Lai arī ikdienā ziņu virsrakstos neredzam skaļus paziņojumus par kārtējo kiberuzbrukumu mazajiem un vidējiem uzņēmumiem (MVU), tomēr tas neataino reālo situāciju. Tet IT drošības risinājumu un pakalpojumu vadītāja Aiga Bokanova atzīst, ka MVU sektors kļūst par aizvien biežāku kiberuzbrukumu mērķi arī Latvijā, un zaudējumus piedzīvo ne tikai paši uzņēmumi, bet arī to darbinieki un klienti. Atšķirībā no lieliem uzņēmumiem, MVU gandrīz visos gadījumos izvēlas par to publiski nerunāt, jo nelielam uzņēmumam tas var būtiski ietekmēt reputāciju un turpmāko pastāvēšanu.
Kāpēc MVU ir vieglāks mērķis nekā liels uzņēmums?
MVU mazāk identificē sevi kā kiberuzbrukumu mērķi
Komunikācijā ar mūsu klientiem, mēs redzam, ka lielākā daļa MVU uzskata, ka tie noteikti nav interesanti kiberuzbucējiem, ir pārāk mazi, neģenerē milzīgas naudas summas, nav lielas ietekmes, uzskata, ka “līdz šim nekas nav noticis un diez vai arī notiks” un tādēļ nesaskata lietderību investēt laiku un resursus kiberdošības uzlabošanā.
Mazāk darbinieku, lielāka individuālā atbildība
Nelielos uzņēmumos ir daudz mazāk darbinieku un lielākoties tie ir savstarpēji pazīstami, tādēļ ne vienmēr tiek veidoti un ievēroti drošības noteikumi, piemēram, nav bijušas kiberhigiēnas apmācības un uzņēmumu īpašnieki paļaujas tikai uz katra darbinieka atbildību. Šeit ir tikai daži piemēri, kādas situācijas var radīt riskus:
Naudas pārskaitījums
MVU gadījumā bieži lēmuma pieņēmējs un procesa izpildītājs ir viena un tā pati persona – piemēram, maksājumu gan apstiprina, gan veic viens grāmatvedis. Ja grāmatvedim nav pietiekamas zināšanas atpazīt krāpnieciskas darbības, netiek ievērotas drošības procedūras un vairāku acu princips, tas var beigties ar naudas pārskaitījumu krāpnieka kontā.
Personalizēti uzbrukumi
Jo mazāk darbinieku, jo vieglāk uzbrucējiem identificēt konkrēta amata veicēju. Kiberzubrucējs var ievākt publiski pieejamos datus no sociālajiem tīkliem, informācijas uzņēmuma mājaslapā u.c. par kādu konkrētu darbinieku, izstrādāt pielāgotu un ticamu pikšķerēšanas e-pastu un iegūst sev nepieciešamos datus, lai piekļūtu uzņēmuma resursiem.
Sociālo tīklu kontu administrē viens cilvēks
Nelielas zemnieku saimniecības, skaistumkopšanas saloni, amatnieki, dažādu pakalpojumu sniedzēji un citi uzņēmumi savus produktus un pakalpojumus mēdz publicēt un pārdot sociālajos tīklos. Arī šajos gadījumos MVU uzņēmuma kontu nereti administrē viens cilvēks un iespējams bez daudzfaktoru autentifikācijas uzstādījumiem. Ja kiberuzbrucējam, izliekoties par klientu, sadarbības partneri vai sociālā tīkla atbalsta dienestu, izdodas apvārdot šo cilvēku, likt nospiest uz ļaunprogrammatūras saitēm vai izgūt piekļuves datus, tā rezultātā var tik pārņemta pilna pārvaldība pār uzņēmuma sociālā tīkla kontu, iztērēta nauda no piesaistītās maksājumu kartes, iegūta visa klientu bāze, izsūtītas ziņas klientiem, un, protams, lielas iespējas sabojāt uzņēmuma reputāciju.
