"Pēdējos gados digitālā vide no atbalsta funkcijas biznesam ir kļuvusi par biznesa motoru, mugurkaulu. Vai Latvijas uzņēmēji šo risku ir novērtējuši? Šķiet, ka īsti nē. Bet mēs zinām, ka to novērtē hakeri. Šogad vienā uzbrukumā uzņēmumi zaudējuši no sešiem līdz 60 000 eiro. Kopējie zaudējumi gadā varētu sasniegt vairākus simtus tūkstošus eiro," uz finansiālo ietekmi norāda Digitālās drošības alianses vadītāja Marta Krivade.
Tāpēc oktobrī, digitālās drošības mēnesī, alianse kopā ar saviem sadarbības partneriem īpaši uzrunā uzņēmējus kampaņā "Mirklis pirms klik", kuras mērķis ir vērst Latvijas biznesa vadītāju uzmanību uz darbinieku digitālās drošības prasmēm, izglītot un sniegt praktiskus padomus.
Neaizsargātākais un riskantākais objekts - cilvēks
Kiberuzbrukumiem ir viens vienojošs faktors, proti, hakeriem ir daudz izdevīgāk uzbrukt cilvēka vājībām, viņa paradumiem digitālajā vidē nekā ieguldīt laiku un naudu IT sistēmu "laušanā".
Mūsdienās vairs nevaram runāt par darba datoriem, privātajiem datoriem, darba e-pastu, privāto e-pastu. "Gemius" veiktā aptauja atklāj, ka cilvēki darba lietu kārtošanai izmanto daudzus saziņas kanālus - e-pastu, telefonu, īsziņas, "WhatsApp", "Skype", sociālos medijus. "Gandrīz puse darbinieku atzīst, ka viņi mēdz darba vajadzībām izmantot savu privāto e-pastu. Tas nozīmē, ka caur visiem šiem kanāliem tiek nodota arī uzņēmumam nozīmīga informācija, tostarp uzņēmumam sensitīvi dati, nereti - konfidenciāla informācija, un, kas īpaši svarīgi, par ko uzņēmēji ikdienā neaizdomājas, ka tā ir ne tikai viņu nozīmīgā sensitīvā informācija, bet arī viņu sadarbību partneru informācija un klientu personas dati," norāda M. Krivade.
Pētījumā arī skaidrots, kā darbinieki savas ierīces ir nodrošinājuši ar parolēm, lai sasniegtu iespējami maksimālu drošību, jo "par 100% drošību nevar runāt - tādas vairs nav". Aptauja rāda, ka paroles netiek lietotas 16% darba datoru, 32% privāto datoru, tikpat mobilo telefonu ir bez paroles. Tas nozīmē, ka jebkurš cilvēks var piesēsties pie jūsu datora (varbūt tas ir aizmirsts, nozagts, atstāts taksometrā), atvērt un piekļūt datiem.
M. Krivade stāsta, ka aptaujā uzdots arī situācijas jautājums: ko jūs darītu, ja jūs e-pastā saņemtu vēstuli no it kā e-pasta uzturētāja, ka jūsu e-pasts ir uzlauzts, tāpēc jāuzklikšķina uz norādītās hipersaites un nekavējoties jānomaina parole. Un? Katrs desmitais cilvēks, lai nomainītu paroli, uzmanīgi (!) uzklikšķinās uz norādītās saites. Tā vietā, lai zinātu, ka ne bankas, ne valsts iestādes, neviens nopietns pakalpojuma sniedzējs nekad šādus e-pastus nesūtīs un nekad nesūtīs arī saiti ar lūgumu to atvērt.
Tikai katrs piektais darbinieks piezvanītu savam IT sistēmas uzturētājam un pajautātu - ko man darīt?
Ko nozīmē, ja ir atsūtīta šāda hipersaite? Iespējams, zem tās atrodas šifrējošais vīruss, kurš visu datorā esošo informāciju nokopē. Sekojoši var gaidīt hakera zvanu un gatavot prasīto izpirkuma maksu vai arī nāksies no šīs informācijas atvadīties.
Ja datoram ir uzstādītas vismaz minimālās drošības prasības, uzklikšķinot uz šādas saites, iespējams, tas netiks inficēts.
Sargā sevi pats, nevis atgaiņājies!
