Informacijos saugumo mokymai darbuotojams. Ar verta investuoti?
Įmonės investuoja į IT infrastruktūrą, į įvairaus lygio informacijos saugumo priemones, tačiau ne retai pamiršta investuoti į žmogiškuosius resursus, kurių tyčinis ar netyčinis veiksmas kibernetinės atakos metu, gali padėti išvengi apsaugos priemonių ir taip nubraukti visas įmonės investicijas į technologijas. Pavyzdžiui, darbuotojai nesugeba atpažinti prieš juos vykdomų atakų, dėl to: atskleidžia nusikaltėliams savo prisijungimo duomenis prie vidinių sistemų, e. bankininkystės sąskaitų, el. pašto; išduodą svarbią įmonės informaciją; įsidiegę kenksmingą kodą, įsileidžia nusikaltėlius į vidinį įmonės tinklą; atlieka piniginius pavedimus į nusikaltėlių sąskaitas; užšifruoja kompiuteryje, serveryje esančią informaciją; ir t.t.
Dėl netinkamų darbuotojų veiksmų, tiek įmonės, tiek darbuotojai asmeniškai gali patirti didelių nuostolių, kurie iš esmės priklauso nuo kibernetinių nusikaltėlių išsikelto tikslo ir vykdomos atakos. Kibernetiniai įsilaužėliai, skirtingam tikslui pasiekti, gali naudoti įvairias taktikas, pavyzdžiui vykdyti masines atakas prieš didelį kiekį darbuotojų ir tikėtis, kad kažkas „susimaus ir paklius į spąstus“ arba vykdo dedikuotas atakas pagal iš anksto surinktą informaciją ir nukreiptas į tam tikrus darbuotojus (buhalterius, finansų vadovus, pardavimų vadovus ar pan.).
Mokymai padės sumažinti grėsmių riziką
Nepriklausomai nuo vykdomos atakos tipo darbuotojai turi gebėti atpažinti prieš juos vykdomas atakas, mokėti patikrinti ar gautas laiškas, skambutis ar SMS žinutė yra tikra bei žinoti, kaip elgtis identifikavus incidentą ar atskleidus savo ar įmonės duomenis ir taip panaikinti ar sumažinti riziką patirti nuostolių. Šiems tikslams pasiekti padeda nuolatinis darbuotojų mokymas informacijos saugumo temomis, žinių patikrinimas ar vykdomos incidentų imitavimo pratybos. Jei anksčiau suklastotą laišką buvo galima pažinti iš netaisyklingos lietuvių kalbos, tai dabar kibernetiniai nusikaltėliai laiškus parengia taisyklinga kalba, apsimeta realiais partneriais ir pan., todėl informacijos saugumo mokymų tęstinumas turi būti užtikrinamas reguliariai, o mokymų organizatoriai turi nuolat atnaujinti savo mokymų turinį ir jį pritaikyti pagal įmones ir jų darbuotojų veiklos pobūdį.
Svarbiausia vadovo iniciatyva
Apie darbuotojų kompetencijos ir supratingumo kėlimą informacijos saugumo srityje, tvarkant asmens duomenis ir užtikrinant jų saugumą, minima ne tik gerosiose praktikose, bet ir nustatoma viešose rekomendacijose ar Lietuvos ar ES teisės aktuose, pavyzdžiui, ES Bendrajame duomenų apsaugos reglamente, NIS direktyvoje, LR kibernetinio saugumo reikalavimuose valstybės informaciniams ištekliams ir ypatingos svarbos informacinei infrastruktūrai ir t. t., tačiau be įmonių vadovų iniciatyvos užtikrinti įmonės ir jos informacijos saugumą, investuojant ne tik į technologijas, bet ir darbuotojų kompetencijos kėlimą, darbuotojai nesupras kokią žalą gali sukelti jų netinkami veiksmai ar elgsena kibernetinio saugumo užtikrinimo srityje. Kuo anksčiau įmonės darbuotojai supras, kad informacijos saugumas turi būti nuolatinis palydovas visuose darbuotojų vykdomuose procesuose (prižiūrint IT ūkį, perkant / parduodant prekes ar paslaugas, naršant internete, tvarkant darbuotojų asmens bylas ar pan.), tuo greičiau sumažės keliamos rizikos ar patirta žala.