Dažniausiai užduodami klausimai
Apie įmonę ir paslaugas
„Cyber Spektras“ teikia profesionalias kibernetinio saugumo paslaugas organizacijoms Lietuvoje:
- Kibernetinio saugumo auditai
- Pažeidžiamumų vertinimas (vulnerability assessment)
- TIS2 / NIS2 direktyvos įgyvendinimas
- Rizikos vertinimas
- Incidentų valdymas
- Kibernetinio saugumo dokumentacijos rengimas
- Darbuotojų kibernetinio saugumo mokymai
- Phishing atakų simuliacijos
- IT saugumo sprendimų diegimas ir priežiūra
Daugiau apie paslaugas: cyberspektras.lt/paslaugos
Kibernetinio saugumo auditas - tai išsamus organizacijos IT infrastruktūros, sistemų, procesų ir saugumo priemonių įvertinimas.
Audito metu nustatoma:
- Kokios yra saugumo spragos
- Kokios grėsmės gali paveikti organizaciją
- Ar laikomasi teisinių reikalavimų (pvz., NIS2 / TIS2)
- Kokių priemonių reikia rizikai sumažinti
- Audito rezultatas - aiškus veiksmų planas, kaip stiprinti organizacijos kibernetinį saugumą.
Taip. Teikiame incidentų valdymo paslaugas po:
- Duomenų nutekėjimo
- Ransomware atakos (išpirkos reikalaujančio kenkėjiško programinio kodo šeimai priskiriami viruso)
- Įsilaužimo į sistemas
- El. pašto kompromitavimo
- Verslo el. pašto sukčiavimo (BEC)
Padedame:
- Suvaldyti situaciją
- Sustabdyti plitimą
- Atkurti veiklą
- Rinkti techninius įrodymus
- Parengti pranešimus NKSC
- Laikytis TIS2 (NIS2) incidentų pranešimo terminų
Taip. Mažos įmonės dažnai tampa atakų taikiniais, nes turi silpnesnes apsaugas. Net viena ataka gali sustabdyti veiklą.
Taip. „Cyber Spektras“ gali veikti kaip išorinis kibernetinio saugumo vadovas (vCISO).
Tai reiškia, kad mes:
- Valdome organizacijos kibernetinio saugumo procesus
- Užtikriname NIS2 / TIS2 atitiktį
- Rengiame dokumentaciją
- Konsultuojame vadovybę
- Prižiūrime saugumo priemones
Tai ypač aktualu įmonėms, kurios neturi atskiro saugumo specialisto.
Taip. IT priežiūra ir kibernetinis saugumas yra skirtingos sritys.
IT specialistas rūpinasi:
- Sistemų veikimu
- Serveriais
- Darbo vietomis
- Tinklais
Kibernetinio saugumo specialistas rūpinasi:
- Grėsmių valdymu
- Rizikos vertinimu
- Saugumo politika
- Incidentų valdymu
- Atitiktimi teisės aktams (NIS2)
Kaina priklauso nuo:
- Organizacijos dydžio
- Sistemų skaičiaus
- Paslaugų apimties
- TIS2 (NIS2) atitikties poreikio
Taip. „Cyber Spektro“ paslaugos visada pritaikomos prie jūsų įmonės turimos IT infrastruktūros, naudojamų sistemų ir verslo procesų.
Prieš teikdami paslaugas, atliekame pirminį situacijos įvertinimą, kurio metu susipažįstame su jūsų aplinka, technologijomis ir saugumo brandos lygiu. Remdamiesi tuo, parenkame tinkamiausias technines ir organizacines kibernetinio saugumo priemones.
Mūsų tikslas – diegti sprendimus, kurie būtų suderinami su jau naudojamomis sistemomis ir netrukdytų jūsų kasdienei veiklai.
TIS2 / NIS2 direktyva
NIS2 (Lietuvoje vadinama TIS2) - tai Europos Sąjungos kibernetinio saugumo direktyva, nustatanti privalomus saugumo reikalavimus organizacijoms svarbiuose ir būtinuosiuose sektoriuose.
Ji apima:
- Rizikos valdymą
- Incidentų pranešimą
- Tiekimo grandinės saugumą
- Darbuotojų mokymus
- Vadovybės atsakomybę
Daugiau informacijos: cyberspektras.lt/tis2
Dažniausiai direktyva taikoma, jei organizacija:
- Veikia svarbiame ar būtinuosiuose sektoriuose
- Turi 50 ir daugiau darbuotojų
- Metinė apyvarta ar balansas ≥ 10 mln. EUR
Tačiau yra išimčių. Tikslų vertinimą gali atlikti „Cyber Spektras“.
Organizacija turi turėti:
- Rizikos valdymo procesus
- Incidentų valdymo planą
- Saugumo politikas ir procedūras
- Prieigos valdymą
- Tinklo ir sistemų apsaugos priemones
- Tiekėjų rizikos vertinimą
- Darbuotojų mokymus
- Verslo tęstinumo planus
Po įtraukimo į kibernetinio saugumo subjektų registrą:
- Organizaciniai reikalavimai – per 12 mėn.
- Techniniai reikalavimai – per 24 mėn.
Būtinasis sektorius: iki 10 mln. EUR arba 2 % metinės apyvartos.
Svarbus sektorius: iki 7 mln. EUR arba 1,4 % metinės apyvartos.
Saulės elektrinių auditas
Augant saulės elektrinių skaičiui, jos tampa svarbia energetikos infrastruktūros dalimi.
