in

რა უნდა იცოდნენ ხელმძღვანელებმა კიბერუსაფრთხოების შესახებ და როგორ უზრუნველყონ ის?

დღეს, როდესაც მსოფლიომ თავისი ოპერაციების დიდი ნაწილი გააციფრულა, კიბერუსაფრთხოებისადმი დამოკიდებულება შეიცვალა და მისი საჭიროება სულ უფრო ცხადი ხდება . კიბერუსაფრთხოება განმეორებადი და განახლებადი ქმედებების ერთობლიობაა, რომელიც კრიტიკული სისტემების ციფრული შეტევებიგან დასაცავად არის მიმართული.  IT კომპანია Spectre-ის პროფესიონალები მიიჩნევენ, რომ კიბერუსაფრთხოების გათვალისწინება პროექტის დასაწყისშივე, დიზაინირების პირველ საფეხურზევეა აუცილებელი, რათა კომპანიის რისკები წინასწარ განისაზღვროს და საჭიროების შემთხვევაში, დაცვა და რეაგირება დროულად მოხდეს. მაინც, რატომაა მნიშვნელოვანი კიბერუსაფრთხოება? რა უნდა იცოდნენ მის შესახებ მენეჯერებმა? ამის შესახებ Spectre-ის ტექნიკური დირექტორი ალექსანდრე მუმლაძე გვესაუბრა, რომელსაც მრავალწლიანი გამოცდილება აქვს როგორც კომერციული, ისე სახელმწიფო ორგანიზაციების კიბერუსაფრთხოების მიმართულებით სტრატეგიების შემუშავებასა და კონსულტირებაში. ამრიგად, მას ყველაზე კარგად ესმის რა არის საჭირო მსგავსი საფრთხეების პრევენციისთვის.

M: რა უნდა იცოდნენ ხელმძღვანელებმა კიბერუსაფრთხოების შესახებ და როგორ შეუძლიათ მისი უზრუნველყოფა?

პირველ რიგში, ხელმძღვანელს ზუსტად უნდა ესმოდეს კიბერუსაფრთხოების მნიშვნელობა – რა პროცესების ერთობლიობაა და რა სარგებლის მოტანა შეუძლია. კიბერუსაფრთხოება არის განმეორებადი და განახლებადი ქმედებების ერთობლიობა, კრიტიკული სისტემების ციფრული და ფიზიკური შეტევებიგან დასაცავად. ფიზიკური უსაფრთხოების მაგალითად შეიძლება გამოდგეს ფაქტი: თუ მე ჩემს ავტომობილს, ავტოფარეხში არ დავაყენებ, კრიმინალს შეუძლია უფრო დიდი ავტომობილით, უბრალოდ, წაიღოს ის. ასევე, მნიშვნელოვანია თანამედროვე ავტომობილისგან მომავალი ციფრული სიგნალების დაცვა (ბლუთუსი, უსადენო კავშირი ინტერნეტთან, ჯიპიესი და ა.შ.), რომელთა კონტროლის ბოროტმოქმედთა ხელში მოხვედრამ ბევრად უფრო მეტი ზიანი შეიძლება მოიტანოს, ვიდრე ზემოთნახსენები ფიზიკური გატაცებაა. ანალოგიური სიტუაციაა მონაცემების დაცვის შემთხვევაშიც. კრიტიკულად მნიშვნელოვანია მათი როგორც ფიზიკური, ასევე ციფრული მექანიზმებით დაცვა.

M: ვისთვის არის საჭირო კიბერუსაფრთხოებაზე ყურადღების გამახვილება?

