Kovo pabaigoje pirmą kartą visuomenei pristatyta 2016-ųjų Lietuvos kibernetinio saugumo būklės ataskaita. Deja, ją parengęs Kibernetinio saugumo centras džiugiomis išvadomis nepasidalijo. Nors daugiausiai analizuota saugumo padėtis valstybinio sektoriaus organizacijose, konstatuota, kad kibernetinio saugumo lygis gana žemas visos šalies organizacijose.
Apie tai, kas slepiasi už šio apibendrinimo bei kokių priemonių imtis gerinant kibernetinį saugumą savo organizacijoje – pokalbis su „Blue Bridge“ vyriausiuoju sistemų inžinieriumi-konsultantu Kęstučiu Meškoniu. Pašnekovas neslepia, kad ataskaitos išvados jo nestebina: ir valstybinėse, ir privačiose organizacijose vis dar gajus įsitikinimas, kad norint užtikrinti IT saugumą pakanka ugniasienės, antivirusinių programų ir patikimų slaptažodžių, nors iš tikrųjų šių priemonių jau seniai nebeužtenka net bazinio saugumo palaikymui.
– Ataskaitoje pažymima, kad pernai užfiksuota 3 kartus daugiau standartinėmis priemonėmis neaptinkamų incidentų kompiuterių tinkluose, o dauguma incidentų kilo dėl gana elementarių dalykų nežinojimo, taip pat sisteminių priežasčių – nepakankamų vadybos ir saugos standartų organizacijose, įstatymo, reglamentuojančio kibernetinį saugumą, ignoravimo. Ką, Jūsų nuomone, reiškia tokia „diagnozė“?
Kęstutis Meškonis: Organizacijos saugumo koncepcija laikosi ant trijų banginių: procedūrų, užtikrinančių saugumą, formalizavimo, techninių sprendimų, užtikrinančių saugumą, ir darbuotojų, gebančių adekvačiai vertinti galimas grėsmes. Dabartinės padėties vertinimas, pateiktas ataskaitoje, reiškia, kad gana rimtų negalavimų pakirsti visi trys banginiai. Tik darni visų trijų elementų – procesų, technologijų ir žmonių – sąveika užtikrina pilnavertį ir efektyvų organizacijos saugumo įgyvendinimą.
Antra vertus, tai taip pat reiškia, kad dalis organizacijų jaučiasi saugiai, todėl ir neteikia saugumui didesnio dėmesio. Viena to priežasčių – elementarus nežinojimas apie incidentus. Pasauliniai tyrimai atskleidžia, kad apie du trečdalius organizacijų apie prieš jas įvykdytas atakas sužino iš trečiųjų šalių t. y. atitinkamų tarnybų, kurios informuoja apie tai, kad įmonės kompiuteriai užkrėsti, dalyvauja atakose prieš kitų organizacijų sistemas ir t. t.
– Jūsų vertinimu, kokia daugumos organizacijų Lietuvoje saugumo branda? Ar sutinkate su Kibernetinio saugumo centro išvada apie gana prastą būklę?
K. Meškonis: Kalbant paprastai, organizacijas pagal saugumo brandą galima suskirstyti bent į tris kategorijas: turinčias menką saugumą, vidutinį ir pažangias. Pažangios organizacijos savo ruoštu taip pat gali būti skirstomos į kelias kategorijas.
Kalbant apie tai, kuriai kategorijai priklauso dauguma organizacijų, svarbu atsiminti, kad ne visoms organizacijoms reikia tapti labai pažangiomis saugumo prasme – juk ne visi dirba su itin jautria informacija ir ne visose organizacijose IT vaidina didžiausią vaidmenį. Tačiau vidutinį saugumo lygmenį reiktų pasiekti visoms. Ir įdomu tai, kad kai kada organizacijos vadovybė galvoja, kad jų organizacija jau yra vidutiniame lygmenyje, tačiau pradėjus analizuoti saugumo užtikrinimą, užduodant tam tikrus klausimus, paaiškėja, kad nežinoma, nei kas turi priėjimą prie svarbiausių sistemų, nei kokie incidentai jau buvo įvykę. Be to, vis dar gajus įsitikinimas, kad norint užtikrinti IT saugumą pakanka ugniasienės, antivirusinių programų ir patikimų slaptažodžių, nors iš tikrųjų šių priemonių jau seniai nebeužtenka net bazinio saugumo palaikymui. Taigi – dažnai jėgos ir atsparumas kibernetinėms grėsmėms yra pervertinami ir iš to galima spręsti, kad saugumo, ar tiksliau, sąmoningumo, lygis tikrai nėra pakankamas.
