Nepilnības arhitektūrā - drauds ne tikai uzņēmuma kiberdrošībai, bet arī pastāvēšanai
Veicot uzņēmumu apvienošanās vai iegādes darījumus, svarīgi arī pienācīgi apspriest lēmuma ietekmi uz uzņēmuma IT un drošības risku profiliem un spēju integrēties jaunajā un esošajā digitālājā vidē. Šie darījumi bieži vien vairo riskus, jo to rezultātā tiek savienoti arī komplicēti sistēmu tīkli, tādējādi padarot tos vēl sarežģītākus un nereti arī vieglāk ievainojamus. Tādēļ jau laicīgi jāņem vērā riski, kuri šī darījuma rezultātā rodas un jāatrod pareiza pieeja, lai jauniegūto uzņēmumu veiksmīgi iekļautu kompānijas IT un darbības infrastruktūrā. Kiberdrošība jau sen vairs nav tikai uzņēmuma IT direktora, IT drošības vadītāja vai citu tehnisko speciālistu prioritāte un netiek uzskatīta par tehnisku iniciatīvu un rīkojumu kopumu.
Vēl pavisam nesen varējām novērot situāciju, kurā vairāku lielo uzņēmumu tehniskās darbības, sistēmas un procesi bija kļuvuši izteikti dārgi, smagnēji un sarežģīti. Straujais digitalizācijas laikmets ir saasinājis situāciju, jo uzņēmumi arvien biežāk ir izveidojuši kopīgas vides ar dažādiem jauniem partneriem, lai paplašinātu savu darbības sfēru un nodrošinātu izaugsmi. Situācija aptver gan preču un pakalpojumu (tostarp IT pakalpojumu) piegādes ķēdes attiecības, gan datu, izplatīšanas, mārketinga un inovāciju partnerības. Covid-19 pandēmijas radītie izaicinājumi uzņēmējdarbībai ir veicinājušas straujāku digitālo risinājumu ieviešanu, kas balstās uz datiem, digitālajiem tīkliem un ierīcēm, kuras visbiežāk uzņēmumi izmanto ārpus organizācijas robežām.
Daudzu organizāciju tehnoloģiskā arhitektūra, kas bieži vien sastāv no vairākiem mantoto sistēmu slāņiem ar dažādiem ierobežojumiem, liecina par sarežģītības līmeņa palielināšanos. Savukārt daudziem “ar digitalizāciju pazīstamiem” uzņēmumiem, kas radīti nesen, ir vienkāršības priekšrocība. Šie uzņēmumi ir digitāli veidoti no pašiem pamatiem, izmantojot jaunākās paaudzes IT standartus un labās prakses metodes, kuru mērķis ir uzlabot sistēmu savstarpējo savietojamību. Pārmantotajās struktūrās bieži vien ir drošības nepilnības, ko var izmantot uzbrucēji.
Kiberuzbrukumu skaits pasaulē pieaug, un tie ietver potenciāli postošus noziedzīgus izspiedējvīrusu uzbrukumus un nacionālas/valstiska līmeņa aktivitātes, kas vērstas pret valdības institūcijām, aizsardzības un augsto tehnoloģiju sistēmām, piemēram, uzlaužot IT tīklu pārvaldības programmatūru un citas sistēmas. Katrs incidents apdraud no viena līdz pat vairākiem simtiem lietotāju (gan uzņēmumos, gan valsts institūcijās), un tas var palikt neatklāts mēnešiem ilgi.
Uzņēmumu vadītājiem šobrīd ir īstais brīdis novērtēt, kādi kiberriski apdraud viņu uzņēmumus un kā tie var ietekmēt šo uzņēmumu darbību un pastāvēšanu. Lai izvērtētu IT un drošības riskus, jāsāk ar pamatprincipiem. Piemēram, pārliecināties, ka plānotās stratēģiskās darbības nepalielinās risku radīt sarežģījumus un nepasliktinās pašreizējo situāciju. Galvenais priekšnoteikums uzsākot novērtēšanu, ir apzināties, ka, lai sakārtotu uzņēmuma IT infrastruktūru, vajadzēs ne tikai pārveidot sistēmas, bet arī īstenot vērienīgākas — un bieži vien ilgtermiņa — pārmaiņas IT struktūrās. Šī procesa gaitā identificējamās problēmas un iespējas var iedalīt trīs kategorijās.
