Telekomunikacijos bendrovių atstovai teigia, kad jau šiuo metu ataskaitas turi teikti dešimtims kontroliuojančių institucijų. Siekiama, kad naujasis centras taptų pagrindine institucija, kuri imtųsi realių veiksmų atakos atveju ir koordinuotų kitų įstaigų veiksmus, tačiau kol kas atrodo, kad pagalbos prašymai reikalui esant tiesiog pasiklys valdininkų kabinetuose.
Informacinių technologijų specialistai neslepia – Lietuvos parlamentarams sunku paaiškinti, kad reikia saugoti ne Seimo puslapį, kurį nulaužus didelės tragedijos neįvyktų, o finansinių institucijų informacines sistemas, naujienų portalus, telekomunikacijos bendrovių duomenų bazes. Vadovauti centrui turėtų ne politikas, o aukšto lygio specialistas.
Absoliutus saugumas neįmanomas
Garantuoti, kad nieko neįvyks blogo ir kad mes viską atremsime, tikrai būtų per drąsu, – teigė R.Černiauskas.
Ryšių ir informacinių sistemų tarnybos prie Krašto apsaugos ministerijos (KAM) direktorius Rimtautas Černiauskas teigė, kad naujasis centras būtų kuriamas dabar veikiančio Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio pagrindu, kuriame jau dirba 7 žmonės. Įstatymo projekte numatoma, kad Kibernetinio saugumo politikai vadovaus Krašto apsaugos ministerija.
R.Černiauskas teigė, kad centras padėtų stiprinti Lietuvos kibernetinį saugumą, tačiau jo negarantuotų. „Nėra tokios sąvokos kaip absoliutus saugumas – yra rizikos vertinimas ir pagal tą riziką yra kompromisai tarp resursų ir kokybės. Amerikiečiai yra pasakę, kad 5 proc. grėsmių išliks – kaip besistengtum, bet viskas atsiremia į finansus ir darosi ekonomiškai nenaudinga. Garantuoti, kad nieko neįvyks blogo ir kad mes viską atremsime, tikrai būtų per drąsu“, – sakė jis.
Dalis paslaugų teikėjų, kurie patektų į vadinamosios kritinės informacinės struktūros apibrėžimą, turėtų informaciją apie incidentus teikti dviems institucijoms – Ryšių reguliavimo tarnybai (RRT) ir naujai įsteigtam kibernetinio saugumo centrui.
Administraciniai kaštai verslui
Pasaulio išsivysčiusios šalys eina tuo formatu, kad stiprina rinkos gebėjimus apsisaugoti jai pačiai. Tikėtis, kad apsaugos, apgins – tai yra šiek tiek iliuzija, – sakė R.Rainys.
RRT Tinklų ir informacijos priežiūros skyriaus vedėjas Rytis Rainys sakė suprantantis, jog įsteigiant Kibernetinio saugumo centrą verslui atsiras administracinių kaštų, nes informaciją apie incidentus teks teikti ne tik RRT, bet ir kitoms institucijoms.
Jis tikino, kad bus ieškoma įvairių sprendimų, kaip palengvinti reikiamos informacijos pateikimą. „Pasaulio išsivysčiusios šalys eina tuo formatu, kad stiprina rinkos gebėjimus apsisaugoti jai pačiai. Tikėtis, kad apsaugos, apgins – tai yra šiek tiek iliuzija“, – sakė R.Rainys.
Per metus Lietuvoje įvyksta virš 25 tūkst. incidentų, susijusiu su kibernetiniu saugumu. Didžioji dalis jų kyla dėl veiklos iš užsienio, tad padidinta stebėsena reikalinga.
Anot R.Rainio, ryšių paslaugų tiekėjai įsigaliojus įstatymui neturėtų pirkti naujos įrangos, tad čia nepatirtų papildomų išlaidų.
Trūksta kompetencijos
Kibernetinio saugumo klausimai turi būti griežtai centralizuoti, siekiant operatyviai reaguoti į galimas grėsmes. Jeigu tai bus išskirstyta per dešimt institucijų, tai bus dešimt piemenų, o karvė alkana, – prognozavo V.Vitkauskas.
Buvęs ilgametis asociacijos „Infobalt“ vadovas Vytautas Vitkauskas 15min.lt teigė, kad valdžios institucijoms trūksta kompetencijos spręsti kibernetinio saugumo problemas.
„Pastaruosius dvejus metus kalbama, kad turi būti sudarytas kritinių infrastruktūrų sąrašas, kurias pažeidus kiltų didžiausias pavojus Lietuvai. Sąrašas iki šiol nesudarytas, todėl valstybė ir jos institucijos nežino, kam skirti maksimalų dėmesį.
