Fotografas, vertėja, buhalterė, programuotojas-freelanceris, masažuotoja su savo klientų baze. Visi jie turi kažką bendra – individuali veikla, nedidelis biudžetas ir įsitikinimas, kad kibernetinis saugumas yra didelių įmonių reikalas.
„Kas mane užpuls? Aš ne bankas.”
Būtent taip galvoja daugelis. Ir būtent todėl jie tampa lengviausiu grobiu.
Mažas ne reiškia nematomas
Programišiai neieško tik didelių taikinių. Jie ieško lengvų. Automatizuoti įrankiai skanuoja internetą ir beldžiasi į kiekvieną durelę – nesvarbu, ar už jų multinacionalinė korporacija, ar vieno žmogaus dizaino studija.
Net priešingai – didelės įmonės turi IT skyrius, ugniasienės, monitoringo sistemas. Individualią veiklą vykdantis žmogus dažnai turi tik nešiojamą kompiuterį ir viltį, kad niekas nepastebės.
Statistika aiški: mažos įmonės ir savarankiškai dirbantys asmenys sudaro apie 58% visų ransomware atakų aukų. Ne todėl, kad jie vertingesni – todėl, kad lengviau pasiekiami.
Ką turi prarasti vienas žmogus
„Bet aš neturiu milijonų.”
Nebūtina turėti milijonus, kad prarastum viską.
Fotografas, kurio diskai užšifruojami prieš pat vestuvių sezoną – su visomis neatiduotomis nuotraukomis. Buhalterė, kurios kliento duomenys nuteka – su visomis asmens kodais ir finansine informacija. Konsultantas, kurio el. paštas perimamas ir išsiunčiamos netikros sąskaitos jo klientams.
Kai esi vienas, neturi atsarginių resursų. Nėra IT skyriaus, kuris viską sutvarkys. Nėra teisininkų komandos, kuri suvaldys padarinius. Nėra finansinės pagalvės, kuri absorbuos nuostolius.
Viena ataka gali reikšti veiklos pabaigą. Ne pertrauką – pabaigą.
Klientų duomenys – tavo atsakomybė
Individuali veikla nereiškia, kad BDAR netaikomas. Jei turi bent vieno kliento asmens duomenis – vardą, el. paštą, telefono numerį, nekalbant apie asmens kodus ar finansinę informaciją – esi duomenų valdytojas.
Duomenų nutekėjimas reiškia prievolę pranešti nukentėjusiems. Reiškia galimą tyrimą. Reiškia baudas, kurios skaičiuojamos ne pagal tai, ar esi didelis, o pagal pažeidimo rimtumą.
50 000 eurų bauda individualiai veiklai skamba absurdiškai – bet BDAR jos nenumato mažesnės vien todėl, kad esi vienas.
Paprasčiausios spragos
Dauguma savarankiškai dirbančių žmonių nesąmoningai palieka duris atviras:
Vienas slaptažodis viskam. El. paštas, bankas, debesija, socialiniai tinklai – tas pats slaptažodis. Nutekėjus vienam – prarandi viską.
Asmeninis ir darbinis susimaišęs. Tas pats kompiuteris, kuriuo vaikai žaidžia žaidimus, naudojamas ir klientų duomenims tvarkyti. Virusas iš žaidimo – ir verslo duomenys užšifruoti.
Nėra atsarginių kopijų. Arba yra – tame pačiame diske, kuris užšifruojamas kartu su viskuo.
Pasenusi programinė įranga. „Veikia – neliečiu.” Tik ta sena versija turi žinomų pažeidžiamumų, kuriuos išnaudoja kiekvienas pradedantysis programišius.
Kai „pats susitvarkai” nebepakanka
Individualios veiklos pradžioje logiška daryti viską pačiam. Bet atėjus tam tikram taškui – kai klientų daugiau, kai duomenys jautresni, kai nuo kompiuterio priklauso pragyvenimas – „pats susitvarkai” tampa rizika.
Serverių priežiūra skamba kaip paslauga didelėms įmonėms. Bet šiandien egzistuoja sprendimai, pritaikyti mažoms veikloms – apsauga, kuri nekainuoja tūkstančių, bet užtikrina, kad nereikės mokėti šimtų tūkstančių vėliau.
Tas pats ir kibernetinis saugumas – nebūtina samdyti viso IT skyriaus, kad turėtum bazinę apsaugą, monitoringą, pagalbą incidento atveju.
Minimali higiena, kurią gali įgyvendinti šiandien
Jei dar nesi pasiruošęs investuoti – bent jau šie žingsniai nieko nekainuoja:
Skirtingi slaptažodžiai kiekvienai paskyrai. Slaptažodžių valdymo programa – nemokamos versijos pakanka pradžiai.
Dviejų faktorių autentifikacija visur, kur įmanoma. El. paštas, bankas, debesija – viskas.
Atsarginės kopijos kitoje vietoje. Ne tame pačiame diske, ne tame pačiame name. Debesija arba fizinis diskas pas draugą.
Atnaujinimai. Taip, tie erzinantys pranešimai. Jie egzistuoja dėl priežasties.
Atskiras vartotojas darbui. Jei naudoji tą patį kompiuterį asmeniškai ir darbui – bent jau turėk atskiras paskyras.
Ne tik technologijos
Didelė dalis atakų prieš smulkius verslininkus – socialinė inžinerija. Laiškas „nuo kliento” su prašymu skubiai apmokėti sąskaitą kitu numeriu. Skambutis „iš banko” prašant patvirtinti duomenis.
Kai dirbi vienas, nėra kolegos, kurio paklaustum „ar tau irgi atrodo keistai?”. Viską spręsti turi pats. Todėl svarbu žinoti dažniausius metodus ir stabtelėti prieš spaudžiant.
Investicija ar išlaidos?
Galima žiūrėti kaip į išlaidas – vėl kažkas nori pinigų, vėl kažkas baugina.
Galima žiūrėti kaip į investiciją – į ramybę, į reputaciją, į galimybę dirbti toliau.
Individualiai veiklai kompiuteris dažnai yra verslas. Jame – klientų bazė, projektai, sąskaitos, komunikacija, portfolio. Viskas.
Prarasti tai – prarasti ne įrankį, o pačią veiklą.
Klausimas paprastas: kiek verta tavo ramybė ir kiek laiko truktų viską atkurti, jei rytoj ekrane pamatytum pranešimą, kad duomenys užšifruoti?
Atsakymas dažniausiai padeda apsispręsti.