Datu drošības pamatā - kvalitatīvas tehnoloģijas, atbildīga attieksme

Šobrīd uzņēmumiem par digitālo drošību ir jādomā daudz nopietnāk, nekā tas bija nepieciešams pirms 10 gadiem. Tieši preventīvas darbības ir tās, kas var ievērojami uzlabot uzņēmumu datu drošību. 

Būtiska ir darbinieku regulāra izglītošana, jo drošības politika nepalīdz, ja darbinieki to nezina un neievēro, norāda IBM Latvia mārketinga vadītāja Inese Šustriņa. Gala iekārtu pārvaldība palīdz samazināt kompānijas drošības riskus, kas rodas, izmantojot viedtelefonus, datorus un internetu kopumā. Ar mūsdienīgiem risinājumiem var kontrolēt gan darbinieku pieejas tiesības, gan lietojumu, kāds atrodas uz konkrētās viedās ierīces. Svarīgi ir apzināties, ar kādām iekārtām darbinieki piekļūst uzņēmuma datiem un cik drošas tās ir. Tā kā darbinieki vēlas būt mobili un piekļūt uzņēmuma datiem no mobilajām iekārtām, šis ir viens no aktuālākajiem jautājumiem, kas jāizskata darba devējam, akcentē speciāliste. 

Katram uzņēmumam var būt atšķirīgi kritēriji, pēc kuriem vērtēt, ko atļaut un ko ne. Pirmām kārtām ir jāsaprot risks, kas var iestāties kompānijas pastāvēšanai, ja tās glabātā informācija tiek pazaudēta vai kompromitēta. Pēc tam jāizvērtē, kādām pieejas/lietojumu tiesībām ir jābūt katrai lietotāju grupai, un, balstoties uz to, ir jāapraksta uzņēmuma drošības pamatprincipi, kas, protams, ir jāievieš dzīvē. Mūsu pētījumi rāda, ka vairāk nekā puse no IT drošības incidentiem ir saistīti ar darbinieku kļūdām/nezināšanu. Vairāk nekā 90% gadījumu iemesls ir «cilvēka faktors». Uzņēmumiem ir jāfokusējas uz darbiniekiem, procesiem un tehnoloģijām, liekot prioritātes tieši šādā secībā. Bieži darbinieku izglītošanai netiek pievērsta pietiekama uzmanība un tādos gadījumos tehnoloģijas un IT drošības politika vien nevarēs pasargāt uzņēmumus no riska pazaudēt savu klientu datus, finanšu līdzekļus un nodrošināt uzņēmuma nepārtrauktu funkcionēšanu. Uzņēmumos ir aprakstīta darba drošība, tas pats ir jāpaplašina arī uz internetā pieslēgtajām iekārtām un darbu ar tām. Šo intelektuālā darba drošības pamatprincipu ievērošanai ir radīti rīki, kas palīdzēs ievērot šo politiku un aizsargās uzņēmumu no daudzām cilvēciskām drošības kļūdām IT vidē, norāda I.Šustriņa. 

Lielākais risks - kiberanarhija 

Latvijā netiek veikta pilnīga uzskaite, cik gadā vai mēnesī notiek uzbrukumi visām IT sistēmām, tomēr nevajag iedomāties, ka esam atrauti no ārējās pasaules un neesam interesanti kibernoziedzniekiem, tādēļ par drošību nevaram domāt pavirši, uzsver drošības testu speciālists Ainārs Galvāns. Diemžēl uzņēmēju vidē IT drošība tiek īstenota tikai tik daudz, cik to nosaka attiecīgas prasības konkrētajā jomā. Faktiski tā ir drošība drošības pēc, nevis tādēļ, ka uzņēmējs vēlas maksimāli pasargāt sevi no potenciālajiem uzbrukumiem un iespējamiem datu zaudēšanas riskiem. Drošības pasākumu kopleksu risinājumu piemērošana nav lēta, tomēr katram ir iepēja izvēlēties vidusceļu, kas nepieciešams tieši viņam. Nav tā, ka esam izvēles priekšā - visu vai neko. Mēs katrs varam izvērtēt, cik lielā mērā mūsu biznesa drošība ir atkarīga no IT un attiecīgi no tehnoloģiskiem riskiem. Veicot šādu auditu, varam saprast, cik daudz mums jāiegulda sistēmu drošībā, lai nepazaudētu biznesu, norāda A.Galvāns. 

«Svarīgi ir pastāvīgi pārbaudīt savas sistēmas, sevišķi, kad tiek veikta kādu aplikāciju atjaunināšana ar jaunākām versijām, kad var tikt iesūtīti kādi t.s. Trojas zirgi. 

