Ministro teigimu, gera žinia yra tai, kad Lietuvoje egzistuoja stipri įstatyminė bazė. „Orientuojamės į geriausiai šioje srityje atrodančias Europos sritis ir galime užtikrinti adekvatų, bent jau vidutinį kibernetinio saugumo lygį“.
Ministras akcentavo, kad be gerųjų dalykų, kuriuos duoda technologijos, randasi ir tam tikros rizikos, tarp kurių – elektroninė sauga, pradedant kibernetiniais šnipinėjimais, baigiant ritmų pasekmių turinčiomis atakomis prieš tam tikrus objektus. Anot jo, ne laikas kalbėti apie kibernetinę gynybą tada, kai jau yra vykdomos atakos prieš finansų institucijas, prieš sistemas, kur laikomi gyventojų asmeniniai duomenys.
Ir čia prieinama prie blogosios ataskaitos išvados: kibernetinės saugos įgyvendinimas Lietuvoje nėra patenkinamas. Anot ministro, įstatymus, premjero nurodymu, privaloma vykdyti visu griežtumu, tad jau dabar imamasi reikiamų atitikties su įstatymais įgyvendinimo veiksmų – apie jų rezultatus ministras pažadėjo paskelbti po poros mėnesių.
Krašto apsaugos viceministras Edvinas Kerza išskyrė keturias pagrindines grėsmes kibernetiniam saugumui: nuosekliai tiriant viešai prieinamas interneto svetaines nustatyta, kad jų saugumo situacijų nepatenkinama – labai didelė jų dalis yra pažeidžiama; pastebėta, kad Lietuvos informacinėmis sistemomis ir jų saugumu nuosekliai domimasi ne tik iš Krašto apsaugos sistemų pusės – iš užsienio šaltinių nepaliaujamai tikrinamos lietuviškų interneto išteklių saugumo spragos, tikrinami įvairūs prievadai. Trečia grėsmė – tai DDoS incidentai, kuomet dideliu užklausų srautu trikdoma vienokių ar kitokių prie interneto prijungtų sistemų veikla. Bet turbūt įdomiausia grėsmė yra ta, kad Lietuvoje fiksuojama nedraugiškų valstybių veikla – mūsų šalies informacinėse sistemose – taip pat uždarose – aptinkama labai specializuotos kenkėjiškos programinės įrangos, kurios tikslas – neteisėtais būdais informaciją rinkti, kaupti ir išsiųsti.
„Matome, kad daugiau nei į pusę viešojo sektoriaus svetainių apskritai nesudėtinga įsilaužti – galima pakeisti turinį, įdėti melagingas žinias ar įterpti piktybinius kodus, kurie aktyvuojasi prie svetainė prisijungus vartotojams. Į maždaug penktadalį svetainių galima įsilaužti ir padaryti žalą netgi be jokių specifinių žinių – turinio valdymo sistemos senos, saugumo spragos neužtaisytos“, – teigė viceministras.
Užfiksuojamų bandymų gauti neteisėtą prieigą prie Lietuvos informacinių sistemų kiekis nuosekliai auga. „Praėjusiais metais užfiksavome net penkis kartus padidėjusį aktyvumą pažeidžiamumų tikrinime. Akivaizdu, kad esame įdomūs“, – sakė E.Kerza. Jo teigimu, piktavaliai naudoja draugiškų šalių ryšius ir sistemas – tarkime, sudaroma regimybė, kad mūsų šalyje didžioji dalis kibernetinių atakų vykdoma iš Jungtinės Karalystės IP adresų, o Vokietija gali matyti, kaip atakos prieš jų sistemas vykdomos iš Lietuvos. „Turime daug IT sistemų, kurias užkrėtus susidaro įspūdis, kad ataka vykdoma iš mūsų šalies“, – tvirtino viceministras.
DDoS atakas po publikacijų apie neva iš Rusijos perkamus balsus už Eurovizijos dalyvius patyrė Lietuvos naujienų portalai, o praėjusių metų balandį dėl tokios atakos kurį laiką nebuvo prieinama ir Lietuvos Respublikos Seimo svetainė. „Nedraugiški žmonės savo tikslą pasiekė“, – sakė ministras.
„Užfiksuota keletas atakų, siejamų su užsienio žvalgybos tarnybų veikla. Fiksuojama piktybinių programų veikla uždaruose valstybės tarnybų tinkluose“, – konstatavo E.Kerza.