Cik tas ir kaitinoši! Ja brīdī, kad ieslēdz datoru, jau atkal uzplijas piedāvājums kaut ko atjaunot, tāpēc, pat neizlasot piedāvājumu līdz galam, visbiežāk to atmetam. Kā stāsta M. Krivade, arī aptauja liecina, ka lielākā daļa cilvēku spiež krustiņu vai "Cancel" tad, kad tiek piedāvāts ierīci vai programmatūru atjaunot: "Ko šis piedāvājums patiesībā nozīmē? Mūsdienās programmatūru atjaunotās versijas nāk kopā ar tā saucamajiem "ielāpiem" drošības caurumiem. Un, ja darbinieks nav uzlicis šo drošības caurumu "ielāpus", viņa ierīce ir vaļā kā laidara vārti. Un hakeri var izmantot ievainojamību, lai iekļūtu datorā, piemēram, caur inficēto linku."
Izrādās, ka problēma ir arī antivīruss. Tikai puse cilvēku atzinuši, ka viņi zina, kur var paskatīties, vai jaunā antivīrusa versija datoram ir uzstādīta. Līdz ar to secināms, ka par digitālo drošību, prasmēm jārunā ne tikai ar cilvēkiem kā privātpersonām, bet arī uzņēmējiem. Jo bieži ir apdraudēta to reputācija, finanses un dati.
"Uzņēmumi par to gan runā nelabprāt, un digitālās drošības izpratne vairāk līdzinās strausa politikai. Zinām, ka tas ir svarīgi, bet nez kāpēc šo risku kvalificējam kā mazāk nozīmīgu. Lai gan tas sen vairs nav taisnība un digitālās drošības riski būtu jāskatās kontekstā ar visiem citiem riskiem," uzsver M. Krivade. Turklāt uzņēmumu vadītāji, biznesa attīstītāji neiesaistās šo risku pārvaldībā. Viņi to ir atdevuši IT speciālistiem, kuri atbilstoši savai kompetencei vai ne tik labi pilda šos pienākums. Sekas ir redzamas - kāpēc uzņēmumu darbinieki izmanto nedrošus savienojumus, nedrošas paroles un līdz ar to ikdienā apdraud savu uzņēmumu, to pat nezinot.
Tāpēc īpašā kampaņā tiks pievērsta Latvijas uzņēmēju un darbinieku uzmanība gan tipiskākajām kļūdām, gan iespējām tās novērst. Digitālās drošības alianse kopā ar sadarbības partneriem ir izveidojusi īpašu meistarklasi, kuru uzņēmēji varēs izmantot savu darbinieku izglītošanai. Visdažādākajiem līmeņiem tiks mācītas drošības pamatprasības, kas ikdienā nepieciešamas jebkuram cilvēkam, kurš strādā digitālajā vidē. Kampaņai izraudzīts nosaukums "Mirklis pirms klik" tāpēc, ka vienmēr, pirms klikšķināt, ir jāpārliecinās, vai ielikām drošā internetvietnē savus kredītkartes datus, vai zinām, ka mūsu datoram ir jaunākās operētājsistēmas un antivīrusu versijas, apzināmies, kādām jābūt parolēm, jo mēs nelietojam vienas un tās pašas paroles dažādām vietnēm.
Baiba Kaškina, informācijas tehnoloģiju (IT) drošības incidentu novēršanas institūcijas CERT.LV vadītāja, klāsta, ka drošības problēmas ir vairāk raksturīgas mazajiem un vidējiem uzņēmumiem, taču nevajadzētu gan uzskatīt, ka viss ir tikai slikti. Jo daudzviet viss ir ļoti labi sakārtots, ir visa dokumentācija, noteiktas procedūras, un tās arī ievēro. Bet diemžēl ir arī pretēji piemēri. Šogad pēc palīdzības CERT.LV arvien vairāk vēršas tieši uzņēmumi. Aktuāls ir tieši šifrējošais vīruss, un no tā visbiežāk ir cietuši mazie un vidējie uzņēmumi. "Uzņēmumiem bieži vien nav rezerves kopiju. Tad ir izvēle - vai nu maksāt kriminālnoziedzniekiem, vai arī samierināties, ka dati par pusgadu vai vairāk ir zuduši. Tā ir diezgan sāpīga izvēle."
