Informācijas drošības draudu tendences: mūsdienu realitāte

Informācijas drošības draudu tendences: mūsdienu realitāte
Personiskās un privātā biznesa informācijas zādzības, resursu piesavināšanās, pakalpojumu aizliegumi – kibernoziegumi kļūst ikdienišķa parādība, kas skar gan lielos, gan mazos uzņēmumus.
Foto: AdobeStock

Kopš 90. gadu sākuma informācijas tehnoloģiju (IT) izmantošana ir būtiski pārveidojusi uzņēmumu darbības pieejas, ņemot vērā arī uz kibernoziegumiem orientēto vidi. Klientu pasūtījumi tiek apstrādāti ar elektronisku datu apmaiņu internetā ar nelielu cilvēku iesaisti vai bez cilvēku līdzdalības. Biznesa procesi bieži tiek nodoti ārpakalpojumu sniedzējiem, jo ir iespējama sadarbība, izmantojot tīkla savienojumus. Arvien vairāk uzņēmumu darbinieku strādā attālināti vai no mājām, jo ne vienmēr nepieciešams darbs klātienē birojā. Produkcijas noliktavas parasti ir aprīkotas ar radiofrekvenču identifikācijas iekārtām. Gandrīz visas bankas piedāvā internetbanku un darbojas tiešsaistes (online) sistēmā. Līdz ar to pastāvīgi attīstās un paplašinās informācijas drošības draudi.

Uzņēmumi automatizē procesus, piesaistot tehnoloģijas, tādēļ pieaug biznesa digitalizācijas risks. Personiskās un privātā biznesa informācijas zādzības, resursu piesavināšanās, pakalpojumu aizliegumi – kibernoziegumi kļūst ikdienišķa parādība, kas skar gan lielos, gan mazos uzņēmumus.

Kopš 2010. gada un arī tuvākajā nākotnē var runāt par vairākiem galvenajiem apdraudējumiem.

1. Kibernoziegumi

Sākotnēji internets bija paredzēts galvenokārt informācijas apmaiņai, nevis kā līdzeklis tās aizsardzībai. Taču tagad internets ir arvien pievilcīgāks «medījums» noziedzniekiem – IT aktīvisti un hakeri kļūs motivētāki, lai pelnītu naudu, tiktu pamanīti, izraisītu traucējumus vai pat izputinātu uzņēmumus ar uzbrukumiem tiešsaistē.

Masu mediji aizvien biežāk informē par būtiskiem kibernoziegumiem. Lai arī kiberuzbrukumi dominē atsevišķās jomās, tomēr tiem ir pakļautas visas nozares. Kuri dati, kādas sistēmas un aktīvi kļūs par kibernoziedznieku vērtību kādā konkrētā brīdī, ir atkarīgs no uzbrucēja motīva.

Organizācijām ir jābūt gatavām neprognozējamajam, lai būtu iespējams mobilizēties neparedzētiem un lielas ietekmes notikumiem.

Nodalīta pieeja informācijas drošībai, darbības nepārtrauktībai un reaģēšanai uz incidentiem ir pagātne. Šodien nepieciešamība steidzami nodrošināt pastāvīgi pieejamus pakalpojumus klientiem un biznesa partneriem digitālajā ekonomikā nepieprasa uzņēmumiem kļūt elastīgākiem. Elastīgs uzņēmums spēj pasargāt sevi no uzbrukumiem, taču jāatzīst, ka ar aizsardzību vien var nepietikt. Elastīgam uzņēmumam ir jāizveido saikne starp aizsardzību, uzņēmuma misijas īstenošanu un mērķu sasniegšanu, īstenojot integrētas programmas, lai nodrošinātu uzņēmuma un tā darbību ilgtspējīgu pastāvēšanu.

Uzņēmuma vadībai ir jānovērtē pamatdarbības riski digitālajā uzņēmējdarbībā un tiešā pārvaldība, tādējādi nodrošinot, ka uzņēmums ir vairāk nekā tikai aizsargāts, bet tas ir dzīvotspējīgs.

Tā kā kiberincidenti un ar tiem saistītie zaudējumi palielinās katru gadu, tad arvien vairāk aug kibernoziegumu risku pārvaldības loma uzņēmumos. Uzņēmuma valdei un, piemēram, revīzijas un riska komitejām, ja tādas ir izveidotas, ir stingri jāpārrauga risku vadība, lai sagatavotie risku vadības pasākumu plāni ir pilnīgi un to īstenošana pienācīgi aizsargā organizāciju.

