Po gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), nemažai organizacijų suskubo domėtis pažangiausiais sprendimais, galinčiais vienu ypu atliepti bent dalį BDAR keliamų reikalavimų. Nors IT ekspertai pastebi, kad po BDAR įsigaliojimo kibernetinių atakų skaičius iš tikrųjų išaugo, pažangiausi sprendimai nebūtinai padės efektyviai užtikrinti saugumą.
Kibernetinių atakų padaugėjo
Įsigaliojus BDAR kibernetinio saugumo situacija gana apčiuopiamai pablogėjo, neslepia konsultacijų bendrovės „VORAS Consulting“ direktorius Paulius Petrėtis.
„BDAR įsigaliojimas privertė suklusti ne tik įmones, bet ir piktavalius. Pirmiausia, išaugo skundų ir užklausimų dėl asmens duomenų valdymo skaičius. Antra, dažnesni kibernetiniai išpuoliai, kurių tikslas – organizacijos turimi asmens duomenys ir šantažas reikalaujant išpirkos. Beje, svarbu pastebėti, kad įsilaužėliai jau buvo užgrobę duomenis anksčiau, tačiau tikslingai laukė gegužės 25 d., kad apie tai praneštų. Neramina ir tai, kad išpirkų sumos stambėja. Jeigu dar pernai prašoma bitkoinų suma neperžengdavo 1000 eurų ribos, dabar kalbama apie šimtus tūkstančių eurų. Taip yra dėl to, kad anksčiau pavogti duomenys neturėjo tokios vertės, kaip dabar. Šiai dienai pavogti duomenys mažiausiai kainuoja paskirtą baudą už prarastus duomenis, todėl išpirkos tik didėja. Apibendrinant galima pastebėti, kad kibernetiniai nusikaltėliai gerai žino, ką daro. Deja, to paties apie daugelį organizacijų pasakyti neišeitų“, – pasakoja pašnekovas, pridurdamas, kad užpultų organizacijų situaciją sunkina tai, kad pagal naująjį reglamentą organizacija, iš kurios vienaip ar kitaip buvo pavogti asmens duomenys, turės įrodyti, jog ėmėsi visų įmanomų priemonių, kad vagystės išvengtų.
„Būtų per drąsu sakyti, kad BDAR įsigaliojimui Lietuvoje buvo pasirengusi bent pusė organizacijų. Bet tai – ne aplaidumo pasekmė. Daugelis laukė patikslinimų, susijusių su BDAR. Jų buvo daug, tačiau esmės šie komentarai nepakeitė, todėl tie, kas laukė daugiau aiškumo, prarado nemažai laiko ir dabar turi suspėti pasiruošti „iki atakos“, – pasakoja „VORAS Consulting“ direktorius, primindamas, kad nepaisant prasidėjusios pasirengimo karštligės, laiko pasirengti naujiems duomenų apsaugos reikalavimams buvo pakankamai – apie reglamento įsigaliojimą visoje Europos Sąjungoje paskelbta dar 2016 m.
Bijoti reikia ne baudų, bet išpuolių
Nors daugeliui susidaro įspūdis, kad labiausiai reikia bijoti milžiniškų baudų, kurias galima gauti nesilaikant BDAR, tačiau tikrovė ne tokia dramatiška, patikina ekspertas – prieš skiriant baudą, organizacijai išsiunčiamas perspėjimas, skiriama nemažai laiko pasitempti ir imtis reikalingų priemonių. „Jeigu organizacija atsisako bendradarbiauti ir spręsti savo duomenų apsaugos problemas, kalba pakrypsta apie sankcijas. Kalbant paprasčiau, didelės baudos, apie kurias dažnai girdime BDAR kontekste, tikrai netrenks kaip žaibas iš giedro dangaus“, – patikslina P. Petrėtis.
Daug didesnė grėsmė, pašnekovo teigimu, jau minėti išpuoliai grasinant atskleisti organizacijos saugomus asmens duomenis ir taip užtraukti BDAR numatytą atsakomybę. Taip pat BDAR kontekste dažnai pamirštama nesenstanti klasika – kibernetiniai išpuoliai, kurie sutrikdo organizacijos veiklą bei sukelia grėsmę įmonės reputacijai, kas kainuoja prarastus klientus ir daug metų aktyvaus savo reputacijos atstatymo.
„Skaičiuojama, kad grąžinti organizacijos veiklą į vėžes po IT išpuolio užtrunka nuo vienos savaitės iki dviejų. Tokios prastovos brangiai kainuoja ir gali baigtis visiška katastrofa bet kuriam verslui“, – sako „VORAS Consulting“ direktorius, pabrėždamas, kad siekis atitikti BDAR reikalavimus gali pasitarnauti kaip papildoma motyvacija ir argumentas skirti daugiau dėmesio ir finansų kurti atsparumą kibernetinėms grėsmėms.
„Viena vertus, BDAR neįvardija konkrečių techninių priemonių, kurias reikia įgyvendinti – visa atsakomybė už sprendimų pasirinkimą tenka organizacijai. Kita vertus, užmesti akį į BDAR dėliojant savo saugumo priemones – naudinga. Verta atkreipti dėmesį, kad įvykus asmens duomenų saugos pažeidimui, organizacija turi įrodyti, kad padarė viską, kad tam užkirstų kelią“, – pabrėžia pašnekovas.
