Kibernetinio saugumo auditas verslui

Kibernetinio saugumo auditas verslui: ką tikrinti, kiek kainuoja ir kaip pasiruošti

Autorius /

Kibernetinės atakos 2025 m. Lietuvos verslams kainavo daugiau nei bet kada anksčiau. Nacionalinis kibernetinio saugumo centras (NKSC) fiksavo rekordinį skaičių incidentų, o vidutinė vienos sėkmingos atakos kaina smulkiam ir vidutiniam verslui siekė dešimtis tūkstančių eurų, kai kuriems atvejams viršijant šešiaženklę sumą.

Tačiau dauguma šių atakų nebuvo sofistikuotos. Jos pavyko todėl, kad įmonės nežinojo apie savo silpnąsias vietas. Pasenę serveriai, neužtaisytos programinės įrangos spragos, per daug privilegijų turintys darbuotojai, nesaugūs slaptažodžiai – visa tai galima aptikti ir ištaisyti prieš tai padarant nusikaltėliams.

Būtent tam skirtas kibernetinio saugumo auditas.

Šiame straipsnyje rasite viską, ką verslui reikia žinoti: ką apima auditas, kokiais etapais jis vyksta, kokios spragos randamos dažniausiai, kiek tai kainuoja ir kaip pasiruošti, kad procesas būtų sklandus ir naudingas.

Kas yra kibernetinio saugumo auditas ir kodėl jis svarbus

Kibernetinio saugumo auditas – tai sistemingas ir struktūrizuotas įmonės IT infrastruktūros, procesų, politikų ir žmogiškojo faktoriaus vertinimas. Jo tikslas – nustatyti pažeidžiamumus, rizikos lygį ir atitiktį saugumo standartams, kol tai nepadarė nusikaltėliai.

Tai ne paprastas antivirusinės programos patikrinimas. Auditas apima visą ekosistemą: nuo serverių konfigūracijos iki darbuotojų elgsenos, nuo ugniasienės taisyklių iki atsarginių kopijų atkūrimo testų.

Kodėl tai reikalinga kiekvienam verslui:

  • Aklųjų zonų identifikavimas. Įmonės vidaus IT komanda dažnai nemato problemų, prie kurių priprato. Išorinis auditas atneša šviežią perspektyvą.
  • Reguliavimo atitiktis. BDAR, NIS2 direktyva, ISO 27001, PCI DSS – reglamentai reikalauja reguliarių saugumo vertinimų. Neatitiktis gali kainuoti iki 4 % metinės apyvartos baudą.
  • Verslo partnerių ir klientų pasitikėjimas. Vis daugiau B2B klientų reikalauja saugumo audito ataskaitos prieš pasirašydami sutartį.
  • Draudimo sąlygos. Kibernetinio draudimo bendrovės vis dažniau reikalauja audito rezultatų ir gali atsisakyti mokėti žalą, jei auditas nebuvo atliktas.
  • Realus žalos prevencijos efektas. Pagal Ponemon instituto duomenis, reguliariai audituojamos įmonės patiria 45 % mažiau finansinės žalos nuo kibernetinių incidentų.

Kibernetinio saugumo audito tipai

Ne visi auditai yra vienodi. Priklausomai nuo jūsų verslo poreikių, reguliavimo aplinkos ir biudžeto, galite rinktis skirtingus audito tipus.

Atitikties auditas (Compliance Audit)

Tikrinama, ar įmonė atitinka konkrečius reguliavimo reikalavimus ar standartus. Pavyzdžiai: BDAR atitikties vertinimas, ISO 27001 sertifikavimo auditas, PCI DSS atitiktis mokėjimų apdorojimui.

Kam tinka: Įmonėms, kurios tvarko asmens duomenis, apdoroja mokėjimus arba dirba su valstybės institucijomis.

Techninis pažeidžiamumų vertinimas (Vulnerability Assessment)

Automatizuoti ir rankiniai testai, skirti aptikti technines spragas: pasenusią programinę įrangą, neteisingai sukonfigūruotus serverius, atvirus prievadus, silpnus šifravimo algoritmus.

Kam tinka: Visoms įmonėms kaip pradinis audito žingsnis arba reguliari periodinė patikra.

