Kā pasargāt uzņēmuma informāciju un finanses no kiberdraudiem 10 praktiskos soļos?

Nav šaubu, ka kiberdrošība pēdējos gados ir kļuvusi par nozīmīgu izaicinājumu gan valsts, gan uzņēmējdarbības līmenī. To ir veicinājuši gan likumdošanas faktori (kā piemēram, ES NIS direktīva (2016/1148) un Vispārējā datu aizsardzības [jeb GDPR] regula (2016/679)), gan nepārtraukta negatīvo ziņu plūsma par datu noplūdes incidentiem. Tādā veidā uzņēmumi, uz kuriem attiecas šo likumdošanas aktu noteikto prasību kopums ir spiesti rīkoties, bet pārējie – nolūkojas uz negatīvo informācijas fonu un apsver rīcību, lai aizsargātu savu biznesu.

Bet kas tieši būtu darāms, lai pasargātu savu uzņēmumu no nepatīkamiem zaudējumiem ? Ar ko sākt un kurā virzienā doties ? Viennozīmīgu atbilžu nav, taču centīsimies šos jautājumus sastrukturēt loģiskos soļos ar praktiskiem ieteikumiem rīcībai.

Taču pirms runājam par risinājumiem, svarīgi saprast, kur rodas zaudējumi. Cloudstudy.lv apkopojis galvenos no tiem:

Tiešie zaudējumi

Ekonomiskie zaudējumi

• Darbības pātrūkums – ekonomiskie zaudējumi var izrietēt, galvenokārt, no biznesa darbības pārtrūkuma, kura laikā uzņēmums nevarēs veikt saimniecisko darbību dažādu iespējamo IKT pakalpojumu pārrāvumu rezultātā.
   
• Seku novēršanas darbu izmaksas – datu noplūdes incidentu gadījumā var sekot apjomīgi darbi, kas ietvers gan iekšējos darbinieku resursus, gan ārpakalpojumus (juristi, sabiedrisko attiecību, drošības u.c. speciālistu darbs), kas radīs tiešas izmaksas.
   
• Kompensācijas klientiem/patērētājiem – nereti uzraugošās iestādes uzliek uzņēmumiem pienākumu arī maksāt kompensācijas klientiem par to personu datu nopludināšanu. Latvijā šādi precedenti nav bijuši, taču atsevišķās pasaules valstīs tādi ir.
   

Regulatorie zaudējumi

• Šī zaudējuma pozīcija ietver sodus, kas personas datu noplūdes incidenta gadījumā var sasniegt pat 4% no uzņēmuma gada apgrozījuma.

Netiešie zaudējumi

Reputācijas zaudējumi

• Reputācijas zaudējumi var izpausties, kā uzņēmuma sniegto pakalpojumu un/vai pārdoto preču pieprasījuma zudums, kas ir saistīts ar klientu un/vai patērētāju neuzticēšanos. Šī zaudējuma pozīcija nereti kļūst arī par būtiskāko un vissarežģītāk atjaunojamo, jo reputācijas atjaunošana ir sarežģīts ilgtermiņa izaicinājums.

Intelektuālā īpašuma zādzības zaudējumi

• Intelektuālā īpašuma nonākšana konkurentu rokās var radīt ārkārtīgi lielas problēmas, t.sk. konkurenti spēs nokopēt/atdarināt uzbrukuma pakļautā uzņēmuma tehnoloģijas vai biznesa procesus, kā rezultātā samazināsies uzņēmuma konkurētspēja.

Zaudējumu apmērs uz vienu zaudēto (noplūdušo) datu ierakstu tiek ik gadu mērīts. Šādu pētījumu veic Ponemon institūts ASV, pēc kura aplēsēm vidējās izmaksas uz vienu datu ierakstu ir ap 150 ASV dolāru. Ņemot vērā izmantoto pētījuma metodoloģiju, esam secinājuši, ka šī summa Latvijas gadījumā nav īpaši zemāka.

Atgriezīsimies pie veicamo darbu soļiem. Lai cik gribētos visu pasniegt vienkārši jeb “piecos vārdos” vai arī “trīs soļi līdz kiberdrošībai”, jāsamierinās, ka kiberdrošības ieviešana un nodrošināšana korporatīvā vidē nav vienkāršs uzdevums, ko var viegli atrisināt ar kādu brīnumlīdzekli. Kādreizējais uzskats, ka pietiek ar labu anti-vīrusa un ugunsmūra programmu ir neaktuāls. Apdraudējumu veidi un to apjoms ir būtiski pieaudzis, tāpēc ir jānoskaņojas uz to, ka tas nav vienkāršs process.  Tālāk secīgi apskatīsim 10 galvenos soļus kiberdrošības nodrošināšanā dilstošā prioritāšu kārtībā (kritiskākais vispirms).

