Prisijunkite
Gavote nuorodą į įtartiną svetainę? Patyrėte kibernetinė incidentą? Radote IT sistemos saugumo spragą, o galbūt aptikote žalingą turinį internete? Neignoruokite to, tačiau ir nepradėkite panikuoti.
Naujajame Lietuvos Respublikos kibernetinio saugumo įstatyme aiškiai apibrėžiama, kokių veiksmų kibernetinio incidento metu įmonės turi imtis. Kadangi kibernetinių grėsmių sudėtingumas nuolat auga, pranešimai apie kibernetinius incidentus yra ne tik svarbūs, bet ir būtini organizacijoms, kad jos galėtų pasimokyti ir išvengti tų pačių klaidų.
Kibernetinis incidentas – tai įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.
Kibernetinio saugumo įstatyme numatoma, kad incidentų raportavimas privalomas visiems kibernetinio saugumo subjektams, t. y. organizacijoms, veikiančioms svarbiuose ar esminiuose sektoriuose (pvz., energetika, finansai, sveikata, transportas, IT, viešasis administravimas) ir atitinkančioms vidutinės ar didelės įmonės kriterijuspagal Smulkiojo ir vidutinio verslo plėtros įstatymą. Subjektus identifikuoja ir į registrą įtraukia Nacionalinis kibernetinio saugumo centras (toliau – NKSC).
„Jeigu incidento nepavyko išvengti, nereikėtų pulti į paniką – svarbu bendradarbiauti su NKSC ne tik incidentų metu, bet ir prevenciniu laikotarpiu“, – teigia advokatė, ECOVIS ProventusLaw partnerė Loreta Andziulytė. Ji priduria, kad net ir tuo atveju, jei organizacija nepatenka į Kibernetinio saugumo įstatymo taikymo sritį, rekomenduojama savanoriškai informuoti NKSC apie įvykusį kibernetinį incidentą. Tai padėtų užtikrinti operatyvią pagalbą ir sumažinti galimų neigiamų padarinių riziką, įskaitant finansinius, veiklos ir kitokio pobūdžio nuostolius.
Informacija apie incidentus teikiama per nacionalinę kibernetinių incidentų valdymo platformą, užpildžius specialią formą NKSC interneto svetainėje, elektroniniu paštu arba telefonu.
Kibernetiniams incidentams kiekviena įmonė gali užbėgti už akių pirmiausia pasitikrindama, ar ji patenka į reguliuojamų subjektų sąrašą. Ne mažiau svarbu yra pasirengti vidines procedūras, leidžiančias laiku identifikuoti incidentus ir užtikrinti raportavimo terminų laikymąsi, parengti incidentų valdymo planą ir bent kartą per metus jį testuoti bei dokumentuoti rezultatus bei paskirti atsakingus asmenis ar padalinius, turinčius įgaliojimus ir kompetenciją reaguoti į incidentus.
Sąmoningas informacijos nuslėpimas ir savalaikis informacijos NKSC nepateikimas apie įvykusį incidentą, kuris pagal įstatymą priskiriamas prie „didelio“ lygio, laikomas pavojingu pažeidimu ir gali užtraukti baudą ar papildomas vykdymo užtikrinimo priemones, tokias kaip veiklos ar jos dalies laikinas sustabdymas, vadovo laikinas nušalinimas nuo pareigų, arba nurodymai viešai paskelbti apie pažeidimą, kas savo ruožtu gali sukelti dar didesnę reputacinę žalą nei pats incidentas.
Anot L. Andziulytės, svarbiausia, kad organizacijos suprastų, jog raportavimas apie kibernetinio saugumo incidentu nėra tik formalumas. „Kadangi atakos tampa vis sudėtingesnės ir greitesnės, raportavimas yra labai svarbus siekiant kirsti kelią jų pasikartojimui ateityje“, – teigia L. Andziulytė.
0 komentarų
Komentuoti ir diskutuoti gali tik registruoti portalo lankytojai. Kviečiame prisijungti prie mūsų bendruomenės ir prisijungti prie diskusijų!
Prašome prisijungti