– Kalbant apie darbuotojus, išskirta vadovo atsakomybė užtikrinant kibernetinį saugumą. Ar sutiktumėte su nuomone, kad šiandieninėje organizacijoje viskas priklauso nuo vadovo, o ne nuo IT padalinio žmonių ir kitų darbuotojų sąmoningumo?
K. Meškonis: Klasikinė hierarchinė struktūra organizacijoje iš tikrųjų niekur nedingsta. Nuo vadovo sprendimų, be abejo, priklauso daugiausiai – taip pat ir finansine prasme. Tačiau šiuolaikinėse organizacijose vadovai gali patys nebespręsti konkrečių IT saugumo klausimų, o patikėti šias funkcijas informacijos saugos įgaliotiniui, saugos vadovui. Paprastai jie būna pavaldūs tiesiogiai vadovui ir turi įtakos IT skyriaus, pavyzdžiui, IT administratorių, sprendimams, taip pat kitiems organizacijos darbuotojams. Pastebime, kad ši rolė atsiranda ir valstybinėse, ir privačiose organizacijoje. Tokia tendencija, be abejo, džiugina.
Tiesa, kartais saugumo organizavimo funkcijos priskiriamos IT padaliniui ar specialistams. Rečiau steigiamas naujas IT saugumo ir audito skyrius, kuris rūpinasi tik saugumo klausimais, stebi, kas vyksta organizacijos tinkluose, ar darbuotojai laikosi saugumo reikalavimų ir t. t. Pastebėčiau, kad pastarasis variantas, kai įkuriamas tik saugumui dedikuotas skyrius, yra pats geriausias. Tuomet IT skyrius gali rūpintis tik sistemų administravimu ir kitais IT klausimais, o IT saugumo specialistai viskuo, kas susiję su saugumu.
– Kokios saugumu besirūpinančių specialistų pareigos?
K. Meškonis: Greta procedūrų ir techninių sprendimų priežiūros, išskirčiau technologinį darbuotojų švietimą. Pirmiausia – mokymų organizavimą įvairių lygių darbuotojams. Norėčiau atkreipti dėmesį, kad universalių mokymų, kalbant apie kokybišką kibernetinį saugumą, tiesiog nebūna – skirtingiems specialistams reikalingi skirtingi mokymai.
Pavyzdžiui, bendri saugumo mokymai darbuotojams turėtų būti orientuoti į grėsmių atpažinimą, mokymąsi naudotis informacinėmis sistemomis, dirbti su elektroniniais dokumentais ir t. t. Ypatingą dėmesį reikėtų skirti socialinei inžinerijai – nuolat populiarėjančiam grėsmės tipui, kai naudotojas yra apgaunamas ir savanoriškai atskleidžia konfidencialią informaciją, padeda įsibraukti į organizacijos tinklus piktavaliams ir t. t. Beje, kibernetinio saugumo ataskaitoje pažymima, kad lietuviai turi dar nedaug žinių apie šią grėsmę ir lengvai jai pasiduoda. O tai reiškia, kad socialinės inžinerijos metodus bus bandoma naudoti ir ateityje, nes jie pasiteisina.
Antro tipo mokymai turėtų būti skirti IT administratoriams, IT padalinio darbuotojams. Savaime suprantama, kad jie turėtų padėti gilinti turimas žinias apie saugumą ir rengti tokius mokymus pačiai organizacijai gali būti per sudėtinga. Trečiojo tipo mokymai – tai mokymai specialistams, atsakingiems už IT saugumą. Tai, be abejo, labai specifiniai mokymai ir dažniausiai juos organizuoja išorinės IT organizacijos.
Be to, svarbus ne tik tinkamas mokymų parinkimas, bet ir jų dažnumas. Pavyzdžiui, bendrieji mokymai visiems organizacijos darbuotojams turėtų būti vykdomi bent kartą per metus. Kol kas neretai įsivaizduojama, kad darbuotojas kuo puikiausiai atsimena IT saugumo taisykles, kurias galbūt perskaitė ateidamas į naują poziciją prieš kelerius metus. Tačiau akivaizdu, kad IT grėsmės nestovi vietoje ir su jomis susijusias žinias reikia nuolat atnaujinti.