უბრალოდ ყველასთვის. აქვე მოგიყვებით ერთ ისტორიას. ერთ-ერთ უცხოურ კომპანიას, რომელსაც მსოფლიოს მასშტაბით უამრავი ფილიალი აქვს დღესაც, ჰქონდა გაფორმებული კონტრაქტი სავენტილაციო სისტემების მონტაჟისა და შემდგომი სერვისის განმახორციელებელ კომპანიასთან. აღნიშნულ სერვის კომპანიას, იმისთვის, რომ ეკონტროლებინა სავენტილაციო სისტემები, მისცეს წვდომა (რაღა თქმა უნდა, ე.წ. რემოუთ აქსესი) სავენტილაციო სისტემების მართვის სერვერთან, რათა პროცესების მართვა გამარტივებულიყო და ბევრად უფრო მცირე დროში შესრულებულიყო. აღნიშნული სერვის კომპანია გახდა თავდასხმის მსხვერპლი, რის შესახებაც ვერ გაიგეს, შესაბამისი კიბერშეტევისგან თავდაცვის და მონიტორინგის სისტემების უქონლობის გამო. აღნიშნული არანასანქცირებული წვდომის შემდეგ, თავდამსხმელებმა შეძლეს შეეღწიათ სამიზნე კომპანიის სერვერულ ინფრასტრუქტურაში, როგორც სანდო პირებს. სამიზნე კომპანიამ, როგორც რეპუტაციული, ასევე ფინანსური (ასეულობით მილიონის) ზარალი ნახა.

M: რა რისკებს უკავშირდება კიბერუსაფრთხოების საკითხების უგულვებელყოფა და რა უნდა იცoდნენ მენეჯერებმა კიბერუსაფრთხოების შესახებ?

კიბერუსაფრთხოების საკითხების უგულვებელყოფა ბიზნესისთვის 2 ყველაზე მნიშვნელოვან აქტივს ანადგურებს: 1) რეპუტაცია, 2) ფინანსები. მენეჯერებმა უნდა გაიაზრონ ის რისკი, რაზეც მიდიან უსაფრთხოების უგულვებელყოფით. კიბერუსაფრთხოებაში აუცილებელია კონტროლის მექანიზმის დანერგვამდე, მისი ღირებულებისა და სარგებლის ანალიზი (cost & benefit analyses). თუ აქტივის დასაცავად უფრო მეტ თანხას იხდი, ვიდრე აქტივის ღირებულებაა, ეს იმას ნიშნავს, რომ უკვე არასწორად აფასებ რისკებს.

M: თქვენი გამოცდილებით, რა ტექნოლოგიებით არის შესაძლებელი კიბერუსაფრთხოების უზრუნველყოფა?

კიბერუსაფრთხოების 100%-ით უზრუნველყოფა შეუძლებელია. ვინც იტყვის, რომ რაიმე კონკრეტული პროდუქტით, ან პროდუქტების ერთობლიობით, ჩვენს დაცულობას უზრუნველყოფს, მარტივად რომ ვთქვათ, გვატყუებს. როგორც დასაწყისში აღვნიშნე, კიბერუსაფრთხოება არის განმეორებადი და განახლებადი ქმედებების ერთობლიობა, რაც ნიშნავს, რომ ყველა პროცესი, მრავალჯერ უნდა გადაიხედოს და დაიხვეწოს. ყველა მიდგომა ადრე თუ გვიან ძველდება, უჩნდება ხარვეზი, რადგანაც ტექნოლოგია არ დგას ერთ ადგილას. არც კიბერკრიმინალები შეწყვეტენ თავიანთი ტექნიკების დახვეწას და განახლებას. ამიტომ მნიშვნელოვანია კიბერუსაფრთხოების დაგეგმვის, განხორციელების და მონიტორინგის პროცესში, ჩართუნი იყონ ამ საქმის პროფესიონალები. ადამიანები, რომლებსაც ზურგს უმაგრებთ მრავალწლიანი გამოცდილება და აღნიშნული საკითხების საფუძვლიანი ცოდნა.
ორგანიზაციის კიბერუსაფრთხოება, რომ მაქსიმალურად დაცული იყოს, აუცილებელია ორგანიზაციაში დაინერგოს კიბერ უსაფრთხოების სტრატეგია, რომელიც იქნება ბიზნესის მიზნებთან და წარმატების ინდიკატორებთან თანხვედრაში. კიბერუსაფრთხოება აერთიანებს ადამიანებს, ტექნოლოგიებს და პროცესებს რომლებიც ერთმანეთზეა გადაჯაჭვული.

