Straipsniai

Straipsniai

Straipsniai

Top 10 rizikų, kurios pasikartoja 80 % įmonių - pagal CISO patirtį

Oct 24, 2025

Kibernetinio saugumo srityje istorija dažnai kartojasi. Daugelis organizacijų vėl ir vėl susiduria su tomis pačiomis grėsmėmis, nes dauguma įmonių „sprendžia pasekmes, o ne priežastis“ - t. y. reaguoja į incidentus, užuot pašalinus pagrindines spragas. Patyrusio vyriausiojo informacijos saugumo pareigūno (CISO) pastebėjimu, net ~80 % įmonių nuolat susiduria su labai panašiomis rizikomis.

Šiame straipsnyje apžvelgsime dešimt dažniausiai pasikartojančių kibernetinio saugumo rizikų ir trumpai paaiškinsime, kodėl jos kyla bei kuo pavojingos. Sąrašas parengtas remiantis ilgamete CISO patirtimi - tikslas yra padėti organizacijoms atpažinti šiuos „aklus taškus“ ir imtis veiksmų, kad priežastys būtų sprendžiamos iš anksto, o ne nuolat gesinami pasekmių gaisrai.

  1. Nesaugūs tiekėjai ir trečiųjų šalių prieigos. Partnerių ir tiekėjų saugumo spragos gali tiesiogiai paveikti jūsų organizaciją. Daugelis įmonių vis dar nepakankamai tikrina trečiųjų šalių kibernetinę higieną – atakų statistika rodo, kad tiekėjai tampa lengvu taikiniu. Pavyzdžiui, analizės duomenimis net 98 % didžiausių Europos bendrovių per vienerius metus patyrė kibernetinį incidentą būtent per trečiosios šalies pažeidžiamumą. Jei išorinis partneris turi prieigą prie jūsų sistemų, jo nesaugumas reiškia ir jūsų nesaugumą – užtenka vienos silpnos grandies, kad užpuolikai apeitų net geriausias vidines gynybas.

  2. Silpni slaptažodžiai / neįjungtas MFA. Net ir 2025-aisiais silpni slaptažodžiai išlieka Achilo kulnu. Silpni arba pakartotinai naudojami slaptažodžiai lemia didžiąją dalį įsilaužimų - net 81 % su įsilaužimais susijusių incidentų įvyksta pasinaudojus būtent silpnais ar pavogtais prisijungimo duomenimis. Dar blogiau, daugelis įmonių iki šiol netaiko daugiafaktorės autentifikacijos (MFA), nors JAV kibernetinio saugumo agentūra pažymi, kad naudojant MFA vartotojai yra net 99 % mažiau tikėtina, jog bus įsilaužta į jų paskyras. Tai reiškia, kad vien slaptažodžiais besiremiančios sistemos palieka atviras duris kibernetiniams nusikaltėliams.

  3. Nėra centralizuoto incidentų plano. Incidentų valdymo plano nebuvimas prilygsta gaisro gesinimui be instrukcijų - reakcija vėluoja, chaoso daugiau. Deja, nemaža dalis organizacijų tokio plano neturi: pasauliniai duomenys rodo, kad net kas penkta įmonė apskritai nėra parengusi jokių kibernetinių incidentų procedūrų. Tai reiškia, jog ištikus atakai komandos improvizuos - brangus laikas bus švaistomas aiškinantis, kas už ką atsakingas ir kokius žingsnius žengti. Nuostoliai galiausiai būna didesni, nei galėtų būti, jei planas būtų iš anksto suderintas ir periodiškai testuojamas.

  4. Pasenę įrenginiai, neatnaujinti serveriai. Neįdiegti saugumo atnaujinimai ir pasenusi įranga sukuria lengvas galimybes įsibrovėliams. Daug atakų įvyksta išnaudojant žinomas spragas, kurioms jau seniai išleisti pataisymai - net 60 % kibernetinių incidentų aukų pripažino, kad priežastis buvo laiku neįdiegta turima saugumo pataisa. Kitaip tariant, įmonės neretai „paslysta“ ant tų pačių senų pažeidžiamumų: neatsinaujinus sistemų, paliekami atviri vartai, pro kuriuos nusikaltėliams patekti lengviausia.

  5. Nėra duomenų klasifikavimo. Nežinodama, kur ir kokie yra jos duomenys, organizacija negali jų deramai apsaugoti. Daugelis įmonių neturi aiškios duomenų klasifikavimo politikos - konfidenciali informacija būna sumaišyta su įprastais duomenimis ir gali būti neapdairiai dalijama. Tyrimai rodo, kad daugiau nei 80 % organizacijų duomenų sudaro nestruktūruota informacija (dokumentai, el. laiškai, failai ir pan.), kuri saugumo specialistams yra tarsi „nematoma“ rizikos požiūriu. Nenuostabu, jog neklasifikavus duomenų kyla didesnė netyčinio nutekinimo, neteisėtos prieigos ar atitikties pažeidimų grėsmė - nes nežinoma, ką saugoti pirmiausia.

