Siekiant užtikrinti sklandžią verslo įmonės veiklą, svarbu ne tik sustyguoti gamybos ir pardavimų procesus ar subalansuoti apyvartinių lėšų srautus. Ne mažiau reikšmingas rūpestis yra sklandus bei saugus informacinių technologijų (IT) sistemų darbas. Ypač dabar, kai įvedus karantiną dauguma darbuotojų pradėjo dirbti nuotoliniu būdu. Kuo turėtų pasirūpinti ir kokius procesus užtikrinti kiekvieno smulkiojo ar vidutinio verslo vadovas, kad su IT susiję nesklandumai nepakištų kojos įmonės veiklai, ypač – šiuo periodu?
Didžiausias iššūkis – apsaugoti duomenis
„Net ir tokiomis sudėtingomis sąlygomis smulkiojo ar vidutinio verslo įmonės yra lanksčios rinkoje ir siekdamos konkuruoti nuolatos tobulina veiklos procesus. Vis tik, ne visuomet atkreipiamas dėmesys į IT saugumo vystymą“, – pastebėjimais dalijasi IT saugumo kompanijos „ESET Lietuva“ IT inžinierius Ramūnas Liubertas.
Vienos didžiausių IT sprendimų ir paslaugų teikėjos Baltijos šalyse – UAB „Atea“, informacijos saugos valdymo grupės vadovas Tomas Stamulis priduria, kad, nepriklausomai nuo įmonės dydžio ar veiklos srities, kiekvienas verslas turėtų tinkamai rūpintis savo IT infrastruktūra, informacinėmis sistemomis bei jose tvarkomais duomenimis. „Kiekviena įmonė turi užtikrinti ne tik savo, bet ir klientų, partnerių ar rangovų duomenų saugumą, kitu atveju gali kilti didelė rizika verslo tęstinumui ir įmonės reputacijai“, – pabrėžia T. Stamulis.
Būtent duomenų praradimas, nutekėjimas ar įsilaužimas į įmonės serverius yra vienos iš didžiausių galimų grėsmių bet kurio verslo veikloje. Siekiant, kad IT sistema būtų apsaugota, būtina iš anksto pasirūpinti prevencinėmis priemonėmis: įdiegti naujausius operacinės sistemos atnaujinimus, daryti atsargines duomenų kopijas, naudoti pažangią antivirusinę apsaugą, sudaryti darbuotojams saugias sąlygas nuotoliniu būdu jungtis prie įmonės tinklo ir nuolatos šviesti juos kibernetinio saugumo srityje.
„IT sistemų ir procesų saugumas taip pat priklauso ir nuo adaptyvių saugumo priemonių, tokių kaip nuolatinis sisteminių klaidų ir pažeidžiamumų stebėjimas, sistemų konfigūracijos ir prieigų tikrinimas, įsibrovimų į IT sistemas aptikimas. Tik tokiu būdu galima aiškiai matyti IT sistemų bei procesų veiklą, iš anksto identifikuoti procesų nesuderinamumus ir išspręsti saugos rizikas keliančius veiksnius“, – pabrėžia „ESET Lietuva“ IT inžinierius.
Įvertinti rizikas ir imtis priemonių
Tam, kad verslo investicijos į IT sprendimus būtų pakankamos, būtina reguliariai vertinti rizikas. Tai padės numatyti reikiamas saugumo priemones. „Atea“ informacijos saugos valdymo grupės vadovo teigimu, kiekvienai įmonei rekomenduojama nustatyti savo informacijos saugumo politiką ir su ja supažindinti darbuotojus. Verta pasirūpinti, kad IT infrastruktūra bei informacinės sistemos būtų prižiūrimos kvalifikuotų specialistų, tai užtikrinti reikėtų tiek ugdant darbuotojų kompetenciją, tiek pasirenkant savo partnerius. IT įranga neturėtų būti pasenusi ir be garantinės priežiūros, o įmonės vidinio tinklo apsaugai pasitelkiamos priemonės turėtų apsaugoti tiek nuo išorinių, tiek nuo vidinių grėsmių.
„Svarbu užtikrinti ir tai, kad informacinės sistemos būtų laikomos serveriuose, kuriuose daromos atsarginės kopijos, o prieigos prie šių serverių ar atsarginių kopijų turėtų būti valdomos. Taip pat, jei serveriuose, kompiuteriuose, mobiliuosiuose įrenginiuose, tvarkoma įmonės informacija ar ši įranga turi prieigą prie vidinio įmonės tinklo, ji turi būti apsaugota nuo kenksmingo programinio kodo ir pan.“, – paaiškina T. Stamulis.
