Šalyje veikiančios elektroninių pinigų ir mokėjimo įstaigos turi skirti daugiau pastangų valdydamos informacinių ir ryšių technologijų (IRT) riziką – tą rodo Lietuvos banko atlikta analizė.
Lietuvos bankas pastebi, kad ne visose įstaigose valdymo organai (stebėtojų taryba, valdyba ar vadovas) skiria pakankamai dėmesio informacijos saugumo, veiklos tęstinumo ir kitų IRT rizikų valdymui. Dažniausiai jie apsiriboja rizikos vertinimo ataskaitų tvirtinimu ir informacijos apie incidentus analize. O kitus įstaigoms aktualius IRT klausimus (kaip trečiosios šalys laikosi įsipareigojimų, veiklos tęstinumo plano tikrinimas, saugumo mokymai ar IRT projektų pažangos ataskaitos) įstaigos valdymo organai nagrinėja retai ar apskritai jų nesvarsto. Tai silpnina įstaigų kibernetinį atsparumą ir gali nulemti neatitiktį teisės aktų reikalavimams.
Tinkamai parengta IRT strategija ir savalaikis jos įgyvendinimas yra informacijos saugumo valdymo organizacijoje pagrindas. Lietuvos bankas nustatė, kad daugumoje analizuotų įstaigų nėra aiškios strategijos dėl IRT paslaugų vidutiniu ir ilguoju laikotarpiais. Joje turėtų būti nustatyta šios srities architektūra, jos raida ir pokyčiai, aiškūs informacijos saugumo tikslai. IRT strategijoje taip pat turėtų būti nustatyta ir priklausomybės nuo IRT paslaugas teikiančių trečiųjų šalių analizė.
Ne visoms įstaigoms pavyksta tinkamai atlikti veiklos tęstinumo planų testus ar juos tinkamai aprašyti. Lietuvos bankas pastebi, kad dažniau taip nutinka įstaigoms, kurios IRT paslaugoms pasitelkia trečiąsias šalis. Veiklos tęstinumo planai turėtų būti tikrinami ir atnaujinami bent kartą per metus, įtraukiant į juos ne tik infrastruktūros gedimo, bet ir kibernetinių išpuolių scenarijus. Be to, įstaigos turėtų pasitikrinti, kaip IRT paslaugas teikiančios trečiosios šalys atliktų savo įsipareigojimus esant krizinei situacijai. Tik nuolatinis praktinis planų tikrinimas gali sumažinti incidentų žalą ir užtikrinti, kad įstaiga bus tinkamai pasirengusi kritinei situacijai.
Lietuvos banko inf.
