Tuo tarpu jų Lietuva kasmet patiria vis daugiau. Ypač užpuolimai virtualioje erdvėje padažnėjo prasidėjus neramumams Ukrainoje ir įvykus Krymo okupacijai.
Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos direktorius Gintaras Čiurlionis su 15min.lt dalijasi mintimis, kaip stiprinti Lietuvos gynybą. Anot jo, vienas iš kelių – patiems įsigyti kibernetinių ginklų ir būti pasiruošusiems ne tik gintis, bet prireikus ir užpulti.
– Buvusi JAV prezidentų George'o W.Busho ir Baracko Obamos patarėja kibernetinio saugumo klausimais Melissa Hathaway suskaičiavo, kad dėl kibernetinių atakų JAV kasmet patiria apie 1 proc. BVP arba 300 mlrd. dolerių nuostolius. Ar buvo kada skaičiuota, kiek kibernetinės atakos kainuoja Lietuvai?
– Tokių užsienio šalių skaičiavimų esu girdėjęs ir dar didesnių. Lietuvoje išvis neteko girdėti, kad būtų skaičiuojama. Mes neturime metodikos, kaip suskaičiuoti.
Pavyzdžiui, net kai 2008 m.buvo įsilaužta į daugiau nei 300 Lietuvos įmonių ir valstybinių organizacijų interneto svetainių ir pradiniuose puslapiuose įdėta Sovietų Sąjungos atributika – kūjis ir pjautuvas, tai buvo įvertinta kaip ataka prieš Lietuvą. Tada aš dirbau Briuselyje ir Europos Komisija mūsų paklausė, kiek žalos padaryta. Lietuvos atsakymas buvo „nieko“. Jau tada sakiau, kad tokio atsakymo negali būti, nes visi dirbo: Ryšių reguliavimo tarnyba, įmonės žiūrėjo, kaip užkamšyti skyles, kad tai nesikartotų. Visa tai kainavo, tačiau niekas neskaičiavo. O skaičiuoti reikėtų.
Europos Komisija mūsų paklausė, kiek žalos padaryta. Lietuvos atsakymas buvo „nieko“.
– O ar yra suskaičiuota, kiek Lietuva išleidžia kibernetinei gynybai?
– Taip pat ne. Tai yra vienas iš siekių. Yra apibendrintai skaičiuojama, kiek Lietuva išleidžia informacinėms technologijoms, tačiau nėra detaliai išskiriama, kokia dalis tų pinigų išleidžiama saugai ir, konkrečiai, gynybai. Kai rengėme Kibernetinio saugumo programą, mes įrašėme siekiamybę, kad palaipsniui būtų pasiekta, jog 10-15 proc. visų išlaidų technologijoms visose institucijose būtų skiriama būtent saugai. Kad tai jau pasiekta, aš negaliu pasakyti.
– Jau praėjo ketveri metai nuo Kibernetinio saugumo programos parengimo. Kas konkrečiai per tą laiką nuveikta?
– Mes kasmet renkame duomenis, kas yra padaryta laikantis joje numatytų įsipareigojimų. Dabar baigiame rinkti duomenis apie 2013 m. Dabar jau bent jau yra žinoma, kas yra daroma, o kas ne. Anksčiau išvis nieko nebuvo žinoma. Yra išskirti saugos įgaliotiniai visose institucijose, yra saugos tvarkos. Tai biurokratija, bet tai privaloma. Antraip, kaip galime nuspręsti, kad incidentas įvyko, kad pažeista tvarka, jei tos tvarkos išvis nėra?
Kai yra tvarka, mes galime susitarti ar galima taip, ar negalima. Galime nustatyti, ar gali taip būti, kad sistemos administratorius savo draugui, netyčia užėjusiam vakare, perdavė sistemos slaptažodžius, o tas dar kitam, kai šis galiausiai supykęs pridarė kažkokių bėdų. Deja, su pjautuvu ir kūju lietuviškose svetainėse priežastis buvo beveik tokia. Man teko dalyvauti tyrimuose, kur atrodė, kad įvyko vos ne kažkas antgamtiško, bet paaiškėjo, kad tai tiesiog žmogiškas faktorius, taisyklių nebuvimas.
Spaudoje minėtas atvejis apie prezidentės Dalios Grybauskaitės patarėjo Lauryno Jonavičiaus nutekėjusius asmeniniais elektroniniais laiškus. Greičiausiai, čia buvo tas atvejis, kai kažkokiame neaiškiame laiške paspaudus kažkokią neaiškią nuorodą ar kitaip prarastas elektroninio pašto slaptažodis. Tokiu atveju visas susirašinėjimas tampa žinomas tretiesiems asmenims. Tai rodo, kaip svarbu yra ir patiems saugotis.
