Šodienas bizness nav iedomājams bez informācijas tehnoloģiju (IT) izmantošanas ikdienā. Faktiski var jau uzskatīt – ja tu neizmanto modernās komunikācijas, tu jau esi nolēmis sevi atpalicībai un stagnācijai
Taču IT nav tikai ērtības, jo līdz ar tehnoloģiju attīstību mainījušās arī drošības prasības pasaulē – šodien daudz vairāk jābaidās nevis no zagļa reālajā dzīvē, bet gan virtuālajā. Diemžēl daudzi to vēl neapzinās. Un tomēr – ja ievērojam pašas elementārākās drošības prasības, tad IT sniegto iespēju daudzums kļūst faktiski neierobežots – gan darba iespējas, gan dažādi pakalpojumi, gan arī biznesa ikdienas procesu paātrināšanā un vienkāršošanā.
«Drošības tēma ir tikpat veca kā internets. Taču tas, kas šodien par šo tēmu liek domāt daudz vairāk kā vēl pat pirms tikai dažiem gadiem, ir fakts, ka pēdējos gados tehnoloģijas attīstās īpaši strauji. Radītas daudzas un dažādas aplikācijas, būtiski attīstījušās arī mobilās aplikācijas. Ja agrāk mazajiem uzņēmējiem IT pārsvarā saistījās galvenokārt ar e-pastu un mājas lapu uzturēšanu, tad tagad IT iespējas ir augušas desmitkārtīgi. Turklāt tas šodien sniedz ne tikai iespējas, bet rada arī daudz lielākus drošības riskus,» skaidro informācijas tehnoloģiju uzņēmuma DEAC valdes priekšsēdētājs Andris Gailītis.
Viņam piekrīt uzņēmuma Data Security Solutions vadītājs Andris Soroka, kurš norāda, ka Latvijā līdz šim uzņēmēji pārāk maz uzmanības velta savu IT sistēmu un datu aizsardzībai no iespējamajiem nelabvēļiem. «Šodien privātajā sektorā strādājošie ar dažādu IT tehnoloģiju palīdzību apstrādā uzņēmuma datus, strādā ar klientu datu bāzēm un veic produktu iepirkumus vai tirdzniecību, tomēr aizvien retāk uzņēmuma vadība pietiekami nopietni izturas pret kibernoziedzības aktivitātēm,» viņš uzskata. Lai saprastu šodienas riskus, A. Soroka velk līdzības ar asa sižeta filmām, kas spilgti raksturo šodienas kiberdrošības specifiku: «Atcerēsimies – agrāk filmās noziedznieki ielauzās banku seifos, mākslas galerijās un īstenoja savus zādzību plānus. Bet tas viss notika fiziski. Šodien redzam, ka arī filmās kriminālā pasaule rīkojas daudz savādāk – zādzības daudzu miljonu vērtībā tiek īstenotas no attāluma, izmantojot modernās tehnoloģijas, bet pašiem paliekot lielā attālumā no zādzības vietas. Diemžēl tā nav vairs zinātniskā fantastika, bet reāla ikdiena. Turklāt nevajadzētu iedomāties, ka kriminālo pasauli interesē tikai lielās starptautiskās korporācijas. Tikpat labi par kiberuzbrukuma upuri var kļūt arī kāds mazs uzņēmums, kurš jauši vai nejauši kādu iemeslu dēļ nonācis kibernoziedznieku redzes lokā.» A. Gailītis uzskata, ka mazo un vidējo uzņēmumu īpašnieki diezgan pavirši izturas pret iespējamajiem riskiem internetā, tādēļ bieži šis pienākums paliek pakalpojuma sniedzēja ziņā. «Protams, simtprocentīgi ir ļoti grūti nodrošināties pret jebkuru uzbrukumu jūsu sistēmām. Tomēr ir svarīgi apzināties, ka agri vai vēlu uzradīsies kāds, kurš vēlēsies apskatīties jūsu datus. Šodien ir pieejamas tik dažādas tehnoloģijas un iespējas, tajā skaitā arī iespēja piekļūt savām datu bāzēm no attāluma, izmantojot internetu – vai caur datoru, vai arī mobilo viedtālruni, tāpēc ir tomēr vērts ievērot elementāro «higiēnu», līdzīgi kā mēs to veicam attiecībā uz savu ķermeni. Vienkārši ir jāievēro daži elementāri likumi: ja sistēma prasa mainīt paroli, tad dariet to, turklāt nelietojiet tomēr standarta ciparu kombinācijas, kā arī nevajag pašam izaicināt likteni un šo paroli uzlīmēt uz monitora. Tāpat, ja strādājat ar savām datu bāzēm caur viedtālruni, vajadzētu tomēr uzlikt paroles datu bāzēm arī šajā ierīcē. Un beigu beigās – nemētājiet savu telefonu, kur pagadās! Neizaiciniet likteni,» skaidro A. Gailītis.
