Į kibernetinį saugumą investuoja tik keli procentai Lietuvos įmonių: nuo kitų metų tai bus privaloma

Nors jau kitąmet už nesirūpinimą kibernetiniu saugumu įmonių lauks baudos, tam ruošiasi tik pavieniai verslai. „Telia“ teigimu, žinios apie 2024 m. įsigaliosiančius sugriežtintus saugumo reikalavimus privačiai IT infrastruktūrai rinkoje bangų nesukėlė, nes verslas arba laukia paskutinės minutės, arba tikisi kaip nors „praslysti“. Tačiau ekspertai ragina šių klaidų nedaryti, kadangi organizacijų pasiruošimas atremti kibernetines grėsmes nėra nei greitas, nei paprastas procesas.

Šių metų pradžioje ES priėmė sugriežtintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS2), kuria siekiama užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Atnaujintas teisinis reguliavimas smarkiai išplečia sąrašą sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai, o už jų nesilaikymą numatė ne tik milijonines baudas, bet ir asmeninę bendrovės vadovo atsakomybę. TIS2 į nacionalinę teisę Lietuva privalo perkelti iki 2024 m. spalio 18 d.

„Naujasis ES teisinis reguliavimas kibernetinio saugumo užtikrinimą prilygina mokesčių mokėjimui, darbų saugai ir kitoms elementarioms įmonės pareigoms. Deja, kol kas tuo rūpinasi geriausiu atveju tik keli procentai verslininkų, o likusieji šioje srityje ir toliau bando taupyti arba paprasčiausiai tame nemato prasmės. Visgi sprendžiant šį klausimą, direktyvą svarbu skaityti tarp eilučių – baudų vėzdu siekiama ne papildyti biudžetą, o nuo kibernetinių pavojų apsaugoti įmonių reputaciją, klientus ir išlaikyti mūsų valstybės saugumą“, – teigia „Telia Lietuva“ verslo klientų vadovas Daniel Karpovič.

Galios daugeliui verslų

D. Karpovič primena, kad nepriklausomai nuo įmonės dydžio, TIS2 galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms

TIS2 nuostatos taip pat aktualios informacinių ir ryšių technologijų (IRT) paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančioms įmonėms, jei jose dirba 50 ir daugiau darbuotojų, o metinė apyvarta arba metinio balanso vertė siekia 10 mln. eurų ir daugiau.

„Šios įmonės privalės laikytis naujų reikalavimų tiekimo grandinės saugumo užtikrinimui, taikyti griežtai apibrėžtas įsipareigojimų įgyvendinimo užtikrinimo ir jų vykdymo patikrinimo priemones. Be to, šios įmonės bus įpareigotos per numatytus terminus (24-72 val.) apie kibernetinius incidentus pranešti atsakingai institucijai. To nesilaikant gresia iki 10 mln. eurų arba iki 2 proc. įmonės metinės apyvartos siekiančios baudos, o svarbiausia – asmeninė kompanijos vadovo atsakomybė“, – detalizuoja pašnekovas. 

Kibernetiniu saugumu rūpinasi tik vienetai

Pasak „Telia“ verslo klientų vadovo, nepaisant pamažu artėjančio griežto teisinio reguliavimo, kol kas IT saugumu tinkamai rūpinasi geriausiu atveju 1 iš 100 kitąmet tai pagal įstatymą daryti turėsiančių bendrovių. Kitos šioje srityje linkusios primerkti vieną akį ir naudoti laukimo taktiką, vildamosis kaip nors praslysti tarp sankcijų girnų, o kibernetinės atakos atveju – geriau tvarkytis su pasekmėmis. 

„Apie įmonių kibernetinį saugumą kalbantis su jų vadovais neretai tenka išgirsti tokių frazių, kaip „O kam mes čia įdomūs?“, „Ką programišiai veiks pas mus įsilaužę?“ ar „Nėra už mus geresnių taikinių?“. Tai rodo, jog verslininkai kibernetinį saugumą suvokia kaip valstybinių institucijų reikalą ir neįvertina galimos finansinės bei reputacinės žalos, praradus privačius klientų duomenis ar patyrus laikiną veiklos paralyžiavimą. Toks mąstymas prilygsta įsivaizdavimui, kad kelių eismo taisyklės galioja tik autobusams ir sunkvežimiams, o mažesnės transporto priemonės keliuose gali daryti ką panorėję. Turbūt nė vienas nenorėtume atsidurti taip atrodančiose gatvėse, tačiau skaitmeniniame pasaulyje kol kas tai yra norma“, – ydingą praktiką atskleidžia „Telia“ verslo klientų vadovas.

Jis taip pat skuba paneigti mitą, kad programišiams įdomūs tik bankai ir valstybinės įstaigos. Paprastai šie taikiniai būna labai gerai apsaugoti ir nusikaltėliams sunkiai prieinami, todėl jie ieško „lengvų kąsnelių“, kuriais gali tapti ir iš pažiūros „nekaltos“ įmonės. Be to, hibridinio karo laikmetyje priešiškoms jėgoms taikiniai ne visada yra svarbūs – labai dažnai valstybėje tiesiog siekiama kelti suirutę ir tam pasirenkama viskas, kas tuo metu yra po ranka.

D. Karpovič tai iliustruoja pavyzdžiu, kai Vilniuje vykstant NATO viršūnių susitikimui, įsilaužus į vieno prekybos centro sistemas, per jo garsiakalbius pradėta transliuoti propaganda. Be to, nuo tuo metu vykusių masinių DDoS atakų nukentėjo ne tik bankai ir naujienų portalai, bet ir daug atsitiktinių Lietuvos įmonių. 

Namų darbus pradėti reikia jau dabar

Nepaisant to, kad iki galutinės TIS2 integravimo į Lietuvos teisę datos liko kiek daugiau, nei metai, „Telia“ atstovas ragina įmones kibernetiniu saugumu susirūpinti jau dabar. Jo teigimu, jei kompanija metų metus neinvestavo į savo informacinių sistemų atsparumą grėsmėms, naivu tikėtis tai išspręsti per trumpą laikotarpį ar juo labiau – paskutinę naktį.

Būtini namų darbai turėtų apimti esamos tinklo architektūros inventorizaciją ir saugios architektūros parengimą, kritinių veiklos sistemų sąrašo sudarymą, kruopštų toms sistemoms kylančių rizikų įvertinimą. Taip pat svarbu numatyti tinkamas priemones ir išteklius incidentų prevencijai, atskleidimui ir nustatymui, reagavimui, veiklos atstatymui ir pasekmių šalinimui ar švelninimui.

„Akivaizdu, kad visam tam reikia laiko, kompetencijų ir finansinių išteklių, o taupyti siekiančios įmonės paprastai tam neturi reikalingų vidinių resursų. Dėl to rinkoje vis labiau populiarėja visapusiškas kibernetinio saugumo, tinklų projektavimo ir sistemų administravimo paslaugų įsigijimas iš išorinių tiekėjų. Ne taip svarbu, koks kelias būtų pasirinktas, svarbu, jog būtų laikomasi reikalavimų ir skaitmeninėje erdvėje kiekvienas iš mūsų galėtų jaustis saugiai“, – reziumuoja D. Karpovič.