IT drošība uzņēmumā – patiesība un mīti
Strādājot Latvijas IT tirgū jau vairāk kā 15 gadus, esam sastapušies ar dažādiem pārsteidzošiem apgalvojumiem, kuri klejo uzņēmēju vidū. IT drošība uzņēmumā – šie mīti balstās saprotamā zināšanu un izpratnes trūkumā par dažādiem kompleksiem IT jautājumiem, jo prasa ne tikai nepārtrauktu izglītošanos, bet arī reālu darba pieredzi. Bieži vien šie aplamie pieņēmumi var uzņēmumam izdarīt lāča pakalpojumu.
Apkopojam dažus no šiem mītiem un paskaidrojam, kādēļ tie nav patiesība.
Mīts: Mēs esam tik mazi un nesvarīgi, ka uz mums tas neattiecas.
Tā tas nav!
Šāds kļūdains pieņēmums uzņēmumam var izmaksāt dārgi.
Vienkāršs piemērs: pat tad, ja jūsu uzņēmumam nav pilnīgi nekādu biznesa datu, kas nedrīkstētu nonākt pie konkurentiem, klientiem vai darbiniekiem, katram uzņēmumam ir vismaz savu darbinieku privātie dati: personas kodi, bankas konti, privātie tālruņa numuri. Šie ir dati, kuri nepieciešami darba attiecību likumīgai formēšanai. Gadījumā, ja šie dati noplūst un kāds, piemēram, ar konfliktu atbrīvots darbinieks, par to pasūdzas atbildīgajām institūcijām, uzņēmums tiek saukts pie atbildības, piemēram, pēc datu regulas (GDPR). Par datu regulas noteikumu neievērošanu sodi nav mazi, līdz pat 4% no uzņēmuma gada apgrozījuma! Arī Latvijā, Valsts Datu Inspekcija nesēž dīkā, un kā korektīvos pasākumus sākusi arī sodīt uzņēmējus par pārkāpumiem.
Mīts: Mums viss ir mākonī, mākoņpakalpojuma sniedzējs rūpējas par drošību.
Tā tas nav!
Izvēloties mākoņpakalpojumus darbojas tā sauktā dalītā atbildība (shared responsibility). Tas nozīmē, ka atbildība dinamiski sadalās starp mākoņpakalpojuma sniedzēju un pakalpojuma lietotāju.
Protams, mākoņpakalpojuma sniedzējs ir atbildīgs par to, lai dati viņu platformā nebūtu pieejami trešajām pusēm. Taču datus viņi sargā tikai pret nesankcionētu piekļuvi, jeb vienkāršāk runājot, pret mākoņa uzlaušanu.
Ne mazāka atbildība ir arī pakalpojuma lietotājam. Mākoņpakalpojuma sniedzējs jums piešķir dažādus rīkus un iespējas, kā platformu izmantot. To, kurš variants jums ir atbilstošāks, jāizlemj jums pašiem. Tas nozīmē, ka pašiem arī jāsaliek mākoņu sistēmā vajadzīgie ķeksīši un cipariņi.
Vienkāršs piemērs: divfaktoru autentifikācija. Mēs visi lietojam divfaktoru autentifikāciju, lai pieslēgtos bankas datiem, jo to prasa likums. Bet kā ir ar e-pastu un dokumentiem, ko uzglabājam trešo pušu mākonī? Šeit izvēle un arī atbildība ir jau mūsu ziņā.
Vēl viens piemērs – vai uzņēmuma vadītājs zina, kādām “trešajām” programmām uzņēmuma darbinieki ir aktivizējuši iespēju piekļūt, piemēram Office 365, ērtības dēļ? Tāpat, arī ar papildu lietojumprogrammām, ko ērtības dēļ pievienojam savam Office 365 kontam – vai tās ir drošas un ko tās dara datora fonā?
Mīts: Paroļu pārvaldības rīki ir pārāk sarežģīti – mums tos nevajag
Tā tas nav!
Kas tik nav redzēs mūs darba pieredzes laikā! Lietotāji pieraksta paroles uz lapiņām, blokos vai telefonā. Dažreiz paroli pieraksta uz lapiņas un pielīmē uz datora ekrāna! Ir pat redzēti saraksti ar visa biroja darbinieku e-pasta parolēm vienkārši mētājamies pa galdu.
Ir saprotami, ka drošu paroļu atcerēšanās no galvas nav iespējama – tātad, tās ir jāpieraksta. Bet kur? Šim nolūkam ir paroļu pārvaldnieks – programmatūra, kas atceras lietotāja pieslēgšanās datus dažādiem kontiem. Programma atvieglo drošu paroļu izmantošanu: tās ir pietiekami nejaušas, garas un atšķirīgas katram kontam.
Uzņēmumam var šķist, ka darbinieku datorprasmes nav pietiekami augstas un papildu programmatūras izmantošana radīs tikai lielāku apjukumu. Taču ar kvalitatīvu palīdzību un lietotāju atbalstu ar to var ātri tikt galā, un šeit atkal jādomā – kā IT ārpakalpojuma sniedzējs tajā var palīdzēt.
Mīts: Biometriskā autentifikācija – tas ir dārgi!
Tā tas nav!
Ja jūsu uzņēmums izmanto kaut vai lētākos no tieši biznesam paredzētajiem datoru modeļiem, tad tajos gandrīz vienmēr ir iebūvētas biometriskās autentifikācijas funkcijas. Vienkāršākais ir pirkstu nospiedumu lasītājs, kas ļauj datoru atslēgt (unlock) ar pirkstu nospiedumu. Parole vairs nav jāatceras! Pēdējos gados ir daudz runāts, ka pirkstu nospiedumu izmantošana autentifikācijai patiesībā nav nemaz tik droša. Tāpēc nu jau vairākus gadus ir pieejams jauns biometriskās autentifikācijas veids – sejas atpazīšana ar infrasarkano kameru. Šobrīd tas jau kļūst par plaši pieejamu un nedārgu risinājumu, kas pieejams gan portatīvajiem, gan stacionārajiem datoriem. Šajā gadījumā parole jau ir jūsu seja.
IT drošība uzņēmumā – vairāk par piedāvātajiem pakalpojumiem lasiet šeit.