Valsti izspiego, privātos apzog 

Ik nedēļu Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV) saņem ziņas par incidentiem, kas saistīti ar izspiedēj-vīrusiem. Lietotājus apdraud pieaugošā šifrējošo izspiedējvīrusu izplatība, nešķirojot, vai tas ir mājas dators vai iestādes serveris. Šie vīrusi pārsvarā izplatās caur e-pastu pielikumiem vai saitēm, tomēr inficēšanās visbiežāk notiek pašu lietotāju neapdomības dēļ, stāsta CERT.LV vadītāja Baiba Kaškina. 

«Drošības incidentu raksturs iestādēs bieži vien atšķiras no tā, kas notiek privātpersonu datoros. Valsts sektors ir vairāk pakļauts spiegošanas kampaņām, uzņēmumi un iedzīvotāji - ekonomiska rakstura uzbrukumiem. Atšķiras arī sagatavotības līmenis, lai konstatētu un atvairītu šos apdraudējumus,» skaidro B.Kaškina. Visbiežāk tie ir datorvīrusi, kas tiek tēmēti uz konkrētu mērķauditoriju. Reti gadās situācijas, kad lietotājs tiek inficēts, pašam to nezinot. Lai notiktu drošības incidents, piemēram, datu zādzība vai vīrusa infekcija, lietotājam ir jāveic kādas noteiktas darbības - jāklikšķina uz saites, jāatver pielikums vai jāievada dati viltus vietnē, stāsta CERT.LV vadītāja un piebilst, ka izplatītākie apdraudējuma veidi ir pikšķerēšana, vīrusi, datoru pievienošana botnetos jeb robotu tīklos. Hakeru uzbrukumi visbiežāk notiek nevis «ielaužoties», bet inficējot datoru, izmantojot ievainojamības programmatūrā. Tieši tādēļ regulāra programmu atjaunināšana ir svarīgs drošības priekšnoteikums. 

«Pirms pieciem gadiem vīrusi spēja pārņemt datoru, lai ar vīrusu palīdzību izsūtītu mēstules, veiktu piekļuves lieguma uzbrukumus un zagtu informāciju, taču tagad vīrusi zog naudu tieši no lietotāju kontiem un spēj sašifrēt visu datorā esošo informāciju, tādējādi radot daudz lielākus zaudējumus. 

Galvenie priekšnoteikumi, lai pasargātu sevi no riskiem - jābūt drošam datoram un jālieto antivīrusa programma, regulāri jāatjaunina operētājsistēma un pārējās programmas. «Arī pašam jārīkojas droši - jālieto drošas un katram resursam atšķirīgas paroles, jāparūpējas par to piemērotu glabāšanu. Tāpat nevajadzētu vērt vaļā aizdomīgu e-pasta sūtījumu pielikumus un klikšķināt uz saitēm. Tie būtu pamata drošības pasākumi, kas jāievēro virtuālajā vidē. Vīrusu izplatīšanas metodes nemitīgi mainās, tāpēc kritiska domāšana ir vislabākais veids, kā sevi pasargāt!» akcentē B.Kaškina. 

Mirāža un realitāte 

Labā prakse un realitāte drošības prasību ievērošanā uzņēmumos bieži vien atšķiras, norāda Digitālās drošības alianses vadītāja Sanita Igaune, piebilstot - lielākā problēma tāda, ka tam netiek pievērsta liela vērība vai arī informācija par drošību tiek pasniegta formāli un specifiskajā IT valodā. «Ja apmācību vai lekciju laikā darbinieks garlaikojas - pārskata telefonā e-pastus vai sociālā tīkla kontus, vai arī domās pārcilā plānus vakaram vai brīvdienām, tad liela jēga no apmācībām nav,» skaidro S.Igaune. Uzņēmumiem ir jāpanāk darbinieku iesaiste, lai viņi aizdomājas par šiem jautājumiem, lai IT ekspertiem uzdod jautājumus un iesaistās diskusijās. «Līdzīgi kā vanags medībās savos nagos notver medījumu, tāpat arī darbiniekam ir jāpasniedz informācija par drošību tā, lai apmācību laikā viņš nevar domāt par kaut ko citu,» norāda eksperte. Vislabākais veids, kā noteikt mācību rezultātus, ir uzdot darbiniekiem izpildīt testus vai aptaujas, kā arī pēc mēneša izsūtīt it kā šaubīgus e-pastus ar hipersaitēm, lai redzētu, cik darbinieku tos atvērtu, tādējādi novērtējot apmācību lomu un efektu. 

