Arvien vairāk uzņēmumu cieš kiberuzbrukumos. Ikviens uzņēmums var kļūt par hakeru mērķi neatkarīgi no tā izmēra vai darbības veida. Hakeri ir ieinteresēti ne tikai lielajos finanšu un ražošanas uzņēmumos, bet arī mazos un vidējos uzņēmumos, kas apstrādā mazāk sensitīvus personas datus. Tomēr joprojām ir pārāk maz diskusiju par pasākumiem, ko darīt, lai novērstu kiberuzbrukumu, un pareizo rīcību pēc uzbrukuma. Apskatīsim biežāk pieļautās kļūdas un padomus, kā no tām izvairīties.
Raksta līdzautores: Santa Rubīna, SIA “Sorainen ZAB” vadošā speciāliste, Irma Kirklytė, “Sorainen” vadošā speciāliste, zvērināta advokāta palīdze, Indrė Pelėdaitė, “Sorainen” vecākā juriste.
Kopš Krievijas iebrukuma Ukrainā 2022.gada 24.februārī Eiropā, tostarp, Latvijā, ir jūtams hakeru aktivitātes pieaugums. Saskaņā ar jaunākajiem datiem no “Ponemon” institūta, kas pēta privātuma, datu aizsardzības un informācijas drošības politiku, 68% Amerikas Savienoto Valstu (ASV) uzņēmumu vadītāju uzskata, ka kiberriski pieaug. Tikmēr saskaņā ar uzņēmuma “Sophos”, kas specializējas kiberdrošības jomā, datiem, 54% uzņēmumu neuzskata, ka viņu informācijas tehnoloģiju (IT) departamenti ir pietiekami sagatavoti, lai tiktu galā ar iespējamiem kiberuzbrukumiem. Situācija ir sarežģīta, jo tikai daži uzņēmumi zina, kas būtu jādara kiberuzbrukuma gadījumā. Skaidra rīcības plāna un informācijas trūkums par to, kā pareizi rīkoties šādā situācijā, ir cēlonis kļūdām, kas uzņēmumam izmaksā dārgi.
Kļūdas, ko uzņēmumi pieļauj
- Neizpildīti “mājasdarbi”;
Runājot par kiberuzbrukumiem, ir svarīgi saprast, ka hakeri var uzbrukt jebkurā brīdī, tāpēc uzņēmumiem vienmēr ir jābūt gataviem reaģēt. Ikdienas realitāte ir pretēja: saskaņā ar “Ponemon” institūta datiem pat 77% uzņēmumu nav rīcības plāna kiberuzbrukumu gadījumiem. Rīcības plāna esamība ir pirmais solis, jo rada priekšrakstus riska pārvaldīšanai un uzdevumu deleģēšanai, norīkojot atbildīgos darbiniekus un pat izveidojot krīzes pārvarēšanas komandu. Darbinieki ir arī periodiski jāapmāca, tostarp ar iestudētiem incidentiem, lai katrs saprastu iespējamos riskus, zinātu savus pienākumus un varētu maksimāli koncentrēties uz negatīvu seku novēršanu īsta kiberuzbrukuma gadījumā.
- novēlota reakcija;
Pirmās stundas pēc kiberuzbrukuma un datu aizsardzības pārkāpumu atklāšanas ir būtiskas gan lai izprastu incidenta apstākļus un cēloņus, gan lai to risinātu un mazinātu tā sekas. Pastāv risks, ka bez pienācīgas sagatavošanās, uzņēmuma personāls uz kiberuzbrukumu reaģēs haotiski, un uzmanība galvenokārt tiks pievērsta nevis incidenta seku novēršanai, bet gan reaģēšanas procesa izveidei. Tiks kritiski izšķiests laiks, un tieši tad hakeri var radīt neatgriezenisku kaitējumu iekārtām, sistēmām un datiem, kā arī ievērojamus finansiālus un reputācijas zaudējumus. Līdztekus uzbrukuma seku novēršanai, ir jāseko pienācīgai saziņai ar amatpersonām vai partneriem, vajadzības gadījumā publiskai komunikācijai un proaktīvai sadarbībai ar uzraudzības iestādēm. Jāpiesaista pieredzējuši eksperti (juristi, IT, mārketinga speciālisti utt.).
