms grėsmėms.

Nuolat pabrėžiame, kad investicija į kibernetinio saugumo mokymus yra veiksminga priemonė, padedanti sumažinti finansines ir reputacijos rizikas, su kuriomis šiandien susiduria daugybė įmonių.

– Kibernetinio saugumo mokymai dažniausiai siejami su darbo aplinka, tačiau ar šios žinios praverčia ir už jos ribų?

Be jokios abejonės. Skaitmeninis pasaulis tapo neatsiejama mūsų kasdienybės dalimi – jame ne tik dirbame, bet ir bendraujame, apsiperkame, tvarkome finansinius reikalus bei leidžiame laisvalaikį. Deja, būtent čia slypi ir didžiausios grėsmės: kibernetiniai nusikaltėliai taikosi ne tik į įmones, bet ir į kiekvieną iš mūsų.

Praktika rodo, kad darbuotojai itin vertina kibernetinio saugumo mokymus ne tik dėl jų naudos darbe, bet ir dėl to, kad įgytos žinios praverčia ir kasdienėje veikloje. Jie išmoksta atpažinti sukčiavimo būdus, kurti stiprius slaptažodžius, saugiai naudotis finansinėmis paslaugomis internete. Be to, kaip teigia mokymų dalyviai, šios žinios dažnai tampa ir pokalbių tema šeimose – dalijamasi įgytomis žiniomis su vaikais, tėvais ir kitais artimaisiais.

– Dažnai manoma, kad kibernetinės grėsmės aktualios tik didelėms įmonėms, o mažoms įmonėms pavojaus nėra, todėl joms kibernetinio saugumo mokymai nereikalingi. Ką manote?

Tai – klaidingas požiūris. Nors smulkios įmonės ir namų biurai dirba su mažesniais duomenų kiekiais ir pinigų sumomis, tai jų tikrai neapsaugo nuo kibernetinių grėsmių. Priešingai – mažos įmonės yra ypač pažeidžiamos, nes dažnai neturi išteklių, reikalingų tinkamam kibernetiniam saugumui užtikrinti, ir yra lengviau pasiekiamos kibernetinių nusikaltėlių.

Mažos įmonės dažnai neturi didelių kibernetinio saugumo biudžetų, o tai kibernetiniams nusikaltėliams suteikia galimybę taikyti paprastesnes, tačiau labai veiksmingas atakas. Dažnai kibernetiniai užpuolikai renkasi mažesnes įmones ir individualius vartotojus kaip tikslą, nes juos lengviau pasiekti ir užpulti. 

Būtent todėl kibernetinio saugumo mokymai smulkiosioms įmonėms yra iš tiesų naudingi. Jie suteikia žinių, kaip ne tik apsaugoti įmonės duomenis, bet ir sustiprinti jos gebėjimą apsiginti nuo kibernetinių grėsmių. 

– Kaip reikėtų išsirinkti kibernetinio saugumo mokymus? Į ką vertėtų atkreipti dėmesį? 

Renkantis kibernetinio saugumo mokymus, svarbiausia, kad jie būtų ne tik teoriniai, bet ir praktiniai. Dauguma mokymų programų sutelkia dėmesį į pagrindines žinias, tokias kaip slaptažodžių kūrimas ar duomenų apsauga. Tačiau šių žinių nepakanka – esminė vertė atsiranda tada, kai dalyviai gauna galimybę patikrinti savo įgūdžius realiose situacijose, o ne tik teorinių mokymų metu. 

Todėl „NOD Baltic“ be bazinių mokymų, taip pat siūlo ir socialinės inžinerijos pratybas. Jų metu sukuriami suklastoti laiškai ar SMS žinutės, kurios siunčiamos darbuotojams, ir tikrinama, ar jie sugeba atpažinti grėsmes. Tai leidžia ne tik įvertinti darbuotojų atidumą, bet ir padeda jiems įgyti pasitikėjimo priimant sprendimus greitai ir tiksliai, kai to labiausiai reikia. 

Ne mažiau svarbu ir dėstytojų kompetencija. „NOD Baltic“ mokymus veda aukščiausios kvalifikacijos specialistai, kurie ne tik moko, bet ir dalijasi savo praktine patirtimi. Mūsų lektoriai yra ilgametę patirtį turintys ekspertai, susidūrę su įvairiais realiais kibernetinio saugumo iššūkiais ir galintys suteikti vertingų įžvalgų apie esamas grėsmes ir efektyvius sprendimus. 

Pabaigai, svarbu paminėti ir sertifikavimo vertę. Baigus mokymus ir išlaikius testą, mūsų dalyviai gauna sertifikatus, kurie patvirtina jų pasirengimą kovoti su kibernetinėmis grėsmėmis ir užtikrinti tiek asmeninį, tiek organizacinį saugumą. 

Norite daugiau sužinoti apie „NOD Baltic“  kibernetinio saugumo mokymus ar juos įsigyti, daugiau informacijos rasite čia