Kibernetinis saugumas

Auditas, NIS2 techninė atitiktis ir darbuotojų mokymai. Kibernetinę brandą auginame nuosekliai — nuo žmonių įpročių iki technologijų, o ne vienu pirkiniu.

Kodėl saugumas svarbus ne tik didelėms įmonėms?

Smulkaus ir vidutinio verslo įmonės tampa kibernetinių atakų taikiniu dažniau nei didelės korporacijos. Priežastis paprasta: mažesnės įmonės turi mažiau apsaugos, bet pakankamai vertingų duomenų.

Duomenų nutekėjimas, išpirkos programinė įranga (ransomware), sukčiavimo laiškai (phishing) — tai ne tik techninės problemos. Tai verslo tęstinumo, reputacijos ir teisinės atsakomybės klausimai: Kibernetinio saugumo įstatymas, perkėlęs NIS2 direktyvą į Lietuvos teisę, numato konkrečias pareigas ir atsakomybę vadovams.

Mūsų požiūris: pirmiausia suprantame, kur spragos — tada sprendžiame. Be audito bet kokie saugumo darbai yra spėlionė.

Ką apima kibernetinio saugumo paslauga?

IT saugumo auditas

Išsamus infrastruktūros saugumo vertinimas: prieigų valdymas, tinklo segmentacija, atsarginių kopijų politika, įrenginių apsauga. Gausite ataskaitą su prioritetų sąrašu — praktinį dokumentą, ne abstrakčias rekomendacijas.

Prieigų valdymas (IAM)

Kas, kada ir prie ko turi prieigą — viena dažniausių spragų. Diegiame mažiausių privilegijų principą, kelių faktorių autentifikaciją (MFA) ir centralizuotą paskyrų valdymą.

Tinklo segmentacija ir VPN

Tinklo padalijimas į segmentus riboja atakos plitimą. Saugi nuotolinė prieiga darbuotojams — be kompromisų saugumui.

Atsarginių kopijų strategija

Taisyklė 3-2-1: trys kopijos, dvi skirtingos laikmenos, viena kitoje vietoje. Projektuojame kopijų sistemas su reguliariu atkūrimo testavimu — plačiau žinyno straipsnyje.

NIS2 techninių reikalavimų įgyvendinimas

GAP analizė parodo, ko trūksta iki atitikties, tada įgyvendiname technines priemones: prieigų valdymą, incidentų stebėseną, atsarginių kopijų politiką.

Saugumo vadovas (vCISO)

IT saugumo vadovo funkcija be etato kaštų: periodiniai vertinimai, rizikų valdymo konsultacijos, saugumo sprendimų priežiūra ir atstovavimas priežiūros institucijoms.

Darbuotojų mokymai ir IT higiena — kaip keliamas brandos lygis

Didžioji dalis sėkmingų atakų prasideda ne nuo technologijų įveikimo, o nuo žmogaus veiksmo: atidaryto sukčių laiško, pakartotinai naudoto slaptažodžio, paskubomis patvirtintos prieigos. Todėl įmonės kibernetinė branda pirmiausia auginama per žmones — ir tik tada per įrangą.

Ką tai reiškia praktiškai:

  • Darbuotojų mokymai — kaip atpažinti sukčiavimo laiškus, saugiai valdyti slaptažodžius, saugiai dirbti nuotoliniu būdu. Mokome paprastai, be gąsdinimo ir be žargono.
  • Elementarios IT higienos standartas — atnaujinimai laiku, MFA, aiškios prieigų ribos, tikrinamos atsarginės kopijos. Įpročiai, kurie sustabdo didžiąją dalį realių atakų.
  • Pamatuojama pažanga — brandos lygis vertinamas prieš pradedant ir peržiūrimas reguliariai, todėl matote, kas realiai pasikeitė, o ne tik „atlikta mokymų".

Nuo ko pradėti savarankiškai, aprašėme žinyne: elementari IT higiena — nuo ko prasideda įmonės kibernetinė branda.

Apie NIS2 — ką reikia žinoti

NIS2 — tai ES direktyva (ES) 2022/2555, nustatanti kibernetinio saugumo reikalavimus gerokai platesniam įmonių ratui nei ankstesnė NIS direktyva. Lietuvoje ji perkelta per naują Kibernetinio saugumo įstatymo redakciją, o priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC).

Reikalavimai apima rizikų valdymą, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, prieigų valdymą ir šifravimą. Visą atitikties kelią — nuo teisinių ir organizacinių iki techninių reikalavimų, vienose rankose — perima atskira flagmaninė paslauga: NIS2 atitikties vadovas. Ar direktyva taikoma jūsų įmonei ir nuo ko pradėti, paprastai paaiškinome straipsnyje NIS2 Lietuvoje paprastai.

Valdote saulės elektrinę? NIS2 ir VERT reikalavimai apima ir elektros energijos gamintojus. Saulės elektrinių valdymo sistemų auditams turime atskirą specializuotą svetainę — sauleselektrinesauditas.lt.

DUK

Klausimai apie kibernetinį saugumą

NIS2 taikoma tam tikrų sektorių ir dydžio įmonėms. Pirmas žingsnis — nustatyti, ar patenkate į taikymo sritį: šį vertinimą atliekame audito metu ir paaiškiname, kokie reikalavimai galioja būtent jūsų situacijai. Bendrą taikymo logiką rasite straipsnyje NIS2 Lietuvoje paprastai.

Trukmė priklauso nuo infrastruktūros dydžio ir sudėtingumo — ją sutariame prieš pradedant, kartu su apimtimi. Po audito gausite išsamią ataskaitą su nustatytomis rizikomis, jų kritikumo vertinimu ir prioritetų sąrašu.

Pagrindinis veiklos regionas — Klaipėda ir apskritis, tačiau kibernetinio saugumo konsultacijas, auditus ir mokymus atliekame ir nuotoliniu būdu visoje Lietuvoje — ši sritis dažniausiai nereikalauja fizinio buvimo vietoje.

Pradėkite nuo pokalbio

Aptarsime jūsų saugumo situaciją ir pasakysime, ką matome — be įsipareigojimų ir be gąsdinimo.