- juridiskās jomas speciālistu novēlota iesaistīšana;
Kiberuzbrukuma seku veiksmīga mazināšana ir tieši atkarīga no krīzes pārvarēšanas darbību savlaicīguma un efektivitātes. Parasti ir nepieciešamas vismaz 48 stundas, lai izstrādātu sākotnējo situācijas vadības plānu, sagatavotos komunikācijai, koordinētu uzdevumus uzņēmumā, deleģētu darāmos darbus un spertu vismaz pirmos soļus. Līdz ar to pirmās divas dienas ir kritiskas, lai ierobežotu uzbrukumu. Tāpēc kiberincidentu pārvaldības procesā ir ieteicams nekavējoties iesaistīt ne vien pieredzējušus IT un kiberdrošības profesionāļus, kuri specializējas reaģēšanā uz uzbrukumiem, bet arī juridiskos ekspertus, lai visefektīvāk ierobežotu un novērstu kiberuzbrukuma sekas.
- izpirkuma maksas koordinēšana bez pieredzējušu ekspertu palīdzības;
Kā norādīts ASV informācijas tehnoloģiju uzņēmuma “Veeam” datu aizsardzības ziņojumā, kiberuzbrukumi ir skāruši 76% no visām organizācijām visā pasaulē, un praksē ir ļoti maz zināmu gadījumu, kad dati ir veiksmīgi un ātri atgūti, izmantojot izpirkuma maksu. Vairumā gadījumu izpirkuma samaksas rezultātā tiek zaudēta nauda un dati, vai arī dati tiek publiskoti neatkarīgi no izpirkuma maksas samaksas.
- neziņošana atbildīgajām iestādēm;
Kiberuzbrukuma gadījumā iesakām visiem uzņēmumiem nekavējoties sazināties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju CERT.LV, lai gan saskaņā ar likumu tas ir tikai dažu organizāciju pienākums. Pieredzējušo CERT.LV speciālistu sniegtais atbalsts var būt noderīgs uzbrukuma seku novēršanā un incidenta izmeklēšanā. Ja incidents saistīts ar fizisku personu datiem un var radīt risku personu tiesībām, visiem uzņēmumiem ir pienākums informēt Datu valsts inspekciju.
_______________________________________________________________________
Kiberuzbrukuma gadījumā tā sekas un uzņēmuma plānotās darbības ir atklāti jāpaziņo uzņēmuma personālam vēl pirms plašsaziņas līdzekļos parādās uzņēmuma pārstāvju komentāri.
_______________________________________________________________________
Iestādes ir jāinformē salīdzinoši īsā laika posmā, un par noteikumu neievērošanu var tikt piemēroti ievērojami naudas sodi. Sākotnējā paziņojumā ir svarīgi sniegt būtisko informāciju, bet to vienmēr var papildināt vēlāk, ja kļūst zināmas jaunas detaļas par notikušo incidentu.
- haotiska publiskā komunikācija;
Ja tiek publiskoti sensitīvi klientu dati, piemēram, finanšu dati, veselības dati, pastāv augsta varbūtība, ka kiberuzbrukums kļūs zināms sabiedrībai. Uzņēmumu pārstāvju atsevišķi, sadrumstaloti un nesavienoti publiski paziņojumi krīzes laikā var izraisīt vēl lielāku klientu apjukumu un rezultēties ar tiesvedībām, kā arī radīt negatīvas sekas gadījumā, ja ir uzsākta izmeklēšana uzraugošajā iestādē – Datu valsts inspekcijā. Tāpēc ir svarīgi nodrošināt mērķtiecīgu un konsekventu sabiedrības informēšanas kampaņu, izmantot ārējos ekspertus vai iekšējos speciālistus, iepriekš izstrādāt komunikācijas plānu, iecelt plašsaziņas līdzekļu pārstāvjus un sagatavot publicitātes vēstījumus.