Taču draudi bijuši ne tikai no šifrētajiem vīrusiem, bet arī iepriekšējos gados pieredzētie, tai skaitā piekļuves lieguma uzbrukumi, mēģinājumi izspiest naudu, lai piekļuves lieguma uzbrukumi nenotiktu, dažādas krāpšanas, pikšķerēšanas sociālo uzņēmumu vārdā. Lielākā daļa šo uzbrukumu nav bijuši sekmīgi, bet daļai upuru tomēr sekas ir bēdīgas. Turklāt krāpšanas mēģinājumi kļūst arvien vairāk pielāgoti, līdz ar to cilvēkiem ir jāmācās, kā no tiem pasargāties. "Citu variantu nav, jo mehāniski izsargāties ir praktiski neiespējami. Līdz ar to risinājums ir noturīga infrastruktūra un izglītoti darbinieki," uzsver B. Kaškina, piebilstot, ka privātajā sektorā līdz šim vairāk domāts par infrastruktūru, tagad ir pienācis laiks veltīt vairāk pūļu, izglītojot darbiniekus.
Dažādas izglītojošas lekcijas piedāvā arī CERT.LV. Un šonedēļ tiek organizēta konference, kurā klātbūtne iespējama tiešsaistē. Tā būs iespēja dzirdēt par aktualitātēm kibertelpā.
Latvijas Komercbanku asociācijas prezidents Mārtiņš Bičevskis, akcentējot ātrumu, ar kādu globālo pārmaiņu laikā mainās paradumi, mainās uzņēmēju uzvedība, sadarbība ar klientiem, informācijas apstrāde un darbinieku saziņa, uzsver: "Sen zināma patiesība, ka uzņēmuma galvenā vērtība ir darbinieki. Palūkojoties no digitālās drošības puses, mēs šo tēzi varam pavērst otrādi – darbinieki ir ne tikai uzņēmuma lielākā vērtība, bet arī lielākais apdraudējums. Reti kuram uzņēmumam tiek rīkots apzināts digitāls ārējais uzbrukums, taču netīši apdraudējumi no iekšpuses var gadīties katru dienu – inficēts e-pasta pielikums, kas tiek atvērts darba datorā un izplatās iekšējā tīklā, inficēts ārējo datu nesējs, kas tiek pievienots darba datoram un sabojā to, vai citi līdzīgi apdraudējumi.
Klasisks piemērs ir pagājušā gada tā saucamais "VID vīruss", kas bija mērķēts uz uzņēmumu grāmatvežiem, un diemžēl zināmu daļu auditorijas, kā liecina banku ziņas, arī sasniedza. Tādēļ gudram un piesardzīgam uzņēmējam ir jāiegulda ne tikai jaunu IT aizsargsistēmu un programmu uzstādīšanā, bet arī visu savu darbinieku izglītošanā, lai viņi netīšām nekļūtu par sava uzņēmuma hakeriem." M. Bičevskis aicina pieņemt jauno ideoloģiju – dalāmies zināšanās, stāstām par riskiem un stāstām arī par negatīvo pieredzi.
Nemaz tik daudz naudas nevajag, lai uzņēmumā ieviestu datu drošības sistēmu, nosakot to gan darba kārtības noteikumos, pieņemot ētikas kodeksu, darba līgumos fiksējot konkrētas lietas un izveidojot paradumus, kā uzņēmums aizsargā savus datus, uzskata Latvijas Darba devēju konfederācijas ģenerāldirektore Līga Meņģelsone. Turklāt darba devēji valdībai uzstāj, ka valsts pārvaldei jābūt daudz digitālākai, tas nozīmē, ka vienlaikus rodas arvien lielāka vajadzība pēc digitālās drošības.
Uz vēl vienu uzņēmumu problēmu norāda datu centru pakalpojumu sniedzēja DEAC valdes priekšsēdētājs Andris Gailītis: "Liela daļa Latvijas uzņēmumu neveic savu datu rezerves kopēšanu, bet pasaules statistika rāda, ka ceturtā daļa mazo uzņēmumu, kas piedzīvojuši datu avārijas situāciju, pēc incidenta savu turpmāko darbību pārtrauc." Arī viņš uzsver nepieciešamību izglītoties, lai cilvēki saprastu, ko viņi [digitālajā vidē] dara. Viņaprāt, uzņēmējiem ir arī maldīgs priekšstats, ka [drošības panākšana] - tas ir dārgi. Taču tehnoloģijas ir mainījušās, un ļoti daudz var izdarīt sistēmas administrators, tiklab paša uzņēmuma darbinieks vai ārpakalpojumu sniedzējs. Jo daudzas lietas var automatizēt - gan lai kaut ko atļautu vai neļautu darīt.