Kā vadītājam uzņēmumā runāt par kiberdrošību ģeopolitiskā saspīlējuma apstākļos?

Krievijai uzsākot karu Ukrainā, arī pie mums tiek novērota paaugstināta kiberuzbrukumu intensitāte. Tas liek aktualizēt jautājumus: “Kā man saprast, cik ievainojams ir mūsu uzņēmums, vai mūsu sistēmas ir drošībā?” un “Kā vadītājam runāt par informācijas drošības jautājumiem uzņēmumā?”. 

Kara pirmajā dienā, 24. februārī, Aizsardzības ministrija deva uzdevumu valsts iestādēm veikt pastiprinātus drošības pasākumus1, kā arī prognozēja, ka kiberincidentu skaits pieaugs gan publiskajā, gan privātajā sektorā. Piemēram, Reuters ziņo2, ka ASV bankas gatavojas ievērojamam uzbrukumu pieaugumam pēc sankciju ieviešanas, savukārt Bloomberg raksta3 par mērķētu izspiedējprogrammas “HermeticWiper” izmantošanu datu tīklu inficēšanai un datu dzēšanai no Ukrainas Iekšlietu ministrijas sistēmām dažas stundas pirms iebrukuma sākuma4.  

Diemžēl, mūsu reģiona organizācijās IT kompetences ne vienmēr ir pārstāvētas augstākās vadības komandās, tādēļ diskusija par informācijas drošības pārvaldību ir ne katras valdes darba kārtībā. Taču tā ir tikpat būtiska tēma, kā kapitāla pietiekamība vai piegādes ķēžu nepārtrauktība. Turklāt nozares profesionāļi ir atzinuši – mūsdienās tas vairs nav jautājums, vai organizācija piedzīvos kiberincidentus, bet drīzāk – kad tas notiks 5.

Lai palīdzētu organizāciju vadītājiem runāt un pilnveidot izpratni par kiberdrošības un informācijas aizsardzības jautājumiem, Digital Mind iesaka izmantot ecoDa izstrādāto un Baltijas Korporatīvās Pārvaldības Institūta publicēto5 “Cyber-Risk Oversight” rokasgrāmatu.  Tā ir plānota, kā špikeris valdes un padomes locekļiem kiber-izpratnes veidošanai un iekšējās sarunas strukturēšanai. Rokasgrāmatā ir definēti 5 būtiski principi, kuriem pievērst uzmanību, vadot drošības riskus, kā arī piedāvāti praktiski instrumenti – jautājumi diskusijai ar iekšējo komandu, pašnovērtējuma anketas valdes, padomes locekļu zināšanu novērtēšanai un tamlīdzīgi. 

1. princips nosaka stratēģiskas risku pārvaldības pamatu, 2. un 3. princips sniedz papildus norādījumus, novērtējot riskus un nosakot atbilstošas stratēģijas. 4. un 5. principā ir sniegti norādījumi par to, ko valdei vajadzētu sagaidīt no vadības, lai risinātu kiberdrošību kā  riska pārvaldības problēmu uzņēmuma mērogā. Plašāk ar minētajiem principiem un stratēģiju var iepazīties elektroniskajā rokasgrāmatā. 

Viegli uztverams un praktiski izmantojams materiāls vadītāju ikdienas darbā, komunicējot un padziļinot izpratni par kibedrošību uzņēmumā. 

Avoti:

  1. https://lvportals.lv/dienaskartiba/338158-aizsardzibas-ministrija-bridina-par-dezinformacijas-un-kiberuzbrukumu-pieaugumu-risku-2022
  2. https://www.reuters.com/markets/europe/us-banks-prepare-cyber-attacks-after-latest-russia-sanctions-2022-02-27/
  3. https://www.bloomberg.com/news/articles/2022-02-24/digital-sleuths-track-clues-in-cyberattacks-on-ukrainian-assets
  4. https://www.bloomberg.com/news/articles/2022-02-26/hackers-destroyed-data-at-key-ukraine-agency-before-invasion
  5. https://www.bicg.eu/wp-content/uploads/2020/09/Handbook-1.pdf