- individuālie pieprasījumi tiek ignorēti;
Ja personas dati tiek publiskoti, cietušie notikušo var uztvert ļoti personīgi. Protams, bez pilnīgas informācijas par incidenta apstākļiem viņi var būt noraizējušies par to, kādi pasākumi ir jāveic un ar kādām negatīvām sekām viņi varētu saskarties. Tā rezultātā uzņēmums var saņemt ievērojamu skaitu informācijas pieprasījumu, no kuriem uz katru tam ir jāsniedz atbilde. Uzticības tālrunis, tiešsaistes bieži uzdoto jautājumu sadaļa un standartizētas atbildes, kas sagatavotas iepriekš un vajadzības gadījumā izsūtītas, atkarībā no jautājuma satura var palīdzēt pārvaldīt jautājumu plūsmu. Savlaicīga un aktīva reakcija palīdz līdz minimumam samazināt sekas, ar ko saskaras cietušās personas, nodrošina atbalstu un veicina uzticēšanos.
- netiek iesaistīts viss personāls;
Informācija par kiberuzbrukumu ir jāsasniedz arī uzņēmuma darbiniekiem – šeit svarīga ir iekšējā komunikācija. Kiberuzbrukuma gadījumā tā sekas un uzņēmuma plānotās darbības seku novēršanai ir atklāti jāpaziņo uzņēmuma personālam vēl pirms plašsaziņas līdzekļos parādās uzņēmuma pārstāvju komentāri. Ja darbinieki netiek pienācīgi informēti par uzbrukumu un faktisko apdraudējuma līmeni, var tikt publiskota informācija, kas neatbilst reālajai situācijai un tā var radīt finansiālu kaitējumu un kaitējumu uzņēmuma reputācijai.
- IT speciālistu neiesaistīšana, lai noskaidrotu apstākļus un cēloņus;
Kiberuzbrukuma gadījumā IT komandas resursi parasti tiek veltīti incidenta un tā seku pēc iespējas ātrākai novēršanai, taču resursu veltīšana vēlākai rūpīgai iekšējai IT izmeklēšanai bieži vien tiek atstāta novārtā. Tai būtu jāvieš skaidrība par to, kādi bija incidenta apstākļi un cēloņi, kādi ir nozaudētie vai ietekmētie dati un jāapkopo visa informācija saziņai. Praksē tas ir pazīstams kā IT audits, un bieži vien ir ieteicams pieaicināt neatkarīgus IT speciālistus, kas ļauj izvairīties no papildu darba iekšējai IT komandai un iegūt objektīvākus secinājumus. Visbeidzot tas var arī palīdzēt novērst līdzīgus incidentus nākotnē.
- apstākļu nedokumentēšana un neizmeklēšana;
Neatkarīgi no tā, vai uzņēmumam ir pienākums ziņot uzraudzības iestādēm par notikušo incidentu, ir ieteicams visus apstākļus dokumentēt rakstiski no brīža, kad incidents kļūst zināms. Tam var būt būtiska nozīme vēlāk, jo īpaši, ja kļūst skaidrs, ka ir publiskoti sensitīvi klientu dati, kā arī veicot preventīvus pasākumus, lai novērstu šādus uzbrukumus nākotnē, un informējot klientus un iestādes, ja tām radīsies papildu jautājumi par notikušo incidentu.
- kiberrisku apdrošināšana tiek aizmirsta.
Uzņēmumi to bieži ignorē, taču viens no uzticamiem veidiem, kā izvairīties no kļūdām kiberuzbrukuma pārvaldībā, ir kiberrisku apdrošināšana. Ar šādu apdrošināšanu apdrošinātājs var apmaksāt:
- IT speciālistu izmaksas, reaģējot uz incidentu;
- juridisko palīdzību;
- paziņojuma sagatavošanu uzraugošajām iestādēm, ja tāds ir nepieciešams;
- atbilžu sniegšanu klientiem;
- citus pakalpojumus, piemēram, sabiedrisko attiecību konsultācijas;
- uzņēmuma izmaksas, kas saistītas ar tiesvedību;
- ieņēmumu zaudējumus uzņēmējdarbības pārtraukšanas dēļ, ko izraisījis kiberuzbrukums;
- uzņēmuma reputācijas atjaunošanas izmaksas.
Papildus to izmaksu atlīdzināšanai, kas uzņēmumam radušās krīzes vadības pasākumu rezultātā, apdrošinātājs var nodrošināt apdrošināto ar ekspertu komandu uzbrukuma pārvaldībai, piemēram, pieredzējušiem IT speciālistiem un juristiem, u.c.