Kaip pasiruošti AETHER KSRA auditui — 7 dienų checklist'as

Operatoriaus vadovas pirmoms 5 pilot įmonėms — kas reikia paruošti, kaip aprašyti scope'ą, kokia seka klausimyne, ką tikėtis iš skenavimo + AI rekomendacijų + specialisto peržiūros. Su konkrečiomis dienomis ir checklist'ais.

Kam šis vadovas

Šis straipsnis skirtas Lietuvos įmonėms, kurios jau apsisprendė užsisakyti AETHER KSRA auditą ir nori suprasti, ką paruošti per 7 dienas iki audito pradžios. Skirtumas nuo bendro NKSC audito 48 valandų pasiruošimo vadovo — šis nukreiptas į AETHER customer flow: kas vyksta po Stripe Checkout, kaip pildyti klausimyną, kaip autorizuoti techninį skenavimą, kaip skaityti AI rekomendacijų prioritetus.

Vadovas struktūruotas dienomis: Day -7 iki Day 0 = pre-registration prep (jūsų komanda); Day 0 = registracija + apmokėjimas; Day +1 iki +2 = klausimynas + skenavimas + ataskaita (AETHER atlieka).

Day -7: surinkti pagrindinius dokumentus

Paruoškite šiuos dokumentus arba bent jų projektus prieš registraciją — klausimyno pildymas eis 3× greičiau, jei turėsite juos po ranka. Net jei jų NĖRA, paaiškinkite kodėl klausimyno pagalbos teksto laukelyje: AETHER specialistas tai supras kaip „dar nesukurta, reikia rekomendacijų“ — ir atitinkamai sugeneruos action plan'ą.

Saugumo politika — bent 1 puslapio dokumentas, aprašantis kas atsakingas už kibernetinį saugumą įmonėje (CISO arba ekvivalentas), kaip vyksta incidentų eskalacija, kokie etikos principai. Net trumpa A4 versija tinka.
Tinklo schema — kokie serveriai jūsų valdymas, kokios paslaugos veikia (web, email, file share, ERP, CRM), kokia DMZ struktūra. Galima ranka pieštas eskizas — AETHER specialistas išsaugos tai kaip baseline.
Vendor inventory — sąrašas trečiųjų šalių, kurios turi prieigą prie jūsų sistemų: cloud provider'iai (AWS, Azure, Google Cloud), SaaS vendor'iai (CRM, ERP, marketing), outsourced IT teikėjai, audito firmos. KSRA Block 3 (Trečiųjų šalių saugumas) reikalauja šio sąrašo.
Backup'ų strategija — kaip dažnai backup'inate (RPO), kiek laiko trunka atstatymas (RTO), kur saugoma (lokali kopija + cloud + offsite). KSRA Block 5 (Verslo tęstinumas).
Incidentų istorija — jei per pastaruosius 12 mėn. buvo kibernetinių incidentų (phishing, ransomware bandymai, data leak'ai), trumpas jų aprašymas + sprendimai. KSRA Block 4 (Įvykių valdymas) reikalauja audit trail dokumentavimo.

Day -3: priskirti vidinį atstovą

AETHER auditas gali būti atliktas be vidinės IT komandos (jei jūsų įmonėje IT outsource'inta) — bet jums vis tiek reikės vieno asmens, kuris atsako į specialisto klausimus, jeigu kažko trūks klausimyne. Šis asmuo (paprastai operacijų vadovas, IT atsakingas asmuo arba CEO mažose įmonėse) turi:

Turėti įgaliojimą priimti scope sprendimus (kuriuos domenus skenuoti).
Žinoti, kas valdo įmonės pagrindinį domeną (pvz. kompanija.lt) ir kaip galėtų gauti raštišką patvirtinimą, jei reikės.
Galėti atsakyti per 24 val. į specialisto klausimus el. paštu arba per dashboard'ą.
Turėti prieigą prie infrastruktūros dokumentų (jei tokie egzistuoja) — kad galėtų greitai patikrinti, ar reikia papildyti klausimyno atsakymus.

Day 0: registracija + apmokėjimas (~5 min.)

Nueikite į azorasec.lt/registracija ir užpildykite formą:

El. paštas — kontakto asmens, kuris stebės progress'ą. Po registracijos siunčiame patvirtinimo nuorodą su 24 val. galiojimu.
Įmonės pavadinimas + 9-ženklis kodas — patikriname per Lietuvos Registrų centro online API automatiškai (jokio rankinio dokumentų tikrinimo). Jei kodas nepatvirtinamas, gausite klaidos pranešimą — patikrinkite, ar įvedėte teisingai.
Slaptažodis — minimum 12 simbolių, su didžiosiomis + mažosiomis raidėmis + skaičiais + spec. simboliais. BDAR + KSRA reikalavimas. Rekomenduojame Bitwarden / 1Password.