1. IT drošības risku pārvaldības plāns
   
   
   Jebkuras korporatīvās jomas risinājumu plānošana sākas ar risku analīzi, jo nav jēgas vienkārši kaut ko darīt bez plāna. Risku analīzes ietvaros atšķetina no visas informācijas tieši sargājamo informāciju, saliek prioritātes, nosaka negatīvo notikumu ietekmes riskus un šo risku kontroles pasākumus. Nelielā uzņēmumā, šo darbību parasti veikt ir samērā vienkārši, taču pieaugot uzņēmumam, arī šis uzdevums kļūst arvien sarežģītāks. Būtībā šo posmu vislabāk ir uzticēt ekspertam, kas nelielā uzņēmumā analīzi veiks dažu dienu laikā.
    
2. Informācijas resursu pamata drošības higiēna
   Informācija par ievainojamībām, ka arī rīki, kas ļauj izmantot tās uzbrucējiem, izplatās visai ātri un šis ir viens no vienkāršākajiem un izplatītākajiem uzbrukumu veidiem, ko izmanto ļaundari. Šīs ievainojamības ir neizbēgama jebkuras informācijas sistēmas sastāvdaļa, taču savlaicīgi veicot atjauninājumu un drošības ielāpu atjaunošanu, no šiem riskiem ir samērā viegli izvairīties. Bez ražotāja “drošības caurumiem”, eksistē arī uzņēmuma paša pieļautie caurumi drošībā, kas jāaizlāpa:
   • nelietotu IT rīku un liekas informācijas sistēmu funkcionalitātes atslēgšana;
   • noklusējuma paroļu nomaiņa administratoru kontiem;
   • minimālās paroļu sarežģītības ieviešana;
   • iekšējo lietotāju autentificēšana darbam ar datortīklu.
      
3. Lietotāju IT drošības apmācība
   Lai cik mēs censtos izmantot dažādus IT rīkus un risinājumus, aizsargājot uzņēmumu no uzbrukumiem, nelīdzēs pilnīgi nekas, ja netiks apmācīti gala lietotāji. Visvieglāk piekļūt uzņēmuma informācijai ir veicot sociālās inženierijas uzbrukumus gala lietotājiem. Ir nesalīdzināmi daudz vienkāršāk apmānīt vienu vai dažus no darbiniekiem ar viltīgi izveidotām e-pasta vēstulēm (to saturu) nekā censties sameklēt un izmantot kādu noteiktu ievainojamību, kam ir nepieciešamas salīdzinoši daudz plašākas zināšanas un pieredze par IKT tehnoloģijām. Kā vislabāk veikt IT drošības apmācības ? Ir praksē pierādīts, ka vislabāk darbojas e-apmācības, jo šādā veidā to veikt ir gan ekonomiski izdevīgāk uzņēmumam, gan daudz ērtāk tā darbiniekiem, iegūstot labākus apguves rezultātus, pateicoties darbinieku teorijas un prakses testiem. Ar teorijas testiem tiek saprasta zināšanu pārbaude testa veidā, bet ar prakses testiem tiek saprasta praktiska uzbrukumu simulācija darbiniekiem, ar mērķi pārbaudīt un mērīt to modrību. Mūsu pieredzē, līdz 30% darbinieku, kuri izmācījušies teoriju, tāpat atver labi veidotus kaitīgos/krāpniecības e-pastus un tikai pēc 2-3 atvēršanas reizēm, vidējais atvēršanas rādītājs var samazināties līdz dažiem procentiem. Šāda veida apmācības lieliski var īstenot, izmantojot mūsu uzņēmuma izveidoto e-mācību platformu – CloudStudy. Tajā ir izveidots pasaules klases līmeņa apmācību saturs un ir iekļauta automatizēta un dinamiski īstenojama pikšķerēšanas simulācija, kurā var izmantot līdz pat 12 pikšķerēšanas veidnēm vienā kampaņā. Vairāk par CloudStudy informācija ir pieejama www.cloudstudy.lv, kur ir iespējams izveidot bezmaksas izmēģinājuma kontu un izmēģināt platformu bez maksas.
    