Penetracinis testavimas (Penetration Testing)

Etiški hakeriai bando realiai įsilaužti į jūsų sistemas naudodami tuos pačius metodus kaip kibernetiniai nusikaltėliai. Tai pats intensyviausias ir realistiškiausias audito tipas.

Kam tinka: Įmonėms su jautria informacija, finansinėms institucijoms, sveikatos priežiūros įstaigoms, technologijų bendrovėms.

Socialinės inžinerijos auditas

Testuojamas žmogiškasis faktorius: siunčiami simuliuoti sukčiavimo (phishing) laiškai darbuotojams, bandoma patekti į biurą be leidimo, skambinama ir prašoma konfidencialios informacijos.

Kam tinka: Visoms organizacijoms, nes žmogiškoji klaida yra nr. 1 kibernetinių atakų priežastis.

Konfigūracijos auditas

Tikrinami konkretūs sistemos nustatymai: ugniasienės taisyklės, prieigos kontrolės sąrašai, šifravimo parametrai, žurnalų (log) valdymo konfigūracija.

Kam tinka: Įmonėms, kurios neseniai migravo į debesį, pakeitė IT infrastruktūrą arba patyrė incidentą.

Visapusis saugumo auditas (Full Security Audit)

Apjungia visus aukščiau išvardintus tipus į vieną kompleksinį vertinimą. Tai brangiausias, bet ir išsamiausias variantas.

Kam tinka: Didelėms organizacijoms, įmonėms prieš IPO, po didelio kibernetinio incidento arba pradedant darbą su strateginiu klientu.

Ką tikrina kibernetinio saugumo auditas: pagrindinės sritys

Profesionalus auditas apima plačią sričių gamą. Štai ką auditoriai tikrina kiekvienoje iš jų.

Tinklo infrastruktūra

  • Ugniasienės konfigūracija ir taisyklių efektyvumas
  • Tinklo segmentacija (ar gamybiniai serveriai atskirti nuo darbuotojų darbo stočių)
  • Atviri prievadai ir neautorizuotos paslaugos
  • Belaidžio tinklo saugumas
  • VPN konfigūracija ir naudojimo politika
  • DNS saugumo nustatymai (DNSSEC, DoH/DoT)

Prieigos valdymas

  • Vartotojų paskyrų politika (slaptažodžių reikalavimai, galiojimo terminai)
  • Privilegijuotų paskyrų valdymas (PAM)
  • Dviejų veiksnių autentifikavimo (2FA/MFA) diegimo lygis
  • Buvusių darbuotojų paskyrų būsena (ar deaktyvuotos?)
  • Rolėmis pagrįsta prieigos kontrolė (RBAC)
  • Vieningos prieigos (SSO) konfigūracija

Duomenų apsauga

  • Duomenų klasifikavimo sistema (ar įmonė žino, kurie duomenys yra jautriausi?)
  • Šifravimas ramybės būsenoje (at rest) ir perdavimo metu (in transit)
  • Duomenų nutekėjimo prevencijos (DLP) priemonės
  • Atsarginių kopijų kūrimo politika ir atkūrimo testai
  • Duomenų saugojimo ir naikinimo procedūros

Galutinių taškų sauga (Endpoint Security)

  • Antivirusinė ir EDR (Endpoint Detection and Response) sprendimai
  • Operacinių sistemų ir programinės įrangos atnaujinimų būsena
  • Mobiliųjų įrenginių valdymas (MDM)
  • Šifruoti standieji diskai (BitLocker, FileVault)
  • USB ir išorinių laikmenų politika

Debesijos saugumas

  • Debesijos paslaugų konfigūracija (AWS, Azure, Google Cloud)
  • Prieigos raktų ir API raktų valdymas
  • Saugyklos segmentų (S3, Blob storage) prieigos nustatymai
  • Žurnalų rinkimas ir stebėsena debesyje
  • „Infrastructure as Code” (IaC) šablonų saugumo peržiūra

Žmogiškasis faktorius

  • Darbuotojų saugumo supratimo lygis
  • Sukčiavimo (phishing) simuliacijų rezultatai
  • Saugumo politikų žinojimas ir laikymasis
  • Incidentų pranešimo procedūrų supratimas
  • Naujų darbuotojų apmokymų kokybė

Audito procesas žingsnis po žingsnio

Gerai suplanuotas auditas vyksta nuosekliais etapais. Kiekvienas turi savo tikslą ir rezultatą.