A. Soroka atgādina, ka arī kibernoziedznieku galvenais mērķis tomēr ir pelnīt, kas nozīmē, ka ir salīdzinoši maza varbūtība, ka uzņēmuma sistēmām nelabvēļi kaitējumu centīsies radīt tikai sava prieka pēc. Faktiski arī kaitējumu IT kriminālā pasaule konkrētam uzņēmumam radīs tad, ja būs saņemts konkrēts pasūtījums no kāda konkurenta, kurš attiecīgi samaksās par šāda kaitējuma veikšanu. Tādēļ būtiski izvērtēt savu IT sistēmu drošību un saprast, cik pasargāts uzņēmums ir no iespējamiem uzbrukumiem, vienalga, vai datu bāzes atrodas mākoņos vai pašu serveros. «Tas nav mazsvarīgs apstāklis – līdzīgi kā ikviens godīgais uzņēmējs, arī kibernoziedznieki izvēlas vieglāko ceļu, protams, ja nav saņemts konkrēts pasūtījums veikt uzbrukumu. Darbojoties uz savu iniciatīvu, IT kriminālās pasaules aktīvisti šauj uz dullo, mēģinot atrast tā sauktos caurumus uzņēmumu IT sistēmās. Taču gadījumā, ja saskaras ar pastiprinātām drošības sistēmām, bieži vien hakeri atsakās no tālākām darbībām, ja tās prasa ilgu laiku, lai uzlauztu un piekļūtu potenciālā upura IT sistēmām. Tas ir līdzīgi kā mājoklī – jo grūtāk būs tur iekļūt, jo lielāka iespēja, ka zaglis meklēs citu dzīvokli,» pauž A. Soroka.
A. Gailītis norāda, ka aizvien vairāk pakalpojumu, tajā skaitā datu uzglabāšana, ir pieejami ārpus uzņēmuma telpām – mākoņos, ko piedāvā dažādas vietējās un starptautiskās kompānijas, attiecīgi nodrošinot arī augstu drošības līmeni visām savām sistēmām. «Galvenais ieguvums no šī visa – kļūst aizvien vairāk sistēmu, kuras ir pieejamas arī mazajiem un vidējiem uzņēmumiem – gan datu bāzes, gan dažādas grāmatvedības sistēmas. Manuprāt, ar laiku gandrīz viss būs mākoņos, jo uz to norāda pašreizējās IT industrijas attīstības tendences. Savukārt par IT sistēmu, tai skaitā dažādu datu drošību, atbildību uzņemsies pakalpojuma sniedzējs, kuram šis būs pamatbizness un attiecīgi arī iespēja veltīt gana daudz līdzekļu, lai sistēmas nodrošinātu pret uzbrukumiem gan tieši, gan arī preventīvi,» viņš norādīja.