Tai reiškia, kad:
- Elektrinės yra prijungtos prie bendro tinklo
- Jos valdomos nuotoliniu būdu
- Jose naudojamos IT ir OT (operacinės technologijos)
Dėl to atsiranda kibernetinės rizikos – nuo neteisėto prisijungimo iki veiklos sutrikdymo.
ESO patvirtintos nuostatos numato, kad tokie objektai turi atitikti minimalų kibernetinio saugumo lygį, siekiant apsaugoti tiek pačią elektrinę, tiek elektros tinklą.
Reikalavimas taikomas saulės elektrinėms, kurių galia viršija 100 kW
Jei jūsų elektrinė patenka į šią kategoriją, turite:
- Atlikti kibernetinio saugumo auditą
- Įsivertinti atitiktį ESO reikalavimams
- Pateikti deklaraciją ESO iki nustatyto termino
Tai nėra tik formalumas ar dokumento užpildymas.
Audito metu vertinama:
- Prieigų valdymas. Kas ir kaip gali prisijungti prie elektrinės valdymo sistemų?
- Tinklo saugumas. Ar elektrinė tinkamai apsaugota nuo išorinių prieigų?
- Įrangos saugumas. Ar naudojama įranga turi saugumo spragų?
- Nuotolinio valdymo rizikos. Ar saugiai valdomi inverteriai, valdikliai ir kiti įrenginiai?
- Incidentų valdymas. Ar žinote, ką daryti, jei įvyksta saugumo pažeidimas?
Dirbant su klientais šioje srityje dažniausiai pasitaiko:
- Naudojami numatytieji slaptažodžiai
- Atviri nuotoliniai prisijungimai
- Nesegmentuoti tinklai
- Neaiškios atsakomybės už sistemų priežiūrą
- Nėra jokios dokumentacijos
Svarbu suprasti – net ir nedidelės spragos gali turėti realių pasekmių.
Kad atitiktumėte reikalavimus, rekomenduojamas aiškus planas:
- Įsivertinti, ar jums taikomas reikalavimas - >100 kW elektrinė)
- Atlikti kibernetinio saugumo auditą. Identifikuoti neatitikimus ir rizikas
- Įgyvendinti būtinas saugumo priemones. Techniniai ir organizaciniai sprendimai
- Parengti dokumentaciją. Atitikties įrodymai
- Pateikti deklaraciją ESO
Kadangi tai naujas reikalavimas, daugeliui įmonių trūksta aiškumo nuo ko pradėti.
Mes padedame visame procese:
- Atliekame kibernetinio saugumo auditą
Greitai identifikuojame, kur yra spragos - Pasiūlome konkrečius sprendimus
Ne teoriją, o praktiškai įgyvendinamus veiksmus - Paruošiame reikalingą dokumentaciją
Kad galėtumėte pateikti ESO be papildomų rūpesčių - Padedame įgyvendinti techninius pakeitimus
Jei reikia – nuo prieigų valdymo iki tinklo saugumo
Tikslas, kad procesas būtų aiškus, greitas ir be nereikalingo sudėtingumo.
Susisiekite jau dabar: https://cyberspektras.lt/kontaktai/
Artėjant terminui, dažniausiai atsiranda dvi problemos:
- Riboti resursai atlikti auditus
- Skuboti sprendimai, kurie ne visada būna teisingi
Kuo anksčiau pradedate, tuo:
- Mažiau streso
- Aiškesnis procesas
- Mažesnė klaidų rizika
Incidentai ir grėsmės
- Neatjunkite visko chaotiškai
- Izoliuokite paveiktas sistemas
- Informuokite atsakingus asmenis
- Rinkite informaciją
- Praneškite NKSC
- Kreipkitės į kibernetinio saugumo specialistus
Phishing – tai sukčiavimo būdas, kai apsimetant patikima organizacija ar žmogumi siekiama išvilioti:
- Slaptažodžius
- Banko duomenis
- Prisijungimus
- Jautrią informaciją
Phishing atakų simuliacija – tai kontroliuojamas testas, kurio metu darbuotojams siunčiami imituoti sukčiavimo el. laiškai, siekiant įvertinti jų budrumą ir gebėjimą atpažinti kibernetines grėsmes.
Ši simuliacija leidžia:
- nustatyti, kiek darbuotojai yra pažeidžiami socialinės inžinerijos atakoms;
- įvertinti realią organizacijos riziką;
- identifikuoti, kuriems darbuotojams ar padaliniams reikalingi papildomi mokymai;
- didinti bendrą kibernetinio saugumo brandą.
Phishing simuliacijos yra svarbi TIS2 (NIS2) direktyvos atitikties dalis, nes reikalauja:
- darbuotojų informuotumo ir mokymų kibernetinio saugumo srityje;
- rizikos valdymo priemonių;
- organizacinių saugumo priemonių įgyvendinimo.
Tokie testai padeda įrodyti, kad organizacija realiai įgyvendina darbuotojų mokymus ir imasi prevencinių priemonių prieš vieną dažniausių atakų tipų.
Jei jūsų organizacijai reikalingi phishing (sukčiavimo) atakų mokymai ar simuliacijos, arba jei kyla abejonių, ar jūsų įmonei taikoma TIS2 / NIS2 direktyva, „Cyber Spektro“ specialistai gali padėti tai įvertinti ir pasiūlyti tinkamus sprendimus.