Informacijos saugumas tampa kritinis: net 84% įmonių patyrė informacijos saugos pažeidimų
Sparčiai vystantis technologijoms, grėsmės organizacijos informacijos saugumui taip pat nuolat auga: daugėja pažeidimų ir įsibrovimų, didėja jų daroma žala. Informacijos saugos spragos organizacijai gali kainuoti milijonus. „Fortinet“ mokymo instituto š. m. tyrimo duomenimis, pernai net 48% patirtų informacijos saugos pažeidimų įmonėms kainavo daugiau nei 1 mln. USD.
UAB „Atea“ Informacijos saugos grupės vadovas Tadas Dvarvytis akcentuoja, kad informacijos saugumas organizacijose šiuo metu yra kritinė sritis. Taip pat svarbu suvokti, kad informacijos sauga yra ne būsena, o procesas, kurio metu apsaugoma organizacijos informacija nuo neteisėtos prieigos, naudojimo, atskleidimo, modifikavimo ar sunaikinimo. Išsamiau šia tema Tadas Dvarvytis kalbės „Atea“ organizuojamoje konferencijoje „E-valstybė. Kaip sėkmingai suvaldyti IT transformaciją“, į kurią kviečiami valstybės sektoriaus organizacijų lyderiai.
Grėsme gali tapti nepakankama darbuotojų edukacija
Pagrindinės informacijos saugumo grėsmės apima įvairius veiksnius, kurie susiję su organizacijos žmonėmis, technologijomis ir procesais.
Tarp jų išskiriamos kibernetinės atakos (angl. cyber-attacks): tai įsilaužimai į tinklus, duomenų vagystės, piktnaudžiavimas pažeidžiamumais, DDoS (angl. Distributed Denial of Service) atakos ir kt.
Vieną iš pagrindinių grėsmių, kurios gali sukelti saugumo spragas, „Atea“ Informacijos saugos grupės vadovas Tadas Dvarvytis įvardina programinės įrangos pažeidžiamumus dėl nepakankamo programinės įrangos atnaujinimo lygio ar neteisingos programinės įrangos konfigūracijos, žmogiškąjį faktorių, t. y. darbuotojų klaidas, netinkamą jų elgesį, tyčinį sabotavimą, ir fizines grėsmes, t. y. avarijas, gamtos nelaimes, žmogaus sukeltus incidentus (gaisrą, potvynį, elektros tiekimo nutraukimą).
Dažni atvejai ir apgavikų pasitelkta socialinė inžinerija, kai manipuliuojama darbuotojais. Taip yra išgaunami slaptažodžiai, prieigos kodai ar kita konfidenciali informacija. Atsiradus daugiau mobiliųjų įrenginių darbo aplinkoje, didėja ir mobiliųjų įrenginių saugumo grėsmės.
„Pagrindinių informacijos saugumo grėsmių žinojimas ir supratimas padeda organizacijoms geriau apsaugoti savo sistemas ir informaciją. Todėl labai svarbu tas žinias nuolat atnaujinti, kad būtų galima efektyviau numatyti riziką ir užkirsti kelią incidentams“, – aiškina informacijos saugumo specialistas.
Net 93% organizacijų valdybų kibernetinę saugą yra įsitraukę kaip prioritetinę sritį
Dvarvytis atkreipia dėmesį, kad kibernetinio saugumo aktualumas nuolat auga. Anot jo, tai lemia didėjantis interneto naudojimas, interneto daiktų (angl. Internet of Things, IoT) plėtra, plintantis kibernetinių atakų mastas ir sudėtingumas. Matome, kad kibernetinėje erdvėje veikia ne tik nusikaltėliai, bet ir valstybės, kurios vykdo kibernetinį šnipinėjimą, atakas prieš infrastruktūrą ir t. t.
Vis aktualesni ir privatumo bei duomenų apsaugos klausimai. Kibernetinio saugumo priemonės padeda apsaugoti vartotojų ir įmonių duomenis nuo neteisėto naudojimo.
Žinoma, kad kibernetiniai nusikaltimai gali turėti didelį ekonominį poveikį įmonėms ir šalims. Tai apima ir tiesioginius nuostolius dėl atakų, ir pinigus, kurie investuojami į kibernetinio saugumo priemones. Dėl šių priežasčių kibernetinio saugumo tema yra aktuali ir vienas iš pagrindinių prioritetų šiuolaikinėje visuomenėje.