Po Estijos įvykių 2007 m. iš NATO išgirdome, kad tame puolime dalyvavo septyni užkrėsti kompiuteriai iš Lietuvos. Vienas iš jų buvo Nacionalinėje teismų administracijoje.
Žinoma, būna ir rimtesnių dalykų. Apie juos pirmiausia sužinojome po Estijos įvykių 2007 m. Tada iš NATO išgirdome, kad tame puolime dalyvavo septyni užkrėsti kompiuteriai iš Lietuvos. Vienas iš jų buvo Nacionalinėje teismų administracijoje. Čia jau nėra žmogiško atvejo. Čia žmogus gali net nežinoti, kad jo kompiuteris dalyvauja atakoje. Jis gali labai saugotis, bet vis tiek neatpažinti, kad jo kompiuteris puolamajame „botnet“ tinkle. Žmogus gali vos iš parduotuvės parsinešęs kompiuterį, nieko nedaręs, jau tapti auka.
Didelę dalį DDoS atakų galėtų stabdyti tinklų operatoriai. Jie galėtų nutraukti paslaugą, jei tu žengi vos vieną žingsnį link kibernetinio nusikaltimo, bet tą daryti operatoriams turi leisti valstybė. Tuo tarpu yra paradoksas, kad DDoS atakos tinklų operatoriams gali būti pelningos, nes tuo metu duomenų perdavimo srautai milžiniški. Žinoma, piktybiškai jie tuo nesinaudoja. Tačiau jie nori būti teisiškai įpareigoti reaguoti (nutraukti paslaugas) ir apsisaugoti nuo galimų klientų skundų lavinos teismams. Bet kuriuo atveju jie suinteresuoti apsaugoti ir klientus.
– Prieš gerą pusmetį kalbėta, kad tinkamai savo informaciją saugo vos pusė Lietuvos valstybės institucijų. Kokia situacija dabar?
– Informacija iš įstaigų renkama, tačiau vieningos sistemos, pagal kurią jos teikia duomenis, nėra. Todėl vesti statistiką sunku. Tačiau galiu užtikrinti, kad saugomasi nepakankamai ir yra sektorių, kur 90 proc. informacijos apskritai nesaugoma.
Lengviau fiksuoti situaciją bus tada, kai įdiegsime Valstybės informacinių išteklių stebėsenos ir atitikimo saugos reikalavimams sistemą. Tai ketiname padaryti dar šiemet, vėliausiai – kitąmet. Tuomet turėsime vienodus parametrus ir tikslesnę statistiką.
DDoS atakos tinklų operatoriams gali būti pelningos, nes tuo metu duomenų perdavimo srautai milžiniški.
Mes nesame visiškai tragiškoje situacijoje, mūsų specialistai pasaulyje yra gerai vertinami, tačiau čia, kaip ir visur, reikia bendro supratimo daugiau. Kaip ir su nusikalstamumu gatvėse – jei viskas yra apšviesta, sutvarkyta, yra kameros, yra sąmoningi piliečiai, kurie pamatę ką nors iškart praneša, tai nereikia policininko kiekviename skersgatvyje. Tas pats ir su kibernetine sauga. Jei žmonės būtų akylesni, incidentų būtų mažiau.
– Ryšių reguliavimo tarnyba skelbia, kad pernai Lietuva patyrė apie 25 tūkst. incidentų. Kas dažniausiai mus atakuoja ir kaip?
– Nustatyti puolėjų geografiją nėra taip lengva. Čia paprasta pasiduoti spekuliacijoms. Pavyzdžiui, kai Estijos ataka buvo vykdoma, didžiausias atakuotojų skaičius buvo iš JAV. Na, ir kas? Tai yra tarpiniai adresai arba užvaldyti adresai. Tai nieko nereiškia.
Negaliu atsakyti už Ryšių reguliavimo tarnybą, kaip greitai ir lengvai jie gali gauti visą atakos maršrutą ir rasti iniciatorių. Tai net ne jų kompetencija. Jie pakankamai gerai registruoja incidentus. Kriminalinės policijos ir RRT skaičiai nesutampa, nes incidentai nebūtinai yra nusikaltimai. Jei įsilaužiama į banko sąskaitą ir pavagiami pinigai, policija tai vadina plėšimu, o ne kibernetiniu nusikaltimu. Tačiau tyrėjai yra atkreipę dėmesį į tą traktavimo skirtumą ir ateityje statistiniai vertinimai gali vienodėti.
