Publicitātes foto: Matthew Waring no Unsplash
Laikā, kad daudzi biznesi ir pārcēlušies un arī ir bijuši spiesti pārcelties uz digitālo vidi, tur aktīvāki ir kļuvuši arī krāpnieki. Lai bizness neapstātos, bieži pārcelšanās notiek lielā steigā, neizsverot visus riskus un neizvērtējot iespējamo kaitējumu. Rezultāts – bizness cieš gan finansiālus zaudējumus, gan arī tiek nodarīts kaitējums reputācijai.
Informācijas tehnoloģiju (IT) riskus, kas var kaitēt biznesam, iespējams sadalīt vairākās grupās - cilvēku radīti riski, iespējami traucējumi procesos, ar uzņēmuma vadību saistīti riski un tādi riski, kas rodas, izmantojot dažādas sistēmas. Jo uzņēmums grib būt gatavāks pasargāt sevi no dažādiem riskiem, jo lielākas investīcijas ir nepieciešamas, taču šeit ir jāsaglabā veselais saprāts. Pilnībā pasargāt sevi nav iespējams, taču nopietns izvērtējums katrai riska grupai gan nenāktu par ļaunu.
1. Cilvēka faktors var būt gan darbinieks, gan vadītājs
Pirmajā riska grupā jeb ar cilvēku darbību saistītie riski var būt gan iekšēji riski, ko rada uzņēmuma darbinieki, gan ārēji riski, ko pret uzņēmumu vērš ļaundari. Tāpat ir iespējama gan apzināta un ļaunprātīga cilvēku rīcība, gan netīšs kaitējums. Ļaunprātīga rīcība parasti ir saistīta ar sabotāžu pret uzņēmumu ar mērķi graut sistēmu, lai traucētu pakalpojumu sniegšanu klientiem. Netīšs kaitējums, ko var radīt cilvēks, savukārt visbiežāk ir saistīts ar cilvēcīgām kļūdām.
IT risks biznesam var būt arī uzņēmuma vadītājs. Arī šeit iespējama gan apzināta kaitniecība, gan netīša rīcība. Apzināta vadītāju rīcība var būt vērsta uz to, lai grautu uzņēmumu no iekšpuses ar mērķi samazināt tā vērtību vai arī vienkārši ļaunprātīgu nodomu dēļ. Uzņēmuma vērtības samazināšana parasti ir saistīta ar vēlmi vēlāk atpirkt organizāciju no īpašniekiem. Protams, ir iespējams, ka uzņēmuma vadītājs vai vadības komanda ir nekompetenta IT jautājumos, kā arī nav pieņemti atbilstoši lēmumi, neveiksmīgi izvēlēti klienti, piegādātāji un partneri.
2. Visa informācija nav vajadzīga visiem
Ko un kā uzņēmums var kontrolēt? Viss sākas brīdī, kad tiek lemts par jauna darbinieka pieņemšanu vai nepieņemšanu darbā. Pirmais solis ir – fona informācijas pārbaude. Parasti tas nozīmē atsauksmes no iepriekšējiem darba devējiem. Dažos īpaši regulētos biznesos, kāda ir, piemēram, uzticamības pakalpojumu sniegšana, no valsts iestādēm ir jāpieprasa izziņa, ka potenciālais darbinieks nav krimināli sodīts.
Darba laikā būtu jānodrošina, ka darbiniekiem ir pieeja tikai tai informācijai, kas ir nepieciešama darbam un pienākumu veikšanai. Tam nepieciešams klasificēt visu uzņēmuma informāciju, kas parasti ir trīs līmeņos – publiskā informācija, uzņēmuma iekšējā informācija un konfidenciālā informācija, kas ir pieejama tikai konkrētam darbinieku lokam. Darbinieki arī jāapmāca, kā rīkoties ar pieejamo informāciju - prakse rāda, ka bieži viņi nezina, ka, piemēram, informāciju nedrīkst pārsūtīt e-pastā un publicēt sociālajos tīklos. Tāpēc būtu jānosaka drošas pārsūtīšanas informācijas kanāli, un darbiniekiem būtu jāzina, kādā veidā kādu informāciju pārsūtīt. Ja, piemēram, pārsūti e-pastā klientu sensitīvos datus, tos var pārtvert. Ja šo pašu informāciju sūti pa drošiem datu kanāliem šifrētā veidā, tad šāda darbība nevar nodarīt kaitējumu uzņēmumam.
3. Definēto procesu ir jāievieš dzīvē
Nākamā risku grupa ir procesi. Parasti tos definē uzņēmums savām vajadzībām. Savukārt, ja uzņēmums izstrādā sistēmu kādam citam uzņēmumam, tad procesi ir jāsaskaņo ar klientu. IT nozarē ir ļoti daudz standartu, kas ir jāņem vērā un kas regulē procesus. Turklāt tajos ir noteikta nepārtraukta procesu pilnveidošana. Parasti IT riski rodas nepareizi definētu procesu dēļ. Vēl var gadīties tā, ka procesi ir pareizi izveidoti, taču netiek īstenoti dzīvē. Vismaz reizi gadā procesi ir jāpārskata, jāveic iekšējie auditi un ieteicams ir arī veikt ārējos auditus.
Vēl viena riska grupa, kas tieši neattiecas uz cilvēkiem, ir sistēmu riski. Tie parasti rodas sistēmu izstrādes gaitā, kad ir iespējamas kļūdas kodā, kas nav laicīgi atklātas, jo ir nepietiekama testēšana. Pirms sistēmas ekspluatācijas uzsākšanas tomēr būtu nepieciešama gan izturības, gan veiktspējas, gan pielietojamības, gan sistēmas darbības pareizības testēšana. Turklāt ir jāņem vērā, ka kļūdas var rasties arī integrācijā ar citām sistēmā, ieviešanā un pēc tam arī uzturēšanā.
4. Par visām kļūdām ir jāmaksā
Cik lielus zaudējumus biznesam var nodarīt kļūdas, kas ir saistītas ar IT? Konkrētu datu par Latviju nav, bet vairāki gadījumi ārzemēs pierāda, ka zaudējumi ir lēšami miljonos eiro. Šobrīd pasaulē visvairāk ir pikšķerēšanas uzbrukumi – krāpnieki nosūta saites uz īpaši izstrādātām lapām ar mērķi iegūt naudu, datus vai citādi ievilināt un pakļaut krāpnieciskām darbībām. Ik pa laikam ir dzirdami gadījumi, kad tiek bloķētas uzņēmuma sistēmas un tiek prasīta izpirkuma nauda par to atbloķēšanu, vai tiek nozagta datubāze, un krāpnieki piedraud, ka informācija tiks nopludināta, ja viņi nesaņems izpirkuma maksu.
Pilnībā no šādiem uzbrukumiem izvairīties nav iespējams, taču katram uzņēmumam būtu nopietni jāizvērtē IT drošības riski savam biznesam. IT uzbrukumi var skart jebkuru darbinieku, tāpēc pilnīgi visi darbinieki ir jāapmāca. Turklāt ir laiks par IT domāt kā par inovācijām un investīcijām nevis tikai izmaksām, uz ko reizēm var arī ietaupīt.
Sanita Meijere, SK ID Solutions Biznesa un globālās attīstības vadītāja