Lietuva – ne eilinė Europos valstybė kibernetinio saugumo žemėlapyje. Esame fronto linijoje. NATO ir ES rytinis pakraštys, aktyvi pozicija dėl Taivano, nuosekli parama Ukrainai – visa tai turi kainą.
Ir tą kainą moka ne tik valstybė. Moka verslas.
Skaičiai, kurie neramina
2022–2024 metais kibernetinių atakų prieš Lietuvos organizacijas skaičius išaugo kelis kartus. Nacionalinis kibernetinio saugumo centras fiksuoja šimtus incidentų per mėnesį – ir tai tik tie, apie kuriuos pranešama.
DDoS atakos prieš bankus, valstybines institucijas, žiniasklaidą. Duomenų vagystės iš įmonių. Ransomware, užšifruojantis sistemas ir reikalaujantis išpirkos. Tai ne tolimos naujienos iš Amerikos – tai vyksta čia, dabar, mūsų kaimynams.
Didžiosios įmonės investuoja į apsaugą ir dažniausiai atlaiko. Smulkusis ir vidutinis verslas – pažeidžiamiausias. Ir būtent jis tampa taikiniu, kai didieji užsidaro duris.
Geopolitika jūsų serveryje
Kibernetinės atakos seniai nebėra tik finansiškai motyvuotos. Jos – įrankis.
Valstybiniai aktoriai – ar tiesiogiai, ar per „nepriklausomas” grupes – atakuoja infrastruktūrą, kad sukeltų chaosą, pakenktų ekonomikai, paveiktų visuomenės nuotaikas.
Lietuvos įmonė, teikianti paslaugas kritinei infrastruktūrai – energetikai, transportui, finansams – yra strateginis taikinys. Net jei pati įmonė maža. Net jei tiesiogiai su valstybe nedirba.
Tiekimo grandinės atakos veikia būtent taip: įsilaužiama į mažą tiekėją, per jį pasiekiamas didelis klientas. Jūsų silpna grandis gali tapti svetima įėjimo durimi.
NIS2: nebėra pasirinkimo
Europos Sąjunga nebežaidžia. NIS2 direktyva, įsigaliojanti Lietuvoje, išplečia kibernetinio saugumo reikalavimus tūkstančiams įmonių, kurios anksčiau galėjo sakyti „mums tai netaikoma”.
Energetika, transportas, sveikatos priežiūra, skaitmeninė infrastruktūra, viešasis administravimas – ir jų tiekėjai. Jei dirbate su šiais sektoriais – reikalavimai taikomi ir jums.
Baudos už neatitikimą – iki 10 milijonų eurų arba 2% metinės apyvartos. Vadovų asmeninė atsakomybė. Prievolė pranešti apie incidentus per 24 valandas.
Tai ne ateitis – tai dabartis. Ir daugelis įmonių dar net nepradėjo ruoštis.
Žmogiškasis faktorius – silpniausia vieta
Galite turėti geriausias sistemas pasaulyje. Jei darbuotojas atidaro kenkėjišką priedą laiške – viskas veltui.
Socialinė inžinerija Lietuvoje veikia puikiai. Laiškai lietuvių kalba, apsimetantys VMI, Sodra, bankais, kurjeriais. Skambučiai „iš IT skyriaus”, prašantys slaptažodžių. Suklastoti vadovų nurodymai pervesti pinigus.
Metodai tobulėja. Dirbtinis intelektas leidžia kurti įtikinamus laiškus be gramatikos klaidų. Giluminės klastotės – suklastoti vaizdo skambučiai. Tai, kas prieš metus atrodė fantastika, šiandien – realybė.
Techninė apsauga būtina, bet nepakankama. Kibernetinis saugumas prasideda nuo žmonių – nuo mokymų, procedūrų, kultūros, kur saugu klausti ir saugu pranešti apie įtartinus dalykus.
Ką mato – ir ko nemato – jūsų IT
Daugelyje Lietuvos įmonių IT – tai vienas žmogus, kuris rūpinasi viskuo. Nuo kompiuterių pirkimo iki serverių, nuo el. pašto iki saugumo.
Tas žmogus neturi laiko stebėti grėsmes 24/7. Neturi resursų analizuoti kiekvieną anomaliją. Dažnai net neturi įrankių, kurie parodytų, kas iš tiesų vyksta sistemose.
Reguliari serverių priežiūra su saugumo komponentu reiškia, kad kažkas stebi, analizuoja, reaguoja. Ne kartą per savaitę – nuolat. Ne kai problema jau įvyko – kai ji dar tik formuojasi.
Tai ne prabanga. Lietuvos kontekste – tai būtinybė.
Ransomware: Lietuvos įmonių košmaras
Užšifruoti duomenys, reikalavimas mokėti bitkoinais, laikrodis tiksintis. Per pastaruosius metus tai patyrė dešimtys Lietuvos įmonių – nuo gamybos iki medicinos, nuo logistikos iki mažmeninės prekybos.
Kai kurios sumokėjo. Kai kurios atstatė iš atsarginių kopijų. Kai kurios prarado viską – duomenis, klientus, verslą.
Atsarginės kopijos – vienintelė tikra apsauga nuo ransomware. Bet tik jei:
- Jos daromos reguliariai
- Saugomos atskirai nuo pagrindinės sistemos
- Periodiškai tikrinamos, ar veikia
- Yra planas, kaip jas panaudoti per krizę
Skamba paprastai. Praktikoje – daugelis įmonių neatitinka nė vieno punkto.
Incidentas jau įvyko?
Kartais ateina klientai, kuriems jau nutiko. Ir tada matome tuos pačius dalykus:
„Manėme, kad esame per maži.” „IT sakė, kad viskas tvarkoje.” „Atsarginės kopijos buvo, bet… nežinome, kur.” „Neturėjome plano.”
Po incidento – brangus atstatymas, prarastas laikas, prarasti klientai, sugadinta reputacija. Ir suvokimas, kad prevencija būtų kainavusi dešimtį kartų mažiau.
Ką daryti rytoj
Ne idealaus plano – bet pirmo žingsnio.
Įvertinkite riziką. Kas nutiktų, jei rytoj neturėtumėte prieigos prie savo sistemų? Kiek tai kainuotų per dieną, per savaitę?
Patikrinkite atsargines kopijas. Ne „ar daromos” – o „ar veikia”. Paskutinį kartą, kai kas nors bandė atstatyti – ar pavyko?
Apžvelkite prieigą. Kas turi prieigą prie ko? Ar visi tie žmonės dar dirba įmonėje? Ar jiems tikrai reikia tos prieigos?
Paklauskite savęs. Jei kibernetinio saugumo incidentas nutiktų šiandien – ar žinote, kam skambinti?
Lietuva gali būti saugi
Ne naivi, ne akla – bet saugi. Su realia grėsmių samprata, su sistemomis, kurios veikia, su žmonėmis, kurie žino, ką daryti.
Tai reikalauja investicijų – ne tik pinigų, bet ir dėmesio. Kibernetinis saugumas nėra IT projektas, kurį padarai ir užmiršti. Tai procesas, kuris niekada nesibaigia.
Lietuvos verslas yra stiprus. Jis atlaikė krizes, pandemiją, karus kaimynystėje. Kibernetinės grėsmės – dar vienas išbandymas. Ir kaip visada – pasiruošę laimi.