1 etapas: planavimas ir aprėpties nustatymas (1–2 savaitės)

Prieš pradedant bet kokius techninius testus, auditoriai susitinka su įmonės vadovybe ir IT komanda, kad nustatytų:

  • Audito tikslus. Ar siekiama atitikties konkrečiam standartui? Ar norite bendrinio saugumo lygio vertinimo? Ar buvo incidentas, kurį reikia ištirti?
  • Aprėptį. Kurios sistemos, tinklai ir procesai bus tikrinami? Ar apimamas tik biuras, ar ir nuotoliniai darbuotojai? Ar testuojama ir fizinė sauga?
  • Apribojimus. Kurios sistemos negali būti testuojamos gamybos metu? Kokie laiko langai priimtini intensyviems testams?
  • Kontaktinius asmenis. Kas turės prieigą prie audito rezultatų? Kas bus atsakingas už bendradarbiavimą?

Šio etapo rezultatas: Audito planas su aiškia aprėptimi, terminais ir atsakomybėmis.

2 etapas: informacijos rinkimas (1–2 savaitės)

Auditoriai renka visą reikalingą informaciją apie esamą IT aplinką:

  • Tinklo schemos ir architektūros dokumentai
  • IT turto sąrašas (serveriai, darbo stotys, tinklo įrenginiai, debesijos resursai)
  • Esamos saugumo politikos ir procedūros
  • Ankstesnių auditų ataskaitos ir incidentų žurnalai
  • Naudojamų trečiųjų šalių paslaugų sąrašas
  • Organizacinė struktūra ir prieigos teisių matrica

Patarimas verslams: Kuo geriau paruošite šiuos dokumentus iš anksto, tuo greičiau ir efektyviau vyks auditas. Jei neturite kai kurių dokumentų, tai jau pats savaime yra svarbus audito radinys.

3 etapas: techninis vertinimas (2–4 savaitės)

Pagrindinis audito etapas, kurio metu atliekami faktiniai testai:

Automatizuotas nuskaitymas:

  • Pažeidžiamumų skeneriai (Nessus, Qualys, OpenVAS) tikrina visas sistemas ir tinklo įrenginius
  • Tinklo analizatoriai identifikuoja neįprastą srautą ir konfigūracijos problemas
  • Kodo analizės įrankiai tikrina programinės įrangos pažeidžiamumus

Rankinis testavimas:

  • Penetracinis testavimas – etiški hakeriai bando realiai įsilaužti
  • Konfigūracijos peržiūra – auditoriai rankiniu būdu tikrina nustatymus
  • Verslo logikos testavimas – bandoma piktnaudžiauti sistemos logiką neįprastais būdais

Socialinės inžinerijos testai:

  • Sukčiavimo el. laiškų siuntimas darbuotojams
  • Telefono skambučiai, siekiant gauti konfidencialią informaciją
  • Fizinės prieigos bandymai (jei sutarta)

4 etapas: analizė ir rizikos vertinimas (1–2 savaitės)

Surinkti duomenys analizuojami ir klasifikuojami pagal riziką:

Rizikos vertinimo matrica:

Rizikos lygisAprašymasPavyzdysTaisymo terminas
KritinisNedelsiant išnaudojamas pažeidžiamumasNeužtaisyta nuotolinio kodo vykdymo spragaPer 24–48 val.
AukštasReikšmingas pažeidžiamumas, reikalaujantis tam tikrų sąlygųSilpnas administratoriaus slaptažodisPer 1–2 sav.
VidutinisPažeidžiamumas, didinantis riziką kombinacijoje su kitaisNeaktyvuotas 2FA kai kuriose paskyrosePer 1 mėn.
ŽemasMažos rizikos problema ar gerosios praktikos nesilaikymasPerteklinės ugniasienės taisyklėsPer 3 mėn.
InformacinisRekomendacija saugumo gerinimuiŽurnalų saugojimo trukmės didinimasPagal planą

