Lietuvos smulkiajam ir vidutiniam verslui trūksta kibernetinio saugumo žinių

Trys iš keturių Lietuvos smulkiojo ir vidutinio verslo (SVV) įmonių nėra pasiruošusios arba nežino, ar yra pasiruošusios atremti kibernetines atakas. Tai atskleidė „Kurk Lietuvai“ projekto Krašto apsaugos ministerijoje vykdyta apklausa. SVV įmonių vadovų ir darbuotojų apklausoje dalyvavo 227 respondentai iš visų Lietuvos apskričių. Nors pasaulinės tendencijos rodo, kad smulkios ir vidutinės įmonės dažnai tampa kibernetinių atakų taikiniu, net 44 proc. iš apklaustųjų nemano, kad gali tapti tokių atakų aukomis.

Kibernetinis saugumas prasideda nuo suvokimo, jog kiekvienai organizacijai reikėtų imtis atitinkamų e. saugos priemonių. Bet kuri įmonė, naudojanti elementarias elektronines paslaugas (elektroninis paštas, ar banko sąskaita ir kt.), gali tapti programišių auka, nepaisant jos dydžio ar veiklos tipo. Vienas iš dažniausiai aptinkamų kibernetinių incidentų įmonėse – tai apgaulingų el. laiškų ar žinučių, siekiančių išgauti asmeninę informaciją gavimas (angl. phishing). Tokių per pastaruosius 12 mėn. gavo net pusė apklaustų Lietuvos įmonių. Tiesa, rezultatai rodo, kad ne visi įmonių vadovai žino, kokie incidentai dėl to galėjo įvykti įmonėje: vienas iš penkių vadovų negalėjo jų įvardinti.

Ekspertai pabrėžia, jog labai svarbu yra reguliariai įsivertinti savo rizikas, kad įmonė geriau suprastų, kokios yra saugumo spragos ir imtųsi priemonių, kurios padėtų didinti jų atsparumą kibernetinėms grėsmėms. Deja, tik 14 proc. Lietuvos įmonių vadovų atsakė, kad vykdė tokį vertinimą per pastaruosius metus. Rizikų vertinimas nėra paprastas procesas – kaip rodo apklausos rezultatai, net 72 proc. įmonių teigė, jog nežino, kaip įsivertinti kibernetinio saugumo spragas ir rizikas.

Apklausa taip pat atskleidė, kad įmonės, nurodžiusios, jog turi kibernetinio saugumo politiką ir reguliariai atlieka rizikų vertinimą, geriau suvokia, kodėl svarbu tuo rūpintis, ir jaučiasi labiau pasiruošusios atremti grėsmes. Įdomu ir tai, kad 3 iš 4 vadovų sutiko, jog jiems svarbu, jog ir jų verslo partneriai laikytųsi kibernetinio saugumo standartų.

Šiandien yra būtina suprasti, kad jeigu tavo verslo partneris yra pažeidžiamas, tavo įmonė taip pat patenka į rizikos grupę ir gali nukentėti. Ir vien tik techninių priemonių savo sistemoms apsaugoti nebeužtenka. Itin svarbus yra procesų apsibrėžimas, rizikų identifikavimas, įvertinimas bei valdymas.

Atsižvelgiant į tai, jog didelė dalis incidentų įvyksta dėl žmogiškosios klaidos, SVV darbuotojų apklausa buvo siekta įvertinti jų žinias bei pasirengimą. Net 86 proc. darbuotojų sutiko su teiginiu, kad kiekvienas įmonės darbuotojas yra svarbi grandis, užtikrinant įmonės kibernetinį saugumą. Tai padaryti įmanoma, tik ugdant darbuotojų kibernetinio saugumo kultūrą. Deja, tik 14 proc. darbuotojų, dalyvavusių apklausoje, nurodė, jog per pastaruosius 12 mėn. dalyvavo kibernetinio saugumo mokymuose. Ugdyti žinias galima ir mokantis savarankiškai, tačiau tik 14 proc. darbuotojų sutiko, jog viešojoje erdvėje yra pakankamai prieinamos ir lengvai suprantamos informacijos apie kibernetinį saugumą.

Įmonėms, ypač smulkiosioms, sunku suprasti, kokią žalą joms gali padaryti kibernetinis incidentas. Ir tai nėra vien tik finansiniai nuostoliai – reikia suvokti, kad kibernetinis pažeidimas gali laikinai arba visam laikui sustabdyti veiklą, gali prireikti papildomų kaštų elektroninėms sistemoms ir įmonės reputacijai atstatyti. Tačiau apklausa parodė, kad daugiau nei pusė kibernetinių incidentų patyrusių įmonių vadovų nežino, kokios yra šių incidentų pasekmės ir jų padaryta žala.

Nepaisant to, jog didžioji dalis įmonių vadovų sutiko (74 proc.), kad kibernetinis saugumas yra svarbus jų įmonei, net 40 proc. įmonių per praėjusius metus neinvestavo nė vieno euro į šią sritį. SVV įmonėms Lietuvoje sunkiai sekasi suvokti, nuo ko ir kaip reikia pradėti rūpintis savo saugumu kibernetinėje erdvėje. Daugiau nei pusė (57 proc.) įmonių vadovų teigė, kad neturi (arba nežino, ar turi) pakankamai žinių, kokias priemones pasirinkti, norint išvengti kibernetinių atakų.

Įvairių šalių gerosios praktikos rodo, kad smulkiajam ir vidutiniam verslui padėti gali ir valstybinės institucijos, ruošdamos kibernetinio saugumo ugdymo medžiagą, priemones ar teikdamos kitas saugumo paslaugas. Atsižvelgdami į tai, programos „Kurk Lietuvai“ dalyviai kuria kibernetinio saugumo informacinį vadovą, padėsiantį suprasti smulkioms bei vidutinėms įmonėms, kaip tuo rūpintis. Kaip ir kiti tokio tipo dokumentai pasaulyje, šis vadovas pateiks esmines (bazinio saugumo lygio) rekomendacijas, siekiant užtikrinti įmonių kibernetinio saugumo kultūrą ir stiprinti jų atsparumą grėsmėms.

Rūta BEINORIŪTĖ, Gabrielė BBILEVIČIŪTĖ, Justas KIDYKAS

Programos „Kurk Lietuvai“ dalyviai