Kodėl bijo? Nes atsakymai gali nepatikti. Nes gali paaiškėti, kad situacija prastesnė nei norėtųsi tikėti. Nes lengviau nežinoti nei žinoti ir nieko nedaryti.
Bet klausimai niekur nedingsta. Jie tiesiog laukia, kol situacija priverčia juos užduoti. Dažniausiai – blogiausiu momentu.
Štai dažniausiai užduodami klausimai apie IT saugumą. Ir atsakymai, kurie galbūt neleis ramiai miegoti. Bet leis ramiau dirbti.
Ar mažai įmonei tikrai gresia pavojus?
O kodėl negrėstų?
Ar manote, kad įsilaužėliai tikrina įmonės apyvartą prieš bandydami įsilaužti? Ar manote, kad jie renkasi tik „vertus” taikinius?
Realybė priešinga. Automatizuotos atakos neskirsto pagal dydį. Jos skanuoja viską – ir didelę korporaciją, ir trijų žmonių biurą. Randa silpną vietą – bando įeiti. Nerado – juda toliau. Per dieną – tūkstančiai bandymų.
Mažos įmonės dažnai lengvesnis grobis. Mažiau apsaugos, mažiau resursų, mažiau dėmesio saugumui. Duomenys – tokie pat vertingi. Klientų bazė, finansinė informacija, prisijungimo duomenys – visa tai turi kainą tamsiojoje rinkoje.
Klausimas ne „ar mums gresia”, o „kada bandys ir ar būsime pasiruošę”.
Kiek kainuoja normalus IT saugumas?
Priklauso nuo to, ką laikote „normaliu”. Ir nuo to, su kuo lyginate.
Jei lyginate su nuliu – taip, kainuoja. Jei lyginate su potencialiais nuostoliais po incidento – tai pigiausia draudimo rūšis.
Bazinė apsauga mažai įmonei – keliasdešimt eurų per mėnesį. Rimtesnė – keli šimtai. Visapusiškos kibernetinio saugumo paslaugos su stebėsena ir reagavimu – daugiau, bet vis tiek mažiau nei vieno incidento likvidavimas.
Geriau klausti kitaip: kiek kainuoja savaitė be veikiančių sistemų? Kiek kainuoja prarastas klientų pasitikėjimas? Kiek kainuoja BDAR bauda?
Skaičiai greitai susistatys į vietą.
Ar tikrai reikia nuolatinės priežiūros? Gal užtenka sutvarkyti kartą?
Ar užtenka kartą nusiplauti dantis ir daugiau nesirūpinti?
IT sistema – gyvas organizmas. Kasdien atsiranda naujų grėsmių, naujų pažeidžiamumų, naujų atakų būdų. Tai, kas buvo saugu vakar, šiandien gali būti spraga.
Programinė įranga reikalauja atnaujinimų. Aparatūra dėvisi. Konfigūracijos pasensta. Darbuotojai keičiasi, atsiranda naujų prieigų, senų niekas neuždarė.
Vienkartinis sutvarkymas – tai nuotrauka. Po mėnesio ji nebeatspindi realybės. Po metų – tai istorinis dokumentas.
Reguliari serverių priežiūra užtikrina, kad sistema neatsiliktų nuo grėsmių. Kad problemos būtų pastebėtos anksti. Kad „staigus” gedimas netaptų staigmena.
Turime antivirusinę programą. To nepakanka?
Ar durų spyna pakanka namui apsaugoti?
Antivirusinė programa – vienas sluoksnis. Svarbus, bet tik vienas. Ji aptinka žinomus virusus, kai jie jau bando veikti. Nepastebės naujos, dar nekataloguotos grėsmės. Neapsaugos nuo socialinės inžinerijos. Nesustabdys darbuotojo, kuris pats įleidžia pavojų.
Šiuolaikinis saugumas – daugiasluoksnis. Ugniasienė, antivirusinė, el. pašto filtravimas, tinklo stebėsena, prieigos kontrolė, atsarginės kopijos, darbuotojų mokymai. Kiekvienas sluoksnis sustabdo tai, ką praleidžia kiti.
Pasikliauti vien antivirusine – tai tikėtis, kad šalmas apsaugos visą kūną.
Ką daryti, jei jau įvyko incidentas?