5 etapas: ataskaitų rengimas (1–2 savaitės)

Profesionalus auditas pateikia du ataskaitų lygmenis:

Vadovybės ataskaita (Executive Summary):

  • Bendrasis saugumo lygio vertinimas (dažnai skalėje nuo A iki F arba procentais)
  • Pagrindinės rizikos ir jų galimas finansinis poveikis
  • Prioritetinės rekomendacijos
  • Palyginimas su pramonės vidurkiu
  • 3–5 puslapiai, skirta vadovams, kurie priima biudžeto sprendimus

Techninė ataskaita (Technical Report):

  • Detalus kiekvieno pažeidžiamumo aprašymas su įrodymais
  • Žingsniai, kuriais buvo pasiektas pažeidžiamumas
  • Konkretūs taisymo veiksmai su kodo pavyzdžiais ir konfigūracijos rekomendacijomis
  • CVE nuorodos ir CVSS balai, kur taikoma
  • 30–100+ puslapių, skirta IT komandai

6 etapas: remediacija ir pakartotinis tikrinimas (2–8 savaitės)

Po ataskaitos pateikimo prasideda taisymo darbai:

  • IT komanda taiso pažeidžiamumus pagal prioritetų eilę (kritiniai pirmi)
  • Auditoriai konsultuoja dėl taisymo būdų, jei reikia
  • Pakartotinis nuskaitymas patvirtina, kad pažeidžiamumai ištaisyti
  • Galutinė ataskaita su patvirtinimu apie ištaisytus radinys

Dažniausiai randamos spragos: ką auditoriai mato kiekvienoje kitoje įmonėje

Per ilgametę praktiką auditoriai mato pasikartojančius modelius. Šios problemos kartojasi nepriklausomai nuo įmonės dydžio ar sektoriaus.

Pasenusi ir neatnaujinta programinė įranga

Tai pati dažniausia ir lengviausiai ištaisoma problema. Serveriai su Windows Server 2012, nebenaudojamos PHP versijos, senos WordPress instaliacija su 3 metų senumo papildiniais – visa tai turi žinomus pažeidžiamumus, kuriuos galima išnaudoti per kelias minutes.

Realus pavyzdys: Vienos Lietuvos e. komercijos įmonės auditas atskleidė, kad jų mokėjimų puslapis veikė ant Apache serverio versijos, turinčios 47 žinomų pažeidžiamumų, iš kurių 12 buvo kritiniai.

Silpni ir pakartotinai naudojami slaptažodžiai

Auditoriai reguliariai randa administratorių paskyras su slaptažodžiais „Admin123″, „company2024″ arba su gamykliniais slaptažodžiais. Penetracinio testavimo metu daugiau nei 60 % įmonių slaptažodžių pavyksta nulaužti per pirmąsias 4 valandas.

Pernelyg plačios prieigos teisės

Darbuotojas, pradėjęs dirbti kaip stažuotojas, po dvejų metų tampa skyriaus vadovu, bet vis dar turi prieigą prie stažuotojams skirtų sistemų. Tuo tarpu jo naujoms pareigoms reikalingos teisės pridedamos, bet senos niekada nepanaikinamos. Rezultatas – viena paskyra su prieiga prie visko.

Atsarginių kopijų problemos

Trys dažniausios situacijos:

  1. Atsarginės kopijos kuriamos, bet niekada nebuvo bandyta iš jų atkurti duomenų
  2. Kopijos saugomos tame pačiame serveryje kaip originalūs duomenys
  3. Kopijos nešifruotos ir prieinamos bet kuriam turinio administratoriui

Trūkstami arba nepakankami žurnalai (logs)

Kai įvyksta incidentas, pirmasis klausimas yra „kas, kada ir kaip?” Tačiau daugelis įmonių neregistruoja arba nepakankamai ilgai saugo sistemos žurnalus. Be jų incidento tyrimas tampa spėliojimų žaidimu.

