Strauji mainīgajā kibertelpā, kurā datu pārkāpumu un kiberuzbrukumu skaits pieaug ar katru mēnesi, nav vietas mītiem un maldīgiem priekšstatiem par kiberdrošību.
Pagātnes un it īpaši 2022. gada notikumi pieprasa dramatiskas izmaiņas tajā, kā organizācijas aizsargā sevi pret kibernoziegumiem. Attālinātā darba modelis, ko veicināja pandēmija; straujā digitalizācija un digitālā transformācija, ko stimulē Eiropas atveseļošanās fondi; palielināts izspiedējvīrusu (ransomware) incidentu skaits un ģeopolitiskā situācija ir mainījusi drošības ainavu, padarot CISO darbu sarežģītāku nekā jebkad agrāk. Ir pienācis arī pēdējais brīdis sākt domāt par Eiropas NIS2 direktīvu, kas vēl vairāk palielinās CISO lomu dažādās uzņēmējdarbības nozarēs. Līdz ar tās stāšanos spēkā uzņēmumiem būs pastiprināti jāstrādā pie CISO darbaspēka noturēšanas organizācijā.
“Visi šie izaicinājumi pieprasa jaunu domāšanas veidu. Kiberdrošības idejas un izpratne, kas varēja būt patiesas un efektīvas pagātnē, jaunajā realitātē vairs tādas nav. Drošības komandām, kas strādā pie savu organizāciju aizsardzības, ir ātri jāpielāgojas jaunajiem spēles noteikumiem. Beidzot ir jāiznīcina mīti par kiberdrošību, kas dzīvo mūsu prātos un apdraud pareizu un drošu lēmumu pieņemšanu IT drošības pārvaldībā.” Artūrs Filatovs, Tet Kiberdrošības pakalpojumu vadītājs
Top 10 izplatītākie kiberdrošības mīti un patiesības
Mīts nr. 1 Mazie un vidējie uzņēmumi nav kiberuzbrucēju mērķis.
Patiesība 58% kiberuzbrukumu ir vērsti pret mazajiem un vidējiem uzņēmumiem.
MVU segmenta uzņēmumos valda maldīgs priekšstats, ka viņu dati nav vērtīgi hakeriem. Un uzbrucēju mērķis ir tikai lielie uzņēmumi un valsts iestādes. Jaunākā informācija no CERT.LV liecina, ka šobrīd daudz vairāk tiek uzbrukts mazajiem un vidējiem uzņēmumiem, kas sniedz pakalpojumus gan lielajām korporācijām, gan valsts iestādēm. Tas notiek ar mērķi, lai caur šiem uzņēmumiem varētu piekļūt daudz lielākām organizācijām un uzbrukums būtu grūtāk identificējams.
Mīts nr. 2 Papildu jaunu kiberdrošības rīku iegāde uzlabo uzņēmuma aizsardzību.
Patiesība Pareiza kiberdrošības un IT pārvaldība uzlabo uzņēmuma aizsardzību.
Viens no ļaunākajiem slazdiem, kurā uzņēmumi nonāk, ir pieņēmums, ka viņiem ir nepieciešami arvien jauni un labāki kiberdrošības rīki un platformas, lai aizsargātu IT infrastruktūru. Organizācijas tiek mudinātas pirkt produktus no kiberdrošības pārdevējiem, kas reklamēti kā ‘’labākais risinājums’’. Jaunu rīku iegāde ne vienmēr uzlabo drošību, jo vājības sistēmā bieži vien ir nevis rīkos, bet gan ar cilvēku kļūdu un IT pārvaldību saistīta problēma. IT drošības auditi un ielaušanās testi, reāllaika ievainojamību pārvaldība, atjaunota risku analīze un darbinieku kiberapzinātības celšana var palīdzēt vairāk nekā jauns produkts.
Mīts nr. 3 Korporatīvais ugunsmūris ir uzņēmuma kiberdrošības garantija.
Patiesība Identitātes pārvaldība ir kļuvusi par jauno drošības garantu (zero trust).
Darba hibrīdmodelis ir salauzis uzņēmumu komforta zonu. Darba stacijas vairs pastāvīgi neatrodas uzņēmuma tīklā, jo ievērojama daļa darbinieku strādā attālināti. Tas nozīmē, ka ir jākoncentrējas uz nulles uzticamības paņēmienu (zero trust) piemērošanu un jāsaprot, ka darbiniekiem, neatkarīgi no atrašanās vietas, ir nepieciešams drošības perimetrs. Šo, savukārt, spēj nodrošināt efektīva identitātes pārvaldība.
Mīts nr. 4 Nozares standartu ievērošana paredz pilnvērtīgu kiberdrošību.
Patiesība Atbilstība standartiem nozīmē tikai minimālo drošības prasību ievērošanu.
Ar dažādu standartu un regulējumu atbilstības punktu pārbaudi nekad nepietiek, jo atbilstība standartu kontrolēm nozīmē tikai minimālās aizsardzības standartu ievērošanu. Standartu ieviešanas un atjaunināšanas process ir ilgs. Līdz ar jauna standarta iznākšanu, tas jau ir novecojis un neatbilst esošajai situācijai un aktuālajiem kiberdrošības apdraudējumiem, kas attīstās ļoti strauji.
Mīts nr. 5 Kiberapdrošināšana ir risinājums riska pārnešanai un mazināšanai.
