Remiantis skirtingų šaltinių duomenimis, kibernetinių atakų skaičius visame pasaulyje augo eksponentiškai, todėl organizacijos vis dažniau investuoja į kibernetinio saugumo mokymus. Lietuvoje veikianti „NOD Baltic” siūlo mokymus ir simuliacijas, padedančias sumažinti riziką patirti nuostolius dėl kibernetinių incidentų bei ugdyti darbuotojų kompetencijas kibernetinio saugumo srityje. Pasak ekspertų, yra bent šešios priežastys, kodėl verta rengti tokias pratybas.
Vienas iš „NOD Baltic” klientų – bendrovė „Vilniaus vandenys”, pasirinkusi atlikti kibernetinio saugumo pratybas. „Vilniaus vandenys“ yra pirmos kategorijos nacionaliniam saugumui užtikrinti svarbi įmonė, kuri valdo svarbius įrenginius ir turtą bei ypatingos svarbos informacinę infrastruktūrą. Kibernetinis saugumas yra viena iš prioritetinių sričių „Vilniaus vandenų“ strategijoje, todėl, siekiant didinti bendrovės ir jos komandos atsparumą incidentams, nuspręsta surengti kibernetinio saugumo mokymus ir simuliacijas. Bendrovės atstovas papasakojo apie išmoktas pamokas ir kodėl tokias pratybas rekomenduoja absoliučiai visoms organizacijoms.
Darbuotojai – silpnybė ir stiprybė
Kaip komentavo „Vilniaus vandenys” Veiklos atsparumo skyriaus IT saugos įgaliotinis Julius Lisauskas, vieno ar kelių scenarijų testavimuose sudalyvavo visi bendrovės darbuotojai ir valdybos nariai.
„Reaguojant į nuolat besikeičiančias kibernetinio saugumo tendencijas, mums norėjosi paįvairinti testavimus, įtraukiant ir kitus populiarėjančius socialinės inžinerijos metodus – smišingą (finansinio sukčiavimo būdas, kuriuo per trumpąsias žinutes siekiama išgauti privačius asmens duomenis) ir višingą (sukčiavimas kalbantis telefonu)“, – sakė įmonės atstovas.
Kaip rodo statistika, net 90 proc. kibernetinio saugumo pažeidimų įvyksta dėl žmogaus neapdairumo ar žinių trūkumo. „Siekiant stipraus kibernetinio saugumo organizacijoje, vien tik techninių saugumo priemonių nepakanka. Mums, valdantiems strateginę infrastruktūrą, svarbu, kad kiekvienas darbuotojas būtų treniruotas, nes sąmoninga ir apmokyta komanda – patikimiausia apsaugos siena“, – tvirtina J. Lisauskas.
Išmoktos pamokos ir padarytos išvados
Siekiant pagerinti kibernetinio saugumo žinias, „NOD Baltic” mokymų ir simuliacijos metu buvo atliekami testavimai, diferencijuoti pagal darbuotojų darbo pobūdį – tiek kompiuterines darbo vietas turintiems darbuotojams, tiek dirbantiems be kompiuterinės prieigos. Taip pat buvo paruoštas atskiras scenarijus valdybos nariams. Šių testavimų metu pastebėta, kad didžiausią grėsmę kelia scenarijai, susiję su bendrovės veikla ir vidine informacija. „Tokio pobūdžio scenarijų „pasisekimas“ praktiškai garantuotas. Todėl mūsų kryptis viena – treniruotis nuolat ir išlaikyti nuolatinį darbuotojų budrumą, kritiškumą ir gebėjimą reaguoti“, – teigia IT saugos įgaliotinis J. Lisauskas.
Be to, testavimai parodė, kad darbuotojų budrumas skiriasi priklausomai nuo paros ir savaitės laiko. „Pastebėjome, jog bendrovės saugumo komandos informavimas apie gautą galimai kenkėjišką laišką yra pakankamai aktyvus, tai smišingo ir višingo testavimai parodė, kad ne visi darbuotojai linkę iš karto pranešti apie tokius incidentus”, – pastebi J. Lisauskas.