Nesegmentuotas tinklas

Kai visos sistemos yra viename tinklo segmente, vienos darbo stoties kompromitavimas reiškia prieigą prie visko – nuo el. pašto serverio iki finansinės apskaitos duomenų bazės. Tinklo segmentacija yra kaip priešgaisrinės sienos pastate: jos neleidžia ugniai (ar įsilaužėliui) išplisti.

Kiek kainuoja kibernetinio saugumo auditas

Audito kaina priklauso nuo kelių pagrindinių veiksnių:

Kainą lemiantys veiksniai:

  • Įmonės dydis (darbo stočių skaičius, serverių skaičius, darbuotojų skaičius)
  • IT infrastruktūros sudėtingumas (vien lokalūs serveriai vs. hibridinis debesis)
  • Audito aprėptis (tik pažeidžiamumų vertinimas vs. pilnas auditas su penetraciniu testavimu)
  • Reguliavimo reikalavimai (BDAR vertinimas, ISO 27001 sertifikavimas)
  • Audito kompanijos patirtis ir reputacija

Orientacinės kainos Lietuvos rinkoje (2026 m.):

Audito tipasMaža įmonė (iki 50 darbuotojų)Vidutinė įmonė (50–250 darbuotojų)Didelė įmonė (250+ darbuotojų)
Pažeidžiamumų vertinimas1 500–3 000 €3 000–7 000 €7 000–15 000 €
Penetracinis testavimas3 000–6 000 €6 000–15 000 €15 000–40 000 €
BDAR atitikties auditas2 000–4 000 €4 000–10 000 €10 000–25 000 €
Visapusis saugumo auditas5 000–10 000 €10 000–30 000 €30 000–80 000+ €

Kainos perspektyva: Vidutinė kibernetinės atakos kaina Lietuvos įmonei siekia 25 000–100 000 €, neįskaitant reputacinės žalos. Auditas, kainuojantis 5 000–10 000 €, yra investicija, ne išlaidos.

Kaip pasiruošti auditui: praktinis kontrolinis sąrašas

Geras pasiruošimas gali sutaupyti 20–30 % audito laiko ir biudžeto. Štai ką turėtumėte padaryti prieš auditorių atvykimą.

Dokumentacija

  • ☐ Parengti IT turto sąrašą (serveriai, darbo stotys, tinklo įrenginiai, mobiliieji įrenginiai)
  • ☐ Surinkti tinklo topologijos schemas (jei jų nėra – tai jau pirmas radinys)
  • ☐ Pateikti esamas IT saugumo politikas ir procedūras
  • ☐ Pateikti darbuotojų prieigos teisių sąrašą
  • ☐ Surinkti ankstesnių auditų ataskaitas (jei buvo atlikti)
  • ☐ Pateikti trečiųjų šalių paslaugų ir tiekėjų sąrašą

Techniniai pasiruošimai

  • ☐ Užtikrinti, kad auditoriai turės reikalingą prieigą (be bereikalingų kliūčių)
  • ☐ Įspėti IT komandą apie audito laikotarpį
  • ☐ Nustatyti „draudžiamas zonas” – sistemas, kurių negalima testuoti gamybos metu
  • ☐ Paruošti testinę aplinką, jei gamybinė aplinka negali būti testuojama
  • ☐ Užtikrinti žurnalų (logs) prieinamumą bent už 90 dienų

Organizaciniai pasiruošimai

  • ☐ Paskirti kontaktinį asmenį, kuris koordinuos bendradarbiavimą su auditoriais
  • ☐ Informuoti vadovybę apie audito tikslus ir laukiamus rezultatus
  • ☐ Nustatyti, kas turės prieigą prie galutinės ataskaitos
  • ☐ Planuoti biudžetą ne tik auditui, bet ir remediacijai (taisymo darbams)

Kaip pasirinkti audito partnerį

Ne visi kibernetinio saugumo auditoriai yra lygūs. Pasirinkimas gali lemti skirtumą tarp formalaus „varnelių uždėjimo” ir realios vertės verslui.