Pasirenkate tarifą ir apmokate per Stripe Checkout (5 mokėjimo metodai — banko kortelės Visa/Mastercard/Maestro/AmEx, PayPal, SEPA banko pavedimas, Stripe Link, Klarna). Po apmokėjimo Stripe automatiškai išrašo PVM sąskaitą faktūrą (21% PVM pridedamas) — ją gausite el. paštu + dashboard'e.

Pilotinis tarifas „Pirmieji 5“ = 0 € (tik pirmiems 5 klientams). Tinka įmonėms, kurios nori išbandyti AETHER prieš keldamos visą atitikties programą. Vienkartinis auditas — 1500 €. Mėnesinis monitoringas — 99 €/mėn. Detalus palyginimas: /kainos.

Day 0 (po apmokėjimo): klausimynas (~25 min.)

Iškart po apmokėjimo gausite prieigą prie klausimyno dashboard'e. Klausimynas struktūruotas pagal 8 KSRA reikalavimų blokus. Vidutinis užpildymo laikas — 25 minučių (jei turite Day -7 dokumentus po ranka — 15 min.; jei pradedate iš nulio — 40 min.).

Kiekvienas klausimas turi:

Pagalbos tekstą paaiškinantį, ko klausiame ir kodėl tai svarbu KSRA atitikčiai. Pavyzdys: „Ar turite daugiafaktorinę autentifikaciją admin paskyroms?“ → pagalbos tekstas paaiškina, kad KSRA Block 7 reikalauja MFA bent admin lygmeniu, ir pateikia 3 įgyvendinimo variantus (TOTP, SMS, hardware key).
KSRA punkto nuorodą — į oficialų NKSC dokumentą (atidaroma naujame tab'e), kad galėtumėte patikrinti tikslų formuluotę.
„Nežinau / nesvarbu“ pasirinkimą — neslėpkite, jei nežinote. AETHER specialistas tai supras kaip rekomendaciją sukurti procesą, ne kaip klausimyno klaidą.

Galite išsaugoti būklę bet kuriuo metu ir grįžti vėliau. Progress'as % rodo'omas dashboard'e. Kai užpildysite 100%, „Pradėti skenavimą“ mygtukas tampa aktyvus (jei pasirinkote skenavimą; jei ne — iš karto eina į AI rekomendacijas).

Day +1: techninio skenavimo autorizacija (~5 min.)

Jei norite techninio skenavimo (rekomenduojama, suteikia konkrečių findings'ų be „možeb yra“ guess'ų), pateikiate:

Domenas (-ai) — pagrindinis įmonės domenas (pvz. kompanija.lt) + kiti, kuriuos valdote (subdomenai automatiškai įtraukiami). Skenuojame TIK tuos, kuriuos jūs įvardinate.
Raštiškas patvirtinimas, kad turite teisinį pagrindą skenuoti (paprastai esate domeno owner per Whois arba IT atsakingas asmuo per įmonės įgaliojimą). Šis dokumentas saugomas Supabase EU su laiko žyma + IP adresu — audit trail BDAR Art. 5.1.f (integrity) compliance.
Skenavimo scope — pasirenkate vieną iš trijų variantų: (a) tik HTTP saugumo antraštės (CSP, HSTS, X-Frame, Referrer-Policy); (b) SSL/TLS analizė + open ports + saugumo antraštės (rekomenduojama); (c) full scope (b) + CVE fingerprinting pagal aptiktas paslaugas + versijas.

Skenavimas nepradedamas be šio žingsnio — tai techninis ir teisinis safeguard'as. Per visą AETHER egzistavimą nė vienas skenavimas nebuvo atliktas be raštiško patvirtinimo.

Day +1 (po autorizacijos): skenavimas + AI rekomendacijos (~25 min. fone)

Skenavimas (~10 min.) iš autorizuoto AETHER VPS (Hetzner DE) su rate limit 1 request/sekundę. Black-box pasyvūs probing'ai: HTTP saugumo antraščių analizė, SSL/TLS sertifikato galiojimas + grandinė, atviri portai (top 1000), paslaugų versijos su CVE fingerprinting (MITRE identifikatoriai CVE-YYYY-NNNNN). Jokių exploit'ų, jokio brute-force, jokio admin credentials reikalavimo. Realiu laiku rezultatai transmit'inami atgal į Supabase.

AI rekomendacijos (~15 min.) — Anthropic Claude API ES endpoint analizuoja klausimyno atsakymus + skenavimo rezultatus. Generuoja rekomendacijų sąrašą su:

Konkretus KSRA punkto nuoroda (pvz. „KSRA 3.2.1 — multi-factor authentication“).
Prioritetas (critical / high / medium / low) pagal CVSS scoring + KSRA bloc impact + jūsų įmonės kontekstą.
Įgyvendinimo apytikslis laikas (val.) ir sąnaudų intervalas(EUR) — žinome, kad biudžetas yra realybė.
Gap analysis — kuo dabartinė būsena skiriasi nuo KSRA reikalavimo + 3 alternatyvūs įgyvendinimo variantai.