Po atliktų simuliacijų buvo nuspręsta, kad tokie testavimai yra būtini ir ateityje, siekiant dar labiau stiprinti darbuotojų budrumą bei kibernetinio saugumo žinias. Kibernetinio saugumo treniruotes ir testavimus „Vilniaus vandenys” planuoja atlikti dažniau, naudojant įvairesnius metodus ir scenarijus, pritaikytus prie įmonės veiklos specifikos ir aktualijų.
Pasak. J. Lisausko, po socialinės inžinerijos ir atliktų testų dėmesys skiriamas padarytoms klaidoms ir išmoktoms pamokoms aptarti – su žmonėmis dirbama ir individualiai, ir pasitelkiant organizacijos vidinės komunikacijos kanalus.
„Spalį – kibernetinio saugumo mėnesį – prie šios temos vėl sugrįšime. „Vilniaus vandenyse“ bus organizuojami papildomi mokymai valdybos nariams ir vadovų komandai, jų metu pranešimus skaitys Krašto apsaugos ministerijos ir „NOD Baltic” atstovai. Mokymų metu bus pristatyti Lietuvos kibernetinio saugumo įstatymo pokyčiai, pagrindinės direktyvos TIS2 nuostatos, suteikiama praktinių žinių ir skatinama asmeninė atsakomybė kibernetinio saugumo srityje. Tikime, kad kibernetinio saugumo didinimas susijęs tiek su kiekvieno darbuotojo, tiek su vadovų ir valdybos kibernetiniu raštingumu. Todėl šioje temoje kryptingai dirbsime ir atnaujinsime žinias tiek dažnai, kad jos atlieptų besikeičiančias išorės rizikas ir tobulėjančius socialinės inžinerijos metodus“, – pasakoja J. Lisauskas.
Kaip vyksta socialinės inžinerijos simuliacijos?
„Baltimax“ yra inovatyvių IT sprendimų platintojas, teikiantis spartesnius ir patikimus programinės įrangos sprendimus namų vartotojams ir verslo klientams, tarp kurių ir kibernetinio saugumo paslaugų teikėjo „NOD Baltic“ paslaugas.
„Baltimax” kibernetinio saugumo inžinierius ir ESET ekspertas Lukas Apynis pasakoja, kad prieš vykdant bet kokią simuliaciją, su klientu aptariama, kaip jie įsivaizduoja pratybas, kokie kliento norai ir tikslai, apsikeičiama kita svarbia informacija, pasirašomos paslaugos ir konfidencialumo sutartys.
„Kai viskas paruošta ir suderinta su klientu, paleidžiame atitinkamą simuliaciją ir stebime rezultatus. Pasibaigus simuliacijai ir praėjus atitinkamam laikui, paruošiame išsamią ataskaitą ir duodame rekomendacijas bei patarimus“, – sakė kibernetinio saugumo ekspertas.
Didžiąją dalį pasiruošimo darbų atlieka „NOD Baltic” profesionalai: kuriami kuo realistiškesni netikri el. laiškai, SMS žinutės ir sukuriamas identiškas prisijungimo puslapis ar panaši kliento sistema, į kurią nukreipiami vartotojai.
Kaip tvirtina L. Apynis, kiekvienas kliento atvejis yra individualus, todėl „NOD Baltic“ prisitaiko ir gali sukurti įvairias sistemas arba pasiūlyti klientui kitų idėjų. „Prieš ruošiantis simuliacijoms, klientas mums pateikia darbuotojų, kurie dalyvaus testavime, sąrašą, nurodo mums simuliacijos laiką bei sistemas, kurias imituosime, – IT specialistas. – Kalbant apie telefoninius skambučius, atliekame papildomus žvalgybos metodus – ieškome informacijos internete apie darbuotojus, o po to atliekame simuliaciją.“
6 priežastys, kodėl verta įmonėms rengti tokius mokymus?
- Sužinosite darbuotojų atsparumo kibernetiniams išpuoliams lygį.
- Atraskite silpnąsias savo įmonės grandis, kurių stiprinimui galėsite skirti daugiau dėmesio.
- Išsiaiškinsite kibernetinio saugumo žinių poreikį organizacijoje.
- Ugdysite darbuotojų sąmoningumą ir atidumą detalėms.
- Patikrinsite, ar buvo įsisavintos kibernetinio saugumo mokymų žinios.
- Pakartotinės simuliacinės atakos sumažins tikimybę nukentėti ir patirti nuostolius nuo kibernetinės atakos realioje situacijoje.