Patiesība Kiberapdrošināšana var būt tikai kā viens no vairākiem risku mazināšanas elementiem.
Kiberapdrošināšana ļauj organizācijām izvairīties no iespējamiem kiberuzbrukuma finansiāliem zaudējumiem īstermiņā. Bet kā cīnīties ar reputācijas zudumu, neapmierinātiem klientiem, nepiegādātiem pakalpojumiem vai produktiem? Kas nosegs šo ilgtermiņa biznesa apdraudējumu un zudumus, kas būs saistīti ar to? Kiberincidenta seku mazināšanas plānam jāsniedzas tālāk par apdrošināšanu un iesaistītām jābūt visām uzņēmuma nodaļām.
Mīts nr. 6 Kiberdrošība ir IT nodaļas un drošības komandas atbildība.
Patiesība Katrs uzņēmuma darbinieks ir atbildīgs par kiberdrošību uzņēmumā.
Nav ne reāli, ne produktīvi pieprasīt vienai uzņēmuma nodaļai rūpēties par visas organizācijas drošību. IT nodaļa ir atbildīga par drošības pasākumu ieviešanu, taču tas nenozīmē, ka viņi ir vienīgie atbildīgie. Katrs uzņēmuma darbinieks, pat valdes un C līmeņa darbinieks, ir atbildīgs par savu rīcību un to, lai organizācija nekļūtu par kiberuzbrukuma upuri.
Mīts nr. 7 Kad uzņēmuma sistēma ir kompromitēta, tas uzreiz top zināms.
Patiesība Vidējais laiks kompromitētu sistēmu identificēšanai ir 303 dienas.
Informācija par to, ka uzņēmuma sistēma ir kompromitēta, neienāk kā jauns e-pasts pastkastītē. Uzzināt vai dati ir enkriptēti, nozagti vai sistēmā instalēta ļaunatūra nav tik viegli. Ir situācijas, kad paiet mēneši vai pat gadi, lai noskaidrotu kiberincidenta apmērus. Vidējais laiks kompromitētu sistēmu identificēšanai un ierobežošanai ar katru gadu pieaug, jo kibernoziedzinieki arvien prasmīgāk prot slēpt savas pēdas.
Mīts nr. 8 Reizi gadā notiekošās kiberdrošības apmācības nodrošina darbiniekiem atbilstošas zināšanas.
Patiesība Efektīva darbinieku izglītošana kiberdrošības un kiberhigiēnas jautājumos ir nepārtraukts process.
Visā organizācijā jāveido konsekvents darbinieku informēšanas process par nopietnākajiem draudiem kibertelpā. Sniegtajām zināšanām jābūt regulāri papildinātām un pasniegtām darbiniekiem interaktīvā veidā regulāri un nelielos apjomos. Uzņēmumam jārūpējas, lai darbinieki, kas nav no IT nodaļas, izprot riskus un zina, kā risināt dažas no visbiežāk sastopamajām problēmām. Mūsu aizsardzība ir tik stipra, cik stiprs ir tās vājais posms – darbinieks.
Mīts nr. 9 Mainot paroli ik pēc 90 dienām, konti ir drošībā.
Patiesība Spēcīga parole nenodrošina pilnīgu konta drošību.
Neviena parole nav pietiekami spēcīga, lai to neuzlauztu. Ja vien tā nesastāv no nejauši ģenerētām speciālo rakstzīmju, burtu un ciparu kombinācijām un regulāri netiek atjaunināta. Papildus spēcīgu paroļu izveidei ir nepieciešama divu faktoru autentifikācija un autorizācijas pieprasījumu uzraudzība.
Mīts nr. 10 Lai nodrošinātu sistēmas drošību, pietiek ar pretvīrusu programmatūru.
Patiesība Pretvīrusu programmatūra nodrošina tikai dažu pazīstamāko kiberuzbrukuma ieejas punktu aizsardzību.
Pretvīrusa (AV) programmatūra ir būtiska datu un IT sistēmu drošībai. Tomēr, vēl pastāv novecojis uzskats, ka šāds drošības rīks nodrošinās visus augstākā līmeņa drošības vairogus. Realitātē AV programmatūra nepasargā no izspiedējvīrusiem un citām tīmekļa ļaunatūrām, kas apdraud uzņēmumus. Tas var pildīt savus pienākumus tikai kā daļa no komplicēta un pareizi pārvaldīta aizsardzības rīku kopuma.
Kiberdrošības realitāte skaitļos 2021. un 2022. gadā
- 58% kiberuzbrukumu ir vērsti pret MVU sektora uzņēmumiem;
- 84% kiberuzbrukumi notiek cilvēka kļūdu dēļ;
- >20% gadījumos IT profesionāļi uzķeras uz sociālās inženierijas un phishing kampaņām, nopludinot datus hakeriem;
- 60% datu pārkāpumu ir saistīti ar uzņēmuma darbinieku nepareizu rīcību;
- 51% uzņēmumos kiberuzbrukuma cēlonis ir BYOD (bring your own device – lieto savu ierīci) politika;
- 19% kiberincidentu tiek realizēti ar nozagtiem vai uzlauztiem lietotāju autorizācijas datiem;
- 89% pieaugums datu noplūdes incidentos, ko izraisījis izspiedējvīruss.
Autori:
Artūrs Filatovs, Tet Kiberdrošības pakalpojumu vadītājs
Kristīne Zviedre, Tet B2B Mārketinga un komunikācijas vadītāja