Dažniausiai pasitaikantys tarp tų 25 tūkst. incidentų yra neteisėtas sistemų užvaldymas (43 proc.) ir kenkėjiškos programos (43 proc.). Garsiai skambančios DDoS atakos, pavyzdžiui, sudaro vos 0,5 proc. visų incidentų. Čia praėjusių metų duomenys, kai dviem paroms buvo sustabdyta portalo „Delfi“ veikla. DDoS atakos yra retos, bet gali būti viską griaunančios.
Per atakas, kaip pamokė Estijos atvejis, svarbiausia žinoti, kas už ką valstybėje atsakingas, ir kas turi kokius įgaliojimus ką daryti. Pavyzdžiui, nutraukti interneto ryšį išvis? Ar Lietuvoje šios pamokos tikrai išmoktos, negaliu pasakyti, nes tokio masto atakos mes niekada neturėjome. Tiesa, kartais net per mokymus pasidaro juokinga, kai imituojama elektrinės ataka, bet patys pratybų dalyviai elektros neišsijungia. Elektros juk nebūtų, tai kiek laiko tada galėtume dirbti su rezerviniu maitinimu ir kaip?
Kartais net per mokymus pasidaro juokinga, kai imituojama elektrinės ataka, bet patys pratybų dalyviai elektros neišsijungia.
– NATO pareigūnai tvirtina, kad didelė dalis atakų nutraukiama po skambučio telefonu užpuolikui. Ar ir Lietuvoje taikoma tokia praktika?
– Ryšių reguliavimo tarnyba pernai atliko labai didelį darbą. Ji aptiko „botnet“ tinklo valdiklį Lietuvoje ir jį neutralizavo. Tas valdiklis buvo suprogramuotas taip, kad galėjo pasiekti 5400 kompiuterių. Tai kibernetinėje saugoje yra žygdarbis. Manau, kad visi tinklo pajėgumai niekada nebuvo panaudoti, tam buvo laiku užkirstas kelias. Valdymo serveris buvo išvalytas. Jei tokius tinklus būtų galima aptikti dažniau, tai būtų labai gera prevencija.
– Dalis Europos valstybių jau kalba ne tik apie kibernetinę gynybą, bet pripažįsta turinčios galimybių ir rengti kibernetines atakas. Lietuvai apie tai galvoti per anksti ir per brangu?
– Pas mus buvo kalbama apie tai, kad reikėtų jungtis prie tų šalių, kurios pasisako už kibernetinių ginklų draudimą. Tačiau aš įsitikinęs, kad, Dieve duok, tik turėtume tų ginklų. Kuo mažesnė šalis, tuo labiau jų reikia. Koks skirtumas tarp sunkaus šaltojo ginklo ir kibernetinio ginklo? Vienus mes turime turėti, o kitus privalome drausti? Jei turėtume kibernetinį ginklą, jis būtų reikšmingas. Kibernetiniai ginklai, kaip ir tankai, turi savo argumentus. Jei konfliktas kyla, bet tu toje srityje nieko neturi, tai tau ne pliusas.
Koks skirtumas tarp sunkaus šaltojo ginklo ir kibernetinio ginklo? Vienus mes turime turėti, o kitus privalome drausti?
Kasmet dalyvauju tarptautiniuose kibernetinio saugumo suvažiavimuose, kur susirenka patys aukščiausi šalių vadovai. Iš tų renginių akivaizdu, kad kibernetiniame ginklavimesi pastaruoju metu kuriasi sąjungos, aljansai. Čia kaip skaitmeninis Ribbentropo–Molotovo pakto laikų žemėlapis, kur šalys pasidalija į blokus. Čia gerąja prasme. Svarbu žinoti, kam tu priklausai, nes vienas šioje srityje nieko nepadarysi.
Puolamuosius ginklus turi mažiausiai 100 pasaulio valstybių. Būtų gerai, kad mes, su NATO, ES, kitais partneriais, būtume lygiaverčiai potencialiems priešams.
– NATO iki šiol labai griežtai sako, kad jos funkcija yra tik gynyba kibernetinėje erdvėje. Manote, kad tai – klaida?
