Pirms dažiem mēnešiem Ķīnā notikušais datu noplūdes incidents spilgti parādīja, ka dati vienlaikus ir gan pats vērtīgākais resurss, gan arī visvieglāk iegūstamais laupījums – nereti tikai šķietami nenozīmīgas kļūdas dēļ. Šis gadījums bija iespaidīgs ne tikai sava apjoma dēļ (noplūda 1,7 miljardi unikālu ierakstu), bet arī iemesla dēļ: izrādījās, ka visa informācija bija pieejama bez paroles.
Citiem vārdiem sakot – gadiem vāktie dati vienas nepārdomātas darbības rezultātā kļuva publiski pieejami. Un tas nebūt nav izņēmums. Pasaules Ekonomikas foruma dati liecina, ka 95% visu kiberdrošības incidentu ir saistīti ar cilvēku kļūdām – līdzīgām paviršībām, ieradumiem vai nolaidību.
Šī statistika liek atzīt: tehnoloģijas pašas par sevi reti ir galvenā problēma. Krietni biežāk patiesais riska avots ir mūsu pašu uzvedība, steiga un vāja datu aizsardzības kultūra. Ja šādas noplūdes notiek valsts vai pat globālā līmenī, ko tas nozīmē mazākiem uzņēmumiem, kuros dati ik dienu cirkulē starp desmitiem cilvēku, ierīču un lietotņu?
Jums varētu patikt šie:
Tieši šeit – ikdienas darbu, laika trūkuma un neskaidras atbildības krustpunktā – visbiežāk rodas lielākie drošības robi. Kā šos riskus kontrolēt un pārvērst datu aizsardzību no biedējoša pienākuma par dabisku ikdienas ieradumu? Atbildes uz svarīgākajiem jautājumiem sniedz Egle Tankevičiene, biznesa procesu konsultante, zīmola „Laikas plėstis“ dibinātāja un ISO standartu ieviešanas praktiķe.
Piekļuve datiem nav kontrolēta? Tad tos izmanto ne tikai jūsu komanda
Ērtības vai drošība? Daudzi uzņēmumi joprojām izvēlas pirmo, dodot piekļuvi vieniem un tiem pašiem failiem visai komandai – arī tiem darbiniekiem, kuriem šī informācija ikdienas darba veikšanai patiesībā nav nepieciešama. Taču vai šodien ietaupītais laiks rīt nepārvērtīsies par zaudētiem datiem un noplūdes risku?
Viens no būtiskākajiem datu aizsardzības principiem uzņēmumā ir, ka katrs darbinieks redz tikai tos datus, kas nepieciešami viņa tiešo pienākumu veikšanai. Jo vairāk informācijas cilvēks redz, jo lielāka ir ne tikai neuzmanības vai kļūdu iespējamība, bet arī potenciāli noplūstošo datu apjoms.
Par apdraudējumu var kļūt arī bijušais kolēģis, kuram pēc aiziešanas nav laicīgi slēgta piekļuve sistēmām: pietiek, ja tiek pārņemts viena e-pasta konts, lai konfidenciāla informācija nonāktu nepareizās rokās. Egle Tankevičiene uzsver, ka datu drošības kultūra sākas ar sīkumiem: „Piekļuves pārvaldība ir ieradums, kas parāda, vai organizācija patiešām apzinās savu datu vērtību.”
Ja šo procesu neviens nevada, tas nozīmē, ka komandā trūkst cilvēka, kurš būtu atbildīgs par datu drošību. Un tas savukārt nozīmē, ka riskējam šos datus zaudēt.
Jums varētu patikt šie:
Kā komandā droši pārvaldīt piekļuves?
Biznesa procesu konsultante iesaka ievērot šādus soļus:
- ierobežot piekļuvi atbilstoši amatam – katram darbiniekam jāsaredz tikai tas, kas vajadzīgs viņa darba uzdevumu izpildei;
- regulāri pārskatīt piekļuves tiesības un noņemt tās, kas vairs netiek lietotas vai nav nepieciešamas;
- nekavējoties bloķēt aizejošo darbinieku kontus un piekļuves, nevis pēc pāris nedēļām;
- iespēju robežās izmantot tikai darba e-pastus un darba ierīces; ja tiek lietoti personīgie konti vai ierīces, kritiski izvērtēt, vai tas patiešām ir neizbēgami.
Vājas paroles, spēcīgas sekas
Lai gan dati savā vērtībā ir pielīdzināmi naudai un reputācijai, paroles, ar kurām tos aizsargājam, bieži vien ir praktiski bezvērtīgas. Ieviešot uzņēmumos ISO 27001 informācijas drošības vadības standartu, Egle Tankevičiene atkal un atkal redz vienu un to pašu problēmu: „ISO 27001 ir viens no biežāk izvēlētajiem standartiem uzņēmumos, kas sāk nopietni domāt par datu drošību.