Į ką atkreipti dėmesį:

Sertifikatai ir kvalifikacijos. Ieškokite komandų, kurių nariai turi pripažintus sertifikatus:

  • OSCP (Offensive Security Certified Professional) – penetracinio testavimo ekspertizė
  • CISSP (Certified Information Systems Security Professional) – platus saugumo žinių spektras
  • CISA (Certified Information Systems Auditor) – audito metodologijos ekspertizė
  • CEH (Certified Ethical Hacker) – etinio hakerių testavimo žinios

Pramonės patirtis. Auditorius, dirbęs su jūsų sektoriaus įmonėmis, žinos specifinius reguliavimo reikalavimus ir dažniausias to sektoriaus spragas. Fintech, sveikatos priežiūros ir gamybos sektoriai turi labai skirtingas rizikų profilius.

Ataskaitų kokybė. Paprašykite anonimizuotos ataskaitos pavyzdžio. Gera ataskaita turi aiškias rekomendacijas su konkrečiais veiksmais, o ne abstrakčias pastabas kaip „pagerinti saugumą”.

Metodologija. Profesionalūs auditoriai dirba pagal pripažintas metodologijas: OWASP Testing Guide, NIST Cybersecurity Framework, PTES (Penetration Testing Execution Standard), CIS Controls.

Atsakomybės draudimas. Audito metu visada yra rizika, kad testas gali sutrikdyti sistemas. Patikrinkite, ar auditorius turi profesinės atsakomybės draudimą.

Ko vengti:

  • Įmonių, kurios žada „100 % saugumą” – tokio dalyko neegzistuoja
  • Auditorių, siūlančių labai mažą kainą – greičiausiai gausite tik automatizuoto nuskaitymo ataskaitą be realios analizės
  • Kompanijų, kurios atsisako pateikti savo specialistų kvalifikacijų ar ankstesnių darbų pavyzdžių

Reguliarumas: kaip dažnai atlikti auditą

Vienketinis auditas yra geresnis nei jokio, bet tikra vertė atsiranda iš reguliarumo.

Rekomenduojamas dažnumas:

  • Pilnas saugumo auditas: kartą per metus
  • Pažeidžiamumų vertinimas: kas ketvirtį
  • Penetracinis testavimas: kartą per metus arba po kiekvieno reikšmingo IT infrastruktūros pakeitimo
  • Sukčiavimo (phishing) simuliacijos: kas mėnesį arba kas ketvirtį
  • Konfigūracijos peržiūra: po kiekvieno reikšmingo pakeitimo

Situacijos, kai auditas reikalingas nedelsiant:

  • Po kibernetinio incidento ar sėkmingos atakos
  • Prieš diegiant naują kritinę sistemą
  • Po įmonės susijungimo ar įsigijimo (M&A)
  • Pasikeitus reguliavimo reikalavimams (pvz., NIS2 įsigaliojimas)
  • Prieš pradedant darbą su nauju strateginiu klientu, reikalaujančiu saugumo užtikrinimo

NIS2 direktyva ir kas keičiasi Lietuvos verslams

NIS2 (Tinklo ir informacinių sistemų saugumo direktyva 2) reikšmingai išplečia kibernetinio saugumo reguliavimą Europos Sąjungoje. Ji apima žymiai daugiau sektorių nei ankstesnė direktyva ir nustato griežtesnius reikalavimus.

Kokie sektoriai patenka į NIS2 aprėptį:

  • Energetika, transportas, bankininkystė, finansų rinkos
  • Sveikatos priežiūra, geriamasis vanduo, nuotekų tvarkymas
  • Skaitmeninė infrastruktūra, ICT paslaugų valdymas
  • Viešasis administravimas, kosmosas
  • Pašto ir kurjerių paslaugos, atliekų tvarkymas
  • Maisto gamyba ir platinimas, cheminių medžiagų gamyba

Pagrindiniai NIS2 reikalavimai, susiję su auditu:

  1. Rizikų valdymas. Įmonės privalo reguliariai atlikti rizikų vertinimą ir įgyvendinti atitinkamas priemones.
  2. Incidentų pranešimas. Per 24 valandas privaloma pateikti pirminį pranešimą apie reikšmingą incidentą, per 72 valandas – detalią ataskaitą.
  3. Tiekimo grandinės saugumas. Privaloma vertinti ir savo tiekėjų bei partnerių saugumą.
  4. Vadovybės atsakomybė. Vadovai asmeniškai atsako už kibernetinio saugumo priemonių įgyvendinimą. Tai reiškia, kad „aš apie IT nieko neišmanau” nebėra priimtinas pasiteisinimas.
  5. Baudos. Iki 10 mln. eurų arba 2 % pasaulinės metinės apyvartos (priklausomai nuo sektoriaus kategorijos).