Uzņēmumi nereti reaģē uz kiberdrošības nepilnībām, norādot uz to nopietnību, taču veic ierobežota mēroga pasākumus, lai tās novērstu. Šāds risinājums pēc būtības tikai īslaicīgi identificē problēmas, taču tam nav ilgtermiņa seguma. Augošās draudu intensitātes dēļ bieži nepieciešamas plašākas pārmaiņas, pārskatot arī autonomijas līmeņus uzņēmumā.
Tipiskākas ir problēmas, kas saistītas ar ekosistēmām un piegādes ķēdēm, kuru nepārredzamā sarežģītība vairs neļauj tās droši pārvaldīt. Uzņēmumam svarīgi izvērtēt ārējos partnerus, izvēloties spēcīgus un inovatīvus nozares dalībniekus, tādējādi nodrošinot gan daudzveidību, gan elastību. Samazinot sistēmu sarežģītību, iespējams nodrošināt lielāku pārredzamību, kas ļauj visām pusēm labāk izprast savas individuālās lomas piegādes ķēžu aizsardzībā pret kibernoziegumiem. Rezultātā datu ekosistēma kļūst drošāka, jo uzņēmums stingrāk nosaka savu un savu piegādātāju atbildību, labāk nodala individuālo atbildību un izmanto jaunas tehnoloģijas, lai attīstītu uzraudzību.
Iekšējie procesi un sistēmas, visticamāk, būs rūpīgi jāpārbauda, ņemot vērā to sarežģītību un tajos ietvertos riskus. Piemērs: daudzās finanšu iestādēs maksājumu sistēmas ir veidotas vairāku gadu garumā, izmantojot gan jaunākās, gan vecākas lietojumprogrammas. Pārrāvumi, kas kavē sistēmas pieejamību (ierobežo klientu iespējas veikt darījumus), bieži vien ir saistīti ar novecojušām tehnoloģijām galvenajās maksājumu sistēmās. Patiesībā iemesls ne vienmēr ir novecojusī tehnoloģija, bet gan novecojušie procesi, ko tā atbalsta. Tradicionāli šie procesi ir strukturēti tā, lai darījumus slēgtu vairāku dienu maksājumu ciklā. Tā kā uzņēmējdarbība ir pārorientējusies uz prasību veikt darījumus reāllaikā, mantotajās sistēmās ir jāiekļauj arvien sarežģītāki apvedceļi ar tehnoloģijām, kas “tūlītēju” maksājumu iestrādā vairāku dienu procesā. Šīs sarežģītības dēļ ir palielinājusies kļūdu iespējamība, kas var rezultēties dažādās problēmsituācijās. Šo sistēmu nomaiņai ir nepieciešami sarežģīti biznesa lēmumi, apjomīgi ieguldījumi un, protams, griba pārvarēt attieksmi “ja tas nav sabojāts, tad nevajag to labot”.
Lai gan ieguvumi no IT drošības sakārtošanas uzņēmumā vai iestādē ir lieli, tie ne vienmēr ir tieši saistīti ar kiberdrošību, tādēļ nereti tos ir sarežģīti īstenot. Efektīvas pārvaldības un dalītas atbildības sistēmu izveide prasa apzinātu rīcību gan ilgtermiņā, gan īstermiņā. Lai to īstenotu, visiem procesā iesaistītajiem uzņēmuma darbiniekiem (sākot jau no vadības komandas) nepieciešama vienota izpratne par šo procesu nozīmību, ieguvumiem un vērtību, ko tie sniedz. Uzņēmumi un iestādes, kuras reaģēs uz kiberdrošības nepilnībām, vadītāji, kuri ir gatavi uzņemties iniciatīvu un rādīt piemēru, noteikti spēs izveidot labāku plānu uzņēmuma drošībai.
Lai veicinātu sabiedrības izpratni par kiberdrošības jautājumiem, oktobris jau devīto gadu ir pasludināts par Eiropas kiberdrošības mēnesi. Šo iniciatīvu uzsāka Eiropas Savienības Kiberdrošības aģentūra (ENISA) sadarbībā ar Eiropas Komisiju ar mērķi pievērst iedzīvotāju uzmanību drošai informācijas tehnoloģiju lietošanai un datu apstrādei.
Kontakti