Pirma – nepanikuoti. Antra – nedaryti nieko, kas galėtų pabloginti situaciją. Trečia – kviesti specialistus.
Bandymas pačiam „sutvarkyti” dažnai padaro daugiau žalos. Ištrinami įrodymai, kurie padėtų suprasti, kas nutiko. Paleidžiami procesai, kurie išplečia žalą. Prarandamas laikas, per kurį situacija blogėja.
Turėti iš anksto numatytą kontaktą, kuriam skambinti incidento atveju – ne paranoja, o elementari higiena. Kaip turėti šeimos gydytoją – tikimės, kad neprireiks, bet geriau žinoti numerį.
Ar debesų technologijos saugesnės nei savi serveriai?
Ir taip, ir ne.
Didieji debesų tiekėjai investuoja į saugumą daugiau nei bet kuri vidutinė įmonė galėtų sau leisti. Jų infrastruktūra – aukščiausio lygio. Fizinė apsauga, duomenų šifravimas, redundancija – visa tai standartiškai.
Bet debesis neapsaugo nuo jūsų pačių klaidų. Silpni slaptažodžiai, neteisingos konfigūracijos, per plačios prieigos – visa tai keliauja į debesį kartu su duomenimis.
Debesis – įrankis. Kaip plaktukas – galima pastatyti namą arba susitrenkti pirštą. Priklauso nuo to, kas ir kaip naudoja.
Darbuotojai skundžiasi, kad saugumo priemonės trukdo dirbti. Ką daryti?
Klausyti. Bet ne viską.
Dalis nusiskundimų pagrįsti. Pernelyg sudėtingi slaptažodžių reikalavimai, dviguba autentifikacija kiekvienam žingsniui, užblokuotos reikalingos svetainės – tai trukdo produktyvumui ir skatina ieškoti apėjimų.
Kita dalis – tiesiog nenoras keisti įpročius. „Anksčiau buvo patogiau” nereiškia „anksčiau buvo geriau”. Patogu ir saugu – ne sinonimai.
Geras saugumas neturėtų būti nematomas, bet turėtų būti pakenčiamas. Jei darbuotojai masiškai bando apeiti taisykles – problema ne darbuotojuose, o taisyklėse. Jei skundžiasi vienas kitas – problema tikriausiai supratime, ne sistemoje.
Kiek laiko užtrunka įdiegti normalią apsaugą?
Bazines priemones – dienas. Pilną sistemą – savaites. Saugumo kultūrą – mėnesius ir metus.
Techninė dalis – greičiausia. Programos, konfigūracijos, politikos – visa tai įdiegiama santykinai greitai.
Žmogiškoji dalis – lėčiausia. Pakeisti darbuotojų įpročius, įdiegti saugumo mąstymą, padaryti, kad taisyklės būtų ne prievolė, o suprantamas reikalavimas – tai trunka.
Bet pradėti galima šiandien. Kiekviena diena be veiksmų – tai diena, kai sistema lieka pažeidžiama.
Kaip žinoti, ar mūsų sistema saugi?
Nežinote. Kol kas nors nepatikrina.
Saugu nėra būsena. Tai procesas. Sistema, kuri buvo saugi vakar, šiandien gali turėti naują pažeidžiamumą. Tikrinimas vieną kartą per metus – tai vieną kartą per metus turėti aiškumą, o likusias 364 dienas – viltis.
Reguliarus testavimas, stebėsena, auditai – tai būdai palaikyti supratimą apie realią situaciją. Ne garantija, kad niekas nenutiks – tokių garantijų niekas negali duoti. Bet garantija, kad bent jau žinosite, kur esate.
Nuo ko pradėti?
Nuo sąžiningo įsivertinimo. Kas dabar yra? Ko trūksta? Kur didžiausios rizikos?
Nebūtina pradėti nuo visko. Geriau vienas žingsnis šiandien nei dešimt planuojamų „nuo pirmadienio”.
Užrakinti duris, įjungti signalizaciją, sudėti vertingus daiktus į seifą – bazinės priemonės, kurios nekainuoja daug, bet drastiškai sumažina riziką.
O jei nežinote, nuo ko pradėti – paklauskite tų, kurie žino. Konsultacija nieko nekainuoja. Nežinojimas – kainuoja daug.
Frederikas