Nepilnīga IT resursu pārvaldība
MVU bieži vien nav centralizētas IT resursu drošības pārvaldības, kas ne vien rūpētos par darba ierīcēm un programmatūru, bet arī limitētu iespējas darbiniekiem veikt nedrošas darbības. Daži piemēri, kā tas var palīdzēt uzbrucējiem:
Neatbilstoša licenču izvēle
MVU nereti izvēlas vislētāko iespējamo programmatūras licenču paku, kura visdrīzāk ir piemērojama mājas lietotājiem un neietver drošības funkcionalitāti vai iespējas drošību pārraudzīt centralizēti.
Neatjauninātas programmas
Ja nav centralizētas IT resursu pārvaldības, neviens īsti neseko līdzi visu darba datoru programmatūras atjauninājumiem – kāds kolēģis būs veltījis laiku atjauninājumu instalēšanai un datora restartēšanai, kāds darbu steigā atliek uz vēlāku laiku vai ignorē sistēmas brīdinājumus. Iekārtu un programmatūru ražotāji atjauninājumos iestrādā aizsardzību pret jaunākajiem ievainojumiem, tādēļ būtiski ir sekot līdzi, lai atjaunināšanas process norit korekti un pilnā apjomā. Neatjaunota programmatūra var būt laba iespēja kiberuzbrucējam iekļūt uzņēmuma sistēmās.
Piekļuves pārvaldības nepilnības
Centralizēta darbinieku piekļuves kontroles pārvaldība arī ir svarīga, piemēram, ja MVU sektora darbinieks maina darba vietu un aiziet strādāt pie konkurentiem. Ja piekļuves netiek dzēstas un bijušais darbinieks tām vēl tiek klāt, var noplūst konfidenciāla informācija, piemēram, noziedznieki vai konkurenti caur bijušā darbinieka datoru redzēs jūsu iekšējo sistēmu informāciju, sarakstes, piedāvātās cenas klientiem, lai pielāgotu piedāvājumus un precīzāk fokusētu Facebook reklāmas u.c. Un galu galā konkurenti var būt jums soli priekšā.
Strauja uzņēmumu izaugsme un paplašināšanās
Lai arī tas var attiekties uz jebkuru uzņēmumu, vieni no riskantākajiem tomēr ir start-up jeb jaunuzņēmumi, kuri mēdz strauji augt, bet kuriem vēl nav pietiekamas pieredzes vai finanšu, lai pienācīgi sagatavotos un parūpētos par sava uzņēmuma drošību. Situācijas mēdz būt dažādas, piemēram, ja līdz šim jaunuzņēmumā darbojās četri darbinieki, kuri atrodas vienā adresē un ir daži klienti - visi procesi ir viegli izsekojami, taču, ja uzņēmums paplašinās, tam aug filiāļu, klientu un sadarbības partneru skaits, klienti vairs nav tikai Latvijā, bet arī ārzemēs un uzņēmums kļūst populārāks – tas viss bez atbilstošām informācijas aprites drošības procedūrām rada lielus riskus un iespējas veiksmīgiem kiberuzbrukumiem.
Ko darīt?
Ievērojiet kiberhigiēnu
Lai arī cik drošas būtu kiberdrošības sistēmas, tās nepasargās pilnībā, ja kāds kolēģis nepazinoties būs nodevis krāpniekam piekļuves datus. Lielākā daļa uzbrukumu sākas tieši ar pikšķerēšanu, tādēļ kā pirmais, vienkāršākais un efektīvākais solis ir izveidot iekšējos drošības noteikumus, kurus jāievēro visiem darbiniekiem, un veikt darbinieku kiberdošības apmācības. Būtiski ar darbiniekiem izrunāt iespējamos riskus un jaunākos uzbrukumu veidus, trenēt darbinieku modrību atpazīt krāpnieciskus e-pastus, kritiski izvērtēt saites un pielikumus, kas pievienoti e-pastam un vienoties, ko darīt aizdomīgās situācijās.
Veidojiet datu rezerves kopijas
Ir svarīgi regulāri veikt datu rezerves kopēšanu ārpus jūsu infrastruktūras – piemēram, ne tikai izveidot vēl vienu mapes kopiju tur pat datorā, bet arī nosūtīt to uz drošu vietu ārpus uzņēmuma sistēmām. Gadījumā, ja uzbrucējs ir uzlauzis datoru un ticis klāt visiem datiem, tos izdzēsis vai sašifrējis, kopijas būtu pieejamas un glabātos drošā vietā.
