TIS2 era: kodėl kibernetinis saugumas tampa vadovų pareiga

Didžiąją dalį kibernetinių atakų prieš verslą šiandien įvykdo ne profesionalūs valstybių remiami įsilaužėliai, o vadinamieji „script kiddies“ – paaugliai ar pradedantieji, naudojantys paruoštus skriptus ir ieškantys elementarių IT spragų. Specialistų vertinimu, apie 75 proc. atakų priskiriama būtent šiai grupei.

Tą patį patvirtina ir praktika organizacijose. Atliekant socialinės inžinerijos testus, vienoje įmonėje vos 5 proc. darbuotojų susidomėjo nuoroda apie naują CEO, tuo tarpu nuorodą apie galimybę laimėti iPhone paspaudė net 20 proc. tų pačių darbuotojų. Ne prastesnis phishing’o jaukas – tariamos nuolaidos maisto pristatymui. Taigi nenuostabu, kad daugumą duomenų pažeidimų lemia žmogiškosios klaidos.

Šiais faktais dalijasi verslo advokatų profesinė bendrija „Constat“, kviečianti vadovus ir organizacijas kalbėtis apie IT rizikas. Viename iš kontoros renginių įžvalgomis dalijęsi ekspertai akcentuoja – kibernetinis saugumas yra vadovo atsakomybė, o ne IT projektas.

Incidentų statistika

Valstybinės duomenų apsaugos inspekcijos (VDAI) duomenimis, 58 proc. asmens duomenų saugumo pažeidimų lemia žmogiškos klaidos, o 29 proc. – kibernetiniai incidentai.

2025 m. VDAI gavo 223 pranešimus apie asmens duomenų pažeidimus, kurie paveikė apie 1,24 mln. duomenų subjektų. Tik 63 proc. organizacijų apie incidentus pranešė laiku, per BDAR’e nustatytas 72 valandas.

Visgi, VDAI direktorės Dijanos Šinkūnienės nuomone, šie skaičiai neatskleidžia tikrosios kibernetinių atakų statistikos.

VDAI direktorė Dijana Šinkūnienė.

Inspekcijos praktika rodo, kad dauguma pažeidimų kartojasi dėl tų pačių bazinių spragų: silpnos prieigų kontrolės, perteklinių teisių, neatnaujintos programinės įrangos, nepakankamo darbuotojų budrumo ir aiškaus incidentų valdymo plano stokos. Kitaip tariant, kalbama ne apie sudėtingas technologijas, o apie kasdienę organizacinę discipliną.

D. Šinkūnienės teigimu, sprendžiant dėl poveikio priemonių taikymo pažeidėjams yra vertinama, ar organizacijos buvo pasirengusios, ar turėjo ir testavo apsaugos priemones, aprašytas procedūras, ar bendradarbiavo su priežiūros institucijomis.

Dokumento neužtenka, reikia plano

Šiai logikai antrina ir „Constat“ partneris Steponas Virketis. „Šiandien svarbiausia ne turėti dokumentą, o įrodyti, kad organizacija realiai buvo pasirengusi – turėjo aiškias atsakomybes, veiksmų planą ir testuotas procedūras. Jei viską padarei ir vis tiek tapai atakos auka, tai viena situacija. Jei pasirengimo nebuvo arba procedūros tik formalios, reguliatorius tai vertina visai kitaip“, – sako advokatas.

„Constat“ partneris Steponas Virketis.

Jo teigimu, būtent į tai ir nukreiptas naujasis ES reguliavimas: „Atsiradus BDAR, su klientais kalbėdavome apie dokumento parengimą, atitiktį teisės aktams. Dabar reikia tikslaus, veikiančio „dienos X“ plano – kas per pirmąsias valandas sprendžia, kas komunikuoja, kas praneša institucijoms. Tai turi veikti praktikoje.“

Nusikaltėliai veikia kaip verslas

Kibernetinių grėsmių dinamika rodo, kad atakos tapo sistemine veikla su aiškiais uždarbio modeliais. „NordVPN“ CTO Marijus Briedis išskiria keturias pagrindines kryptis: išpirkos reikalaujantys „ransomware“, verslo el. pašto apgavystės (BEC), prisijungimo duomenų perpardavimas ir duomenų vagystės.