Darbas namuose: naudoti darbinį kompiuterį ir el. paštą
Šiuo metu dauguma įmonių darbuotojų dirba nuotoliniu būdu. Ar tai gali sutrikdyti įmonės valdomus procesus bei jų saugumą, didele dalimi priklauso nuo to, ar darbuotojai prie įmonės tinklo jungiasi iš darbinio nešiojamojo kompiuterio, ar iš asmeninio.
„Įmonių kompiuteriai dažniausiai būna labiau prižiūrėti, juos valdo IT administratoriai. Kompiuteriuose centralizuotai atnaujinama programinė įranga, naudojama pažangi antivirusinė apsauga. Tuo tarpu namų kompiuteriuose ne visuomet aptiktume operacinę sistemą su visais įdiegtais atnaujinimais, o kartais nerastume netgi antivirusinės programos. Be to, namų ūkiuose naudojami interneto maršrutizatoriai dažnai būna su pasenusia programine įranga ir metų metus naudojamu tuo pačiu Wi-Fi slaptažodžiu. Tokiu kompiuteriu per virtualųjį privatų tinklą (VPN) jungiantis prie įmonės tinklo, atidaromi vartai grėsmėms persikelti iš namų tinklo į įmonę“, – paaiškina IT inžinierius R. Liubertas.
Siekiant išvengti saugumo spragų dirbant namuose, pirmiausia reikėtų suteikti galimybę darbuotojams jungtis prie įmonės tinklo ar IT sistemų tik su darbiniu kompiuteriu ir tik įjungus VPN ryšį, o IT administratoriams – įsitikinti, kad darbo vietose yra įdiegti naujausi operacinės sistemos atnaujinimai bei funkcionuojanti antivirusinė apsauga.
Taip pat svarbu, kad įmonės elektroninis paštas būtų naudojamas išskirtinai darbiniais tikslais. Be to, jungiantis prie asmeninio bei įmonės el. pašto ar prie kitų bendrovės sistemų, turi būti naudojami skirtingi slaptažodžiai.
Ugdyti darbuotojų kibernetinio saugumo įgūdžius
Verta paminėti, kad IT sistemų ir susijusių procesų saugumas turi būti ne vien tik IT specialistų galvos skausmas. Darbuotojams nesilaikant saugumo nurodymų, bet kuriai įmonei gali grėsti tiek finansiniai nuostoliai, tiek reputacijos sugadinimas, duomenų praradimas ar nutekėjimas.
„Darbdaviams vertėtų savo iniciatyva ar samdant specializuotą įmonę pravesti bazinius kibernetinio saugumo mokymus darbuotojams. Tokia informacija turi būti atnaujinama bent kartą per metus, o mokymus galima pravesti ir nuotoliniu būdu. Visų darbuotojų integracija į bendrą saugumo strategiją pastebimai padidintų įmonės atsparumą kibernetinėms grėsmėms“, – paaiškina „ESET Lietuva“ IT inžinierius.
Pagrindinės taisyklės dirbant nuotoliniu būdu:
• prie įmonės tinklo ar IT sistemų jungtis tik su darbiniu kompiuteriu ir įjungus VPN ryšį;
• užtikrinti, kad įmonės informacinės sistemos turi įdiegtą ir tinkamai sukonfigūruotą SSL ir TLS;
• užtikrinti, kad darbo vietose yra įdiegti naujausi operacinės sistemos atnaujinimai bei funkcionuojanti antivirusinė apsauga;
• patikrinti, ar namų ūkiuose naudojami interneto maršrutizatoriai yra su naujausiais sisteminiais atnaujinimais, būtina reguliariai keisti Wi-Fi slaptažodį;
• rekomenduojama organizuoti kibernetinio saugumo mokymus darbuotojams – tai galima atlikti nuotoliniu būdu;
• kiekvienai paskyrai naudoti skirtingus slaptažodžius;
• slaptažodžiai turi būti sudaryti iš ne mažiau kaip 8 skirtingų raidžių, skaičių ir simbolių;
• nesidalyti paskyrų duomenimis su kitais darbuotojais;
• el. paštu gautą failą, ypač iš nežinomų siuntėjų, tikrinti su antivirusine programa;
• nespausti ant el. paštu gautų nuorodų, jei tokios informacijos nelaukėte;
• nespausti ant reklaminių skydelių ir iššokančių langų;
• prieš įvedant duomenis tikrinti interneto svetainės adresą, ar jis nėra fiktyvus;
• svarbiausių darbinių failų kopijas daryti į išorinę duomenų saugyklą;
• nesisiųsti nelegalaus turinio medžiagos;
• nesilankyti neaiškiose ar galimai kenksmingą kodą platinančiose internetinėse svetainėse;
• kilus įtarimams dėl gaunamų nuorodų, failų ar tiesiog pakitusios kompiuterio veiklos, nedelsiant kreiptis į įmonės IT specialistą arba IT priežiūros paslaugas teikiančią įmonę.