Reguliarus kibernetinio saugumo auditas yra vienas efektyviausių būdų užtikrinti NIS2 atitiktį ir parodyti reguliatoriams, kad organizacija rimtai žiūri į kibernetinį saugumą.

Auditas viduje ar su išorine kompanija?

Vienas dažnų klausimų – ar atlikti auditą savo IT komandos jėgomis, ar samdyti išorinę kompaniją.

Vidinis auditas:

Privalumai:

  • Gilūs sistemos žinojimas ir kontekstas
  • Mažesnės tiesioginės išlaidos
  • Galimybė tikrinti nuolat, ne tik periodiškai

Trūkumai:

  • „Aklosios dėmės” – savo klaidas sunkiausia pamatyti
  • Galimas interesų konfliktas (ta pati komanda kuria ir tikrina)
  • Gali trūkti specializuotų penetracinio testavimo įgūdžių
  • Reguliatoriai ir klientai dažnai reikalauja nepriklausomo vertinimo

Išorinis auditas:

Privalumai:

  • Nepriklausomas, objektyvus vertinimas
  • Specializuoti įrankiai ir patirtis iš daugybės projektų
  • Atitinka reguliavimo ir klientų reikalavimus
  • Šviežia perspektyva ir gerosios praktikos iš kitų organizacijų

Trūkumai:

  • Didesnės tiesioginės išlaidos
  • Reikia laiko susipažinti su jūsų aplinka
  • Prieigos suteikimas trečiajai šaliai kelia savo rizikas

Optimali strategija daugumai vidutinių įmonių: Derinkite abu metodus. Vidinė IT komanda atlieka reguliarias kasdienines patikras, o išoriniai auditoriai kartą per metus atlieka nepriklausomą vertinimą.

Po audito: kaip paversti ataskaitą realiais veiksmais

Audito ataskaita, kuri guli stalčiuje, neturi jokios vertės. Štai kaip užtikrinti, kad investicija atsipirktų.

Pirmosios 48 valandos po ataskaitos gavimo:

  1. Kritiniai pažeidžiamumai turi būti ištaisyti arba laikinai sušvelninti (pvz., izoliuojant pažeidžiamą sistemą nuo tinklo)
  2. Informuoti vadovybę apie kritinius radinius

Pirmoji savaitė:

  1. IT komanda parengia remediavimo planą su terminais ir atsakingais asmenimis
  2. Aukštos rizikos pažeidžiamumai pradedami taisyti

Pirmasis mėnuo:

  1. Vidutinės rizikos pažeidžiamumai ištaisyti
  2. Pradedami ilgalaikiai pokyčiai (procesų peržiūra, politikų atnaujinimas)
  3. Planuojami darbuotojų mokymai, jei auditas atskleidė žmogiškojo faktoriaus problemas

Pirmasis ketvirtis:

  1. Žemos rizikos radiniai ištaisyti
  2. Atliktas pakartotinis patikrinimas, patvirtinantis, kad taisymai efektyvūs
  3. Pradėta ruoštis kitam reguliariam auditui

Svarbi taisyklė: Kiekvienam radiniui turi būti priskirtas konkretus atsakingas asmuo ir terminas. Be šių dviejų elementų radiniai tampa „visiems žinoma problema, kurią kažkas kažkada ištaisys”, o tai reiškia – niekada.

Klaidingi įsitikinimai apie kibernetinio saugumo auditą

„Mes per maži, kad mus pultų”

Mažos ir vidutinės įmonės yra populiariausi kibernetinių nusikaltėlių taikiniai, nes jų apsauga paprastai silpnesnė nei didelių korporacijų. 43 % visų kibernetinių atakų nukreiptos būtent į mažas įmones.