Riska loma uzņēmumā pieaug saistībā ar informācijas un sakaru sistēmas pastiprināto integrāciju operacionālajā darbībā un tirgū. Lai rastu kompromisu starp tehnisko risku un iespējamo ielaušanos informācijas sistēmās, uzņēmuma riska pārvaldībā būtu jāievieš jauna pieeja informācijas aizsardzībai un reaģēšanai. IT ir būtisks uzņēmējdarbības atbalsta komponents, un līdz ar to kiberaizsardzība vairs nav tikai tehniskas dabas jautājums, bet ir arī biznesa jautājums, kam jāpiesaista augstākās vadības uzmanība.

Nozīmīgākie trūkumi organizācijā, kuri izraisa būtiskas neveiksmes:

  • Augstākās vadības bezatbildība, vienaldzība un bezdarbība. Drošības kultūru veido uzņēmuma vadība. Ja uzņēmuma vadītāji bezatbildīgi izturas pret savu neaizsargāto e-pasta lietotājvārdu un paroli, tas signalizē par to, ka drošība ir izlikšanās, nevis prioritāte.
    Risinājums: vadības sanāksmēs, kurās tiek uzsāktas diskusijas par kibernoziegumiem, jautāt un rast atbildi uz svarīgiem jautājumiem par nepieciešamo budžetu, darbinieku atbildību un atgriezenisko saikni.
    Kibernoziegumi ātri var kļūt par krīzes situāciju, ja tie netiek agrīni atklāti un uzņēmums nespēj uz tiem efektīvi reaģēt. Lai noskaidrotu, cik lietderīgi un efektīvi ir īstenota kibernoziegumu atklāšana un reaģēšana, uzņēmumu vadītājiem var palīdzēt šādi jautājumi:
    • Vai incidenta atklāšana ir pietiekami integrēta ar reaģēšanu uz to un incidenta skarto procesu darbības atjaunošanu, lai uzņēmumus kļūtu elastīgāks?
    • Vai incidenta/krīzes pārvarēšanas pieredze ir pierādījusi, ka uzņēmums ir spējīgs ar to tikt galā? Vai šo incidentu pieredze ir izmantota, lai uzlabotu aizsardzības spējas?
    • Vai incidenta atklāšanas spēja ir pietiekama, lai identificētu pazīmes un notikumus, kas varētu liecināt par kibernoziegumu?
    • Vai ir atbilstoši izveidota vadības struktūra, lai nodrošinātu efektīvu reaģēšanas spēju?
    • Vai krīzes komunikācijas spēja ir ieviesta un integrēta reaģēšanas pasākumos?
    • Vai visas ieinteresētās puses un to vajadzības ir identificētas un ņemtas vērā, izstrādājot incidentu vadības plānu?
    • Vai incidentu vadības plāns ir nesen praktizēts un atziņas izmantotas, lai atjauninātu un precizētu incidentu reaģēšanas programmu?
  • Neveiksmīga darbinieku iesaiste. Uzņēmumi tērē lielus finanšu resursus, lai izglītotu darbiniekus par informācijas drošību. Tomēr pamatideja ir vienkārša: visa drošība ir cilvēks. Neviens, izņemot informācijas drošības vadītāju, nerūpēsies par datu drošību un aizsardzību, līdz darbiniekus neskars zaudējumi, ko izraisījuši incidenti.
    Risinājums: izglītot visus par to, ka drošība ir katra darbinieka «sirdī».
  • Būt mobiliem visur, bet bez drošības jostas. Lai arī šoferiem braukt bez drošības jostas ir naivi, tomēr uzņēmumu biroji līdzīgi tiek aprīkoti ar viedtālruņiem, planšetdatoriem un klēpjdatoriem, kam nav pat elementāras aizsardzības (paroles, šifrēšana, attālinātā izsekošana), nemaz nedomājot par sarežģītākiem aizsardzības pasākumiem (mobilo ierīču pārvaldība, virtuālie privātie tīkli, darba vietu pārvaldība).
    Risinājums: iestrādāt drošības kontroles tieši savā tīklā.
  • Skatīšanās pāri, neredzot to, kas ir tuvumā. Pamatcēlonis vairumam datu zudumu nav tehnoloģija – tā ir cilvēka rīcība: nezināšanas, baiļu, alkatības vai egoisma, apjukuma, steigas rezultāts. Bieži vien, lai izvilinātu informāciju no darbiniekiem, tiek izmantota cilvēku labestība.
    Risinājums: ieviest taktiku reaģēšanai uz krāpšanos, lai darbinieki ar iemaņām spētu atvairīt bīstamus pieprasījumus datu identificēšanai un informācijas noplūdei.
  • Tiek ignorēta drošības elastība. Statistiski ikviens nākamajos trīs gados var saskarties ar kaut kāda veida personas identitātes zādzību. Hipotētiski katrai organizācijai būs interneta pieslēgums ar datu zaudēšanas gadījumiem. Līdz ar to vienmēr būs svarīgi ātri reaģēt un atgūties no kiberuzbrukuma.
    Risinājums: aktīvi sagatavot kiberelastīgu pārkāpumu reaģēšanas plānu, pirms uzbrukums ir noticis. Sagatavotības līmenis var saglabāt uzņēmuma reputāciju.