Tai aiškiai rodo, kad kibernetinio saugumo klausimai turi būti griežtai centralizuoti, siekiant operatyviai reaguoti į galimas grėsmes. Jeigu tai bus išskirstyta per dešimt institucijų, tai bus dešimt piemenų, o karvė alkana. Dvejus metus vykstantis derinimas rodo kompetencijos stoką valstybės institucijose“, – sakė jis.
Pamirštamas fizinis saugumas
Išmanančiam žmogui pakaktų pusvalandžio darbo su nedideliu ekskavatoriumi, kad daugelis itin svarbių informacinių jungčių Lietuvoje nustotų veikti.
Pasak V.Vitkausko, dažnai geri įstatymai sugriaunami netikusiais poįstatyminiais aktais, kuriuos ruošiančios institucijos tik imituoja bendravimą su privačius verslu.
„Keletą kadencijų buvau asociacijos „Infobalt“ prezidentu. Mūsų patirtis solidi ir mes matome, kas vyksta su naujai priimamais įstatymais, kurių poįstatyminiai aktai gali visiškai pakeisti situaciją.
Garsiai deklaruojama valstybės ir privataus sektoriaus partnerystė turi veikti realiai ir verslas turi turėti galimybę pasakyti, kas norminiuose aktuose priimtina, o kokios nuostatos tiesiog neveiks. Mūsų nuomonė girdima rengiant įstatymus, tačiau ruošiant poįstatyminius aktus valstybės institucijos dialogą labiau imituoja ir dažnai bendravimo stengiasi išvengti“, – nurodė pašnekovas.
V.Vitkauskas taip pat atkreipė dėmesį, kad reikėtų kalbėti ne tik apie apsaugos priemones virtualioje erdvėje, tačiau ir apie fizines apsaugos priemones strategiškai svarbiems infrastruktūros objektams. Pasak jo, išmanančiam žmogui pakaktų pusvalandžio darbo su nedideliu ekskavatoriumi, kad daugelis itin svarbių informacinių jungčių Lietuvoje nustotų veikti.
Neranda specialistų
Jei bendrai informacinių technologijų specialistų poreikis auga 20 proc., tai informacinio saugumo specialistų poreikis dvigubai didesnis, – sakė V.Misiukonienė.
„Infobalt“ ES reikalų vadovė Vilma Misiukonienė 15min.lt sakė, kad sprendžiant kibernetinio saugumo klausimus verslą girdėti būtina, nes būtent ten šiuo metu dirba aukščiausios kompetencijos specialistai.
„Versle specialistai uždirba kelis ar net keliasdešimt kartų daugiau negu valstybės tarnyboje. Kompetencijos problema valstybės institucijose yra labai didelė“, – sakė ji.
V.Misiukonienė nurodė, kad verslas labai suinteresuotas saugumo stiprinimu. Ji atkreipė dėmesį, kad tam labai trūksta gerai paruoštų specialistų. „Jei bendrai informacinių technologijų specialistų poreikis auga 20 proc., tai informacinio saugumo specialistų poreikis dvigubai didesnis“, – kalbėjo pašnekovė.
Nesuvokia prioritetų
Didžioji dalis kritinės infrastruktūros yra ne valstybės rankose, o privačiame sektoriuje. Tai duomenų centrai, interneto operatoriai, portalai, finansinės ir kitos įstaigos. Dabartinis įstatymas labiau akcentuoja valstybės resursų apsaugą, – nurodė A.Bubnelis.
Bendrovės „Teo LT“ Korporatyvinės komunikacijos skyriaus direktorius Antanas Bubnelis 15min.lt teigė pasigendantis tinkamo bendradarbiavimo su norminių aktų rengėjais.
„Tai labai svarbus įstatymas, apie kurį jau kalbama dešimtmetį. Svarstant verslas tarsi buvo užrakintas už dviejų durų. Tai matyti įstatyme, nes jo visa dvasia neatspindi bendradarbiavimo, kuris yra privalomas.
Didžioji dalis kritinės infrastruktūros yra ne valstybės rankose, o privačiame sektoriuje. Tai duomenų centrai, interneto operatoriai, portalai, finansinės ir kitos įstaigos. Dabartinis įstatymas labiau akcentuoja valstybės resursų apsaugą.
Kartais galvojama, kad labai svarbu, jog veiktų Seimo tinklalapis. Žinoma, tai svarbu, tačiau daug svarbiau, kad veiktų finansiniai centrai, prekybos sistemos, telekomunikacijų operatoriai, naujienų portalai“, – sakė jis.
