Pastaruoju metu organizacijų ir informacinių technologijų (IT) vadovams kibernetinio saugumo klausimas tampa vis aktualesnis. Į tai atkreipti dėmesį paskatino tiek nuo COVID-19 pandemijos likęs padarinys - nuotolinis darbas, tiek prasidėjęs karas Ukrainoje. Didelė dalis įmonių Lietuvoje, baimindamosi padidėjusios rizikos kibernetiniams išpuoliams, ėmė stiprinti organizacijoje naudojamas saugumo technologijas - neturėję jokių, jas įsigijo, o turėję - keitė naudojamus sprendimus pažangesniais. Savo gerąja praktika, patobulinus naudojamus ESET įrankius kibernetinio saugumo užtikrinimui, dalinasi Vilniaus miesto savivaldybės Inovacijų ir Technologijų grupės Vyresnysis patarėjas Infrastruktūros valdymo ir informacinių technologijų klausimais Ričardas Kukevičius.
Kaip kilo poreikis įsigyti pažangesnį saugumo sprendimą?
Lygiuodamiesi į vakarų šalis, organizacijoje diegiame saugumo operacijų centrą (toliau - SOC). SOC yra sudėtinis elementas, kurio vienas komponentų ir yra išplėstinio aptikimo ir reagavimo (angl. Extended Detection and Response, XDR) įrankis.
Anksčiau šalia kitų priemonių naudojome tik bazinį saugumo sprendimą - antivirusinę, tačiau suvokėme, jog neturint tinklo stebėsenos įrankio, grėsmės negali pamatyti tol, kol ji nepavirsta į realų incidentą, kitaip tariant, kai esi aklas, tai nematai ir problemų. Naudojant XDR, grėsmę gali pastebėti anksti ir sutvarkyti ją dar prieš padarant žalą.
Viena priežasčių, kodėl suskubome imtis saugumo sustiprinimo, taip pat buvo ir dabartinė geopolitinė situacija - karas Ukrainoje ir dėl to vykstantis kibernetinis karas. Nemažai įstaigų skyrė daugiau dėmesio ir lėšų šiai sričiai, ir tai nėra blogai, priešingai - žmonės pagaliau buvo priversti griebtis papildomų priemonių šioje srityje, kai anksčiau savo veiksmus buvo linkę atidėlioti. Mes patys lyginame: ką turėjome prieš 2 metus ir ką turime dabar, tai daug kas pasikeitė.
Šiuo metu rinkoje galima rasti įvairių technologijų, skirtingų funkcionalumų produktų. Kaip pasirinkote būtent ESET XDR įrankį?
Pradėkim nuo to, kokia XDR esmė - įrankis duoda galimybę valdyti visą įmonės įrenginių tinklą, stebėti ir pamatyti spragas, pagal jas sekti chronologiją - kur ir kaip ta spraga / incidentas įvyko, kur atsirado virusas, kokiu būdu plito, galiausiai galima tas spragas užlopyti ir užkardyti. Šis procesas naudojant įrankį yra automatizuotas, viskas vyksta daug greičiau. Anksčiau, kai turėjome tik antivirusinę, nematėme bendro įmonės įrenginių vaizdo, kas juose vyksta. XDR sprendimas suteikia galimybę plačiau matyti.
ESET įrankiu pradėjome naudotis, įvykdę viešuosius pirkimus. Įsigiję antivirusinę, jau žinojom, kad mums ateityje reikės didesnio funkcionalumo, būtent XDR, matėme, kad ESET jį turi. Šis sprendimas laimėjo geriausiu kainos ir kokybės santykiu. Kadangi, kaip minėjau, buvome išbandę kitą šio gamintojo sprendimą, turėjome žmogų, kuris jį žino, su juo dirba, įvaldyti naują produktą buvo labai patogu. Pradžioje įrankis buvo skirtas ne visom darbo vietom, tačiau išsibandę funkcionalumus, likome patenkinti ir didinom apsaugotų įrenginių kiekį.
Kaip pasikeitė įmonės IT specialistų darbo specifika, įsigijus XDR? Kas buvo sunkiausia pradedant naudoti įrankį?
Įmonėje su šiuo įrankiu, šalia kitų savo darbų, jau beveik pusmetį dirba 2 specialistai. Turime kibernetinio saugumo žmogų, kuris stebi grėsmes, jas filtruoja. Grėsmių aptikimo ir reagavimo į jas procesas tapo automatizuotas, todėl specialistų laiko sąnaudos mažesnės, tačiau tai nereiškia, jog turint įrankį gali ramiai ilsėtis: vis tiek reikia prižiūrėti, konfigūruoti, stebėti false positives atvejus, juos filtruoti. Būtent false positives atvejų rūšiavimas, padarant išimtis ir nustatant, kas yra tikra grėsmė, o kas ne, ir buvo sunkiausia, nes pradžioje tam reikėjo paskirti daugiau laiko.
Kokioms įmonėms rekomenduotumėte naudoti pažangų saugumo sprendimą ir kodėl? Ar jis naudingas tik toms organizacijoms, kurios turi SOC?
Tikrai nesakau, jog privaloma turėti SOC, jog įrankis taptų naudingas. Nuo XDR galima pradėti stiprinti savo kibernetinį saugumą, o tuomet gali sekti ir kitos priemonės. Apskritai, reikia turėti galvoje, kad įmonės kibernetinis saugumas nėra galutinis tikslas, tai nuoseklus kelias, kuriuo einant turi nuolat domėtis naujienomis, analizuoti grėsmes, nuolat tobulinti saugumo procesus. Kalbu ne vien apie saugumo sprendimus, bet ir darbuotojų atsparumo kibernetinėms grėsmėms didinimą. Patys turėjome mokymus, organizavome fišingo (sukčiavimo el. laiškas) atakos simuliacijas, atnaujinome slaptažodžių politiką. Galime įsigyti visas naujausias saugumo technologijas, apsaugoti sistemas, tačiau darbuotojų edukacija yra lygiai tokia pat svarbi - darbuotojai turi žinoti pagrindines saugumo taisykles ir rekomendacijas, tuomet organizacija yra apsaugota visapusiškai.