Būtent pastarasis klausimas ir tapo rugsėjo 30 d. Vilniuje vyksiančios IT saugumo konferencijos „Security Day 2015“ tema – „Kibernetinis saugumas: metas pasakyti „užteks“?“. IT rinkos lyderių „Santa Monica Networks“ jau penkioliktą kartą organizuojamo renginio dalyviai diskutuos, ar vis dar reikalinga investuoti į kibernetinį saugumą, kaip įvertinti galimas rizikas ir kokių rezultatų organizacijos gali tikėtis.
Pagrindinis šiais metais „Security Day 2015“ konferencijoje keliamas klausimas – kada, kalbant apie kibernetinį saugumą, ateina metas pasakyti „užteks“. Ar turite parengę atsakymą, o gal jų yra ne vienas?
„Saugumo tema aktuali kasmet – vis daugiau kalbama apie viešojo gyvenimo perkėlimą į skaitmeninę erdvę, susiduriama su naujais iššūkiais ir problemomis. Tikriausiai visi sutinkame, kad niekada negali būti visiškai saugus – taip yra ir su kibernetiniu saugumu. Todėl ypač svarbu rasti optimalų sprendimą ir neperžengti sveiko proto ribų.“ – pokalbį pradeda „Santa Monica Networks“ generalinis direktorius Mindaugas Žiūkas.
Jam pritaria ir saugumo ekspertas, kompanijos Techninio skyriaus vadovas Arvydas Žvirblis, kiekvienai organizacijai siūlydamas pirma įvertinti galimą riziką, o jau tuomet ieškoti ir pirkti techninę įrangą. „Pasakyti „užteks“ bus galima tada, kai saugumo priemonių kaina viršys saugomos informacijos vertę – kaip spyna, kuri kainuotų daugiau nei pačios duris ir už tai, kas už jų yra. Informacijos vertę nustatyti galima diegiant saugumo politikas. Viena tokios politikos kūrimo dalių – rizikos analizė, kai siekiama įvertinti, kiek ir ko organizacija netektų, praradusi informaciją. Tarkime, IT saugumas bus mažiau svarbus organizacijai, kurios visa informacija yra vieša ir jai reputacija nėra labai svarbi. Bet situacija pasikeičia, jei kalbėtume apie kompanijos, kuri kuria ir gamina produktus, kuria domisi konkurentai ar kiti tretieji asmenys, saugumą ir investicijas į jį.“
Konferenciją organizuojate jau 15-ąjį kartą. Kas įvyko naujo ir reikšmingo per praėjusius metus, jei šiemet reikia, ar netgi, būtina, ir vėl kalbėti apie kibernetinį saugumą?
„Žengtas svarbus žingsnis į priekį – 2015 m. sausio 1 d. įsigaliojęs Lietuvos Respublikos Kibernetinio saugumo įstatymas šalyje suformavo teisinį pagrindą ir įtvirtino valią bendromis pastangomis ginti Lietuvos kibernetinę erdvę. Kibernetinio saugumo ir telekomunikacijų tarnybai prie Krašto apsaugos ministerijos yra pavesta vykdyti minėtame įstatyme nurodyto Nacionalinio kibernetinio saugumo centro funkcijas. Konferencijos metu šio centro vadovas Rimtautas Černiauskas pristatys šių metų organizacijos veiklos rezultatus ir patvirtintus veiklos prioritetus, aktualius ne tik valstybinėms, bet ir privačioms kompanijoms.“ – atsako „Santa Monica Networks“, kompanijos priklausančios asociacijai „Infobalt“ ir savo patirtimi prisidėjusios prie įstatymo rengimo, generalinis direktorius M. Žiūkas.
Papasakokite plačiau apie nemažai prieštaringų nuomonių keliančią apskritojo stalo diskusiją „Privati erdvė darbo vietoje“. Kas joje dalyvaus ir prie kokių išvadų tikitės prieiti?