„Turime IT specialistą, auditas nereikalingas”

IT specialistas ir kibernetinio saugumo auditorius atlieka skirtingas funkcijas. IT specialistas palaiko sistemas veikiančias, auditorius tikrina, ar jos saugios. Tai kaip skirtumas tarp statybininko ir pastato inspektoriaus.

„Auditas – tai vienkartinis reikalas”

IT aplinka keičiasi nuolat: nauji darbuotojai, naujos sistemos, naujos grėsmės. Prieš metus buvęs saugus serveris šiandien gali turėti 15 naujų pažeidžiamumų. Auditas turi būti reguliarus procesas.

„Automatizuotas nuskaitymas pakanka”

Automatizuoti skeneriai aptinka žinomus pažeidžiamumus, bet nepamato verslo logikos klaidų, socialinės inžinerijos rizikų ar sudėtingų atakų vektorių. Jie yra naudingas pradinis žingsnis, bet ne pilnavertis auditas.

„Tai tik formalumas reguliatoriui”

Įmonės, kurios traktuoja auditą kaip formalumą, dažniausiai gauna formalų rezultatą – ataskaitą, kuri nieko nekeičia. Vertingiausias auditas yra tas, kuris padeda realiai pagerinti saugumą, o ne tik uždėti varnelę.

Pagrindiniai standartai ir reguliavimai

Jei jūsų įmonė siekia konkretaus sertifikavimo ar turi atitikti reguliavimo reikalavimus, svarbu suprasti pagrindinius standartus.

ISO/IEC 27001 – tarptautinis informacijos saugumo valdymo standartus. Sertifikavimas rodo, kad organizacija turi veikiančią informacijos saugumo valdymo sistemą (ISMS). Galioja 3 metus, kasmet atliekant priežiūros auditus.

BDAR (GDPR) – Europos Sąjungos asmens duomenų apsaugos reglamentas. Reikalauja techninių ir organizacinių priemonių duomenų apsaugai. Auditas padeda identifikuoti, kur duomenys yra pažeidžiami.

PCI DSS – mokėjimo kortelių pramonės duomenų saugumo standartas. Privalomas visoms įmonėms, kurios priima, apdoroja ar saugo mokėjimo kortelių duomenis.

SOC 2 – paslaugų organizacijų kontrolės ataskaita, populiari tarp SaaS ir debesijos paslaugų tiekėjų. Vertina saugumą, prieinamumą, apdorojimo vientisumą, konfidencialumą ir privatumą.

CIS Controls – 18 prioritetizuotų saugumo kontrolių rinkinys, sukurtas kaip praktinis vadovas organizacijoms. Puikus atskaitos taškas įmonėms, kurios dar neturi formalios saugumo programos.

Pabaigai

Kibernetinio saugumo auditas nėra baudžiamoji priemonė ar biurokratinė kliūtis. Tai diagnostinis įrankis, leidžiantis pamatyti savo IT aplinką tokią, kokia ji yra iš tikrųjų, o ne tokią, kokia ji turėtų būti pagal dokumentus.

Geriausias laikas atlikti pirmąjį auditą buvo vakar. Antras geriausias – šiandien.

Pradėkite nuo trijų žingsnių:

  1. Surašykite savo IT turtą. Kiek serverių turite? Kiek darbuotojų turi administratoriaus teises? Kur saugomi jūsų jautriausi duomenys? Jei negalite atsakyti į šiuos klausimus per 5 minutes, jums reikia audito.
  2. Pasirinkite audito tipą pagal savo prioritetą. Jei niekada nebuvo atliktas – pradėkite nuo pažeidžiamumų vertinimo ir BDAR atitikties patikros. Tai suteiks aiškų vaizdą su ribotu biudžetu.
  3. Kalbėkitės su 2–3 audito kompanijomis. Palyginkite jų metodologijas, patirtį jūsų sektoriuje ir ataskaitų kokybę. Nebūtinai rinkitės pigiausią – rinkitės tą, kuri suteiks didžiausią vertę.

Kibernetinis saugumas yra ne IT skyriaus reikalas, o verslo sprendimas. Ir kaip kiekvienas geras verslo sprendimas, jis prasideda nuo faktais pagrįsto įvertinimo.

Į viršų