ჩვენ ყოველთვის ვხელმძღვანელობთ საერთაშორისო სტანდარტებით, როგორიც არის ISO, NIST, PCIDSS COBIT და სხვა. აღნიშნული სტანდარტები აერთიანებს კონტროლების ერთობლიობას, როგორიც არის ადმინისტრაციული კონტროლები: პოლიტიკები, პროცედურები, სტანდარტები, გაიდლაინები, წესები და სხვა. ტექნიკური კონტროლები: წვდომის კონტროლები, კიბერ უსაფრთხოების ინსტრუმენტები, ქსელების, სისტემების და აპლიკაციების დაცული ტოპოლოგიები და სხვა. ასევე, ფიზიკური კონტროლები: რომლებიც იცავს ადამიანებს, მონაცემებს და ორგანიზაციის აქტივებს ფიზიკური განადგურებისგან, დაზიანებისგან ან მოპარვისგან. ამ ყველაფრის გათვალისწინებითა და ინდივიდუალური საჭიროებების მიხედვით ვქმნით კიბერუსაფრთხოების სტრატეგიებს, რასაც შემდეგ ვნერგავთ ჩვენს კლიენტებთან ერთად.

M: რა სერვისებს უზრუნველყოფთ კომპანიის კიბერუსაფრთხოებაზე ზრუნვისას?

კიბერუსაფრთხოებას ქმნის არა სერვისი, არამედ ადამიანები, რომლებიც ამ სერვისებს მართავენ. ამ მოცემულობის გააზრება კრიტიკულად მნიშვნელოვანია. ნებისმიერი კიბერიარაღი, თავდაცვითი იქნება ის თუ თავდასხმითი, არაა ეფექტური მისი შესაძლებლობების მაქსიმალურად გამოყენების გარეშე. ზუსტად ამისთვისაა საჭირო 2 რამ: ცოდნა და გამოცდილება.

M: თქვენი ხედვით, დროთა განმავლობაში, როგორ განვითარდება ეს სფერო?

თუ კიბერუსაფრთხოებას გულისხობთ, ამ სფეროს განვითარება დამოკიდებულია, რამდენად გასაკვირიც არ უნდა იყოს, კიბერკრიმინალების გამჭრიახობაზე, რაც მეტად რთულ და უცნაურ მეთოდებს მოიფიქრებენ თავდახმების განსახორციელებლად, მით მეტად დაიხვეწება კიბერუსაფრთხოებაც. ჩემი აზრით, ბევრად უფრო დიდი ყურადღება უნდა მიექცეს, კიბერუსაფრთხოების ყველაზე სუსტ რგოლს, მომხმარებელს ე.წ. End User-ს. მარტივად რომ წარმოიდგინოთ, ნებისმიერ კომპანიაში მოიძებნება “End User”, რომელიც გარკვეული, არც თუ დიდი, გასამრჯელოს სანაცვლოდ, ადვილად შეაერთებს თქვენ მიერ გატანებულ ფლეშ მეხსიერებას თავის კომპიუტერში ისე, რომ ერთი წამითაც არ დაფიქრდება. ამიტომ, ძალინ მნიშვნელოვანია, ყველას და მითუმეტეს მენეჯმენტს ესმოდეს, რა არის კიბერუსაფრთხოება, ვინ უნდა იყოს მასზე პასუხისმგებელი და რა დანაკარგი შეიძლება გამოიწვიოს მისმა უგულვებელყოფამ.

[R]

სილქ როუდ ბანკის ახალი სერვისცენტრი ბათუმში

მცენარეული სპრეის საფარს საკვების შესაფუთად გამოიყენებენ