Vienas darbuotojo paspaudimas ant apgaulingos nuorodos, laiku neatnaujinta sistema ar neįvertintas išorės tiekėjas gali peraugti į teisinį ginčą, reguliuotojo tyrimą ar reputacijos krizę. Tokiose situacijose įmonei svarbu ne vien greitai atkurti veiklą, bet ir parodyti, kad iki incidento ji ėmėsi pagrįstų saugumo priemonių. Ką tai reiškia verslui, kuriam jau taikomi kibernetinio saugumo reikalavimai, aiškina teisės firmos „Sorainen“ ekspertai.
Naujausia Nacionalinė kibernetinio saugumo būklės ataskaita rodo, kad mažėjantys incidentų skaičiai dar nereiškia mažėjančios atsakomybės. 2025 m. Lietuvoje užregistruoti 2888 kibernetiniai incidentai – ketvirtadaliu mažiau nei 2024 m. Vis dėlto ataskaitoje pažymima, kad registruoti skaičiai neatspindi viso vaizdo, nes dalis incidentų gali likti nepranešti. Joje taip pat nurodoma, kad socialinė inžinerija tebėra didžiausia registruotų incidentų grupė.
Įtraukimas į registrą reiškia didesnę atsakomybę
Atnaujintu Kibernetinio saugumo įstatymu į Lietuvos teisę perkeltos TIS2 (angl. NIS2) direktyvos nuostatos. Jos taikomos įstatymo reguliavimo sritį patenkantiems esminiams ir svarbiems subjektams, veikiantiems ypatingos svarbos ir kituose itin svarbiuose sektoriuose. Finansų sektoriui papildomai aktualus DORA reglamentas.
Reguliavimo mastą rodo ir į Kibernetinio saugumo subjektų registrą įtrauktų organizacijų skaičius – ataskaitoje nurodoma, kad jų yra 1 443, o NKSC priežiūros mastas išaugo beveik penkis kartus. Pasak teisės firmos „Sorainen“ eksperto Igno Sidaro, dalis į registrą patekusių organizacijų tam ruošėsi iš anksto, tačiau daliai pats patekimas į reguliavimo lauką vis dar kelia klausimų. Kai kurios organizacijos, ypač esančios arčiau reguliavimo taikymo ribos, nustemba patekusios į registrą, reikalavimus vertina kaip per griežtus arba pirmiausia siekia išsiaiškinti, ar galėtų būti iš jo išbrauktos.
„Savo klientams dažnai kartojame, kad buvimas sąraše nereiškia formalių reikalavimų vykdymo ar vien tik administracinės naštos. Gyvename neramiais laikais, tad veiklos atsparumas tampa gyvybiškai svarbus bet kuriam verslui, nepriklausomai nuo to, ar esi tame sąraše, ar ne“, – teigia ekspertas.
Pagal įstatymą pirmajam į registrą įtrauktų subjektų ratui organizacinius kibernetinio saugumo reikalavimus reikėjo įgyvendinti iki 2026 m. balandžio 17 d., o techninius – iki 2027 m. balandžio 17 d. Kadangi registras yra nuolat atnaujinamas, vėliau į jį įtrauktoms organizacijoms terminai skaičiuojami individualiai, nuo jų įtraukimo į registrą datos.
Incidento kaina – nuo sistemų atkūrimo iki reputacijos
Anot I. Sidaro, kibernetinio saugumo incidentas pirmiausia gali sukelti tiesioginius finansinius nuostolius. Įmonė gali patirti veiklos sutrikimų, negauti pajamų, prarasti veiklai svarbią informaciją, patirti IT sistemų atkūrimo ar remonto išlaidų. Jei įmonės paslaugomis remiasi kiti verslai, incidento poveikis gali persikelti ir į jų veiklą.
„Reguliuojamiems subjektams gali būti taikomos ir priežiūros institucijų poveikio priemonės – nuo įpareigojimų pašalinti trūkumus iki baudų, laikino veiklos sustabdymo ar laikino vadovo nušalinimo“, – priduria ekspertas. TIS2 sankcijų ribos esminiams subjektams gali siekti iki 10 mln. eurų arba iki 2 proc. bendros pasaulinės metinės apyvartos, svarbiems subjektams – iki 7 mln. eurų arba iki 1,4 proc. apyvartos.
„Tokiais atvejais geriausia gynyba – gebėjimas įrodyti, kad iki incidento organizacija ėmėsi visų būtinų saugos priemonių, naudojo tinkamas saugos sistemas, buvo paskyrusi kompetentingus už saugumą atsakingus asmenis ir turėjo aprašytus vidaus procesus“, – sako I. Sidaras.