2. Ar personisko datu identificēšanu un aizsardzību saistīts privātuma apdraudējums

Lielākajā daļā pasaules valstu jau tiek veidots prasību kopums, kas paredz nosacījumus par personisko datu aizsardzību un izmantošanu, tostarp par sodiem organizācijām, kas nespēj pietiekami aizsargāt personu datus un informāciju. Tādējādi organizācijām privātuma aizsardzībai jāpastiprina gan atbilstības, gan biznesa risku pārvaldība, lai samazinātu administratīvās sankcijas un uzņēmējdarbības izmaksas, piemēram, reputācijas saglabāšanai vai atjaunošanai un klientu zaudēšanai konfidencialitātes pārkāpumu dēļ.

3. Apdraudējums no trešās puses pakalpojumu sniedzējiem

Sadarbība ar ārpakalpojumu sniedzējiem ir būtiska sastāvdaļa katra uzņēmuma globālā biznesa darbībā un mūsdienu pasaules ekonomikas mugurkauls, tāpēc palielinās vadības interese un koncentrēšanās uz vairākiem riska faktoriem. Arvien biežāka ir dalīšanās ar vērtīgu un sensitīvu informāciju ar piegādātājiem, un, kad šī informācija tiek nodota kādam ārpus iestādes, tiek zaudēta tiešā kontrole. Iepriekšminētais izraisa paaugstinātas informācijas konfidencialitātes, integritātes vai pieejamības apdraudējumus.

Uz ārpakalpojumu sniedzējiem vienmēr tiks izdarīts spiediens informācijas aizsardzības dēļ, un maz ticams, ka ārpakalpojumu sniedzēji spēs nodrošināt atbilstošu datu konfidencialitāti, integritāti vai pieejamību. Līdz ar to dažādu lielumu uzņēmumiem ir jādomā par sekām, ko piegādātājs radīs nejauši, bet nereti kaitniecisku apsvērumu dēļ, piekļūstot to intelektuālajam īpašumam, klientu vai darbinieku informācijai, plāniem vai sarunām, un šī domāšana nav jāsaista tikai ar ražošanas vai izplatīšanas partneriem – tas attiecas uz ikvienu profesionālo pakalpojumu piegādātāju, tai skaitā, piemēram, personāla vadības darbiniekiem, juristiem, grāmatvežiem un citiem, kuri var dalīties ar piekļuves avotiem un no tiem iegūto informāciju.

4. Personīgo ierīču izmantošana darbā

Palielinās tendence darbavietās izmantot privātās mobilās ierīces, tostarp datu nesējus. Informācijas drošības risks ir augstāks nekā jebkad līdz šim. Riski rodas no iekšējiem un ārējiem draudiem, tostarp no nepietiekamas iepriekšminēto ierīču pārvaldības, programmatūras ievainojamības ārējo manipulāciju rezultātā un neuzticamām biznesa aplikācijām.

5. Sadarbība ar cilvēkiem

Uzņēmuma vērtība un visneaizsargātākais mērķis ir darbinieki. Pēdējo dekāžu laikā organizācijas ir tērējušas milzīgus finanšu līdzekļus informācijas drošībai. Šīs pieejas pamatojums bija aizstāt lielāko vērtību – cilvēkus – un mainīt viņu uzvedību, tādējādi samazinot personāla un darbības riskus.

Tomēr to var uzskatīt par samērā neveiksmīgu pieeju. Tā vietā iestādēm jāveido pozitīva drošas uzvedības kultūra un jāintegrē tā biznesa procesos.


Riska vadības rokasgrāmata

Riska vadības rokasgrāmata