Lietuvoje bei Baltijos šalyse vis daugiau viešojo ir privataus sektoriaus paslaugų perkeliama į debesis. Tinkamai suplanuota ir prižiūrima debesijos infrastruktūra ne tik leidžia greičiau diegti verslui svarbias IT paslaugas, bet ir padeda užtikrinti nenutrūkstamą veiklą net kritinėmis aplinkybėmis. Vis dėlto debesijos saugumas nėra užtikrinamas savaime.
Netinkama konfigūracija, klaidingi įsitikinimai ar silpnai kontroliuojami duomenų srautai padidina riziką tapti kibernetinės atakos taikiniu. Ką daryti, kad debesija taptų ne silpnąja grandimi, o stipriu IT infrastruktūros pagrindu?
Pasauliniai kibernetiniai išpuoliai – aiški žinutė verslui
2025 m. viena žinomiausių Jungtinės Karalystės automobilių gamintojų „Jaguar Land Rover“ patyrė kibernetinę ataką. Įsilaužėliai, pasinaudoję pavogtais prisijungimo duomenimis, įgijo prieigą prie debesijos sistemų ir pavogė apie 350 GB vidinės informacijos – nuo dokumentų ir išeities kodo iki darbuotojų paskyrų duomenų. Prieigos kontrolės trūkumai ir nepanaikinti įgaliojimai leido atakos vykdytojams ilgą laiką išlikti nepastebėtiems.
Tais pačiais metais įsilaužėliai nusitaikė ir į pasaulinę debesijos paslaugų platformą „Oracle Cloud“, iš kurios pavogė apie 6 mln. įrašų. Incidentas paveikė daugiau nei 140 tūkst. naudotojų. Manoma, kad tam įtakos turėjo vis dar naudojami, bet neprižiūrimi senos infrastruktūros komponentai. Šis atvejis dar kartą priminė, kad saugumas debesijoje yra bendra atsakomybė – už ją vienodai atsako tiek paslaugų teikėjai, tiek jų klientai.
Kaip Lietuvos įmonės gali stiprinti saugumą debesyse?
Viena iš dažniausiai pasitaikančių spragų Lietuvos įmonėse – per plati ar nevaldomai suteikta prieiga prie debesijos resursų. Jei darbuotojai turi daugiau teisių nei būtina, o prisijungimams nenaudojamas kelių veiksnių autentifikavimas, organizacija tampa itin pažeidžiama. Todėl prieigos teisės turėtų būti suteikiamos tik esant realiam poreikiui ir, jei įmanoma, ribotam laikui.
Kitas svarbus aspektas – duomenų saugojimo vieta ir perdavimo saugumas. Jei informacija laikoma už Europos Sąjungos ribų arba siunčiama nešifruotu būdu, tai gali neatitikti Bendrojo duomenų apsaugos reglamento (BDAR) bei netrukus įsigaliosiančios TIS2 direktyvos reikalavimų. Įmonės turi aiškiai žinoti, kur yra jų duomenys, ir užtikrinti, kad jie būtų apsaugoti tiek saugojimo, tiek perdavimo metu.
Debesijos aplinkose veikiančios sistemos turi būti reguliariai atnaujinamos ir stebimos. Kitaip jos tampa lengvu taikiniu – ypač tokie komponentai kaip konteineriai, vieši API ar seniai nenaudojami resursai. Šias rizikas galima sumažinti taikant principą, kai joks vartotojas ar sistema nėra laikoma automatiškai patikima. Svarbu nuolat stebėti infrastruktūrą ir apie saugumą galvoti dar kuriant IT sprendimus, o ne tik jiems veikiant. Dar viena dažnai pasitaikanti spraga – visiškas pasikliovimas vienu debesijos paslaugų tiekėju, neturint aiškaus atsarginio plano. Tokiu atveju bet kokie technologiniai sutrikimai ar tikslingi išpuoliai gali sutrikdyti visos organizacijos veiklą.
Ką rekomenduoja TIS2 ir kaip jai pasiruošti?
Išpirkos reikalaujančios programos (angl. ransomware) – tai viena didžiausių ir sparčiausiai plintančių grėsmių kibernetinėje erdvėje. Prognozuojama, kad iki 2031 metų jų poveikis gali kainuoti organizacijoms apie 275 mlrd. JAV dolerių per metus, o tokias atkas viena įmonė ateityje patirs kas 2 sekundes.
Pastaruoju metu pagrindiniu išpuolių taikiniu tampa ne tik didelės, bet ir mažos bei vidutinės įmonės, kurios dažnai neturi pakankamų išteklių joms pasiruošti ar po jų atsigauti. Šiame kontekste itin svarbus vaidmuo tenka Europos Sąjungos (ES) TIS2 direktyvai, kuri netrukus bus įgyvendintas ir Lietuvoje. Joje numatoma, kad organizacijos privalės ne tik turėti aiškų kibernetinio saugumo valdymo planą, bet ir užtikrinti, jog jų naudojamos debesijos paslaugos atitiktų aukštus saugumo standartus.
Ruošiantis TIS2, svarbu reguliariai vertinti rizikas – tiek vidinėse sistemose, tiek debesijoje. Visiems vartotojams, ypač turintiems administravimo teises, turi būti taikomas kelių veiksnių autentifikavimas. Būtinas ir incidentų valdymo planas, apimantis debesijos paslaugų sutrikimus. Taip pat reikia įsitikinti, kad tiekėjai, ypač tie, kurie tvarko jautrius duomenis, laikosi atitinkamų saugumo standartų.
Be to, rekomenduojama naudoti šifravimą tiek duomenų perdavimo, tiek saugojimo metu, laikytis duomenų lokalizacijos reikalavimų ir reguliariai atnaujinti vidines saugumo taisykles. Jos turi būti aiškiai dokumentuotos ir suprantamos visiems darbuotojams, kad būtų užtikrintas nuoseklus jų taikymas praktikoje.
Tinkamai pasiruošus, saugumo investicijos tampa ne našta, o konkurenciniu pranašumu. Jeigu iki šiol nebuvo įvertinta, kaip organizacija atitinka TIS2 reikalavimus – ypač jei ji veikia sektoriuose, kuriems taikomi aukšti saugumo standartai – dabar yra tinkamas metas tai padaryti. Praktiškai įgyvendinamas vertinimas leidžia identifikuoti spragas, numatyti rizikas ir pasirengti audito reikalavimams. Prie šių procesų prisideda ir mūsų komanda, padėdama Lietuvos organizacijoms susiorientuoti naujuose saugumo reguliavimuose ir pasiruošti jiems užtikrintai.