IT kompānijas Exigen Services Latvia eksperts Ainārs Galvāns atzīmē, ka Latvijā nemaz netiek veikta uzskaite, cik gadā vai mēnesī tiek veikti uzbrukumi uzņēmumu un iestāžu IT sistēmām, tomēr nevajadzētu iedomāties, ka mēs esam atrauti no ārējās pasaules un neesam interesanti kibernoziedzniekiem, tādēļ par drošību varam domāt pavirši. «Diemžēl mūsdienās uzņēmēju vidē drošība IT jomā tiek īstenota tikai tik daudz, cik to nosaka attiecīgas prasības konkrētajā jomā. Faktiski tā ir drošība drošības pēc, nevis tādēļ, ka uzņēmējs vēlas pasargāt sevi no potenciālajiem uzbrukumiem,» uzsvēra Exigen Services Latvia eksperts. Viņš piekrīt, ka drošības pasākumu kompleksu risinājumu piemērošana ir dārga, tomēr katram uzņēmējam ir iepēja izvēlēties vidusceļu, kas nepieciešams tieši viņa biznesam, lai nodrošinātos pret riskiem. «Nav tā, ka esam izvēles priekšā – visu vai neko. Mēs katrs varam izvērtēt, cik lielā mērā mūsu biznesa drošība ir atkarīga no IT un attiecīgi no tehnoloģiskiem riskiem. Veicot šādu elementāru auditu, varam arī saprast, cik daudz mums jāiegulda sistēmu drošībā, lai nepazaudētu biznesu,» pauž A. Galvāns.
Visi trīs IT jomas speciālisti akcentē, ka uzņēmēji arī visai nepareizi uztver kibernoziedzības draudus, uzskatot, ka iespējamais uzbrukums var radīt varbūt kādus materiālus zaudējumus tikai pašam, taču tā ir pārvarama nianse, kas nav uzskatāma par vienu no galvenajām prioritātēm. «Patiesība ir pavisam cita – katram uzņēmumam ir savs klientu loks, ar kuriem ikdienā notiek sadarbība. Attiecīgi uzņēmuma datu bāzē glabājas arī konkrēta informācija par partneriem, tajā skaitā sadarbības līgumi un cita veida konfidenciāla informācija, kuru partneris jums uztic, paļaujoties, ka tā nenoplūdīs trešajām personām. Līdz ar to šis jautājums katram ir jāskata daudz dziļāk – ja datus nozags, tiks iedragāta jūsu reputācija esošo un arī potenciālo sadarbības partneru acīs. Bet tas, savukārt, var neaprobežoties ar vienreizējiem zaudējumiem, lai salabotu uzlauztās sistēmas, jo pastāv risks, ka jums būs grūti atrast sadarbības partnerus, kuri būs gatavi jums uzticēt savus datus,» skaidro A. Soroka. Savukārt A. Galvāns, kura ikdienas darbs saistīts ar dažādu sistēmu drošības testēšanu, norāda, ka svarīgi ir pastāvīgi pārbaudīt savas sistēmas, sevišķi, kad tiek veikta kādu aplikāciju atjaunināšana ar jaunākām versijām, kad var tikt uzinstalēti jauni drošības caurumi, kuru iemesls gandrīz vienmēr ir izstrādātāja paviršība, kļūda vai arī steiga. «Kad testēju aplikācijas, smagākās problēmas parasti atrodu pirmajās trijās dienās. Savukārt tipisks padziļināts sistēmu audits ilgst pāris nedēļas, kad aplikācija tiek pārbaudīta pilnībā pret visiem iespējamajiem drošības riskiem. Tomēr lielākie riski ir cilvēku paviršība, es teiktu – kiberanarhija, kad IT lietotāji ignorē jebkādus drošības nosacījumus – lieto elementāri uzminamas paroles, ignorē sistēmu paziņojumus par kādiem drošības riskiem. Un rezultāts šādai paviršībai var būt pat graujošs, uzskata IT eksperts. Par drošības tēmu IT nozarē tika spriests arī 22. oktobrī notikušajā 6. starptautiskajā kiberdrošības konferencē Rīgā, kuru rīkoja kompānija Data Security Solutions un kuru atbalstīja DEAC un Exigen Services Latvia, kuru speciālisti arī uzstājās ar referātiem par drošības problemātiku IT jomā.
