„Mes tikime, kad centralizuotos paslaugos mūsų klientui pirmiausia sumažins galvos skausmą, nes dirbti su vienu tiekėju, kuris rūpinasi ir sprendimais, ir infrastruktūra, ir jos saugumu yra tikrai daug maloniau ir efektyviau negu nuolat ieškoti, kas už ką atsakingas kiekvienu atveju“, – sako Dovydas Zinkevičius, UAB OIXIO vadovas.
Tris dešimtmečius informacinių technologijų srityje dirbanti įmonė ilgą laiką veikė su „Columbus“ vardu. Nuo pat veiklos pradžios užmegzta partnerystė su kompanija „Microsoft” pelnė verslo valdymo sistemų (angl. ERP) ekspertų vardą. Prieš dvejus metus gerai žinomos Baltijos šalių IT bendrovės „Columbus Lietuva“, „Columbus Estija“ ir OIXIO suformavo OIXIO grupę.
.png)
Dovydas Zinkevičius, UAB OIXIO vadovas.
Šiandien OIXIO krepšelyje – aukšto lygio paslaugų ir sprendimų visuma, pagrįsta ir ilgamečiu skaitmenizacijos įdirbiu, kompetencijomis, kurias grupė turi Lietuvoje bei Estijoje, ir grupės požiūriu į ateities perspektyvą. Įmonės vadovas pripažįsta: laikas parodys, ar rinka pakankamai subrendusi priimti aukštesnio lygio kokybinius sprendimus, nes kai kurios atnešamos naujovės kilstelės ir bendrą rinkos standartą.
Tačiau jis neabejoja dėl vieno: „įsivažiuojančios“ ES kibernetinio saugumo direktyvos iš organizacijų pareikalaus visai kitokio lygio atitikties nei BDAR atveju. Tai reikš ir kitokio lygio sprendimus.
Apie bendrovės saugumo operacijų centrą (SOC), kurį galima vadinti IT industrijos „Ferrari“ arba revoliuciniu elektromobiliu, užplūdusią auditų bangą, nestandartinį požiūrį į standartines paslaugas ir visas OIXIO naujienas – pokalbyje su įmonės vadovu bei Povilu Domarku, IT ir kibernetinio saugumo paslaugų vadovu.
Dauguma įmonių jus žino kaip verslo valdymo sistemų ekspertus. Kodėl ir kaip plečiate savo kompetencijas?
D. Zinkevičius: taip, istorija prasidėjo su skaitmenizacija ir ERP diegimu. Klientų ratas augo, ir vis dažniau sulaukdavome klausimų, ar galime ne tik įdiegti ir palaikyti sprendimus, bet ir pasirūpinti visomis „Microsoft” licencijomis, o galbūt užtikrinti tinklo saugumą? Todėl natūraliai mūsų krepšelyje atsirado IT ir kibernetinio saugumo paslaugos, kurių reikalingumu labai tikime. Vadinčiau tai įmonės evoliucija, organiniu augimu.
Dabar ne tik diegiame programinę įrangą, bet ir paruošiame infrastruktūrą, rūpinamės tinklo veikimu ir, galiausiai, galime uždėti vyšnią ant torto – saugumo sluoksnį: užtikrinti, kad verslas ir duomenys bus patikimai užtverti nuo įsilaužėlių. Turėdami pilną kompleksinį paslaugų ir sprendimų portfelį, klientui atnešame didesnę vertę.
Plėstis skatina ir stiprus įdirbis. Grupėje mums buvo svarbiausia išgryninti, kurias paslaugas eksportuojame iš Lietuvos, o kurias importuojame į Estiją. Tiksliai žinojome, kad tam tikras paslaugas teiksime su back up resursais iš Estijos, nes taip yra logiškiausia.
Mūsų skaičiavimais, tokia plėtra kartu su organišku augimu OIXIO grupei iki 2030 m. padės pasiekti šimto milijonų eurų apyvartą. Tad per ketverius metus turėtume padvigubėti.
Istoriškai susiklostė, kad organizacijų IT infrastruktūra ir saugumo užtikrinimas buvo skirtingų tiekėjų, savotiškai kontroliavusių vienas kitą, rankose. Ar šis IT paslaugų modelis keičiasi?