– NATO politikai kalba tik apie gynybą, bet yra ir NATO kariai. Pastarieji susitikimuose tiesiai sako, kad to reikia. Dabar JAV į Afganistaną vykstančius kitų šalių karius turi aprūpinti įranga, kad jie nekalbėtų tuo pačiu telefonu ir su mama, ir su kolegomis. Mums reikia ginkluotis tokiais ginklais, kokiais ginkluojasi mūsų priešininkai.
– Neseniai skelbta, kad Ukrainos valstybiniuose tinkluose aptikta „Gyvatė“ buvo ir Lietuvos institucijų kompiuteriuose. Ar paaiškėjo, kokie šios atakos mastai ir nuostoliai, ar tebesvarstoma, kad ji galbūt galėjo būti?
– Galbūt galėjo būti. Su Ryšių reguliavimo tarnyba dirbame ta tema. Mastas nebuvo toks, kaip buvo pranešta, tačiau vyksta patikrinimai. Ieškoma požymių, lyginama su tuo, kas rasta Ukrainoje. Tie Ukrainos įvykiai tikrai yra labai svarbūs ir turi savo kibernetinį vaizdelį Lietuvoje, bet ne visai tokį, kaip bandoma iš nuogirdų pateikti.
– Kaip apskritai vertinate kibernetinius išpuolius per Ukrainos krizę? Ar tai jau kibernetinis karas? Ar nuo tų konfliktų kenčia ir Lietuva?
Pernai 18 proc. per metus padaugėjo incidentų, šiemet matome, kad augimas irgi bus. Kad tai yra dėl Rusijos veiksmų, aš negaliu pasakyti.
– Mes fiksuojame tam tikrą incidentų padidėjimą. Pernai 18 proc. per metus padaugėjo incidentų, šiemet matome, kad augimas irgi bus. Kad tai yra dėl Rusijos veiksmų, aš negaliu pasakyti. Galima tik pasakyti, kad Ukrainoje didėjant įtampai incidentų ir Lietuvoje padaugėjo.
Rusija šioje srityje veikia atsargiai ir tyliai. Tai, kad atakos iškart priskiriamos Rusijai, dažnai yra tik spekuliacijos. Kita vertus, pačioje Rusijoje niekas nieko nebesuvaldo. Ten tos pačios masinės informacijos priemonės vienos prieš kitą užsakinėja atakas. Tai vieni, tai kiti patiria įsilaužimus. Masiškai. Ir nėra taip, kad vien ukrainiečiai juos talžo. Tai yra juoda rinka. „Pirk – parduok“ principu veikiantis dalykas. Koks skirtumas tada kieno kompiuteriais, savininkams to net nežinant, naudojamasi?
– Dabar daug kalbama apie informacinį karą ir jo kontekste internete rašomus „perkamus“ komentarus, bet ar tų komentarų iš tiesų nerašo tie patys užkrėsti kompiuteriai, jų savininkams nė nežinant?
Tos programos labai populiarios tarp nesąžiningų studentų, bet kodėl jos negalėtų būti naudojamos ir komentarams internete rašyti?
– Manau, kad taip. Yra programos moksliniams studentų darbams rašyti, kur duodi tik temas, o jos viską rašo sklandžiau nei žmogus.
Tos programos labai populiarios tarp nesąžiningų studentų, bet kodėl jos negalėtų būti naudojamos ir komentarams rašyti? Tai būtų vienas iš pigiausių dalykų, ypač mūsų dydžio šalyje. Čia yra didelė bėda, nes pagauti tokius botų rašomus komentarus portalams būtų labai brangu. Turbūt vienintelis šansas tokių komentarų išvengti būtų išvis uždrausti komentuoti. Tuo tarpu Lietuvoje kaip tik varžomasi, kur jų bus daugiau, o portaluose atsirado prierašai, kad niekas už juos neprisiima atsakomybės.
Tuo tarpu realiems komentatoriams geriausia prevencija yra ta, kad teisėsauga gali juos atsekti. Atsimenu pirmą atvejį, kai tai padarėme. Tuomet, praėjus vos dviem valandoms po lėktuvų įsirėžimo į Niujorko dangoraižius, internete pasirodė komentaras, kuriame pagrasinta, kad po kelių valandų sprogs „Lietuvos“ viešbutis.