Jo teigimu, didžiausią susirūpinimą kelia šiuo metu kelia įstatyminės bazės nurodymų įgyvendinimas. „Daugeliui organizacijų IT saugos klausimai yra podukros vietoje – gal tai yra nesuvokimo, gal prioritetų paskirstymo bėda“, – sakė viceministras.
Pristatant saugumo ataskaitą buvo nurodyta, kad apie trečdalį įstaigų vadovų nemato savo pareigos rūpintis IT saugumu – 35 proc. net neturi paskirtų už kibernetinį saugumą atsakingų specialistų. O įstatymai reglamentuoja saugumo užtikrinimą net ir ne darbo valandomis. Turimi vadovaujantys IT specialistai dažnai neturi reikiamų įgaliojimų visai įstaigos kibernetinio saugumo užtikrinimo sistemai sukurti.
Konstatuota, kad bendras įstaigų kibernetinio saugumo brandos lygis – labai žemas. Kibernetinių incidentų valdymą reglamentavę tik 35 proc. įstaigų. Ir jeigu vien tai atrodo kai stulbinamai prastas rezultatas, iš tų 35 proc. tik 60 proc. reglamentavimą atliko tinkamai.
Ataskaitos pristatyme buvo nurodyta, kad valstybinės kibernetinį saugumą užtikrinančios institucijos šiuo metu glaudžiausiai bendradarbiauja su maždaug 100 įstaigų, įtrauktų į strateginių kibernetinių išteklių sąrašą. Krašto apsaugos ministerija organizuoja vietines kibernetinio saugumo pratybas, įstaigų IT specialistus moko atpažinti ir sustabdyti atakas, be to, dalyvaujama tarptautinėse IT saugumo pratybose.
E.Kerza pasidžiaugė socialinės inžinerijos elementų turinčiomis pratybomis „Siunta“, kai sukūrus fiktyvią interneto svetainę įvairių įstaigų darbuotojams buvo išsiuntinėtas elektroninis laiškas, informuojantis apie siuntos gavimą ir raginantis registruotis pačių sukurtoje svetainėje įvedant jautrius duomenis. Tik 2,21 proc. laiško gavėjų tinkamai atpažino, kad laiškas yra apgaulingas ir informavo apie jį saugumo specialistus, dalis gavėjų į laišką nereagavo, bet labai daug žmonių ne tik registravosi svetainėje, bet ir nukeliavo į pašto skyrių bei kantriai laukė neegzistuojančios siuntos.
„Situacijos nevertiname teigiamai, sakome, kad turime pasitempti. Tuo pačiu galvojame, kad kibernetinių grėsmių tik daugės, sistemų pažeidžiamumas tik augs“, – kartojosi viceministras, pridūręs, kad visuomenei didelė grėsmę kelia ir daiktų interneto populiarėjimas: Žmonės gali net neįsivaizduoti, kad iš trečių šalių įsigyta techninė įranga, prijungta prie interneto, visą surinktą informaciją gali siųsti iš anksto tų įrenginių programinę įrangą sukūrusiems piktavaliams. O šiuo metu prie interneto jungiamos net ir vaizdo kameros ar visą patalpą galintys matyti televizoriai su vaizdo kameromis ir mikrofonais.
Eksponentiškai auga ir duomenis šifruojančių bei išpirkos reikalaujančių virusų „populiarumas“ – tai reiškia, kad dabar, labiau nei bet kada anksčiau, svarbu nespaudyti nepatikimų nuorodų, nes vieno tokio paspaudimo gali pakakti, kad būtų sukelta gana rimta finansinė žala.
Siekiant gerinti kibernetinio saugumo padėtį, KAM ketina imtis lyderystės ir ketina iš kitų ministerijų perimti kibernetinės saugos principus bei formuoti kibernetinės saugos politiką. Iš dalies ši politika apibrėžta 2011-2019 m. strategijoje, tačiau ji pasenusi ir nebeaktuali.
Pristatymo metu kalba ėjo ir apie valstybinės įmonės „Infostruktūra“ valdymo perėjimą į Krašto apsaugos ministeriją. „Valstybei tikslinga turėti savo saugų, vidinį tinklą ir užtikrinti autonomiškumą krizės ar nedraugiškos internvencijos atveju“, – teigė E.Kerza.
Ir nors perėmus šios įmonės valdymą daugumai darbuotojų bus suteiktos identiškos ar net geresnės nei dabar darbo sąlygos, esama ir nesmagių naujienų: „Infostruktūra“ nebeaptarnaus komercinių klientų, tad nebebus reikalingi ir šį darbą atliekantys specialistai.