„Sorainen“ ekspertė Irma Kunickė pabrėžia, kad šalia teisinių ir finansinių padarinių išlieka reputacinė žala. Incidento poveikį rinkai lemia pats įsilaužimo ar duomenų praradimo faktas, organizacijos reakcija, komunikacija, veiksmų plano aiškumas ir gebėjimas incidento metu išlaikyti veiklos kontrolę.
„Poveikis reputacijai yra labai dažnai pamirštamas neigiamas padarinys. Nepriklausomai nuo to, kiek yra pačios įmonės kaltės, incidentą patyrusios organizacijos gali susidurti su klientų pasitikėjimo praradimu, investuotojų reakcija ir neigiamu poveikiu esamiems ar būsimiems verslo santykiams“, – teigia ekspertė.
Vadovo vaidmuo
Kibernetinio saugumo priemones gali diegti IT ar saugumo specialistai, tačiau sprendimai dėl biudžeto, prioritetų, rizikos tolerancijos, atsakomybių ir tiekėjų kontrolės priklauso vadovybės lygmeniui, priduria I. Kunickė. Todėl realus pasirengimas priklauso nuo to, ar vadovybė šią riziką valdo sistemiškai.
„Vadovai yra pirmoji gynybos linija kibernetinio saugumo srityje. Jų sprendimai tiesiogiai lemia, kaip efektyviai organizacija apsisaugos nuo grėsmių“, – sako ekspertė.
Pasak jos, įstatyme vadovui priskirtos funkcijos atitinka aukščiausio lygmens vadovo rolę. Vadovas neprivalo pats spręsti techninių klausimų, tačiau jis turi užtikrinti, kad organizacijoje būtų paskirstytos atsakomybės, skirti resursai, vertinamos rizikos, parengti incidentų valdymo procesai ir prižiūrima, kaip jie veikia praktikoje.
I.Kunickės teigimu, aplaidumu gali būti laikomas ir neveikimas: neatliktas rizikų vertinimas, nepaskirti atsakingi asmenys, darbuotojų mokymų nebuvimas, neparengtas incidentų valdymo planas, nekontroliuojami tiekėjai ar laiku nešalinamos žinomos sistemų spragos. Vadovams už pareigų nevykdymą gali kilti ir asmeninė administracinė atsakomybė.
Ką įmonėms daryti dabar
Anot ekspertų, pirmas praktinis žingsnis – aiškiai suprasti savo faktinę situaciją: kokios IT sistemos naudojamos, kokios trečiosios šalys pasitelkiamos, kokie duomenys tvarkomi, kurios paslaugos yra kritinės ir kas nutiktų joms sutrikus. Be tokios inventorizacijos rizikų vertinimas dažnai lieka abstraktus.
Pasak I. Kunickės, toliau organizacija turėtų įsivertinti grėsmes, nustatyti procesų pažeidžiamumą, įvertinti galimų incidentų poveikį ir pagal tai parinkti konkrečias saugumo priemones. Tai apima technines apsaugos priemones, atsakomybių paskirstymą, darbuotojų mokymus, incidentų valdymą, tiekėjų kontrolę ir veiklos tęstinumo planavimą.
Taip pat svarbu peržiūrėti sutartis su tiekėjais: jose turėtų būti aiškiai apibrėžtos saugumo pareigos, pranešimo apie incidentus terminai, atsakomybės ribos ir informacijos pateikimo tvarka. Tai ypač aktualu tais atvejais, kai tiekėjai turi prieigą prie organizacijos sistemų, duomenų ar kritinių veiklos procesų.
„Praktikoje matome, kad dalis organizacijų vis dar nepakankamai įvertina, kiek laiko, žmogiškųjų ir finansinių resursų reikia kibernetinio saugumo reikalavimams įgyvendinti. Kartais tikimasi, kad visas naujas saugumo priemones galės įgyvendinti vienas žmogus ar „visa apimanti“ išorės tiekėjo paslauga“, – teigia I. Sidaras.
Išorės paslaugos, stiprus CISO ar kibernetinių rizikų draudimas gali būti svarbios priemonės, tačiau jos nepakeičia pačios organizacijos atsakomybės, primena ekspertai. Įvykus incidentui, svarbiausia bus parodyti, kokios rizikos buvo vertintos, kokios priemonės įgyvendintos ir kokį vaidmenį pasirengime atliko vadovybė.
„Kibernetinis saugumas turėtų būti elementari higiena. Organizacijos turi suprasti, kad branda šioje srityje yra didžiulis konkurencinis pranašumas“, – sako I. Kunickė.





