Kodėl įpročiai svarbiau už įrangą?

Įsivaizduokite dvi įmones. Pirmoji nusipirko brangią ugniasienę, bet darbuotojai naudoja tą patį slaptažodį visur, o atnaujinimai diegiami „kai bus laiko". Antroji ugniasienės dar neturi, bet visur įjungta kelių faktorių autentifikacija, laiškai su nuorodomis tikrinami įpročio lygiu, o kompiuteriai atsinaujina automatiškai.

Realioje atakoje antroji įmonė yra gerokai kietesnis riešutas. Užpuolikai beveik visada eina lengviausiu keliu — o lengviausias kelias yra žmogus: atspėtas ar nutekėjęs slaptažodis, atidarytas sukčių laiškas, sena neatnaujinta programa.

Tai ir yra kibernetinės brandos esmė: ne kiek išleidote įrangai, o kaip kasdien elgiasi jūsų komanda. Gera žinia — brandos pamatai kainuoja mažai ir priklauso tik nuo jūsų.

Penki higienos pagrindai

1. Slaptažodžiai ir kelių faktorių autentifikacija (MFA)

Vienas slaptažodis — viena paskyra, be išimčių, o įsiminimą sprendžia slaptažodžių tvarkyklė. Svarbiausia — visur, kur įmanoma, įjunkite MFA: net nutekėjęs slaptažodis tada nebeatveria durų. Pradėkite nuo el. pašto, banko ir administratorių paskyrų — jos vertingiausios.

2. Atnaujinimai laiku

Dauguma realių įsilaužimų išnaudoja spragas, kurių pataisymai jau seniai išleisti — tiesiog neįdiegti. Automatiniai operacinių sistemų ir naršyklių atnaujinimai turi būti įjungti, o programinė įranga, kurios gamintojas nebepalaiko, — pakeista arba izoliuota.

3. Sukčiavimo laiškų atpažinimas

Phishing veikia todėl, kad atrodo įprastai: „sąskaita", „siuntos pranešimas", „vadovo prašymas skubiai pervesti". Įprotis, kurį verta įtvirtinti visai komandai: skuba + pinigai arba prisijungimo duomenys = stabtelėti ir pasitikrinti kitu kanalu. Nė viena tikra įstaiga nereikalauja slaptažodžio el. laišku.

4. Aiškios prieigų ribos

Kiekvienas darbuotojas turi prieiti tik prie to, ko reikia jo darbui — tai vadinama mažiausių privilegijų principu. Išėjus darbuotojui, paskyros išjungiamos tą pačią dieną. Bendri „visų" slaptažodžiai — likviduojami.

5. Tikrinamos atsarginės kopijos

Kopija, kurios atkūrimas niekada nebandytas, yra tik viltis. Kaip susidėlioti veikiančią strategiją, aprašėme atskirai: atsarginės kopijos pagal taisyklę 3-2-1.

Mokymai: kaip higiena tampa kultūra

Taisyklės, kurių niekas nesupranta, neveikia. Todėl brandos kėlimas neapsieina be mokymų — bet ne formalių „prasukome skaidres" renginių, o trumpų, praktinių ir reguliarių:

  • Paprasta kalba. Darbuotojui nereikia žinoti, kas yra „kredencialų perėmimas" — jam reikia atpažinti įtartiną laišką ir žinoti, kam apie jį pranešti.
  • Be kaltinimo kultūros. Žmogus, kuris bijo prisipažinti paspaudęs ant nuorodos, incidentą nuslėps — ir žala išaugs. Pranešti turi būti saugu ir paprasta.
  • Reguliarumas. Vienkartiniai mokymai išgaruoja. Trumpi priminimai, atnaujinimai apie naujus sukčiavimo scenarijus ir periodinis žinių pasitikrinimas veikia geriau nei metinė paskaita.

Beje: darbuotojų mokymai ir kibernetinė higiena — ne tik gera praktika. NIS2 reguliuojamiems subjektams tai tiesioginis teisinis reikalavimas, apimantis ir vadovybę — plačiau straipsnyje NIS2 Lietuvoje paprastai.

Kaip suprasti, kur esate: brandos laipteliai

Paprastas savidiagnostikos būdas — atsakyti, kuris aprašymas artimiausias jūsų įmonei:

  1. Reaktyvi: saugumu užsiimama po incidentų; slaptažodžiai ir prieigos nevaldomi; kopijos „turbūt daromos".
  2. Pradinė: yra antivirusinė ir kopijos, bet be MFA, be mokymų, be aiškių tvarkų — saugumas laikosi ant vieno žmogaus geros valios.
  3. Tvarkinga: MFA visur, atnaujinimai automatiniai, prieigos ribotos, kopijos tikrinamos, darbuotojai apmokyti — higiena veikia kaip įprotis.
  4. Branda: visa tai dokumentuota, matuojama ir reguliariai peržiūrima; incidentų planas išbandytas; saugumas — vadovybės darbotvarkėje.

Perėjimas iš pirmo laiptelio į trečią nereikalauja didelių investicijų — daugiausia dėmesio ir nuoseklumo. Būtent čia edukacija duoda didžiausią grąžą.

Pasitikrinimo sąrašas

  • MFA įjungta el. paštui, bankui ir visoms administratorių paskyroms
  • Slaptažodžių tvarkyklė naudojama visoje komandoje, slaptažodžiai nesikartoja
  • Operacinės sistemos ir naršyklės atsinaujina automatiškai
  • Darbuotojai žino, kaip atpažinti sukčių laišką ir kam apie jį pranešti
  • Kiekviena prieiga — tik pagal darbo poreikį; išėjusių darbuotojų paskyros išjungtos
  • Atsarginės kopijos daromos pagal 3-2-1 ir bent kartą išbandytas atkūrimas
  • Per pastaruosius metus vyko bent vienas praktinis saugumo mokymas

Jei bent trys punktai liko nepažymėti — turite aiškų, pigų ir greitai įgyvendinamą darbų sąrašą. Jei norite, kad kas nors į jūsų situaciją pažiūrėtų iš šalies, pradėkite nuo saugumo audito.

Šaltiniai

  • NKSC rekomendacijos ir gerosios praktikos — nksc.lt
  • ENISA gairės mažoms ir vidutinėms įmonėms — enisa.europa.eu