Tomēr jau pirmajos soļos gandrīz vienmēr atklājas viena un tā pati vājā vieta – paroļu politika. Pat ļoti vērtīgu datu aizsardzībai vēl aizvien tiek lietotas paroles, piemēram, „admin123”.” Viņasprāt, vajas paroles nav tehnoloģiska, bet gan uzvedības un kultūras problēma. „Ja dati uzņēmumā ir vērtība, tiem jābūt aizsargātiem ar tikpat vērtām parolēm,” viņa uzsver.
Katrai personai uzņēmumā jābūt savam individuālam kontam un unikālam lietotājam – ja notiek datu noplūde, tas palīdz ātrāk noteikt, no kurienes problēma sākusies. Parolēm pašām jābūt spēcīgām: tām jāsatur lielie un mazie burti, cipari un speciālie simboli. Jā, šādas kombinācijas ir grūti iegaumēt, taču tieši tam paredzēti paroļu pārvaldības rīki, kas ļauj glabāt visus nepieciešamos piekļuves datus droši un ērti.
Mākslīgais intelekts – palīgs vai drauds?
Mākslīgā intelekta rīki jau kļuvuši par ikdienišķu daudzu cilvēku un uzņēmumu darba sastāvdaļu. Līdz ar lielāku efektivitāti parādās arī jauns risks: informācija, ko nododam šīm sistēmām, nepaliek tikai mūsu rīcībā. To var saglabāt, analizēt, izmantot modeļu pilnveidošanai vai pat daļēji publiskot.
„Mākslīgais intelekts pats par sevi nav bīstams – par draudu tas kļūst tad, ja izmantojam to neapdomīgi,” norāda Egle Tankevičiene. „Arvien biežāk redzu, ka mākslīgais intelekts uzņēmumiem rada arī jaunus izaicinājumus, tāpēc īpaši svarīgi ir ieviest skaidrus noteikumus un atbildības sadalījumu.
Tas ietver gan jau izmantoto rīku izvērtēšanu, gan konkrētas vadlīnijas par to, kādus datus drīkst dalīt ar mākslīgo intelektu un kādus – nekādā gadījumā.”
Pēdējos gados radīti arī instrumenti šo risku pārvaldībai: piemēram, ISO/IEC 42001 standarts mākslīgā intelekta sistēmu pārvaldībai un Eiropas Savienības Mākslīgā intelekta akts (AI Act), kas nosaka stingrākas robežas un prasības tam, kā šīs tehnoloģijas drīkst izmantot un uzraudzīt. Kāpēc tas ir svarīgi?
Bieži vien mēs precīzi nezinām, kur nonāk informācija, ko ievadām mākslīgā intelekta rīkos. To var izmantot citu atbilžu ģenerēšanai vai, sliktākajā gadījumā, tā var nonākt konkurentu rīcībā. Tāpēc tas vairs nav tikai ieteikums, bet nepieciešamība skaidri noteikt, ar kādu informāciju „runāt” drīkst un ar kādu – nē. Pirms jebkā ievadīšanas mākslīgā intelekta rīkā ir vērts uz brīdi apstāties un pajautāt sev: vai es šo pašu informāciju labprāt izpaustu savam konkurentam?
Vai datu drošība ir tikai lielo uzņēmumu problēma?
Neatkarīgi no tā, vai uzņēmumā strādā pieci vai pieci simti cilvēku – datu aizsardzība ir svarīga ikvienam. Ar vērtīgu informāciju ikdienā saskaras arī vismazākās komandas, un šī informācija kādam var būt ļoti nozīmīga. Līdz ar to jautājums vairs nav „vai vispār ir vērts aizsargāt datus?”, bet gan „kā to darīt gudri?”.
„Uzņēmumi veido datu aizsardzības sistēmas ļoti dažādi,” skaidro Egle Tankevičiene. „Daži paši izstrādā savus noteikumus un procesus, citi balstās starptautiski atzītā praksē – piemēram, ISO standartos, kas palīdz izveidot skaidru un saprotamu datu aizsardzības politiku visā organizācijā. Taču pats svarīgākais ir tas, lai izveidotā sistēma patiešām darbotos, nevis eksistētu tikai dokumentos.”
Neatkarīgi no tā, vai runa ir par piekļuves pārvaldību, parolēm vai mākslīgā intelekta izmantošanu – dati jāaizsargā tikpat nopietni kā jebkurš cits vērtīgs aktīvs. Tie ir resurss, kas nodrošina uzņēmuma nepārtrauktību, unikālitāti un reputāciju, un to zaudēšana var izmaksāt daudz dārgāk nekā jebkurš drošības pasākums.