  6. Neteisingas atsarginių kopijų testavimas. Atsarginių kopijų darymas dar nereiškia, kad jos išgelbės - būtina įsitikinti, jog kopijos veikia. Daugelis organizacijų to nedaro: apie 23 % verslų niekada netikrina savo duomenų atkūrimo, o iš tų, kurios tikrina, 77 % yra susidūrusios su atsarginių kopijų atkūrimo klaidomis ar neveikiančiais backup’ais. Tai grubus aplaidumas, galintis lemti visišką duomenų praradimą kritiniu momentu. Reguliarūs atsarginių kopijų atkūrimo testai užtikrina, kad ištikus incidentui (pvz., ransomware atakai) verslas galėtų atkurti duomenis ir tęsti veiklą be didelių trikdžių.

  7. Darbuotojų klaidos (social engineering). Žmogiškasis faktorius išlieka viena didžiausių silpnųjų grandžių. Net gerai techniškai apsisaugojusios organizacijos gali nukentėti dėl žmogiškos klaidos - neatidaus paspaudimo ant apgaulingo el. laiško (phishing), konfidencialios informacijos išsiuntimo ne tam gavėjui arba lengvatikiško konfidencialių duomenų atskleidimo telefonu (vishing). Tyrimai atskleidė stulbinantį faktą: 88 % visų duomenų saugumo pažeidimų sukelia būtent darbuotojų klaidos. Tai parodo, jog socialinė inžinerija ir elementarus neatidumas sukuria milžinišką riziką - ją mažinti galima tik nuolat investuojant į darbuotojų švietimą, testavimą ir stiprios saugumo kultūros formavimą.

  8. Netinkamai valdoma prieiga (shared accounts). Prasta prieigų kontrolė - pavyzdžiui, kai keli asmenys dalijasi tais pačiais vartotojo duomenimis - sukuria rimtų saugumo spragų. Deja, tai labai paplitę: net 87 % organizacijų pripažįsta naudojančios bendrus privilegijuotus prisijungimus (vieną administratoriaus paskyrą dalijantis keliems asmenims). Taip prarandama individuali atsakomybė ir sunku atsekti, kas ką darė; tyrimai rodo, kad įmonėse, kur naudojamos bendros paskyros, net penkis kartus dažniau pasitaiko neautorizuotos prieigos incidentų. Be to, išėjus darbuotojui ar nutekėjus slaptažodžiui, bendra paskyra tampa lengvu grobiu – todėl būtina taikyti unikalius naudotojų prisijungimus ir mažiausių privilegijų principą.

  9. Neįtrauktas valdybos dėmesys. Kibernetinio saugumo problemos neretai lieka „IT reikalais“ ir nepasiekia aukščiausio vadovybės lygmens. Jei valdyba neskiria dėmesio šiai sričiai, organizacijai trūksta strateginio palaikymo - saugumas gali negauti reikiamų išteklių, sprendimai bus priimami tik reaguojant į incidentus, o ne proaktyviai valdant rizikas. Nors pastaraisiais metais situacija gerėja, vis dar apie penktadalis įmonių neturi nė vieno valdybos nario, atsakingo už kibernetinio saugumo priežiūrą. Kitaip tariant, vadovybė ne visuomet įsitraukia, nors jos dėmesys ir prioritetų nustatymas yra kritiniai veiksniai kuriant atsparumo kultūrą.

  10. Nėra rizikos analizės dokumentacijos. Daugelis įmonių neturi formalizuoto „rizikų registro“ - dokumento ar sistemos, kur fiksuojamos identifikuotos grėsmės, jų vertinimas ir valdymo priemonės. Tokio dokumento nebuvimas reiškia, kad rizikų vertinimas atliekamas padrikai arba visai neatliekamas, o pamokos iš incidentų lieka neužfiksuotos. Nacionalinis kibernetinio saugumo centras (NKSC) pabrėžia, kad nuoseklus rizikų vertinimo procesas yra vienas svarbiausių žingsnių, siekiant įgyvendinti naujuosius kibernetinio saugumo įstatymo reikalavimus. Tai ne vien formalumas - gerai atliekamas rizikų vertinimas padeda organizacijoms įsivertinti turimus saugumo išteklius, apsaugoti savo veiklą, reputaciją bei klientų pasitikėjimą. Jeigu nėra jokios rizikų analizės dokumentacijos, organizacija paprasčiausiai „nežino, ko nežino“ - neidentifikavus rizikų, jos lieka nevaldomos, o atitikties auditai gali atskleisti pavojingas spragas.

Laimei, visas šias rizikas galima valdyti pasitelkus tinkamus įrankius. Pavyzdžiui, TrustGuru platforma automatiškai padeda suvaldyti minėtus pavojus per integruotus modulius - nuo tiekėjų rizikos vertinimo iki prieigų kontrolės ar incidentų valdymo. „Rizikų registro“ modulis leidžia fiksuoti ir stebėti identifikuotas grėsmes, priskirti atsakomybes bei kontroliuoti, kad nė viena iš šių dešimties rizikų neliktų pamiršta. Tokiu būdu supaprastinama kibernetinio saugumo priežiūra: užuot nuolat gesinus pasikartojančius „gaisrus“, galima proaktyviai ir centralizuotai valdyti rizikas dar prieš joms materializuojantis.

Pasitikrinkite, kiek iš šių 10 rizikų dar egzistuoja jūsų organizacijoje.