Kaip rinktis naujas saugumo priemones?
BDAR aktyviai besirengiančių organizacijų žvilgsnis dažnai krypsta į pažangias priemones, kurios, kaip pasakoja „Blue Bridge“ IT architektas Gintaras Vaidakavičius, priskiriamos specializuotam saugos lygiui.
„Šiemet „Blue Bridge“ pristatyta Kibernetinės saugos technologijų matrica siūlo greitai susipažinti su skirtingais IT brandos lygiais ir jiems priskiriamais sprendimais bei technologijomis. Pastebime, kad pačiame aukščiausiame – specializuotame saugos lygyje besirikiuojančios priemonės susilaukia dėmesio. Pavyzdžiui, tarp šio lygio sprendimų galima įvardyti kelių faktorių autentikavimo įrankius, slaptažodžių saugyklas, privilegijuotų paskyrų valdymą ir kt. Svarbu pažymėti, kad šie įrankiai, jei naudojami neteisingai, gali atnešti daugiau nuostolių nei naudos, nes turi įtakos didelei grupei naudotojų. Be to, jeigu organizacijoje nėra reikiamų kompetencijų, ištaisyti nesklandumus taip pat bus sudėtinga“, – pastebi G. Vaidakavičius, akcentuodamas, kad kiekvienos organizacijos IT brandos lygis skiriasi ir reikalauja skirtingų priemonių.
„Ieškant greito ir paprasto sprendimo kibernetinio saugumo stiprinimui, iš pirmo žvilgsnio gali pasirodyti, kad praverstų visos specializuoto lygio priemonės, nes jos leidžia atitikti labai griežtus reikalavimus – apsaugo nuo nišinių grėsmių ir aptinka visiškai naujas, be to, išsamiai analizuoja saugos incidentus. Tačiau pradėti reikėtų ne nuo konkretaus sprendimo ar BDAR reikalavimų, bet nuo savo poreikių, ar tiksliau, problemų, analizės“, – pabrėžia „Blue Bridge“ atstovas.
„Šuolis“ įmanomas, bet turi būti pamatuotas
Tuo atveju, jeigu organizacija turi pakankamai kompetencijų valdyti sudėtingus sprendimus, „šuolis“ į specializuotą saugos lygį – iš tikrųjų įmanomas. Jis turėtų prasidėti nuo blogiausiai apsaugotos srities identifikavimo ir sprendimo ją stiprinti.
Pavyzdžiui, organizacija, turinti rimtų tapatybės ir prieigos valdymo problemų gali „šokti“ tiesiai į specializuotą lygį įsigydama priemones išsprendžiančias ir bazinio, ir pažangaus saugos lygio problemas bei įgalinančias tam tikrų procesų automatizaciją, kuri būdinga daugeliui sprendimų, priskiriamų specializuotam lygiui.
„Specializuoto lygio sprendimų būtinybė dažniausiai susijusi su akivaizdžiu automatizuotų sprendimų poreikiu. Pavyzdžiui, jeigu organizacijoje, kurioje daug kompiuterizuotų darbo vietų, dažnai susiduriama su tapatybės valdymo iššūkiais – painiava su slaptažodžiais, daug naudotojų, besinaudojančių ta pačia sistemos paskyra, paskyros-„vaiduokliai“ ir t. t. – greičiausiai daugelį problemų iš tikrųjų išspręs pažangūs tapatybės valdymo sprendimai. Svarbu pažymėti, kad dažnai organizacijos gana aiškiai mato, kad negali apsieiti be specializuoto lygio sprendimo. Tam tikra prasme tai net nėra pasirinkimas, o būtinybė. Todėl jeigu jūsų poreikius iš esmės atliepia paprastesnis sprendimas, geriau rinktis jį, o ne pirkti sudėtingą sprendimą vien todėl, kad kitos organizacijos jį įsigijo“, – pastebi G. Vaidakavičius.
Tarp BDAR reikalavimų ir naujausių grėsmių
Norint sustiprinti IT saugumą BDAR įsigaliojimo kontekste, verta turėti dvi kelrodes žvaigždės – BDAR keliamus reikalavimus duomenų saugumui ir savo svarbiausių problemų analizę. Svarbu atsiminti, kad turint pakankamai kompetencijų organizacijoje, galima nušauti du zuikius vienu šūviu ir įsigyti pažangesnę priemonę, kuri iškart išspręs kelias bėdas ir padės iš esmės pakelti konkrečios srities saugumą į naują lygį. Tačiau dažniausiai užlopyti svarbiausias saugumo spragas gali padėti ir paprastesni sprendimai.
Atlikti didesnį ar mažesnį saugumo auditą organizacijoje, jį užfiksuoti dokumento pavidalu bei įvertinti, kokios priemonės gali būti naudingos, reikėtų kuo greičiau – šią vasarą duomenų užgrobimo atvejų Lietuvoje padaugėjo.
Sustiprinkite savo IT saugumą su „Blue Bridge“ saugumo specialistais
Susisiekime: Aivaras.Teleisa@www.bluebridge.lt, +370 672 28822
Aivaras Teleiša – „Blue Bridge“ kompiuterinių tinklų sprendimų vadybininkas ir technologijų specialistas, turintis daugiau nei 10 metų patirtį informacinių technologijų srityje, kompiuterinių tinklų, IT saugumo sprendimų pardavimuose, projektavime ir projektų valdyme.