Iškart kreiptasi į policiją dėl grasinimu teroristiniu aktu. Iš pradžių tyrimas vedė į Kauno technologijos universiteto auditorijas, paskui į bendrabučius, pas dėstytoją, į kitą bendrabutį, iš balkono kryptine lentele pas kitą. Toks interneto dalijimasis tada nebuvo leistas. Jo buvimą universitete finansavo skandinavai, o resursais dalijosi visas miestelis. Pajutę baimę žmonės bandė naikinti įrodymus. Tačiau mums pavyko atsekti, kad pas tą žmogų, kurio kompiuteriu buvo parašytas komentaras, lankėsi ką tik iš kalėjimo grįžęs brolis. Jis galvojo, kad mes neįrodysime, kad tai jis parašė grasinimą susprogdinti „Lietuvą“, tačiau pavyko tai padaryti.
– Prezidentė Dalia Grybauskaitė metiniame pranešime paminėjo, kad tai, jog iki šiol nėra Seimui pateiktas Elektroninių ryšių ir informacijos saugumo įstatymas, yra nusikalstama. Ar pritariate tokiam požiūriui?
– Manau, kad ji kalbėjo apie Kibernetinio saugumo įstatymą, kurio projektas yra parengtas. Vidaus reikalų ministerija savo projekto variantą turėjo jau seniai, bet jį pateikus kitoms ministerijoms atsirado labai daug pastabų ir prasidėjo derinimas. Jis vyko metus. Kodėl taip ilgai, aš nežinau, bet dabar jis jau skubiai bus teikiamas Vyriausybei ir Seimui ir, nujaučiu, bus nesunkiai priimtas.
– Kas svarbiausio bus numatyta parengtame, bet dar nepateiktame įstatyme?– Pats manau, kad įstatymas turi atsirasti tada, kai jau yra santykiai, kuriuos reikia reguliuoti. Visiems dabar reikia Kibernetinio saugumo centro. Nekukliai pasakysiu, bet aš su kolegomis jį įkurti siūliau prieš dešimt metų, kai tik pradėjome susipažinti su NATO. Stodami į NATO turėjome išpildyti tam tikras sąlygas. Viena jų buvo – informacijos apsauga elektroninėje erdvėje. Tada pamatėme, kad beveik visur tokie centrai yra ir jo mums reikia. Įstatyme šis centras numatytas ir numatytos jo atsakomybės bei santykiai su kitomis institucijomis.
Kitos šalys tokius centrus turi neturėdamos įstatymo. Ne popierius yra esmė.
Kitos šalys tokius centrus turi neturėdamos įstatymo. Ne popierius yra esmė. Galima turėti įstatymą, kaip turime Informacinių išteklių įstatymą jau trejus metus, bet nėra poįstatyminių aktų ir jis beveik nevykdomas.
– O kiek Lietuvos Kibernetinio saugumo centre dirbs žmonių, prie kurios ministerijos jis bus kuriamas?
– Čia tas klausimas, dėl kurio šio centro iki šiol nėra. Teigiama, kad valstybė nenori didinti biurokratinio aparato. Todėl dar vienos įstaigos kūrimui visada buvo sakoma „ne“.
Tačiau visada buvo galima, ir dabar tai lieka galioti, centrą atidaryti sutartiniu pagrindu tarp jau veikiančių toje srityje įstaigų, prijungiant savanorius, mokslą ir nieko daugiau nekuriant. Jokių naujų etatų, pastatų nereikia. Reikia tik įrankių ir žmonių. Negali visos įstaigos ginkluotis atskirai, kai įranga saugumo yra labai brangi, o šalis tokia nedidelė. Įranga turi naudotis visi.
Toks centras būtų toks pats, kokį turi Estija. Ir, tiesą sakant, mes čia galėjome būti pirmi. Mes pirmi, vos įstoję į Aljansą, išgirdome, kad NATO reikia tokio Kibernetinio saugumo centro. Mes pirmi pateikėme paraišką. Praėjome procedūras, tačiau paskui pritrūkome įgaliojimų ir jų mūsų valdžia laiku nesuteikė, nes tuomet tai nebuvo prioritetas.
Tuomet buvome priversti paraišką atsiimti, o estai labai greitai visas procedūras pakartojo, renovavo pastatą, įsikūrė ten vos ne klasės dydžio patalpas, pastatė kelis kompiuterius ir to pakako pradžiai. Šią istoriją žino ne daug kas, bet ji yra labai pamokanti. Kai Lietuva kūrė NATO energetinio saugumo centrą, Užsienio reikalų ministerijos prašiau nepakartoti klaidos. Gerai, kad šįkart tai pavyko. Šiuo atveju buvo labai gera visų valstybės institucijų parama.
