Drošības cena

Pārfrāzējot šo izteikumu no 2020. gada skatpunkta, varētu teikt, ka ir tikai divu veidu uzņēmumi – tie, kas ir uzlauzti, un tie, kas nezina, ka ir uzlauzti. Lielai daļai cilvēku tas nebūs nekāds jaunums, bet daudziem liksies, ka tas ir pilnīgs absurds un uz viņiem neattiecas.

Mēs šodien dzīvojam jaunā realitātē, kad kiberuzbrukumi Ukrainā radījuši tiešus zaudējumus uzņēmumiem, kas atrodas tūkstošiem kilometru tālu.

2017. gads. “NotPetya” izspiedējvīrusa uzbrukuma radītie aptuvenie zaudējumi (pēc WIRED datiem):

• farmācijas gigants “Merck” – 870 miljoni dolāru;
• “Fedex” meitasuzņēmums Eiropā “TNT Express” – 384 miljoni dolāru;
• Dānijas kuģniecības kompānija “A.P. Moller-Maersk” – 300 miljoni dolāru;
• Francijas celtniecības materiālu ražotājs “SaintGobain” – 384 miljoni dolāru;
• prezervatīvu “Durex” un “Lysol” ražotājs “Reckitt Benckiser” –129 miljoni dolāru.

Un vēl virkne vairāk vai mazāk zināmu uzņēmumu, kuru kopējie zaudējumi, pēc Baltā nama novērtējuma, sasniedza desmit miljardus dolāru. Tas ir pielīdzināms Latvijas gada budžetam.

Jums var būt vislabākā IT komanda un vislabākais ugunsmūris no prestižākā IT iekārtu ražotāja, bet jūs neesat un nebūsiet 100 % pasargāts no visiem iespējamajiem ielaušanās riskiem, jo metodes un attīstības tendences ir mainīgas un inovatīvas. 2017. gads pagāja zem šifrējošo izspiedējvīrusu karoga – kā iepriekšminētais “NotPetya” un tam līdzīgie “WannaCry” un “BadRabbit”. 2018. gadā izplatītas bija ļaunprogrammatūras mikroprocesoros – no novērošanas kamerām līdz telefoniem. Savukārt 2019. gadu var nosaukt par atklātu militāro operāciju kibertelpā – uzbrukumi bija taktiski izstrādāti, saskaņoti, izmantojot daudzpakāpju ielaušanās metodes un tehnoloģijas.

Ir jāpieņem fakts, ka globālajā tīmeklī nav pasu kontroles ar biometrisko datu uzrādīšanu. Potenciālais ļaundaris var atrasties jebkurā pasaules valstī, un viņa piekļuves iespējas un metodes jūsu datiem ir atkarīgas tikai no viņam pieejamā finansējuma, iekārtām, pacietības un uzdevuma vai interesēm.

Lai šo jautājumu padarītu personīgāku, ilustrēšu uzņēmuma dzīvi un ikdienas procesus, ar kuriem sastopamies ikdienā. Ikvienā uzņēmumā ir cilvēks, kas atbild par mārketinga stratēģiju, vai vismaz aģentūra, kas cīnās par uzņēmuma reputāciju, zīmolu un pārdošanas apjomu veicināšanu esošajos vai jaunos tirgos un segmentos. Bet tikai retais uzņēmējs gan mūsu reģionā, gan citur pasaulē var apgalvot, ka viņa uzņēmumā ir kiberdrošības stratēģija, kiberdrošības personāls vai kompānija, kas rūpētos par uzņēmuma drošību, reputāciju un riskiem. Lielākā daļa pieņem, ka tas ir IT vadītāja vai apkalpojošās kompānijas ziņā, un, ja gadā tiek atvēlēts noteikts budžets IT iekārtu vai licenču iegādei, tad šis jautājums ir slēgts un naktīs var gulēt mierīgi. Vai ir nopirktas licences datoriem? Mobilajiem tālruņiem? Tīkla printeriem? Ar ko šīs iekārtas atšķiras no jūsu stacionārā vai portatīvā datora? Tās visas ir interneta piekļuves iekārtas, tāpat kā vairums videonovērošanas sistēmu, kas atrodas jūsu birojā, noliktavā, pārdošanas vai pārrunu telpā. Un tās ir pakļautas ļaunprogramatūrai, tātad pakļauj jūsu uzņēmumu riskam.

Pasaules bagātākā cilvēka – “Amazon” īpašnieka Džefa Bezosa – telefonu izsekošana, pēc “FTI Consulting” ekspertu atzinuma, visdrīzāk veikta no Saūda Arābijas kroņprinča telefona, iesūtot videofailu caur populāro lietotni “WhatsApp”. Par “WhatsApp” ievainojamību runā “The Guardian” un Izraēlas kiberizlūkošanas kompānija “NSO Group”, kuras izstrādātā programatūra ļauj piekļūt upura telefona datiem, izmantojot “WhatsApp”.