4. Mobilā un attālinātā darba drošība
   Ņemot vērā tekošo attālinātā darba izplatību, ir jāapzinās, ka darbinieki izmanto mājas datorus darbam un otrādi, līdz ar to ir jāparūpējas, lai brīžos, kad darbinieki izmanto uzņēmuma informācijas sistēmas vai informāciju, tā tiek atbilstošā un drošā veidā glabāta, apstrādāta un pārraidīta. Līdz ar to, jāsakārto tīkla piekļuves drošības (t.sk, VPN pieslēgumi), kā arī piekļuves informācijas sistēmām ar sensitīviem datiem. Ne mazāk svarīga ir uzņēmuma (darba) datora satura aizsargāšana, proti, šifrēšana, lai nozaudēšanas gadījumā tajā esošie dati nevarētu tikt ļaunprātīgi izmantoti.
    
5. Aizsardzība pret ļaunatūru
   Ļaunatūra jeb kaitīgā programmatūra (t.sk. datorvīrusi) ir viens no būtiskākajiem un neparedzamākajiem apdraudējuma veidiem, kas var ietekmēt organizāciju. Modelējot to ietekmi un iespējamās aizsardzības taktikas pret tiem, tas, protams, var novest līdz pilnīgai paranojai jebkuru IT drošības speciālistu, kurš tāpat nonāks pie slēdziena, ka pilnīgi izsargāties nav iespējams. Taču tas nenozīmē, ka nav vērts darīt. Lielāko daļu potenciālo problēmu var novērst ar kādu no populārākajām gala iekārtu un e-pasta antivīrusa aizsardzības lietojumprogrammām. Tādā veidā viens risinājums pārbaudīs e-pasta sūtījumus pirms tie nonāk lietotāju iesūtnē, bet otrs pārbaudīs failus, kuriem mēģinās piekļūt lietotājs.
   
   Šajā lietojumprogrammu segmentā eksistē daudzi freemium un bezmaksas risinājumi, tāpēc tam nemaz nav jāizmaksā dārgi uzņēmuma IT nodaļai.
    
6. Lietotāju piekļuves tiesību pārvaldība
   Uzreiz aiz sociālās inženierijas izraisītajiem uzbrukumiem un IKT ievainojamību izmantošanas, nākamais rindā ir iekšējo lietotāju ļaunprātīgas darbības apdraudējums, kurš rezultējās no tā, ka lietotājiem ir pārāk plaša piekļuve noteiktai informācijai vai informācijas resursiem. Lai to nepieļautu, pirmkārt, ir jāierobežo lietotāju tiesības, kuras pārsniedz nepieciešamās tiesības konkrētu amata pienākumu veikšanai, bet – otrkārt, jāseko līdzi lai aizgājušiem vai rotētiem darbiniekiem nepaliek aktīvas piekļuves tiesības. Atsevišķa tēma ir priviliģēto lietotāju  (administratoru) darbību uzraudzība, taču par to jāsāk domāt kad gala lietotāju problēma jau ir atrisināta.​​​
7. Pārnēsājamie datu nesēji
   USB zibatmiņas un dažādi citi pārnēsājamie datu nesēji ir ļoti izplatīts dažādu problēmu cēlonis. Tie ne tikai ļoti labi “pārnēsā” ļaunatūru, bet arī tiek nozaudēti, nozagti, kā arī var tikt darbinieku izmantoti ļaunprātīgi, “iznesot” vērtīgu informāciju. Uzņēmumam ir ļoti jāizvērtē datu nesēju izmantošanas politika, it īpaši ja nav perfekti sakārtota lietotāju tiesību pārvaldības joma. Minimālā programma būtu datu nesēju obligāta kriptoaizsardzība, bet maksimālā – izmantošanas aizliegums, ko var risināt arī programmatūras līmenī, aizliedzot datoriem darboties ar datu nesējiem (ir redzēti pat gadījumi, kad USB porti tiek fiziski atslēgti).
    