Beje, pasaulyje pirmaujančios skaitmeninės apsaugos verslui sprendimų tiekėjos „Fortinet“ mokymo instituto š. m. analizė rodo, kad net 84% apklaustų įmonių teigė 2022 m. patyrusios informacijos saugos pažeidimų – lyginant su 2021 m. augimas sudaro 4 procentinius punktus. Neramina ir tai, kad kibernetinės atakos gali kartotis: 29% įmonių 2022 m. patyrė 5 ir daugiau įsibrovimų, o tai, lyginant su 2021 m., beveik 1,5 karto daugiau. Rimtai susirūpinti kibernetine sauga įmones skatina ir faktas, kad 48% patirtų pažeidimų kainavo daugiau ne 1 mln. USD, kai 2021 m. tokią kainą mokėjo 38% įmonių, kuriose pažeista informacijos sauga
„Akivaizdu, kad informacijos saugos pažeidimų ir įsibrovimų labai smarkiai daugėja, žala auga ir to ignoruoti jau nepavyksta. Todėl 93% organizacijų valdybų kibernetinę saugą yra įsitraukę kaip prioritetinę sritį“, – konstatuoja „Atea“ Informacijos saugos grupės vadovas.
Saugus dokumentų valdymas yra procesas
Anot T. Dvarvyčio, užtikrinti, kad dokumentų valdymas atitiktų informacijos saugumo reikalavimus, galima laikantis tam tikrų žingsnių.
Pirma, reikia įsigilinti į informacijos saugumo standartus, teisės aktus ir reglamentus, kurie galioja jūsų organizacijai, ir nustatyti, kokius reikalavimus turite įvykdyti.
Antra, būtina klasifikuoti informaciją pagal jos konfidencialumo lygį, prieigos reikalavimus ir saugojimo trukmę. Tai padės nustatyti, kokius apsaugos mechanizmus reikia taikyti kiekvienai informacijos kategorijai.
Trečia, turėtų būti sukurta dokumentų valdymo politika, kuri apibrėžtų, kaip tvarkomi, saugomi, archyvuojami ir sunaikinami dokumentai. Įtraukite nuostatas apie prieigos kontrolę, duomenų šifravimą, atkūrimą ir kitas saugumo priemones.
Taip pat būtina sukurti aiškias gaires ir procedūras, kaip organizacijos darbuotojai turėtų elgtis su dokumentais, atsižvelgdami į informacijos saugumo reikalavimus.
Anot informacijos saugumo specialisto, būtina pasiruošti ir incidentų valdymui: „Įveskite incidentų valdymo procesą, kuris užtikrintų greitą ir veiksmingą reagavimą į galimus informacijos saugumo incidentus, susijusius su dokumentų valdymu, o ne tik atakų atvejais“.
Žinios ir sąmoningumo ugdymas – vieni svarbiausių veiksnių užtikrinant saugą
„Informacijos saugumo tikslus pasiekti padeda žinios ir sąmoningumo ugdymas, todėl organizuokite mokymus darbuotojams apie informacijos saugumo reikalavimus, įskaitant dokumentų valdymą, įsitikinkite, kad darbuotojai supranta savo atsakomybes ir yra pasirengę laikytis nustatytų politikų bei procedūrų, – pataria „Atea“ Informacijos saugos grupės vadovas. – Taip pat reguliariai tikrinkite ir stebėkite, kaip veikia jūsų dokumentų valdymo sistema, ar ji atitinka informacijos saugumo reikalavimus. Reguliariai atlikite vidinius ir išorinius auditus, kad įsitikintumėte, jog viskas funkcionuoja tinkamai.“
Informacijos saugumas neatsiejamas nuo nuolatinio tobulinimo, bendradarbiavimo tarp organizacijos padalinių, žinių ir patirties kaupimo.
„Remdamiesi auditų rezultatais, incidentų analize ir darbuotojų grįžtamuoju ryšiu, nuolat tobulinkite savo dokumentų valdymo sistemą, kad ji geriau atitiktų informacijos saugumo reikalavimus. Naujų technologijų, procesų ir rizikų atsiradimas reikalauja nuolatinio proceso peržiūrėjimo ir atnaujinimo“, – atkreipia dėmesį „Atea“ Informacijos saugos grupės vadovas.