P. Domarkas: Labai norėtume prie šio pokyčio prisidėti. Senasis modelis turi vieną esminį trūkumą: incidento metu atsiranda pilkosios zonos, kai nebeaišku, kas atsakingas. Kamuoliukas mėtomas, tiekėjai kaltina vienas kitą, o klientas pasimeta tarp procesų, praranda laiko ir patiria nuostolius. Mes į paslaugų teikimą žiūrime kitaip. Norime eliminuoti šią problemą, evoliucionuoti atgyvenusį paslaugų modelį ir būti tiekėju, kuris ateina su vientisu, integruotu sprendimu.
Povilas Domarkas, IT ir kibernetinio saugumo paslaugų vadovas.
Išlaikome tinklo ir saugumo kontrolės balansą, jais rūpinasi du atskiri vienas kitą prižiūrintys departamentai, tačiau drauge jie veikia sinergiškai, kad organizacijai kuo greičiau sukurtų rezultatą: išspręstų problemą ir užtikrintų kibernetinį saugumą klientui, jo paties neįveliant į painius procesus ir neverčiant gaišti laiką aiškinantis, kas kur ir kodėl.
D. Zinkevičius: Buvo laikai, kai pagrindinis tikslas buvo viską pasidaryti kuo pigiau, todėl skirtingas IT sritis patikėdavome skirtingiems tiekėjams – vienas tiekdavo internetą, kitas rūpindavosi įranga, o dalį darbų atlikdavo vidinis specialistas. Tačiau šis modelis keičiasi. Įmonės vis dažniau renkasi centralizuotus sprendimus ir dirba su vienu pagrindiniu partneriu, taip mažindamos atsakomybės išskaidymą ir „pilkąsias zonas“, apie kurias kalbėjome.
Tam įtakos turi ir tai, kad IT specialistai tampa brangiu ir sunkiai išlaikomu resursu. IT žmonės nori dirbti ten, kur IT yra verslas. O organizacijos nebenori skirti laiko daugybei tiekėjų koordinuoti, todėl natūraliai juda link paprastesnio, aiškesnio modelio.
SOC arba saugumo operacijų centro paslauga – viena iš OIXIO naujienų?
P. Domarkas: viena iš pagrindinių naujienų, kurią galėdami pasiūlyti mūsų rinkai labai džiaugiamės. SOC kompetencijų centro branduolys jau ne pirmus metus veikia Estijoje, kelių dešimčių specialistų saugumo centro komanda įneša reikšmingą indėlį į grupės veiklą. Ir turi susiformavusį klientų ratą – tai didelės įmonės, kurioms reikia bekompromisės saugumo kokybės.
Saugumo specialistų turime ir Lietuvoje, jie bendradarbiauja su estų kolegomis. Atnešame šią paslaugą ir į mūsų šalį ir tikime, kad ji ypač aktuali bus organizacijoms, kurias TIS2 direktyva įvardija kaip kritines.
Jei reiktų trumpai nusakyti, ką su SOC suteikiame klientams – tai ramybę. Ramybę, kad jų tinklai ir duomenys yra tikrai sofistikuotai ir proaktyviai stebimi ir saugūs.
D. Zinkevičius: būna žmonės perka automobilį ne itin domėdamiesi, koks jo variklis, degalų sąnaudos, efektyvumas ir panašiai. Daug organizacijų SOC perka taip pat, pernelyg nesigilindamos, kas po variklio gaubtu. Žinoma, tam, kad tą suvoktum, reikia turėti žinių. Rinkoje iki šiol yra tiekėjų, kurie paslaugas teikia neturėdami sprendimų licencijų, jau nekalbant apie silpnus pačius sprendimus.
Mes laikomės visiškai kito požiūrio. Ateiname su SOC, kurio technologinių sprendimų visuma yra išskirtinai aukšto lygio, kur tas variklis bene stipriausiai automatizuotas visoje industrijoje. Atnešame tikrai išskirtinę paslaugą ir labai tikimės, kad rinka tai įvertins.
Dirbtinis intelektas viešajame sektoriuje: ar įmanoma saugiai ir efektyviai išlaikyti saugumą
Lietuvos viešojo sektoriaus institucijų atsakomybės auga ir darosi vis sudėtingesnės, tačiau biudžeto resursai išlieka riboti. Šioje įtampoje dirbtinio intelekto (DI) sprendimai tampa būtinu įrankiu veiklai optimizuoti, neabejoja Giedrius Karauskas, kalbos technologijų bendrovės „Tilde“ Technologijų skyriaus vadovas. Anot jo, valstybinės organizacijos jau dabar aktyviai įtraukia DI į savo strategijas, tačiau tikrasis proveržis įvyks supratus naujų įrankių galimybes ir veikimo principus bei suvaldžius rizikas.