NordVPN“ CTO Marijus Briedis.

Bendras vardiklis – prieigos. Dauguma scenarijų prasideda nuo perimtų slaptažodžių ar prisijungimų. Tai sustiprinti gali tiekimo grandinės spragos, neteisingos debesijos konfigūracijos ar darbuotojų neatsargumas.

„NordVPN“ CTO teigimu, apie 75 proc. atakų įvykdo paaugliai („script kiddies“), naudojantys ne itin sudėtingas schemas, mažiau ketvirtadalio sudaro finansiškai motyvuotos organizuotos grupės, o sudėtingos, valstybės lygio operacijos sudaro gal tik penketą procentų.

Būtent dėl to M. Briedis vertina, kad iki 95 proc. rimtų incidentų būtų galima sustabdyti užtikrinus elementarią IT higieną. Darbuotojų sąmoningumas šį rodiklį pakeltų dar labiau. Tačiau praktikoje būtent šie pagrindai dažnai lieka nuošalyje arba apleidžiami iki kol įvyksta incidentas.

TIS2 keičia atsakomybės ribas

Ekspertai pastebi paprastą dėsningumą: IT administratoriui saugumas svarbus tiek, kiek jis svarbus vadovybei. Kai tema lieka IT skyriuje, rizikos lieka be realaus savininko.

Advokatų, dirbančių su kibernetinio saugumo ir IT reguliavimu, vertinimu, naujoji TIS2 direktyva ženkliai išplečia reikalavimus kibernetiniam saugumui ir jo priežiūrą. Į ją patenka vis daugiau organizacijų, taip pat per tiekimo grandinę.

TIS2 kontekste parengti šabloninius dokumentus nepakanka. „Constat“ advokatas, kibernetinio saugumo ekspertas Tomas Tobulevičius akcentuoja, kad reguliatorius vertina, ar procesai realiai veikia: kas atsakingas už incidentų valdymą, kaip priimami sprendimai, kaip testuojami scenarijai, kaip kontroliuojami tiekėjai. Būtent tai įforminti ir įgyvendinti praktiškai padeda teisininkai.

„Constat“ advokatas, kibernetinio saugumo ekspertas Tomas Tobulevičius.

„Atsiranda ir asmeninės atsakomybės aspektas. Vadovams nustatomos pareigos, kurių negalima perkelti IT skyriui ar išoriniams rangovams. Deleguoti galima užduotis, bet ne atsakomybę“, – pakartoja T. Tobulevičius.

Incidento atveju organizacijai gali tekti bendrauti su keliomis institucijomis – kibernetinio saugumo, duomenų apsaugos, sektoriniu reguliatoriumi. Pasekmės kaupiasi, todėl netvarka procesuose greitai tampa teisine ir finansine rizika.

Ką tai reiškia vadovams

Iš teisininkų patirties, versle išryškėja pasikartojančios problemos: neaiškios atsakomybės, netestuoti planai, pavėluoti pranešimai, tiekimo grandinės spragos, per didelis pasitikėjimas vien technologijomis.

Sprendimai dažnai prasideda nuo bazinių dalykų – aiškiai aprašytų ir išbandytų procedūrų, atsakomybių pasidalijimo, sutarčių su tiekėjais, reguliarių testų ir mokymų. „Kibernetinis saugumas jau turi būti suvokiamas kaip nuolatinis procesas, o ne vienkartinis projektas, kurį įgyvendinau ir ramiai gyvenu“, – įsitikinęs T. Tobulevičius.

Specialistų požiūris sutampa su viena paprasta išvada: klausimas dėl kibernetinių atakų jau seniai skamba ne „ar“, o „kada“.

Kai incidentas įvyksta, sprendimai turi būti priimami per minutes. Kai procesai aiškūs iš anksto suderinti, pasekmės valdomos. Kai jų nėra, kibernetinė problema greitai virsta teisine.