Anthropic „no-train“ politika užtikrina, kad jūsų duomenys NETRENinami modelio. Jokio cross-customer data leak'o per LLM training corpus'ą.

Day +2: specialisto peržiūra + PDF ataskaita (~3 val. įkūrėjas + 5 min. delivery)

Įkūrėjas Aleksandras (arba ateityje — sertifikuotas compliance reviewer) peržiūri kiekvieną AI sugeneruotą rekomendaciją prieš ataskaitą. Veiksmai:

Patvirtinti — matomas „[OK] approved by reviewer“ marker.
Pakoreguoti — pakeisti formuluotę / prioritetą / sąnaudas su rationale komentaru.
Išmesti — false positive arba neaktualu jūsų kontekstui („[REJ] rejected by reviewer“).

Tai yra ES AI Act 2024/1689 Art. 50 transparency reikalavimas — Limited Risk AI sistemos turi turėti žmogaus priežiūrą prieš final output. Per visą AETHER egzistavimą — 0% AI auto-send'ų į klientus. Kiekvieno reviewer'io action'as audit log'inamas (audit trail BDAR + KSRA atitikčiai).

PDF ataskaitos generavimas (~2 min.) — brand'intas PDF su 8 sekcijomis: titulinis lapas, vadovų santrauka su top-5 rekomendacijomis, atitiktis per 8 KSRA reikalavimų blokus (green/yellow/red matrica), kritiniai atotrūkiai (gaps), detalios rekomendacijos, skenavimo techniniai rezultatai, 12 mėnesių action plan, priedai (klausimyno raw atsakymai + scan output). Lietuvių kalba, Inter šriftas.

Pristatymas (~1 min.) — el. laiškas per Resend EU su atitikties balu %, top-3 rekomendacijomis, signed URL nuoroda į PDF (galioja 24 val.). Dashboard'e — neribotam laikui.

Po audito: ką daryti su PDF ataskaita

Trumpas action plan'as pirmoms savaitėms po audito gavimo:

1 savaitė — perskaitykite vadovų santrauką + top-5 rekomendacijas su komanda. Aptarkite, kurios yra kritinės (security incident risk) vs strateginės (long-term roadmap).
2-4 savaitės — įgyvendinkite kritines rekomendacijas (paprastai yra 3-7, su konkrečiomis sąnaudomis ir laiku). Daugumai galite naudoti vidinius IT resursus arba existing vendor'ius.
1-3 mėnesiai — pradėkite high prioriteto rekomendacijas. Jei yra didelių procesinių pakeitimų (pvz. naujas saugumo politikos dokumentas), priskirti atsakingus asmenis ir deadline'us.
3-12 mėnesių — sekite PDF ataskaitos „12 mėnesių action plan“ skiltį. Apsvarstykite Always-on AI Agent prenumeratą (99 €/mėn.) jei jūsų IT aplinka dinamiška ir norite kontinualaus monitoringo tarp audito iteracijų.

Tipinės klaidos pasiruošimo metu

Per ilgai redaguoti dokumentus prieš registraciją — AETHER sistemoje tai jums NE būtina. Geriau registruokitės su tuo, ką turite, ir klausimyne pažymėkite „neturime, reikia rekomendacijų“ — gausite konkretų šabloną PDF ataskaitoje.
Slėpti silpnybes — KSRA auditas ne yra exam'as „kas atsakingas už klaidas“. Tai yra įrankis, padedantis identifikuoti gap'us. Specialistas VISADA mato klausimyno melą per skenavimo rezultatus (pvz. teigiate „turime MFA“ bet skenavimas rodo open admin login be MFA).
Nepasirašyti raštiško scope patvirtinimo — pavyzdžiui pasiūlyti skenuoti subdomenus be vidinės derinimo. AETHER specialistas niekada nepradės skenavimo be aiškaus dokumento — geriau atsiimti scope'o sprendimą per dieną nei rizikuoti teisinėmis komplikacijomis.
Neperskaityti pagalbos tekstų klausimyne — jie sukurti, kad atskleistų prasmę. „Ar turite incidentų valdymo procesą?“ pagalbos tekstas paaiškina, kad tai apima incidentų klasifikaciją (low/medium/high/critical), eskalacijos kelius, post-mortem dokumentavimą — daug platesnis nei „ar turime SOC?“.

Susiję straipsniai

Kaip pasiruošti NKSC auditui per 48 val. — bendras pasiruošimo planas (ne AETHER-specific).
8 KSRA reikalavimų blokai paaiškinti paprastai — pagrindinis kontekstas klausimyno blokams.
KSRA auditas — kaina ir trukmė 2026 — rinkos kontekstas + konkurentų palyginimas.
Kaip veikia AETHER — 8 etapų metodologijos detalus aprašymas.
Kainos — visi tarifai + DUK + duomenų saugojimo politika.

Klausimų? Rašykite kontaktai@azorasec.lt arba per dashboard'ą po registracijos.