Šiuo metu, kai versle vis didesnę reikšmę įgauna informacija ir keitimasis ja, labai svarbu mokėti tinkamai apsaugoti svarbius savo įmonės duomenis. Geriausiai tai galėtų padaryti specialios duomenų apsauga užsiimančios įmonės.

Konkurentai nemiega

Šiuolaikinis verslas jau seniai nebėra toks, koks buvo prieš dešimt ar penkiolika metų. Dabar tam tikri susisteminti duomenys tampa kai kurių verslų pagrindais, nes laiku gauta reikiamo pobūdžio informacija gali daryti įtaką vienokių ar kitokių sprendimų priėmimui. Nuo informacijos priklauso ir kompanijos sėkmė.

Įmonėse kasdien cirkuliuoja gigabaitai duomenų – elektroniniai duomenys leidžia darbuotojams dokumentuoti geriausias savo idėjas, sprendimus, konfidencialius kompanijos planus ir t.t. Pagal savo prigimtį, duomenys turi ir vertę: vienos rūšies informacija kompanijai yra mažiau vertingesnė, kita daugiau. Tarkime, duomenys, kuriuos pateikiame spaudai, yra ne tokie vertingi, kaip, tarkime, kompanijos komercinę paslaptį atspindintys duomenys. Taigi, jeigu informacija turi reikšmę įmonės verslo procesuose, galima manyti, kad ji bus naudinga ir konkurentams.

Iš tiesų, tikimybė, kad kažkas gali mėginti pagrobti jūsų kompanijos konfidencialius duomenis, nėra tokia maža, kaip gali pasirodyti iš pirmo žvilgsnio. Reikia turėti omenyje, kad konkurencinė kova niekada nesibaigia, čia nėra kavos pertraukėlių ar atostogų. Tad visai realu, kad mažiau sėkmingas konkurentas gali kreiptis į nusikalstamas struktūras tam, kad iš jūsų informacinių sistemų būtų pavogta juos dominanti informacija. Taip yra pasaulyje, tai sparčiai tampa realybe ir Lietuvoje.

Nuo saugumo incidentų kenčia beveik visi

Lietuvos Respublikos ryšių reguliavimo tarnybos atliktų tyrimų metu paaiškėjo, kad 2006 metais su informacinio saugumo incidentais susidūrė 97,2% Lietuvos įmonių. Dažniausiai pasitaikantys  tinklo ir informacijos saugumo incidentai, su kuriais susiduria įmonės, yra kompiuteriniai virusai ir nepageidaujami elektroninio pašto laiškai. Su virusais susiduria 86,2% apklaustų įmonių, o nepageidaujamus laiškus gauna net 94,4% kompanijų. Galima manyti, kad virusai ir kita kenksminga programinė įranga nėra tiesioginė grėsmė kompanijos paslaptims, tačiau, deja, taip nėra. Kenksminga programinė įranga gali būti sukurta konkrečiai kompanijai atakuoti – ji gali patekti į vidinį kompanijos tinklą įmantriausiais būdais.

Labiausiai šiuo metu paplitęs yra kenksmingos programinės įrangos siuntimas elektroniniu paštu. Kompanijos darbuotojas, gavęs laišką, gali pamėginti atidaryti prisegtą kenksmingą bylą, kuri įsitvirtins jo darbo kompiuteryje ir suteiks įsilaužėliams galimybę valdyti užkrėstą kompiuterį per nuotolį.

Gali matyti įvedamus slaptažodžius

Kompiuterio užgrobimas leidžia matyti ir duomenis, kurie tam tikru laiko momentu atsiranda jame. Visų pirma tai yra kompiuteriu rašomi dokumentai, toliau seka vartotojo įvedami slaptažodžiai – jų žinojimas suteiks priėjimą prie duomenų saugyklų ar kitų kompanijos resursų, kuriuose yra saugoma papildoma informacija, fiziškai nesanti užkrėstame kompiuteryje.

Kita grėsmė kompanijos duomenims yra tiesioginis įsilaužimas į įmonės informacines sistemas ar resursus, atsakingus už duomenų saugojimą bei pateikimą darbuotojams. Su įsilaužimais į kompiuterines sistemas susidūrė 4,2% įmonių. Įsilaužimai tampa įmanomi dėl įvairiausių priežasčių, kurias galima sugrupuoti į dvi stambias grupes: tai techninės spragos kompanijos informacinėse sistemose bei socialinė atakų pusė.

Duomenų apsaugai skiriama per mažai dėmesio

Techninės grėsmės iš esmės atsiranda dėl technologijų, programinės įrangos netobulumo ar dėmesio apsaugai trūkumo. Daugelis programinės įrangos produktų turi saugumo spragų, leidžiančių įsilaužėliams gauti priėjimą prie sistemos. Iš esmės, susidaro panaši situacija kaip ir su konkrečiai į kompaniją nutaikytais virusais – įsilaužėliai vėl turi valdžią sistemoje. Padėtį pablogina tai, kad daugelis įsilaužimų nesutrikdo kompiuterio darbo ir praktiškai nepalieka jokių lengvai pastebimų pėdsakų – todėl nors turima statistika ir parodo tam tikrą skaičių sėkmingų atakų, realiai jis gali būti ne tik kelis, bet galbūt ir keliolika kartų didesnis.

Lietuvos įmonių darbuotojai dar nėra tinkamai susipažinę su informacinėmis technologijomis, ką jau kalbėti apie jų saugą ir keliamas grėsmes. Būtent dėl to, kartais ir užkimbame ant įsilaužėlių kabliuko – gavę neaiškią bylą ar pastebėję įtartiną kompiuterio darbą, tiesiog nežinome kaip elgtis, dėl to kyla tam tikrų problemų.

