Kodėl įpročiai svarbiau už įrangą?
Įsivaizduokite dvi įmones. Pirmoji nusipirko brangią ugniasienę, bet darbuotojai naudoja tą patį slaptažodį visur, o atnaujinimai diegiami „kai bus laiko". Antroji ugniasienės dar neturi, bet visur įjungta kelių faktorių autentifikacija, laiškai su nuorodomis tikrinami įpročio lygiu, o kompiuteriai atsinaujina automatiškai.
Realioje atakoje antroji įmonė yra gerokai kietesnis riešutas. Užpuolikai beveik visada eina lengviausiu keliu — o lengviausias kelias yra žmogus: atspėtas ar nutekėjęs slaptažodis, atidarytas sukčių laiškas, sena neatnaujinta programa.
Tai ir yra kibernetinės brandos esmė: ne kiek išleidote įrangai, o kaip kasdien elgiasi jūsų komanda. Gera žinia — brandos pamatai kainuoja mažai ir priklauso tik nuo jūsų.
Penki higienos pagrindai
1. Slaptažodžiai ir kelių faktorių autentifikacija (MFA)
Vienas slaptažodis — viena paskyra, be išimčių, o įsiminimą sprendžia slaptažodžių tvarkyklė. Svarbiausia — visur, kur įmanoma, įjunkite MFA: net nutekėjęs slaptažodis tada nebeatveria durų. Pradėkite nuo el. pašto, banko ir administratorių paskyrų — jos vertingiausios.
2. Atnaujinimai laiku
Dauguma realių įsilaužimų išnaudoja spragas, kurių pataisymai jau seniai išleisti — tiesiog neįdiegti. Automatiniai operacinių sistemų ir naršyklių atnaujinimai turi būti įjungti, o programinė įranga, kurios gamintojas nebepalaiko, — pakeista arba izoliuota.
3. Sukčiavimo laiškų atpažinimas
Phishing veikia todėl, kad atrodo įprastai: „sąskaita", „siuntos pranešimas", „vadovo prašymas skubiai pervesti". Įprotis, kurį verta įtvirtinti visai komandai: skuba + pinigai arba prisijungimo duomenys = stabtelėti ir pasitikrinti kitu kanalu. Nė viena tikra įstaiga nereikalauja slaptažodžio el. laišku.
4. Aiškios prieigų ribos
Kiekvienas darbuotojas turi prieiti tik prie to, ko reikia jo darbui — tai vadinama mažiausių privilegijų principu. Išėjus darbuotojui, paskyros išjungiamos tą pačią dieną. Bendri „visų" slaptažodžiai — likviduojami.
5. Tikrinamos atsarginės kopijos
Kopija, kurios atkūrimas niekada nebandytas, yra tik viltis. Kaip susidėlioti veikiančią strategiją, aprašėme atskirai: atsarginės kopijos pagal taisyklę 3-2-1.
Mokymai: kaip higiena tampa kultūra
Taisyklės, kurių niekas nesupranta, neveikia. Todėl brandos kėlimas neapsieina be mokymų — bet ne formalių „prasukome skaidres" renginių, o trumpų, praktinių ir reguliarių:
- Paprasta kalba. Darbuotojui nereikia žinoti, kas yra „kredencialų perėmimas" — jam reikia atpažinti įtartiną laišką ir žinoti, kam apie jį pranešti.
- Be kaltinimo kultūros. Žmogus, kuris bijo prisipažinti paspaudęs ant nuorodos, incidentą nuslėps — ir žala išaugs. Pranešti turi būti saugu ir paprasta.
- Reguliarumas. Vienkartiniai mokymai išgaruoja. Trumpi priminimai, atnaujinimai apie naujus sukčiavimo scenarijus ir periodinis žinių pasitikrinimas veikia geriau nei metinė paskaita.
Beje: darbuotojų mokymai ir kibernetinė higiena — ne tik gera praktika. NIS2 reguliuojamiems subjektams tai tiesioginis teisinis reikalavimas, apimantis ir vadovybę — plačiau straipsnyje NIS2 Lietuvoje paprastai.
Kaip suprasti, kur esate: brandos laipteliai
Paprastas savidiagnostikos būdas — atsakyti, kuris aprašymas artimiausias jūsų įmonei:
- Reaktyvi: saugumu užsiimama po incidentų; slaptažodžiai ir prieigos nevaldomi; kopijos „turbūt daromos".
- Pradinė: yra antivirusinė ir kopijos, bet be MFA, be mokymų, be aiškių tvarkų — saugumas laikosi ant vieno žmogaus geros valios.
- Tvarkinga: MFA visur, atnaujinimai automatiniai, prieigos ribotos, kopijos tikrinamos, darbuotojai apmokyti — higiena veikia kaip įprotis.
- Branda: visa tai dokumentuota, matuojama ir reguliariai peržiūrima; incidentų planas išbandytas; saugumas — vadovybės darbotvarkėje.
Perėjimas iš pirmo laiptelio į trečią nereikalauja didelių investicijų — daugiausia dėmesio ir nuoseklumo. Būtent čia edukacija duoda didžiausią grąžą.
Pasitikrinimo sąrašas
- MFA įjungta el. paštui, bankui ir visoms administratorių paskyroms
- Slaptažodžių tvarkyklė naudojama visoje komandoje, slaptažodžiai nesikartoja
- Operacinės sistemos ir naršyklės atsinaujina automatiškai
- Darbuotojai žino, kaip atpažinti sukčių laišką ir kam apie jį pranešti
- Kiekviena prieiga — tik pagal darbo poreikį; išėjusių darbuotojų paskyros išjungtos
- Atsarginės kopijos daromos pagal 3-2-1 ir bent kartą išbandytas atkūrimas
- Per pastaruosius metus vyko bent vienas praktinis saugumo mokymas
Jei bent trys punktai liko nepažymėti — turite aiškų, pigų ir greitai įgyvendinamą darbų sąrašą. Jei norite, kad kas nors į jūsų situaciją pažiūrėtų iš šalies, pradėkite nuo saugumo audito.
Šaltiniai
- NKSC rekomendacijos ir gerosios praktikos — nksc.lt
- ENISA gairės mažoms ir vidutinėms įmonėms — enisa.europa.eu