Riskus var arī apdrošināt 

Pieaugošo kiberapdraudējumu laikmetā uzņēmējiem aizvien svarīgāk ir nodrošināties pret iespējamu datu zādzību vai pilnīgu zaudēšanu. Paralēli tehnoloģiskajām drošības iniciatīvām ir iespēja šos riskus arī apdrošināt. «Uzņēmumiem pastāv iespējas apdrošināt savu un savu klientu datus daļējas/ pilnīgas zaudēšanas, kā arī zādzības gadījumos. Te gan jāpiebilst, ka datu zaudēšana ir tikai viena no daudzām citām riska seguma iespējām - ienākumu zaudējums tīkla drošības traucējumu dēļ, izdevumi, lai atjaunotu vai pārjaunotu datus un/vai programmatūru tīkla drošības traucējumu dēļ,» stāsta risku vadības un apdrošināšanas uzņēmuma Aon Latvijas nodaļas vadītājs Aigars Milts. Risks katrā gadījumā tiek aprēķināts individuāli, tādējādi nav iespējams minēt konkrētas prasības, kuru izpildi vai piemērošanu pieprasa apdrošinātāji. Apdrošinātājs pirms piedāvājuma un apdrošināšanas seguma sniegšanas sākotnēji veic risku novērtēšanu uzņēmumā, ko īsteno nozīmēts IT speciālists. «Uzbrukumi uzņēmumā pieejamajiem datiem un informācijai visbiežāk notiek ASV, tādējādi šobrīd kiberrisku apdrošināšana ir vispieprasītākā tieši ASV un ari vecajā Eiropā. Kiberrisku un kiberrisku atbildības apdrošināšana ir mazattīstīts produkts, jo tā aizsākumi meklējami tikai nedaudz vairāk kā 10 gadu senā pagātnē. Latvijā kiberrisku (datu drošības) apdrošināšana ir attīstības stadijā un pagaidām lielākā interese ir no finanšu institūciju puses. Taču pēc ES Vispārējās datu aizsardzības regulas ieviešanas datu aizsardzības apdrošināšana varētu kļūt par daudzu uzņēmumu valžu dienas kārtības jautājumu,» stāsta A.Milts. 

Riska vadība uzņēmumā būtu jāveic nepārtraukti saskaņā ar uzņēmumā noteiktajām iekšējām procedūrām, jo, mainoties iekšējiem un ārējiem apstākļiem, mainās iespējamo risku konsekvences, skaidro Aon eksperts. 

Lai dati mākonī būtu drošībā 

Mākoņpakalpojumu sniedzēja uzticamība atkarīga no visa kompleksa, kas tiek izmantots pakalpojuma nodrošināšanai, - no datu centra drošības sistēmu procedūrām, izmantotajām programmatūrām, iekārtām un pat cilvēkresursu kvalifikācijas. Klientiem vērts pievērst uzmanību vairākiem faktoriem, tostarp pakalpojuma sniedzēja izmantotajiem «dzelžiem» un tehnoloģijām, jo tām ir jābūt mūsdienīgām un slodzei atbilstošām. Novecojušas iekārtas tiešā veidā ietekmē gan veiktspēju, gan pieejamību, akcentē datu centra DEAC vadītājs Andris Gailītis un piebilst: «Kvalitatīvām un drošām tehnoloģijām ir ārkārtīgi būtiska nozīme, jo pat vislabākais serviss zaudēs savu kvalitāti, ja radīsies tehniskas problēmas ar iekārtām. Nenoliedzami kvalitatīvas iekārtas maksā attiecīgu naudu, kas arī ir iemesls, ka šāds serviss būs dārgāks par lētākiem konkurentu pakalpojumiem.» Mākoņpakalpojumu sniedzējs nav arī spējīgs nodrošināt augstu pieejamību bez efektīvas procesu organizācijas, kas ietver kā incidentu pārvaldību, tā arī pakalpojumu pieprasījumu apstrādi un risināšanu. Pakalpojumu sniedzējam ir jāspēj uzņemties atbildību ne tikai par tām darbībām, kas tiešā veidā ietekmē klientu uzņēmumu un procesu norises, bet arī par jebkurām izmaiņām, kas ir rūpīgi jāplāno, paredzot avārijas plānu negaidītiem pavērsieniem. Tāpat pakalpojumu sniedzējam ir jāuzņemas risks, kas rodas, pārkāpjot pakalpojumu sniegšanas nosacījumus, kuri radušies viņa vai trešās puses ietekmes rezultātā, akcentē A.Gailītis. Lai nodrošinātu pilnvērtīgu biznesa klases mākoņpakalpojumu, tam jāatbilst šādām prasībām: 24x7 pieejamība bez izņēmumiem, pieteikumu pieņemšana un apstrāde dažādos kanālos -e-pasts, tālrunis, web formas, kā arī jānodrošina stingra reakcijas laika kontrole uz ienākošajiem pieprasījumiem, maksimālais incidenta risināšanas laiks, regulāri tehniskie paziņojumi par uzturēšanas, modernizācijas darbiem, kā arī caurspīdīgs incidentu apziņošanas un risinājuma atspoguļojums klientiem, norāda DEAC vadītājs. 

Drošības incidentu raksturs iestādēs bieži vien atšķiras no tā, kas notiek privātpersonu datoros. Valsts sektors ir vairāk pakļauts spiegošanas kampaņām, uzņēmumi un iedzīvotāji - ekonomiska rakstura uzbrukumiem.