„Mes per maži, kad mus užpultų.” „Turime antivirusinę – esame saugūs.” „IT žmogus tuo pasirūpins.”
Šios frazės skamba pažįstamai? Jos tariamos šimtuose įmonių kasdien. Ir būtent jos atveria duris tiems, kurie ieško lengvo grobio.
Mitas 1: Mažos įmonės nėra taikinys
Realybė priešinga. Mažos ir vidutinės įmonės yra mėgstamiausias programišių taikinys. Kodėl? Nes jos turi pakankamai pinigų, kad būtų verta, ir nepakankamai apsaugos, kad būtų sunku.
Statistika negailestinga: apie 43% kibernetinių atakų nukreiptos į mažas įmones. Dar blogiau – 60% mažų įmonių, patyrusių rimtą ataką, per šešis mėnesius užsidaro.
Didelės korporacijos turi saugumo komandas, biudžetus, sistemas. Maža įmonė su vienu IT specialistu, kuris dar ir spausdintuvus taiso – lengvas taikinys.
Mitas 2: Antivirusinė programa apsaugo
Antivirusinė – tai spyna ant durų. Geriau nei nieko, bet vagis, kuris tikrai nori įeiti, ras kitą kelią.
Šiuolaikinės atakos retai remiasi vien virusais. Phishing laiškai, socialinė inžinerija, pažeidžiamumai programinėje įrangoje – visa tai antivirusinė programa mato tik iš dalies arba visai nemato.
Kibernetinis saugumas šiandien reiškia sluoksnius: ugniasienė, įsilaužimų aptikimo sistemos, šifravimas, darbuotojų mokymai, reagavimo planai. Antivirusinė – tik vienas mažas gabaliukas.
Mitas 3: Slaptažodžiai yra pakankamai saugūs
„Mano slaptažodis sudėtingas, niekas neatspės.”
Problema ta, kad niekas ir nebando spėti. Programišiai naudoja duomenų bazes iš ankstesnių nutekėjimų. Jei kada nors naudojote tą patį slaptažodį keliose vietose – jis jau žinomas.
Kita problema – žmonės. Stipriausias slaptažodis pasaulyje neapsaugo, jei darbuotojas jį užrašo ant lapelio po klaviatūra. Arba pasakoja telefonu „IT skyriui”, kuris iš tikrųjų yra sukčius.
Dviejų faktorių autentifikacija – minimumas. Slaptažodžių valdymo programa – dar geriau. Bet svarbiausia – supratimas, kad slaptažodis yra tik pradžia, ne pabaiga.
Mitas 4: Debesija saugi pagal nutylėjimą
„Mūsų duomenys debesyje – tiekėjas pasirūpina saugumu.”
Iš dalies tiesa. Didieji debesijos tiekėjai investuoja milijardus į infrastruktūros saugumą. Bet jie apsaugo savo serverius – ne jūsų duomenis.
Jei darbuotojas naudoja silpną slaptažodį, jei prieigos teisės sukonfigūruotos neteisingai, jei duomenys nesušifruoti – debesijos tiekėjas už tai neatsako.
Modelis vadinasi „dalijimosi atsakomybe”: tiekėjas atsako už infrastruktūrą, jūs – už tai, ką su ja darote. Daugelis įmonių to nesupranta, kol nebūna per vėlu.
Mitas 5: Vidiniai darbuotojai patikimi
Niekas nenori galvoti, kad kolega gali pakenkti. Bet statistika rodo, kad apie 34% duomenų pažeidimų susiję su vidiniais veiksniais.
Nebūtinai piktavališkai. Darbuotojas, kuris parsisiunčia failą į asmeninį kompiuterį. Buhalterė, kuri paspaudžia nuorodą „skubiame” laiške. IT administratorius, kuris palieka numatytąjį slaptažodį.
O kartais – taip, tyčia. Atleidžiamas darbuotojas, kuris išsineša klientų bazę. Nepatenkinta vadybininkė, kuri parduoda duomenis konkurentams.
Prieigos valdymas, veiksmų stebėjimas, aiškios politikos – ne nepasitikėjimas, o higiena.
Mitas 6: Atnaujinimai gali palaukti
„Sistema veikia, kam kažką keisti.”
Kiekvienas atidėtas atnaujinimas – tai langas, kuris lieka atidarytas. Saugumo pataisymai išleidžiami ne dėl malonumo – jie užtaiso pažeidžiamumus, kurie jau žinomi.
Kai Microsoft ar kitas gamintojas išleidžia pataisymą, programišiai iškart žino, kur ieškoti skylės. Lenktynės prasideda: kas greičiau – jūs pritaikysite atnaujinimą ar jie išnaudos spragą.
Profesionali serverio priežiūra apima ir tai – nuolatinį atnaujinimų valdymą, kad sistemos būtų apsaugotos, bet verslas nenutrūktų.
Mitas 7: Atsarginės kopijos išgelbės
„Turime atsargines kopijas – jei kas, atstatysime.”
Kopijos būtinos, bet jos nėra stebuklingas sprendimas. Štai keli klausimai, kuriuos verta užduoti:
Kada paskutinį kartą tikrinote, ar kopijos veikia? Daugelis įmonių sužino, kad kopijos sugadintos, kai jau reikia atstatyti.
Kur laikomos kopijos? Jei tame pačiame tinkle – ransomware užšifruos ir jas.
Kiek laiko užtruks atstatymas? Kelios valandos ar kelios dienos? Per tą laiką verslas stovi.
Kopijos apsaugo nuo duomenų praradimo, bet ne nuo jų nutekėjimo. Jei programišiai pavogė informaciją – atstatymas nepadės, žala jau padaryta.
Ne mitas: saugumas yra procesas
Nėra tokio dalyko kaip „saugus” – yra „saugesnis vakar nei užvakar” ir „dar saugesnis rytoj”.
Grėsmės keičiasi. Atakų metodai tobulėja. Tai, kas veikė prieš metus, šiandien gali būti pasenę.
Saugumas – ne projektas su pradžia ir pabaiga. Tai nuolatinis budėjimas, reguliarūs vertinimai, mokymai, prisitaikymas.
Įmonės, kurios tai supranta, mažiau dažnai patenka į antraštes. Ne todėl, kad jų niekas neužpuola – o todėl, kad atakos atsimuša į paruoštą gynybą.
Kuriai kategorijai priklauso jūsų įmonė – sprendžiate jūs.
