Naujienos
17 gegužės, 2016
Prof. Darius Štitilis. Kas apsaugos nuo kibernetinių atakų? Geras vadybininkas
Apie kibernetinius incidentus kalbame vis dažniau ir garsiau. Dėl kibernetinių išpuolių sutrikęs interneto ryšys, neveikianti elektroninė bankininkystė, elektros tiekimas, kai neįmanoma įsigyti net elementariausių prekių ar patekti į savo namus šiandien jau realios grėsmės, o ne mokslinės fantastikos rašytojų vaizduotės padarinys. Pastarųjų savaičių kibernetinės atakos prieš valstybės institucijų tinklapius tik iš pirmo žvilgsnio primena „nekaltus žaidimus“. Bet į juos būtina reaguoti rimtai ir tinkamai ruoštis jau dabar. Kas atsitiktų, jei tokias atakas organizuotų tikri šio reikalo profesionalai ir atakų dydžiai padidėtų dešimtimis kartų? Ką apskritai reiškia į tokias atakas „reaguoti“?
Išgirdus šį klausimą visų žvilgsniai nukrypsta į IT specialistus, tarsi jie būtų visagaliai ir žinotų visus reikalingus atsakymus. Tačiau kalbant apie kibernetinį saugumą tai nevisai tiesa. IT specialistams pastaruoju metu skiriama ypač daug dėmesio akcentuojant jų stygių, didelius atlyginimus ir raginant aukštąsias mokyklas jų ruošti kuo daugiau. Tačiau kibernetinis saugumas ir jo užtikrinimas – labai specifinė sritis, apimanti iškart kelis skirtingus kompetencijų laukus, todėl šioje srityje net IT specialistai nėra visažiniai.
IT specialistai gali identifikuoti konkrečią kibernetinę ataką, nurodyti atakos mastą, pagal galimybes ir instrukcijas taikyti konkrečias technines apsaugos priemones. Tačiau ar gali IT specialistas dar iki galimų atakų atlikti visapusišką potencialių rizikų įvertinimą, organizuoti net tik techninių, bet ir organizacinių bei teisinių prevencinių priemonių diegimą, tarkim, nustatyti, prisijungimo slaptažodžių sudėtingumo lygį, nuspręsti, kiek laiko saugotini prisijungimo duomenys, ar apskritai juos reikia saugoti ir pan. Pagaliau kas turėtų būti atsakingas už saugos politikos organizacijoje sukūrimą ir jos skleidimą įvairiais lygiais? O jeigu situacija nestandartinė ir neaprašyta jokioje instrukcijoje? Kaip elgtis susidūrus ne su išorinėmis, o vidinėmis grėsmėmis? Kas turi atlikti skubų tyrimą organizacijos viduje ir gali tikrinti darbuotojų asmeninius duomenis? IT specialistui tikrai neužteks ne tik techninių, bet ir teisinių, vadybinių kompetencijų priimti ne tik sprendimą, bet ir atsakomybę.
Lietuvoje tiesiog nutylima, jog kibernetinio saugumo srityje tik IT žinių nepakanka ir labai svarbios kibernetinio saugumo valdymo kompetencijos, padedančios ne tik adekvačiai, bet ir nenusižengiant teisinėms normoms sureaguoti į iškilusias kibernetines grėsmes. Visa tai – jau vadybos sritis, todėl kibernetinio saugumo srityje reikalingi specialistai, įvaldę vadybines kompetencijas ir galintys vadovauti tiems patiems IT specialistams. Nesate apie tokius apskritai girdėję? Nieko nuostabaus. Apie juos kol kas kalbama per mažai, nors būtent jų vaidmuo ypač svarbus susidūrus su rimtomis grėsmėmis.
Viešoje erdvėje paplitę stereotipai, kad aukštosios mokyklos ruošia per daug vadybininkų. Tačiau teigiantys, jog vadybininkų yra „per daug“ paprasčiausiai nesupranta, jog vadybos sąvoka XXI amžiuje yra pasikeitusi iš esmės, o Lietuvoje – ir devalvuota.
2015 metų Valstybės kontrolės ataskaitoje rašoma, jog valstybėje pamirštami tradiciniai el. informacijos saugos valdymo klausimai, neskiriama pakankamai dėmesio šios srities plėtrai, teisės aktų rengimui, organizacinės struktūros tobulinimui. Dauguma šių veiksmų ir yra priskirtini kibernetinio saugumo vadybos elementams ir turi mažai ką bendro su skaičiukais ir nuliukais. Atsakas kibernetinėms grėsmėms turi būti koordinuojamas ir valstybinėse įmonėse, ir privačiose kompanijose bei organizacijose. Būtent vadybinės kompetencijos reikalingos siekiant suvaldyti ir žmogiškuosius, ir techninius ir teisinius išteklius. Tik tada galima maksimaliai užtikrinti, kad įmonė ar organizacija pasirinktų tinkamiausias apsaugos priemones, būtų pasirengusi atremti kibernetinius išpuolius visais įmanomais lygiais ir būtų jiems pasiruošusios iš anksto.
Lietuvoje priimtas Kibernetinio saugumo įstatymas, veikia ir Ryšių reguliavimo tarnybos reagavimo į kibernetinius incidentus komanda (CERT), ir naujai įkurtas Nacionalinis kibernetinio saugumo centras. Šių organizacijų svarba užtikrinant valstybės kibernetinį saugumą milžiniška, visgi net ir šios organizacijos nepadarys darbo, kurį dėl savo pačių saugumo gali ir privalo viduje atlikti pačios įmonės ir organizacijos. Kibernetinio saugumo įstatymas tiesiog neveiks, jei kompanijose nedirbs šį įstatymą išmanantys ir aukštas kibernetinio saugumo kompetencijas turintys vadybininkai. Toks specialistas ir yra ta jungiamoji grandis tarp IT specialistų ir vadovų, koordinuojantis ir kibernetinio saugumo priemones, veiksmus įvykus kibernetiniam incidentui, užtikrinantis ir atitinkamų vidinių dokumentų rengimą bei priėmimą.
Manote, kad tai neturi nieko bendro su kibernetiniu saugumu? Tokį požiūrį geriau pakeisti kuo greičiau.
Komentaras buvo publikuotas portale 15min.lt