Pirmais solis katrā uzņēmumā vai valsts struktūrā būtu izvērtēt tiešos un netiešos reputācijas un finansiālos riskus un apdraudējumus. Es neticu, ka “Bristish Airways”, 2018. gada septembrī atzīstot pasažieru datu noplūdi, zināja, ka saņems vēl papildu sodu no Apvienotās Karalistes informācijas komisāra biroja par 183 miljoniem mārciņu. Vai jūsu uzņēmums ir gatavs šādai situācijai, ņemot vērā, ka Eiropas Savienības 2018. gadā pieņemto Vispārīgo datu aizsardzības regulu neviens nav atcēlis?

Jebkura uzņēmuma vai struktūras lielākais kiberdrošības risks ir darbinieki un pats vadītājs. Lai izvērtētu risku, ir jāatbild uz dažiem jautājumiem. Vai mani darbinieki zina, ko darīt ar zibatmiņu, kas atrasta uz grīdas vai saņemta kā dāvana izstādē? Vai es zinu, ko darīt, ja kāda departamenta datori ir aizkodēti ar izpspiedējvīrusu un tiek pieprasīts izpirkums bitkoinos? Vai man ir apdrošināšanas polise un darbības plāns kiberuzbrukuma gadījumam? Kādi zaudējumi var rasties mums pašiem, mūsu klientiem un mūsu biznesa partneriem? Šādi un līdzīgi jautājumi ir par atbildīgu attieksmi un mūsu valsti kā potenciāli drošu uzņēmējdarbībai.

Mēs noteikti varam lepoties ar ugunsmūri birojā, bet kas notiek, kad atgriežamies mājās? “Huawei” maršrutētājs? Bērniem “Huawei” tālrunis? Kāds un cik vecs mums mājās ir ugunmūris un cik sarežģīta ir bezvadu parole, un vai mums gadījumā nav bēdīgi slavenā “Philips Hue” vai līdzīgas tehnoloģijas lampiņa, kas ļauj piekļūt mūsu datortīklam?

Arī 2019. gads, pēc “Check Point” datiem, bija notikumiem bagāts.

Janvāris – aviācijas gigantam “Airbus” tiek nozagti darbinieku dati.

Februāris – no 16 mājaslapām nozagti 620 miljonu klientu dati.

Marts – no interneta mārketinga kompānijas “Verifications.io” nopludināti 809 miljoni ierakstu.

Aprīlis – 500 miljoni “Facebook” lietotāju dati nopludināti no “Amazon” mākoņa, kur tos nolaidīgi glabājis kāds “Facebook” lietotņu izstrādātājs.

Maijs – Krievijas hakeru grupa piedāvā antivīrusu izstrādātājiem atpirkt viņu pašu programmatūras kodu (“Symantec”, “McAfee”, “Trend Micro”).

Jūnijs – ACMA no ASV ir spiests uzsākt bankrota procedūru pēc 20 miljonu klientu datu noplūdes.

Jūlijs – Floridas otrā lielākā pilsēta samaksā 500 miljonu dolāru izpirkumu, lai atgūtu kontroli pār saviem datoriem, kas pakļauti ļaunprogramatūras uzbrukumam.

Augusts – “Capital One” ASV saņem 106 miljonus kredītkaršu pieteikumu.

Septembris – atklāts lielākais “iPhone” IOS inficēšanās tīkls, kas gadiem darbojies caur inficētām “web” lapām, un ļaundari saņēmuši piekļuvi inficēto telefonu fotogalerijām, sociālo tīklu parolēm un “WhatsApp” sarakstēm.

Oktobris – no Jaunzēlandes “Tu Ora Compass Health” noplūst gandrīz miljona personu medicīniskie dati.

Novembris – no Itālijas “Unicredit” nopludināti trīs miljonu klienti dati par 2015. gadu.

Decembris – Ņūorleānas mērs izsludina ārkārtas situāciju sakarā ar kiberuzbrukumu.

2020. gada 26. janvāris – “Willebroek” komūna ziemeļos no Briseles aptur pakalpojumu sniegšanu izpirkuma ļaunprogramatūras uzbrukuma dēļ... 

Ko darīt?

Pirmkārt, pieņemt, ka biznesa vide ir mainījusies un nekad vairs nebūs tāda kā agrāk. Kiberdrošība ir un būs mūsu ikdiena.

Otrkārt, jāsaprot, ka vārda “kiberdrošība” pamatelements ir drošība un ka šī funkcija ir drošības dienesta vai atbildīgās personas kompetence, nevis viens no IT nodaļas pienākumiem. 

Treškārt, ieviest kriptēšanas atslēgas un šifrēt datus, e-pastus – tas nav ne sarežģīti, ne dārgi. Nozagtiem, bet kriptētiem datiem ir daudz mazāka vērtība vai nav vērtības vispār. Pasargājiet sevi, savus darbiniekus un savus tuvos gan biznesā, gan mājās.

Ceturtkārt, investējiet darbinieku apmācībā par kiberdrošību un ietaupiet naudu uz krīzes situāciju risināšanas rēķina nākotnē. 

Piektkārt, kiberdrošības stratēģijai ir jābūt tikpat aktuālai kā mārketinga stratēģijai – atjaunojiet un papildiniet to.