8. Datortīkla un datu pārraides drošība
   Šis ir samērā smags jautājums, taču jāsaprot, ka eksistē daudzas potenciālas ievainojamības, kas sakņojas nedrošā pieslēgumā Internetam. Parasti šīs problēmas risina, izvēloties atbilstošu datortīkla un datu pārraides arhitektūru, kurā iekļaujas jūsu serveru infrastruktūra, fiziskās datu pārraides ierīces, ugunsmūru risinājumi, kuros ierobežo datu pārraidi līdz tikai nepieciešamajam apjomam. Atkarībā no uzņēmuma lieluma un tā informācijas resursu daudzuma šie risinājumi var būt ļoti vienkārši vai arī sarežģīti. Viens no moderniem veidiem, kā risināt šo problēmu vienkāršā veidā ir pievērsties mākoņpakalpojumu izmantošanai. Protams, tas nenozīmē, ka automātiski nebūs jādomā par datu pārraides drošību, taču parasti izmantojot mākoņpakalpojumu infrastruktūru, tās nodrošinātājs jau ir parūpējies par pamata drošības aspektiem, izmitinot noteiktus informācijas resursus, taču jums joprojām nāksies rast drošu veidu, kā nodrošināt pieslēgšanos šiem informācijas resursiem.
    
9. Drošības uzraudzība
   Ļoti bieži par veiksmīgiem drošības uzbrukumiem ar lielām datu noplūdēm uzņēmumi uzzina tikai pēc vairākiem mēnešiem vai pat gadiem. Lai no tā izvairītos, ir jāīsteno drošības uzraudzības pasākumi, kas ļauj atklāt datu incidentus un īstenot noteiktu rīcību seku novēršanai. Ja viss iepriekšējais bija vairāk uzskatāms par preventīviem mēriem, tad šī IT drošības joma jau uzskatāma par reaktīvu pretdarbību, ko patiesībā jau dara retais uzņēmums. Tā ietver darbību kopumu, ko īsteno, lai reālā laikā uzraudzītu datu plūsmas un piekļuves dažādiem informācijas avotiem, identificējot aizdomīgas vai neparastas darbības gan attiecībā uz darbinieku darbībām, gan attiecībā uz ārējo lietotāju izraisītiem notikumiem – neparastām datu plūsmām, mēģinājumiem piekļūt tīkla iekārtām, informācijas sistēmām u.tml. Šim nolūkam eksistē automatizētas informācijas sistēmas, kuras ir jākonfigurē speciāli attiecībā uz konkrēta uzņēmuma tīkla arhitektūru, tās iekārtām un izmantotajiem informācijas resursiem. Šeit ir praktiski bezgalīgas IT drošības speciālista iespējas izpausties ar visdažādākajiem monitoringa rīkiem, taču nekas neaizstāj prasmīgu šo rīku konfigurēšanu un izmantošanu tādā veidā, lai apstrādājamo “aizdomīgo” darbību apjoms nepārsniegtu  pieejamā darba laika robežas.
    
10. Incidentu pārvaldība
    Visbeidzot, lai drošības pārvaldības process būtu “dzīvs”, ir nepieciešams paredzēt procesu, kādā tiek veikta identificēto drošības incidentu pārvaldība, lai pēc iespējas ātrākos termiņos nodrošinātu nepilnību novēršanu, potenciālo zaudējumu mazināšanu un nākotnes risku vadības kontroļu uzlabošanu. Un lai arī šim procesam ir būtiska forma (process, kārtība), bet pats būtiskākais ir izpildījums jeb uzņēmuma reaģēšanas spēja, kas sakņojas uzņēmuma vadības atbalstā. Proti, lai incidentu novēršana būtu pilnvērtīga un iespējama, tajā būs agri vai vēlu jāiesaistās plašai vadības komandai, īstenojot visdažādākos uzdevumus. Un šajos brīžos ir ļoti svarīgi, lai būtu pieejams rīcības plāns, pēc kura darbinieki rīkojas, lai nodrošinātu maksimālu biznesa nepārtrauktību. Nobeigumā gribētos piebilst, ka kiberdrošības risku vadībai, kā jau jebkurai jomai ir jābūt “uz risku balstītai”, līdz ar to, uzņēmumam pirmajā solī ir jāizvērtē potenciālo zaudējumu un draudu samērs pret investējamajām izmaksām procesa sakārtošanā un katrā gadījumā risinājums noteikti būs mazliet atšķirīgs. Vislabāk šādos gadījumos palīdzēs kvalificēts IT drošības pārvaldības speciālists, kurš piemeklēs vispiemērotākos risinājumus. Tāpat nevajadzētu aizmirst, ka pastāv iespēja arī apdrošināt kiberdrošības incidentu iestāšanās riskus, taču tas gan nenozīmē, ka apdrošinātājs būs gatavs izsniegt šādu polisi tad, ja nekādi drošības mēri uzņēmumā nepastāvēs.  Un arī, ja polise tiks pārdota, tad tās prēmijas lielums būs tieši atkarīgs no tā, cik lielā mērā uzņēmums ir ieviesis noteiktus kiberdrošības mērus.