P. Domarkas: SOC turbūt galima pavadinti mūsų „Ferrari“.
D. Zinkevičius: aš jį prilyginčiau labiau elektromobiliui – inovacijai, kurią reikia išbandyti praktiškai, kad suvoktum, kaip ji veikia ir ką apskritai daro.
Kokiais dar produktais papildėte OIXIO paslaugų krepšelį?
P. Domarkas: šiuo metu mūsų auditų departamentas tiesiog užverstas energijos gamintojų prašymais atlikti auditus, kuriuos pagal įstatyminį reikalavimą privalo atlikti visi esamų ar naujų atsinaujinančių išteklių jėgainių, kurių galia viršija 100 kW, savininkai. Pats reikalavimas nėra labai naujas, tačiau šiuo metu – pats auditų bumas.
Atliekame ir įvairaus tipo kitokius auditus. Tikriname, kiek organizacijos politikos ir technologijos atitinka direktyvų reikalavimus. Būna įmonių, kurios pageidauja įsivardinti savo IT infrastruktūros brandą. Darome vulnerability testus, kurie parodo tinklų pažeidžiamumą ir panašiai.
Dar viena paslaugų kategorija – darbuotojų elgsenos mokymai. Jie apima fishing‘o kampanijas, imituojančias kibernetines atakas. Jas kuria mūsų sertifikuoti inžinieriai, OIXIO darbuotojai taip pat gauna tokių laiškų, ir jie tikrai būna labai tikroviški (šypsosi). Po tokių kampanijų galime iškart pateikti ataskaitas, įvertinti situaciją, kiek organizacijos žmonės yra budrūs. O tuomet jau pagal tai paruošti mokymus tam atsparumui tobulinti.
Deja, žmonės vis dar yra ir, turbūt, visada bus pati pažeidžiamiausia organizacijos grandis. Tinklus ir sistemas dažniausiai atakuoja kvalifikuoti hakeriai, tuo tarpu pasinaudoti žmonėmis bando paprasti sukčiai, kuriems nebūtinos didelės techninės kompetencijos, todėl darbuotojų budrumo lygis yra kritinis veiksnys.
Kalbėjome daugiausia apie kibernetinį saugumą, tačiau į veiklą įtraukėte ir IT paslaugų?
P. Domarkas: Taip, pradedame teikti ir standartines IT priežiūros paslaugas. Kompiuterizuotų darbo vietų priežiūra, apimanti aprūpinimą kompiuteriais, jų priežiūrą, aptarnavimą, naujos programinės įrangos suinstaliavimą, vartotojo profilio perkėlimą į naują kompiuterį ir panašiai.
Atitinkamai galime prižiūrėti ir visą IT ūkį – tinklus – sudiegti įrangą nuo nulio arba palaikyti jau turimą. Vykdome ir mini projektus, jeigu, reikia kažką keisti ar išvystyti papildomai.
Neatsiejama IT ūkio dalis yra ir vietinė infrastruktūra (angl. on premise). Čia identiškai kaip su tinklais – galime stebėti, prižiūrėti ir vystyti fizines kliento serverines, taip pat ir debesiją, jeigu sistemas laiko joje, konsultuojame, kaip ją efektyviau naudoti, kad kaštai būtų mažesni. Galiausiai, jei yra poreikis, galime kliento sprendimus saugiai patalpinti OIXIO debesyje.
Ar jaučiate, kad rinka supranta, kokias rizikas ir galimybes neša skaitmenizacija, ar vis dar daug yra formalaus, reguliatoriaus paskatinto veikimo?
D. Zinkevičius: na, jei pasižiūrėtume į BDAR reglamento įgyvendinimą, tai jis, mano nuomone, „pakišo“ rinkai koją. Dauguma apsidėliojo popieriukais, tvarkomis ir didelis klausimas, kiek įmonių atliko realius pokyčius sistemose. Kiek matome, rinka nepersistengė su pokyčiais. Bet kibernetinio saugumo direktyvos yra kitokio pobūdžio. Pirmas patikrinimas iš NKSC – ir paaiškės, ar iš tiesų kažkas nuveikta, ar darbai vėl tik popieriniai.
Taigi įmonėms teks investuoti, o investicijos mėgsta būti planuojamos. Tad organizacijos jau turėtų galvoti apie atsparumo didinimą ir kitas investicijas, padėsiančias atitikti NIS2 ir TIS2 reikalavimus.