Kibernetinis saugumas įmonėse seniai tapo ne pasirinkimu, o būtinybe. Tai ypač aktualu įmonėms, kurios dirba su jautriais duomenimis, yra tarptautinių rinkų dalyviai ar savo veikloje naudoja pažangias technologijas. Kiekviena įmonė yra atsakinga už savo saugumą, o tai priklauso nuo investicijų dydžio, kurios nebūtinai turi reikalauti didelių finansinių išteklių. „Viena svarbiausių priemonių kibernetinio saugumo stiprinimui yra darbuotojų švietimas”, – tvirtina „NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas Domas Brazas.
Viena iš aktyviai į darbuotojų kibernetinio saugumo žinias investuojančių įmonių yra Lentvaryje veikianti „Retal Group”, kuri jau keletą metų bendradarbiauja su „NOD Baltic” kibernetinio saugumo mokymų ekspertais, nes, kaip patys sako, suvokia, kad šiuolaikinėje skaitmeninėje aplinkoje kiekvienas įmonės darbuotojas gali tapti kibernetinių grėsmių taikiniu ir užtenka vos vienos sukompromituotos paskyros, jog būtų galima paveikti visos įmonės veiklą.
„Kibernetinis saugumas – tai ne tik IT specialistų, bet ir visų įmonės darbuotojų atsakomybė – apsaugoti organizacijos duomenis ir infrastruktūrą”, – yra įsitikinęs „Retal Group” Kibernetinio saugumo vadovas Elvinas Leskauskas. Jis pasidalijo patirtimi, kaip 400 darbuotojų komandai sekėsi specialiuose mokymuose.
Prieš mokymus – fišingo ataka
Ne tik darbo metu, tačiau ir per asmenines priemones internetiniai sukčiai mus atakuoja laiškais, žinutėmis, skambučiais ir kt. Tačiau ar tikrai sugebėtume atremti pavojingą ir kruopščiai apgalvotą ataką? Tai pasitikrinti galima organizacijose atliekant kibernetinių atakų simuliacijas. Mokymų paketą užsakiusi „Retal Group” komanda šįkart pasirinko fišingo pinkles, siekiant patikrinti darbuotojų budrumą elektroniniais laiškais.
Kaip apie jų įmonėje vykusią simuliaciją lietuvių ir anglų kalbomis, o Ukrainos padaliniui – rusų kalba – pasakojo E. Leskauskas, daugelis darbuotojų nustebo sužinoję, kad net darbdavys gali siųsti kenkėjiškus laiškus, o komandos reakcijos buvo labai įvairios.
„Pavyzdžiui, IT skyriaus darbuotojams nepatiko, kad apie simuliaciją jie nebuvo informuoti ir nežinojo, ką jos metu komunikuoti kitiems darbuotojams. Kiti darbuotojai, kurie anksčiau nematė priežasčių griežtinti saugumo priemonių, fišingo atakos pratybose „užkibo” lengviausiai, – patirtimi dalijosi jis. – Maloniai nustebino kai kurių mūsų gamyklų greita vidinė komunikacija – kolegos labai operatyviai dalijosi informacija apie grėsmingą laišką, ir taip fišingas buvo sustabdytas vos per kelias minutes.”
Tokių fišingo simuliacijų rezultatai su kibernetinio saugumo ekspertais ir pratybų dalyviais vėliau aptariami mokymuose. Mokymų metu darbuotojai supažindinami, kaip būti atsargesniems ir saugesniems ne tik darbo metu, bet ir kasdieniniame gyvenime – namuose, keliaujant ar dirbant iš namų.
„Įmonei naudinga, kai darbuotojai yra budresni. Pradedant nuo paprastų, tačiau dažnai ignoruojamų dalykų, nes nesusimąstoma apie galimas grėsmes”, – aiškina „NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas D. Brazas. Pavyzdžiui, po mokymų darbuotojai, atsitraukdami nuo kompiuterio, užrakina ekranus, o slaptažodžių nepalieka užrašytų ant lapelių prie kompiuterio. Net ir šie, atrodytų, smulkūs veiksmai žymiai prisideda prie organizacijos saugumo, mažinant riziką, kuri kyla dėl žmogiškojo faktoriaus.
