Portalas Lrytas spalio 17 d. organizavo didžiausią praktinę saugumo konferenciją Lietuvoje „Saugumo kodas“. Jos metu pranešėjai sutiko – organizacijų pasiruošimo ekstremalioms situacijoms lygis Lietuvoje nepakankamas.
Kokią pagrindinę klaidą daro organizacijos?
Pasak Editos Nemiros, nors apie rizikas kalbama vis dažniau, daugelis įmonių pasiruošimą kritinėms situacijoms vis dar supranta pernelyg formaliai.
„Dažnu atveju įmonės turi gana lakonišką dokumentų paruoštuką su kontaktiniais duomenimis, o įvykus kibernetinei atakai, ar duomenų praradimui, pradeda ieškoti, kas organizacijoje atsakingas už duomenų saugą“, – teigė E. Nemira.
Ji pastebi, kad organizacijos dažnai pervertina savo pasirengimą.
„Kai klausiame, kaip jūs pasiruošę veiklos tęstinumui, dažnai sako: na, sutartyje pas mus parašyta 30 dienų, kad turime gyvuoti. Tada mes klausiame, ar tikrai jūs galėtumėte 30 dienų gyvuoti? Ir tuomet grįžtame prie to, kad visgi reikėtų realiai testuoti ir išsibandyti planus“, – pataria ekspertė.
Standartai, kurie padeda užtikrinti veiklos tęstinumą
Kaip veiksmingiausius būdus įmonėms ir organizacijoms užtikrinti pasirengimą, E. Nemira įvardino Veiklos tęstinumo valdymo (ISO 22301) ir Informacijos saugumo valdymo (ISO 27001) standartus. Jie padeda organizacijoms įsivertinti procesus, parengti atsistatymo planus ir juos praktiškai išbandyti.
„Reikia susikurti vadybos sistemos procedūras, apsirašyti veiklos tęstinumo, atsistatymo planus ir išsibandyti juos realiai. O tai užtrunka ir pusę metų, ir metus“, – teigė E. Nemira.
Telecentro patirtis: nuo plano iki realaus pasirengimo
Telecentras daugeliui siejasi su Vilniaus televizijos bokštu – vienu iš labiausiai atpažįstamų šalies simbolių. Tačiau šiandien organizacija vis labiau žinoma ir kaip IT paslaugų teikėja. Organizacija valdo valstybės duomenų centrus, teikia duomenų perdavimo, debesijos ir kibernetinio saugumo sprendimus, o jos veikla sertifikuota pagal eilę tarptautinių ISO standartų.
„Telecentras yra antros kategorijos nacionaliniam saugumui užtikrinti svarbi įmonė. Tai mums suteikia ne tik įsipareigojimą, bet ir ypatingą atsakomybę – užtikrinti nepertraukiamą veiklą Telecentro valdomuose valstybės duomenų centruose, kuriuose klientai saugo savo duomenis“, – pranešimą pradėjo A. Zuikis.
Anot jo, diegiant ISO 22301 sistemą teko peržiūrėti visas tvarkas, nustatyti kritinius procesus ir įsivertinti, kiek laiko galime toleruoti paslaugos sustojimą. Tokiam pasiruošimui reikia laiko ir nuoseklumo. Šiuo metu Lietuvoje Veiklos tęstinumo valdymo standartą yra įsidiegusios vos kelios įmonės.
„Lietuviškas įmones, kurios yra įsidiegusios šį ISO 22301 standartą, galima ant vienos rankos pirštų suskaičiuoti – esame viena iš tokių. Lietuvoje tai yra naujas standartas, bet visoms organizacijoms rekomenduojamas, ypatingai šių dienų geopolitiniame kontekste“, – teigė A. Zuikis.
Patarė, nuo ko pradėti
Telecentro Veiklos vystymo departamento direktorius kaip vieną svarbiausių aspektų, diegiant ISO 22301 standartą, įvardino vadovybės įsitraukimą.
„Būtinas vadovybės įsipareigojimas ir noras diegti šį standartą. Jeigu vadovybė neduoda tokio impulso, tai natūralu, kad tas nenuvilnija ir į kitus padalinius. Kai vadovybė turi bendrą kryptį, tada natūraliai standartas yra įdiegiamas“, – teigė vadovas.
Sekantis žingsnis – kritinių procesų, kurie gali paveikti paslaugų sustojimą, nustatymas.
„Tai gali būti ir pakankamai žemiški dalykai: nukirptas kabelis, atjungta elektra, užliejimas, todėl turime viską apgalvoti“, – pasakojo A. Zuikis.
Kaip pavyzdį, vadovas pateikė kritinę situaciją.
„Šv. Kūčių naktį, trečią valandą nakties kažkokia paslauga sustoja. Ką tada darysime? Kaip tas paslaugas atstatysime? Natūralu, kad kiekvienai paslaugai reikia įsivertinti maksimalų leistiną sustojimo laiką ir tada žiūrėti, kokiais būdais procesai gali būti atkurti“, – patarė jis.
Kaip vieną iš svarbiausių strategijų, vadovas įvardijo rizikų mažinimo planą, kad paslaugos būtų atstatytos efektyviai ir per artimiausią laiko tarpą. Tam reikia papildomų įrenginių ar paslaugų teikėjų užtikrinimo.
„Jeigu yra trys įrenginiai, turėtų būti ir ketvirtas – kad vienam sugedus, kiti likę įrenginiai galėtų užtikrinti pilną paslaugos tęstinumą. Taip pat esame pasiruošę taip, kad, jeigu išoriniai partneriai neatvyktų, patys galėtume užtikrinti veiklos tęstinumą“, – tvirtino A. Zuikis.
Pranešimo pabaigoje E. Nemira paskatino įmones įsivertinti, ar iš tiesų yra pasiruošusios netikėtai kibernetinei atakai ar kitokio tipo grėsmei bei priminė, kad ISO 220301 standartas leis užtikrinti organizacijų veiklos tęstinumą.
„Svarbiausia – ne turėti planą, o gebėti jį įgyvendinti“, – sakė E. Nemira.
Telecentras šiuo keliu jau eina – įmonės veikla sertifikuota pagal ISO 22301 ir ISO 27001 standartus, užtikrinančius tiek veiklos tęstinumą, tiek duomenų saugumą.