Kodėl įsilaužėliai naudojasi žmonėmis tam, kad būtų pasiektas jų tikslas? Priežastis labai paprasta – tai lengva ir dažniausiai suveikia. Tokiems „socialiniams“ įsilaužimams nereikia nei daug techninių žinių, nei didelės patirties. Užtenka tik išmanyti bendravimo tarp žmonių pagrindus – to reikia tam, kad įsilaužėlis galėtų „sužaisti“ žmonių jausmais.

Įsilaužėlius palaiko kolegomis

Lietuvai aktualus socialinės atakos pavyzdys yra sukčių siuntinėjami SMS pranešimai apie laimėjimus bei skambučiai, kurių metu teigiama, jog artimas žmogus pateko į bėdą ir jam reikia finansinės pagalbos.

Kompanijose situacija yra labai panaši, tik žaidžiama kitais jausmais – apsimetama kolega, kuris šiuo metu išvykęs ir jam skubiai reikia tam tikros informacijos, kad galėtų ją pristatyti užsienio partneriams. Neretai užtenka apsimesti sistemų administratoriumi ir tiesiai šviesiai paklausti vartotojo prisijungimo vardo ir slaptažodžio.

Galime daryti išvadą, kad verslo aplinkoje egzistuoja daugybė grėsmių, su kuriomis ne tik reikia kovoti, bet ir vykdyti prevenciją. Statistika rodo, kad nuo informacinių technologijų saugumo incidentų pernai patyrė žalą 46% apklaustųjų, nors užpernai šis skaičius buvo perpus mažesnis – 25%. Panašu, kad šis skaičius tik didės ateityje, todėl, kol dar ne vėlu, reikia imtis ryžtingų informacinio saugumo užtikrinimo veiksmų.

Gobšus moka du kartus

Nuo ko prasideda informacinio saugumo užtikrinimas? Visų pirma reikia pagalvoti, kokie duomenys juda tinkle ir įvertinti jų svarbą kompanijai. Kitas žingsnis yra biudžeto informacinei saugai sudarymas. Štai čia geros idėjos susiremia su finansais – daugeliui atrodo, kad investicijos į duomenų apsaugą yra beprasmės. Gobšus moka du kartus – pasaulyje yra pasitaikę atvejų, kai kompanijos duomenų nutekėjimas sukeldavo milžinišką ažiotažą ir to pasekoje sužlugdydavo jos verslą.

Finansuoti informacinės saugos sritį yra būtina, nes tai pagerina duomenų saugumą, leidžia sumažinti jų nutekėjimo riziką ir, apskritai, kompanija pasidaro patikimu partneriu versle.

Duomenų apsauga apima daugelį sričių, tai nėra konkretus produktas ar sprendimas. Tai tarsi procesas, turintis tik pradžią ir kasmet vis labiau įsišaknijantis įmonės viduje, tampantis jos kultūros dalimi.

Norint sumažinti išlaidas duomenų apsaugai, reikia į klausimą pažiūrėti profesionaliai – kadangi saugumas susideda ne tik iš pavienių techninių ar socialinių dalykų. Informacinio saugumo filosofija yra tai, kaip sujungti platų įvairių produktų, sprendimų, organizacinių dalykų pasirinkimą į vientisą organizacijos gynybos mechanizmą, kuris ne tik patikimai veiktų, bet ir kainuotų priimtinus pinigus.

Geriausia – apsaugą patikėti specialiai įmonei

Patikimiausia informacinių technologijų (IT) saugos procesus ir jų įgyvendinimą yra patikėti įmonei, kurios pagrindinė veikla yra IT saugos užtikrinimas. Toks pasirinkimas leidžia sumažinti finansinius kaštus bei padidinti būsimos informacinio saugumo valdymo sistemos efektyvumą. Ekspertai nešališkai įvertins, kokia yra esama padėtis įmonėje, kokie objektai ar duomenys yra didžiausios rizikos zonoje, taip pat padės parengti informacinio saugumo strategiją ir plėtros planą.

Į strategiją įeina ne tik techniniai sprendimai, bet ir organizacinės bei procedūrinės saugos dalys, tokios kaip saugumo politika ar IT naudojimo tvarka. Vėliau šie dalykai turėtų būti sujungti į vieną visumą ir perteikti darbuotojams.

Taip pat pravartu periodiškai lankytis informacinės saugos seminaruose ar konferencijose, kurių pastaruoju metu organizuojama vis daugiau – tai ir Lietuvos Respublikos ryšių reguliavimo tarnybos organizuojama „Europos Tinklų ir Informacijos Saugumo konferencija“ (http://securityconference.rrt.lt) bei jau gegužės mėn. įvyksiantis nemokamas seminaras „Informacinė sauga įmonėje“ (http://renginiai.critical.lt).

Galima daryti išvadą, kad didėjant informacijos ir keitimosi ja procesų svarbai kasdieninėje įmonės veikloje, vis daugiau vadovų suvokia, kad duomenų sauga yra ne tik kritinė duomenų keitimosi mechanizmo dalis: ji daro įtaką ir įmonės verslo procesams.

Tad saugotis ar nesisaugoti? Sprendimą darote jūs, tačiau jei jis bus pasirinktas neteisingai, nukentės ne tik konkreti kompanija, bet ir jūsų partneriai, tiekėjai bei klientai.

www.critical.lt

Komentuoti
Vardas:
Komentaras: