„Kibernetinių incidentų statistika – negailestinga. Nesvarbu, kokio dydžio yra įstaiga ar įmonė, anksčiau ar vėliau ji susiduria su kibernetine ataka“, – sako dr. Rimantas Simaitis, advokatų profesinės bendrijos COBALT partneris. Todėl svarbu būti pasiruošusiems – jei galimi blogiausi scenarijai bus aiškiai išanalizuoti prieš įvykstant krizei, bus paprasčiau incidentui įvykus išlaikyti šaltą protą, reaguoti racionaliai ir logiškai planuoti žingsnius. Teisininkai, komunikacijos ir skaitmeninio saugumo specialistai pataria, kaip pasirengti kibernetiniam incidentui bei kaip nepamesti galvos jam atsitikus.

Elektroninėje erdvėje, anot ekspertų, nėra ir negali būti šimtaprocentinio saugumo. Maža to, net ir tie kurie jau patyrė incidentą, negali atsipalaiduoti, nes, tikėtina, kad ateityje iššūkių laukia daugiau.

Pernai užfiksuoti 254 pranešimai apie asmens duomenų saugumo pažeidimus, rodo Valstybinės duomenų apsaugos inspekcijos (VDAI) naujausi duomenys. Iš jų 15 proc. – kibernetinių incidentų. Nors ši dalis sąlyginai nedidelė, žiūrint per paveiktų duomenų subjektų prizmę, net ir iš pirmo žvilgsnio nedidelis skaičius kibernetinėje erdvėje įvykusių atakų poveikį daro beveik pusei (49 proc.) nukentėjusių subjektų.

„Saugumo incidentus kibernetinėje erdvėje galima būtų suskirstyti į dvi rūšis. Pirmasis – kasdieniai nedideli trikdžiai, kai su incidentu galima susitvarkyti įmonės viduje. Kiekvienoje organizacijoje yra formalus arba nerašytas saugumo incidentų valdymo procesas – atsakomybės ir planas, kokius esminius veiksmus reikia atlikti, kad nukentėjusi įmonė, nors ir šiek tiek sušlubavusi, galėtų veikti toliau. Tačiau jei įvykis yra didesnis, kuriam suvaldyti nepakaks turimų vidinių procesų, tampa svarbu imtis krizės valdymo veiksmų“, – teigia dr. Vilius Benetis, „NRD Cyber Security“ vadovas.

Asmens duomenų saugumo pažeidimai nutinka kur kas dažniau nei galvojama. Pavyzdžiui „Duomenų saugumas pažeidžiamas ne tik tada, kai paspaudžiama kenksmingu kodu užkrėsta nuoroda laiške. Grėsmė asmens informacijai kyla net ir tokiais atvejais, kai pametamas atminties diskas, kompiuteris ar telefonas, sutrinka svetainės veikimas ir vartotojai negali pasiekti savo paskyrų, duomenys apie asmenis išsiunčiami ne tam adresatui ar pašto siunta su dokumentais perduodama ne tam asmeniui.“, – sako Renata Vasiliauskienė, COBALT vyresnioji teisininkė.

Ruoštis ir treniruotis

„Ruoštis svarbu dar krizei neįvykus. Reikia žinoti, kaip dirba krizių valdymo grupė, kaip ji komunikuoja, kaip dalinasi informacija. Tam labai padeda simuliacijos, kai bandoma imituoti krizę ir jos sprendimo kelius, mokymai, įvairios treniruotės ir aiškus, iš anksto paruoštas planas“, – sako Vaidotas Vyšniauskas, finansinės ir strateginės komunikacijos „Fcomm“ vadovas ir partneris.

Be to, svarbu iš anksto su partneriais pasikalbėti apie komunikacijos planą, kurį būtų galima vykdyti. Specialistas pataria apgalvoti įvairius scenarijus. Pavyzdžiui, jei komunikacija elektroniniu paštu būtų neįmanoma.

„Kibernetinis incidentas dažnai padaro daug platesnį poveikį nei manoma iš pradžių. Nors kartais gali atrodyti, kad viską suvaldyti vieniems ar net nuslėpti situaciją yra nesudėtinga, taip nėra. Yra labai daug šalių, kurios paveikiamos tuo metu, kai įmonėje atsitinka kibernetinis incidentas. Tai yra: darbuotojai, pašaliniai incidentą pastebėję asmenys, įsilaužėlis, tie, kurių duomenys buvo prarasti, ikiteisminio tyrimo pareigūnai, priežiūros institucijos, teismai, kartais ir draudimo bendrovės“, – sako R. Vasiliauskienė.

Išgyventi tris dienas

Anot jos, svarbu bendradarbiauti ir su institucijomis. Jos yra dvi pagrindinės: Valstybinė duomenų apsaugos inspekcija ir Nacionalinis kibernetinio saugumo centras (NKSC). Abi jos gali ir savo iniciatyva atlikti tyrimus, esant didesniems incidentams. Pavyzdžiui, Registrų centro užliejimo ar „CityBee“ duomenų nutekinimo atvejais. Tiesa, VDAI pranešti apie incidentą nereikia, kai paveikiami statistiniai duomenys, kurie neleidžia identifikuoti asmens, kai neteisingam adresatui yra siunčiami laiškai kuriuose nėra asmens duomenų, kai pati organizacija nustato spragas arba kai pats asmuo atskleidžia savo duomenis. Taip yra todėl, kad šie atvejai nelaikomi asmens duomenų saugos pažeidimais.

Apie incidentą, kai iškyla didelis pavojus laisvėms ir teisėms, pavyzdžiui, paveikiami finansiniai ar sveikatos duomenys, kyla poreikis net keisti dokumentus, svarbu pranešti VDAI per 72 val., NKSC pranešti privalo tik tam tikros organizacijos – kibernetinio saugumo subjektai. Pastaruoju metu, pranešimo laikas priklauso nuo incidento poveikio – kuo jis didesnis, tuo anksčiau reikia pranešti, kartais ir vos per 1 valandą.

Anot teisininkės, įvykus krizei, pirmiausia reikia žinoti, kaip tinkamai „išgyventi“ tris dienas. Per tiek laiko tikrai įmanoma parengti pradinį pranešimą VDAI su tiek informacijos, kiek jos turima – kas, kaip ir kodėl įvyko. Išsamų pranešimą su detalėmis galima pateikti VDAI vėliau. „Tam, kad komunikacija būtų laiku ir tiksli, reikėtų prieš pateikiant informaciją pasikonsultuoti su teisininku, – pataria R. Vasiliauskienė. – Ne mažiau svarbu pasirūpinti ir darbuotojais bei jų atliekamomis užduotimis. Dirbti bus lengviau paskyrus kontaktinį asmenį, kuris galėtų atsakyti į skambučius ir užklausas. Būtina nuraminti kolegas ir aiškiai paskirstyti naujas užduotis, koordinuoti veiksmus ir duoti nurodymus dėl komunikacijos“.

Kibernetinio saugumo ekspertai moko, jog įvykus krizei, svarbu pažvelgti ir į praeitį – ką įmonė padarė ar nepadarė. Visgi, anot V. Benečio, dar svarbiau – galvoti apie ateitį: „Krizei pasibaigus, turime užduoti sau klausimų: kokie norime būti, ar norime, kad įmonė taptų stipresnė, atsparesnė, o klientų ir partnerių pasitikėjimas augtų?  Valdant krizę ir apie ją komunikuojant svarbu visad prisiminti sau įsivardintus  tikslus – jie padės priimti sprendimus, kuriais bus galima džiaugtis vėliau.“

Pranešimą paskelbė: Gerda Trapikaitė, Komunikacijos agentūra „23:45 agency"

Į viršų