Izmantojiet risinājumus, kas aizsargā datus
Visur, kur tas ir iespējams, izvēlieties risinājumus, kas nodrošina drošu datu pārraidi interneta vidē, piemēram, sensitīvus datus būtu jāglabā un jāpārsūta, izmantojot virtuālo privāto tīklu (VPN), šifrējot ierīces ar īpašām programmām, kā arī jāizvairās no tādiem tehniskajiem risinājumiem, kuriem nav iespējama daudzfaktoru autentifikācija (MFA). Tās lietošana būtiski apgrūtina uzbrucējiem iespējas ielogoties sistēmās, pat ja ir uzzinājuši jūsu piekļuves datus, tādēļ izmantojiet to visur, kur tas ir iespējams. Internetveikaliem, kas pieņem maksājumu kartes, jāizvēlas tādus maksājumu pakalpojumu sniedzējus, kas nodrošina atbilstību PCI DSS (Payment Card Industry Data Security Standard) drošības standartam.
Segmentējiet savu interneta tīklu
Uzņēmuma interneta tīklu noteikti būtu jāsadala pa segmentiem pēc pielietojuma, atsevišķi nodalot – klientiem brīvi pieejamo Wi-Fi, ofisa darbinieku, finansistu, videonovērošanas, ražošanas telpu, iekārtu, IT atbalsta personāla, u.c. interneta tīklu. Ja uzbrucējs ir ielauzies, piemēram, klientiem īpaši izveidotā Wi-Fi tīklā, tas netiks klāt pie finansistu datiem vai jūsu videonovēršanas ierīcēm.
Sekojiet līdzi kiberdrošības labās prakses vadlīnijām
Būtisks solis kopējā Eiropas kiberdrošības stiprināšanā ir kiberdrošības regulu ieviešana un iedzīvināšana Eiropas savienības valstu likumdošanā, piemēram, Tīkla un Informācijas Sistēmu direktīva (NIS2), Nacionālās Kiberdrošības likums (NKDL) un prasības svarīgajām, būtiskajām un kritiskās infrastruktūras nozarēm, kā arī Digitālās Darbības Noturības akts (DORA) – finanšu nozarēm. Lai arī primāri šie noteikumi un regulas ir domātas konkrētam nozaru un uzņēmumu lokam, tās tomēr sniedz priekštatu un paraugu, kā būtu jāvirza uzņēmuma kiberdrošība. Pat ja jūsu uzņēmums nav pakļauts, piemēram, NKDL prasībām, tomēr kāds no jūsu klientiem gan tāds var būt. NKDL paredz stingrāku piegādātāju un pakalpojumu sniedzēju kontroli un izvērtējumu, un jūs kā pakalpojuma sniedzējs varat zaudēt konkurētspēju.
Daudz kiberdrošības risinājumu – kā neapjukt un izvēlēties piemērotāko?
Ņemot vērā MVU uzņēmumu specifiku un vajadzības, Tet kiberdrošības eksperti ir izveidojuši Kiberdrošības komplektus dažādiem uzņēma lielumiem, kurā jau ir ietverti kiberdošības pasākumi un risinājumi, lai jūsu uzņēmums varētu pasargāt gan sevi, gan klientus un sabiedrību kopumā. Komplektos ietvertas darbinieku apmācības, pikšķerēšanas simulācijas treniņi, kiberziņas par kiberdrošības aktualitātēm, nevēlamu interneta vietņu filtrēšana, ugunsmūra risinājumi, daudzfaktoru autentifikācija, virtuālais privātais tīkls, datu rezerves kopēšana un ievainojamību diagnostika. Kā arī iespējams pašiem izveidot komplektu no plašā kiberdrošības pakalpojumu klāsta (piemēram, kiberdrošības dokumentācijas izveide, kiberdrošības pārvaldība, IT serviss, zīmola aizsardzības risinājumi, u.c.) un pielāgot tos savām vajadzībām.
Raksta autore: Aiga Bokanova, Tet IT drošības risinājumu un pakalpojumu vadītāja