Apklausa: Lietuvos smulkiajam ir vidutiniam verslui trūksta kibernetinio saugumo žinių

Trys iš keturių Lietuvos smulkiojo ir vidutinio verslo (SVV) įmonių nėra pasiruošusios arba nežino ar yra pasiruošusios atremti kibernetines atakas, parodė „Kurk Lietuvai“ projekto Krašto apsaugos ministerijoje vykdyta apklausa. SVV įmonių vadovų ir darbuotojų apklausoje dalyvavo 227 respondentai iš visų Lietuvos apskričių. Nors pasaulinės tendencijos rodo, kad smulkios ir vidutinės įmonės dažnai tampa kibernetinių atakų taikiniu, net 44 proc. apklausų SVV įmonių nemano, kad jos gali tapti tokių atakų aukomis.

Kibernetinis saugumas prasideda nuo suvokimo, kad kiekvienai organizacijai reiktų imtis atitinkamų e. saugos priemonių. Bet kuri įmonė naudojanti net elementarias el. paslaugas, kaip el. paštas ar banko sąskaita, gali tapti programišių auka, nepaisant jos dydžio ar veiklos tipo. Vienas iš dažniausiai aptinkamų kibernetinių incidentų įmonėse tai apgaulingų el. laiškų ar žinučių, siekiančių išgauti asmeninę informaciją gavimas (angl. phishing). Tokių, per pastaruosius 12 mėn., gavo net pusė visų apklaustų Lietuvos įmonių. Tiesa, rezultatai rodo, kad ne visi įmonių vadovai žino kokie incidentai galėjo įvykti jų įmonėje – 1 iš 5 vadovų negalėjo jų įvardinti.

Ekspertai pabrėžia, kad labai svarbu yra reguliariai įsivertinti savo rizikas, jog įmonė geriau suprastų savo spragas ir imtųsi saugumo priemonių, kurios padėtų didinti jų atsparumą kibernetinėms grėsmėms. Deja, tik 14 proc. Lietuvos įmonių vadovų atsakė, kad vykdė tokį vertinimą per pastaruosius metus. Rizikų vertinimas nėra paprastas procesas, rodo apklausos rezultatai – net 72 proc. įmonių teigė, kad nežino kaip reikia įsivertinti kibernetinio saugumo spragas ir rizikas.

Apklausa taip pat parodė, kad įmonės nurodžiusios, kad turi kibernetinio saugumo politiką ir reguliariai atlieka rizikų vertinimą, geriau suvokia kodėl svarbu rūpintis savo kibernetiniu saugumu ir jaučiasi labiau pasiruošusios atremti grėsmes. Įdomu ir tai, kad 3 iš 4 vadovų sutiko, jog jiems svarbu, jog jų verslo partneriai laikytųsi kibernetinio saugumo standartų. Šiandien yra būtina suprasti, kad jeigu tavo verslo partneris yra pažeidžiamas, tavo įmonė taip pat patenka į rizikos grupę ir gali nukentėti. Nebeužtenka tik techninių priemonių savo sistemoms apsaugoti. Itin svarbus yra procesų apsibrėžimas, rizikų identifikavimas, įvertinimas ir valdymas.

Įvertinant tai, kad didelė dalis incidentų įvyksta dėl žmogiškosios klaidos, SVV darbuotojų apklausa buvo siekta įvertinti jų žinias ir pasirengimą. Net 86 proc. darbuotojų sutiko su teiginiu, kad kiekvienas įmonės darbuotojas yra svarbi grandis užtikrinant įmonės kibernetinį saugumą. Tokį saugumą užtikrinti galima tik ugdant darbuotojų kibernetinio saugumo kultūrą, tačiau tik 14 proc. darbuotojų dalyvavusių apklausoje nurodė, kad per pastaruosius 12 mėn. dalyvavo kibernetinio saugumo mokymuose. Ugdyti žinias galima ir mokantis savarankiškai, tačiau tik 14 proc. darbuotojų sutiko, kad viešojoje erdvėje yra pakankamai prieinamos ir lengvai suprantamos informacijos apie kibernetinį saugumą.

Įmonėms, ypač smulkiosioms, sunku suprasti kokią žalą joms gali padaryti kibernetinis incidentas. Tai nėra vien tik finansiniai nuostoliai prarasti incidento metu, reikia suvokti, kad kibernetinis pažeidimas gali laikinai arba visam laikui sustabdyti jų veiklą, gali prireikti papildomų kaštų el. sistemoms ir įmonės reputacijai atstatyti. Tačiau apklausa parodė, kad daugiau nei pusė kibernetinių incidentų patyrusių įmonių vadovų nežino, kokios yra šių incidentų pasekmės ir jų padaryta žala.

Nepaisant to, kad didžioji dalis įmonių vadovų sutiko (74 proc.), jog kibernetinis saugumas yra svarbus jų įmonei, net 40 proc. įmonių per praėjusius metus neinvestavo nė vieno euro į įmonės kibernetinį saugumą. SVV įmonėms Lietuvoje sunkiai sekasi suvokti nuo ko ir kaip reikia pradėti rūpintis savo saugumu kibernetinėje erdvėje. Daugiau nei pusė (57 proc.) įmonių vadovų teigė, kad neturi ar nežino ar turi pakankamai žinių, reikalingų kibernetinio saugumo priemonių pasirinkimui.

Įvairių šalių gerosios praktikos rodo, kad smulkiajam ir vidutiniam verslui padėti gali ir valstybinės institucijos, ruošdamos kibernetinio saugumo ugdymo medžiagą, priemones ar teikdamos kitas saugumo paslaugas. Atsižvelgdami į tai, programos „Kurk Lietuvai“ dalyviai kuria kibernetinio saugumo informacinį vadovą, padėsiantį smulkioms ir vidutinėms įmonėms rūpintis savo kibernetiniu saugumu. Kaip ir kiti tokio tipo dokumentai pasaulyje, šis vadovas įtrauks esmines (bazinio saugumo lygio) rekomendacijas įmonėms, kurios dar netaiko sistemingo požiūrio į kibernetinį saugumą, siekiant kelti jų kibernetinio saugumo kultūrą ir stiprinti jų atsparumą grėsmėms.