„Šiemet pirmą kartą IT departamentų direktorius ir įmonių vadovus kviečiame diskutuoti šia aktualia ir neišsenkančia tema – kaip efektyviai išnaudoti darbuotojų darbo laiką darbdavio tikslams pasiekti, kai „socialinė“ veikla darbuotojus įtraukia kiekvieną akimirką, nesvarbu kur jie būtų ar ką veiktų. Su mumis kalbėsis Ernestas Letukas, kompanijos „J.Friisberg & Partners“ partneris ir Renata Beržanskienė, advokatų kontoros „SORAINEN“ partnerė. E. Letukas, sukaupęs ilgametę patirtį kaip įmonių personalo vadovas, pristatys didžiųjų darbdavių lūkesčius, ir iš kitos pusės, galės atskleisti darbuotojų poreikius. R. Beržanskienė pasidalins teisine praktika ir padės susigauti darbo kodekso ir įstatymų gausoje.“ – pasakoja M. Žiūkas, kuris bus ir vienas diskusijos moderatorių.
„Santa Monica Networks“ Techninio skyriaus vadovas A. Žvirblis prisipažįsta, kad diskusijoje laikysis ne itin populiarios pozicijos. „Tikriausiai daugumos samdomų darbuotojų nepritarimui, manau, kad darbdavys turi turėti visas teises stebėti tai, ką daro darbuotojas darbo metu. Kokiuose puslapiuose jis lankose, kokią informaciją siunčia, su kuo kalbasi ir t.t. Jei darai tai, kas reikalinga darbui atlikti, nėra ką slėpti, tiesa?
Techninių priemonių yra labai daug, jomis galima blokuoti, riboti prieigą prie internete esančių resursų, prie įmonės duomenų bazių, prie tam tikrų dokumentų. Taip pat, galima tikrinti kokią informaciją darbuotojai persiunčia ir kur. Iš vienos pusės, tai yra dalis saugumo politikos, siekiant išvengti duomenų nutekėjimo, užtikrinti bendrovės IT infrastruktūros saugumą, iš kitos pusės, analizuojant tokius duomenis galima identifikuoti efektyvumo problematiką.
Kita vertus, stebėjimo priemonių naudojimas turi būti labai aiškiai ir griežtai reglamentuojamas. Nepritariu darbuotojų sekimui, kuomet yra nustatomos darbuotojų buvimo vietos, tarkime įdiegus programėles įmonės telefonuose; taip pat pokalbių įrašinėjimui to nepranešus, ar apskritai, sekimui ir tikrinimui paslapčiomis. Atėjus dirbti darbuotojas turi būti supažindinamas su saugumo politika ir jam neturėtų būti naujiena, kad yra „prižiūrimas“. “
Remdamiesi savo patirtimi, ar galite teigti, kad kibernetinis saugumas – Lietuvos įmonių prioritetų sąrašo viršuje?
„Perėjome į kibernetinio saugumo suvokimą „brandą“. Jei anksčiau terminas „saugumo politika“ buvo tarsi koks naujadaras, dabar jis nieko nebestebina. Tiesa, ar organizacijos tokią politiką kuria ir įgyvendina, jau kitas klausimas. Bet bent jau yra susipažinę. Prie švietimo prisideda ir žiniasklaida – garsiai „nuskamba“ ir vietos, ir pasaulinio masto incidentai, atskleidžiamos grėsmės ir pasekmės.
Kol kas kibernetinis saugumas Lietuvoje svarbiausias finansų sektoriui ir paslaugų tiekėjams – tiems, kurie yra susiję su tiesioginiais pinigų srautais. Šios organizacijos investuoja daugiausia ne tik į kompiuterinius sprendimus, bet ir į žmogiškuosius išteklius – po truputį pradedama suprasti, kad neužtenka tik įsigyti saugumo sprendimus, kurie dažniausiai yra tik įrankiai saugumui užtikrinti, reikia turėti žmonių, kurie gali ir žino kaip su jais dirbti. Tuomet tokios investicijos bus sąmoningos, o ne tik madingos.“ – įžvalgomis dalinasi saugumo ekspertas A. Žvirblis.