– Kalbant apie technologinę saugumo užtikrinimo pusę, kokius sprendimus galėtumėte rekomenduoti pirmiausia?
K. Meškonis: Technologinių saugumo priemonių kategorijų yra daugiau nei dvidešimt. Ir jeigu baziniai dalykai paprastai būna panašūs visoms organizacijoms, kitų, specifinių sprendimų parinkimas visada yra labai individualus. Jis priklauso ir nuo organizacijos finansinių galimybių, ir nuo saugomos informacijos jautrumo. Todėl kalbėdami apie kokybišką saugumo organizavimą, turime žiūrėti į jį kompleksiškai, nediegti sprendimo vien tam, kad jį turėti. Net brangiausias sprendimas, be tinkamo administravimo, vystymo, incidentų tyrimo, neatneš naudos. Tam ir reikalingi IT saugumo specialistai, galintys prioretizuoti sprendimus, įvertinti saugomą informaciją ir jos praradimo žalą, atsižvelgti į organizacijos saugumo brandą ir pasiūlyti tai, ko reikia ir tiek, kiek reikia.
– Ar skirtingos brandos organizacijos turėtų imtis skirtingų priemonių, gerindamos savo kibernetinį saugumą?
K. Meškonis: Nepriklausomai nuo to, kokia yra organizacijos saugumo branda, reikėtų pradėti nuo saugumo organizavimo koncepcijos, kurioje būtų aptarti ne tik technologiniai sprendimai, bet ir kiti svarbūs saugumo įgyvendinimo elementai. Į „Blue Bridge“ dėl tokio saugumo koncepcijos parengimo kreipiasi labai įvairios organizacijos – vienos iš jų ateina turėdamos klausimų apie sprendimus, skirtus konkrečiai problematikai, kitos – pradeda nuo pačių pagrindų ir laikui bėgant kopia vis aukščiau. Todėl ieškantiems efektyvių būdų pagerinti saugumą, rekomenduočiau pradėti būtent nuo analizės bei būti atviriems ir pasiruošusiems netikėtiems atradimams.
– Bet kuri organizacija veikia platesniame kontekste. Kokios trečiosios šalys svarbios, kalbant apie konkrečios įmonės ar įstaigos saugumo užtikrinimą? Galbūt pareigų turi ir valstybinės institucijos bei IT saugumo sprendimų gamintojai?
K. Meškonis: Iš tiesų, užtikrinant kibernetinį saugumą, kelrodžiu gali būti ir reglamentai, pavyzdžiui, 2014 m. įsigaliojęs Kibernetinio saugumo įstatymas. Tačiau, kaip sužinojome iš Kibernetinio saugumo centro atskaitos, su šiuo įstatymu dauguma organizacijų vadovų nėra susipažinę. Kitaip tariant, jis ignoruojamas. Yra ir kitų įstatymų, skirtų su jautria informacija dirbančioms organizacijoms. Tam tikrose įstatymų nuostatuose jau „užkoduojami“ ir konkretesni technologiniai, vadybiniai sprendimai, detalesnė kibernetinio saugumo „higiena“. Be to, įstatyminė bazė – ne vienintelė priemonė, kuria valstybė padeda užtikrinti kibernetinį saugumą. Bet kuri įmonė ar privatus asmuo gali per kelias minutes ir visiškai nemokamai pasitikrinti savo įrenginių saugumą per Elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio svetainę Cert.lt. Taigi – šiandien valstybė tikrai deda nemažai pastangų, kad kibernetinio saugumo padėtis būtų geresnė.
Kalbant apie saugumo sprendimų gamintojus, reikia pabrėžti, kad pareigos, kurias jie turi savo klientams, yra gana griežtai apibrėžtos. Vieni gamintojai parduoda tik saugumo sprendimus, kuriuos organizacija turi administruoti savarankiškai ir gali tai puikiai atlikti, jeigu yra pažangi. Kiti parduoda saugumą kaip paslaugą – tai reiškia, kad kartu su tam tikrais sprendimais teikiamas ir jų administravimas, incidentų tyrimas, greitas reagavimas į grėsmes ir t. t. IT