„Kauno grūdai“ IT saugumo auditui pasirinko „NRD Cyber Security“
AB „Kauno grūdai“ – viena didžiausių maisto produktų ir pašarų gamybos bendrovių Lietuvoje. Bendrovės veiklos kryptys apima miltų bei greitai paruošiamų produktų, vartojimui paruoštų produktų, kombinuotųjų pašarų ir premiksų gamybą, naminių gyvūnų maisto gamybą, prekybą žaliavomis, veterinarinės farmacijos bei kenkėjų kontrolės ir higienos prekių paslaugas. Organizacija ne tik pati turi savo prekinius ženklus, bet ir tiekia produkciją didiesiems koncernams, kurie veiklą vykdo visame pasaulyje.
Gamybos procesams sparčiai skaitmenizuojantis, organizacija siekia apie kibernetinį atsparumą galvoti proaktyviai. Gamybos įmonėms būdingos senos IT sistemos. Taip, jos -kompiuterizuojamos, robotizuojamos, pradedama naudoti dirbtinio intelekto sprendimus, bet jų panaudos laikas (angl. lifetime) yra tikrai ilgas – mažiausiai 10 metų. Neretai sistema naudojama tol, kol ji veikia, be palaikymo ar saugumo atnaujinimų.
Gamybos sektoriui kyla kibernetinio saugumo kartelė
2024-aisiais įvykęs „Crowdstrike“ incidentas parodė, kad kibernetinio saugumo krizė gali kilti ir ne dėl kibernetinio saugumo atakų. Gamybos įmonėse tai gali būti itin skausminga – jeigu atsiranda kokių kliūčių, gamyba gali būti stabdoma arba dar blogiau – galima pakeisti gaminamų produktų sudėtį. Gediminas Dinda, „Kauno Grūdų“ IT infrastruktūros vadovas teigia, kad pastaruoju metu gamybos bendrovės vis daugiau dėmesio skiria kibernetiniam atsparumui – daugėja šiam sektoriui skirtų kibernetinio saugumo konferencijų, kyla kartelė kibernetinio saugumo higienai:
„NIS2 (liet. TIS2) direktyva ir atnaujintas kibernetinio saugumo įstatymas yra geras spyris daugeliui organizacijų ES. Neretai kibernetinis saugumas IT vadovams ir specialistams yra tarsi dar vienas galvos skausmas – reikia derinti ir keisti vykdomus procesus, papildomai tvarkyti ir konfigūruoti IT infrastruktūrą, o naudą, kol neįvyko incidentas, apčiuopti – gana sunku. NIS2 ne tik privertė organizacijas pasitempti, bet ir paskatino rinką pasiūlyti įvairių teminių renginių, publikacijų bei laidų taip keliant žinių apie kibernetinio atsparumo priemones lygį.“
IT saugumo auditas – tarsi antros, dar akylesnės, akys
IT saugumo auditas yra išsamus organizacijos saugumo būklės ir IT infrastruktūros vertinimas, kuris tarsi suteikia papildomas akis. Jo tikslas – nustatyti organizacijos kibernetinio saugumo būklę, taikant jai labiausiai tinkantį informacijos saugumo valdymo standartą arba metodiką.
„IT saugumo auditas yra tarsi papildomos, dar akylesnės, akys. Kasdienėje veikloje atrodo viskas veikia ir lengva nepastebėti spragų ar neatitikimų, yra dalykų, kurių galime ir nežinoti. Taip pat, kadangi „Kauno grūdai“ dirba su didžiulėmis organizacijomis, kurios sau kelia aukštus kibernetinio saugumo reikalavimus, to tikisi ir iš tiekėjų. Reikalauti nereikalauja, bet tikrai prašo pademonstruoti, kad turime kibernetinių incidentų valdymo procesus, kad stipriname IT infrastruktūros atsparumą. Savo ruožtu, stiprindami savo kibernetinį atsparumą bei turėdami to įrodymus, parodome, kad esame patikimas partneris“, – sako G. Dinda.
Vytautas Kuliešius, „NRD Cyber Security“ kibernetinio saugumo audito paslaugų vadovas, ne tik antrina, kad „antros akys“ prideda aiškumo, bet ir pabrėžia, kad auditai labai vertingi planavime:
„Žvilgsnis iš išorės į esamą saugumo situaciją dažnai padeda atrasti anksčiau nepastebėtų naujų silpnų vietų ar atakos galimybių. Taip pat tai yra pagalba aiškiai nusistatyti veiksmus, kuriuos būtina atlikti pirmiausiai ir kurie turėtų didžiausią poveikį saugumo stiprinimui. Kibernetinio atsparumo stiprinimas yra kompleksinė užduotis, bet kasdienėje veikloje – svarbus tinkamas planavimas ir vykdymas. Tam didelę reikšmę turi ir organizacijos vadovybės įsitraukimas bei palaikymas investuojant į saugumo sprendimus ar paslaugas. Planavimui labai padeda reguliarūs saugumo auditai, kurie leidžia įsivertinti esamą saugumo tobulinimo eigą ir palyginti kaip ji atitinka regiono ar sektoriaus gerąją praktiką. Į reguliarų IT saugumo audito atlikimą dėmesys atkreiptas ir pagal NIS2 direktyvą atnaujintame kibernetinio saugumo įstatyme. Jame nurodyta būtinybė bent kartą per 3 metus pasitelkti išorinį (nepriklausomą) saugumo situacijos įvertinimą, taip užsitikrinant kuo tikslesnį esamos situacijos vaizdą.“
Tiekėjo pasirinkimui – svarbūs kitų atsiliepimai
G. Dinda teigia, kad įmonė IT saugumo auditą darė jau ne pirmą kartą, tad žinojo kokius lūkesčius turėti:
„IT saugumo auditą jau esame darę, kai tik įsigaliojo BDAR (angl. GDPR). „Kauno grūduose“ kibernetinio atsparumo stiprinimui tikrai skiriame dėmesio – iki pastarojo IT saugumo audito, kurį atliko „NRD Cyber Security“, turėjome daug procedūrų ir tvarkų, visgi jos nebuvo struktūrizuotos, gan padrikos, apimtis neatitiko kibernetinio saugumo, tokių kaip ISO 27001, standartų. Norėjome, kad auditą atliekanti organizacija būtų orientuota į kokybę ir realią naudą mums. Padarėme apklausą tarp galimų tiekėjų Lietuvoje bei paprašėme rekomendacijų iš kitų gamybos sektoriaus įmonių. „NRD Cyber Security“ pasirinkome dar ir todėl, kad matome šios organizacijos proaktyvumą – pasidalinimus apie kibernetinio saugumo technologinių sprendimų naujienas, reguliavimo pokyčius bei kitas aktualijas. Besidarbuojant kartu taip pat įsitikinome, kad pateikiami atsakymai yra išsamūs, gerai išaiškinamos tiek techninės, tiek ne techninės rekomendacijos, pateikiami procedūriniai susitvarkymai.”
Kitos Istorijos
„Staticus“ Saugumo Operacijų Centro (SOC) paslaugoms pasitelkė „NRD Cyber Security“
„GelvoraSergel“ informacijos saugumo priežiūrą patiki „NRD Cyber Security“
Išsamus IT saugos vertinimas Adampolis Group
Išsamus informacijos saugumo vertinimas Regitroje
Paystrax SWIFT vertinimas
Skaitmeninės analizės platformos diegimas LR muitinėje
Skaitmeninių tyrimų gebėjimų stiprinimas