Mokymai ir simuliacijos – pritaikyti pagal individualius poreikius
Kaip sakė „NOD Baltic” atstovas D. Brazas, rengiami mokymai kaskart būna specifiniai, nes pateikiama informacija ir / ar kuriamos simuliacijos būna pritaikytos atsižvelgiant į kliento veiklą, konkrečius poreikius bei tikslus.
E. Leskauskas patvirtina, kad šie kibernetinio saugumo mokymai buvo pritaikyti būtent jų įmonės veiklai, o medžiaga buvo itin praktiška ir įtraukianti. „Mokymų kokybė tikrai pateisino mūsų lūkesčius, o darbuotojų grįžtamasis ryšys buvo teigiamas. Darbuotojai ypač daug diskutavo apie interaktyvų testą ir džiaugėsi gautais sertifikatais”, – tvirtino jis.
Pakuotes gaminančios įmonės atstovas taip pat pasidalijo, kda šie mokymai padėjo išryškinti realias grėsmes ir gerokai padidino darbuotojų budrumą bei įsitraukimą. „Pastaruoju metu pastebėjome gerokai padidėjusį pranešimų apie įtartinus laiškus skaičių – darbuotojai aktyviai informuoja saugumo komandą. Be to, po gerų kolegų atsiliepimų apie mokymus, organizacija taip pat užsakė kibernetinio saugumo rizikų vertinimo mokymus vadovams, – sakė E. Leskauskas ir pridūrė, jog yra įsitikinęs, kad įmonės saugumas yra toks stiprus, kokia stipri yra silpniausia jos grandis. – Būtent dėl to kasdien tobuliname „Retal Group“ įmonių saugumą, o mokymai yra viena iš sričių, kuri ne tik didina įmonės atsparumą, bet ir kelia jos saugumo brandos lygį”.
Kodėl „NOD Baltic”?
Lietuvoje veikianti „NOD Baltic” siūlo mokymus ir simuliacijas, padedančias sumažinti riziką patirti nuostolius dėl kibernetinių incidentų bei ugdyti darbuotojų kompetencijas kibernetinio saugumo srityje. Prieš vykdant bet kokią simuliaciją, su klientu aptariama, kaip jie įsivaizduoja pratybas, kokie kliento norai ir tikslai, apsikeičiama kita svarbia informacija, pasirašomos paslaugos ir konfidencialumo sutartys.
Ruošiantis simuliacijai, klientas pateikia testavime dalyvausiančių darbuotojų sąrašą, nurodomas simuliacijos laikas bei sistemos, kurios bus imituojamos. Prieš vykdant telefoninius skambučius, atliekami papildomi žvalgybos metodai, siekiant rasti naudingos informacijos ir ją tikslingai panaudoti, kad ataka atrodytų kuo įtikinamesnė.
Didžiąją dalį pasiruošimo darbų atlieka „NOD Baltic” profesionalai: kuriami kuo realistiškesni netikri el. laiškai, SMS žinutės ir sukuriamas identiškas prisijungimo puslapis ar panaši kliento sistema, į kurią nukreipiami vartotojai. Kiekvienas kliento atvejis yra individualus, todėl „NOD Baltic“ prisitaiko ir gali sukurti įvairias sistemas arba pasiūlyti klientui kitų idėjų.
„Pasirinkome „NOD Baltic” kaip kibernetinio saugumo mokymų tiekėją dėl jų sukauptos patirties ir individualizuoto požiūrio į turinį, kuris leido sukurti mokymų programą, puikiai atitinkančią mūsų organizacijos poreikius”, – sakė „Retal Group” Kibernetinio saugumo vadovas E. Leskauskas.
„NOD Baltic” Kibernetinio saugumo mokymų projektų vadovas D. Brazas pastebi, kad nemaža dalis įmonių kibernetiniam saugumui vis dar neskiria pakankamai dėmesio, kol nesusidūrė su realiomis grėsmėmis ir nepatyrė praradimų. „Posakis „mokytis iš savo klaidų” čia netinka, nes į internetinių sukčių pinkles pakliūva net ir gerai pasiruošusios įmonės, visgi apmokyti darbuotojai yra stipri priemonė užkirsti kelią atakai ar bent jau sumažinti nuostolius. Geriau nelaukti, kol įvyks skaudus incidentas, o iš anksto imtis prevencijos, taip sutaupant ne tik laiko, bet ir resursų”, – pataria D. Brazas.