Informācijas drošības audits palīdz uzņēmumam nezaudēt naudu

Papildu pandēmijai 2020. gads ir neaizmirstams kā kibernoziegumu rekordliela pieauguma gads. Saskaņā ar FBI sniegto informāciju ASV uzņēmumi ir ziņojuši par kiberuzbrukumu pieaugumu par 400%, un 68% vai vairāk uzņēmumu ir ziņojuši par krāpšanu. 2020. gada oktobrī Eiropols brīdināja, ka COVID-19 ir radījis kibernoziegumu skaita pieauguma tendenci. 2020. gada septembrī Igaunijas Valsts informācijas sistēmu departaments (RIA) ziņoja, ka Igaunijas uzņēmumiem kibernoziegumi ir radījuši 1 miljonu eiro zaudējumus. Lielākais atsevišķais gadījums radīja zaudējumus 100 000 eiro apmērā.

Neatbilstoša kiberdrošība ir slēpts drauds uzņēmumam, jo pārāk bieži kiberriski nav iekļauti vispārējā riska novērtējumā. Ja kiberdrošības risks materializētos, zaudējumi būtu ļoti reāli un ievērojami.

Papildu kiberuzbrukumiem, krāpšanai un sliktai kiberhigiēnai, t. i., ir nepietiekamām darbinieku zināšanas par kiberdraudiem un to novēršanu vai darba devēja norādījumu trūkums, kā aizsargāt uzņēmuma intelektuālo kapitālu un informācijas resursus. Uzņēmumi bieži atpaliek mūsdienīgu kiberdrošības tehnoloģiju lietošanā. Labs piemērs ir kiberincidents “Charlot” OÜ interneta veikalā, kur nelikumīgi tika iegūti 14 000 klientu dati, jo veiklas neizmantoja atbilstošas kiberdrošības tehnoloģijas.

Attālinātais darbs, ko ieviesa saistībā ar COVID-19 pandēmiju, 2020. gadā radīja papildu kiberdrošības problēmas un riskus. Attālinātais darbs kļuva par realitāti lielākajai daļai uzņēmumu, un bieži nepietika drošu savienojumu ar uzņēmumu serveriem, tādējādi radot neparedzētus izdevumus un kavēšanos, jo bija jāiepērk iekārtas un tika pazaudēts laiks.

Visbiežāk ļaunprogrammatūras tiek izplatītas, izmantojot pikšķerēšanu, kas pēdējos gados ir kļuvusi arvien sarežģītāka un pirmajā acu uzmetienā izskatās ļoti reāla. Ciešāk ieskatoties, var redzēt, ka burts uzņēmuma nosaukumā ir izmainīts vai vēstules teksta formulējums ir neparasts. Tikai vienam darbiniekam ir jākļūst par pikšķerēšanas upuri, lai kibernoziedzniekiem atvērtu durvis uz uzņēmuma intelektuālo īpašumu un konfidenciālajiem materiāliem. Izspiedējvīrusa uzbrukumā noziedznieki šifrē uzņēmuma failus un pieprasa izpirkumu par atšifrēšanas atslēgu un visu failu drošu atdošanu. Bet uzņēmumam jau ir par vēlu, informācijas sistēma ir uzlauzta, dati ir nozagti, un uzņēmums vairs nevar kontrolēt, kur nonāk tā dati.

Uzņēmuma darbības stratēģijas neatņemamai daļai vajadzētu būt darbinieku regulārai apmācībai, infrastruktūras un informācijas drošības pārbaudēm, kā arī atjauninātiem uzņēmējdarbības nepārtrauktības un negadījuma seku novēršanas plāniem kopā ar šo plānu regulārām pārbaudēm. Tas nodrošinātu operatīvu gatavību cīņai ar pastāvīgi pieaugošajiem kiberdraudiem.

Informācijas drošības audits, kas nosaka kiberdrošības riskus un sniedz ieteikumus riska mazināšanai, var palīdzēt uzņēmumam sasniegt pietiekamu kiberdrošības līmeni. Mēs novērosim un testēsim dažādu informācijas resursu drošības vajadzības, veiksim pārrunas ar vadītājiem un darbiniekiem, kā arī pārbaudīsim svarīgos pierādījumus (piem., iekšējās politikas, datoru iestatījumi, serveru telpas izkārtojums). Uz šo novērojumu pamata mēs sniegsim ieteikumus, kā mazināt kiberdrošības riskus. Mūsu informācijas drošības auditi tiek veikti atbilstoši standartam ISO 27001, kas ir informācijas drošības vadības sistēmas (ISMS) specifikācija. ISMS ir politiku un procedūru sistēma, kas ietver organizācijas informācijas riska vadības procesos iesaistīto juridisko, fizisko un tehnisko kontroli. Turklāt audits noderēs, ja uzņēmuma partneri, investori vai klienti pieprasīs pierādījumus par uzņēmuma atbilstību informācijas drošības prasībām.