Aibė institucijų
Bus keturios iš esmės vieną sritį prižiūrinčios organizacijos. Kibernetinė ataka vyksta labai operatyviai ir greitai. Nėra laiko susirašinėti ir derinti nuomonių.
Steigiamas kibernetinio saugumo centras prie KAM turėtų pradėti veikti nuo sausio 1 d. Jis veiks šalia kitų trijų organizacijų – RRT, Valstybinės asmens duomenų inspekcijos ir kriminalinės policijos.
„Bus keturios iš esmės vieną sritį prižiūrinčios organizacijos. Kibernetinė ataka vyksta labai operatyviai ir greitai. Nėra laiko susirašinėti ir derinti nuomonių. Veiksmų turi būti imamasi tą pačią minutę. Mūsų nuomone, centras turėtų būti tikru centru ir koordinuoti kitų institucijų veiklą tiek, kiek to reikia.
Tokiu atveju verslas žinotų, kam skambinti, kam teikti informaciją, kas priima sprendimus. Kitaip bus daug situacijų, kai reikės diskutuoti, į ką kreiptis ir kam pagal kompetenciją priklauso priimti sprendimus“, – minėjo A.Bubnelis.
Kare ne popieriai svarbiausia
Kibernetinė saugumas, kaip ir karas, nėra dokumentų ir popierių rašymas. Tai konkretūs karo veiksmai, kuriems atlikti reikia turėti ginklų. Šiai dienai valstybė neturi nei radarų, nei raketų. Yra tik šūsnis dokumentų, kuriuose surašyta, ką kas turėtų daryti.
Pasak jo, kai yra bendradarbiavimo dvasia, tai kiti klausimai operatyviai išsprendžiami.
„Kibernetinė saugumas, kaip ir karas, nėra dokumentų ir popierių rašymas. Tai konkretūs karo veiksmai, kuriems atlikti reikia turėti ginklų. Jei nori apsaugoti oro erdvę, tai reikia turėti radarus, ryšio linijas, naikintuvus ar kitą ginkluotę. Nepakanka tik pamatyti priešo lėktuvą ir konstatuoti, kad mus puola.
Tokia pati situacija kalbant apie kibernetinį saugumą. Reikia turėti technines priemones puolimui identifikuoti ir sustabdyti. Šiai dienai valstybė neturi nei radarų, nei raketų. Yra tik šūsnis dokumentų, kuriuose surašyta, ką kas turėtų daryti.
Naujasis centras turėtų įrankius, kuriuos taip pat diegtų kritinės infrastruktūros objektuose. Mes su tuo visiškai sutinkame, tačiau atsiranda praktiniai klausimai. Kokios bus tos techninės priemonės, kas jas gamins, ar jos tiks privačių operatorių tinkluose?“, – svarstė pašnekovas.
Lietuva atremti rimtas grėsmes nepasiruošusi
Pasaulyje vyksta 50 kartų stipresnės atakos nei tos, kurios buvo vykdomos prieš naujienų portalus Lietuvoje. Tokiems atvejams mūsų šalis šiandien yra nepasiruošusi, – sakė A.Bubnelis.
Jis paaiškino, kad ir dabar tokios bendrovės kaip „Teo LT“ turi techninių priemonių kibernetiniam saugumui stiprinti, tačiau atskiros bendrovės negali apsaugoti visos Lietuvos: „Juk niekas neprašo „Air Lituanica“ ar „Air Baltic“ saugoti Baltijos valstybes. Nors jos turi lėktuvus, tačiau jų funkcija yra kita.
Krašto gynyba turi būti sisteminė ir tam turi būti pakankamai išteklių. Atakos atveju įmonės įsijungtų į procesus, taip, kaip karo metu piliečiai mobilizuojami karo tarnybai. Visa tai turi veikti vieningai.“
A.Bubnelis atkreipė dėmesį, kad šiuo metu telekomunikacijų bendrovės teikia informaciją kelioms dešimtis įvairių reguliuotojų, todėl tikrai nereikia dar vienos institucijos, kuriai papildomai bus teikiama informacija. Reikia centro, kuriam užtektų vieno skambučio.
„Kasdien vyksta tūkstančiai atakų. Absoliuti jų dauguma yra labai mažo masto, dėl to klientai jų net nepajunta. Mūsų duomenys rodo, kad tokių incidentų kiekis didėja ir atakos intensyvėja. Kai kurios jų tampa matomomis, pavyzdžiui, pastarųjų metų atakos prieš naujienų portalus. Bet tokių atakų būta ir gerokai didesnių.
Jos buvo vykdomos ir prieš finansines institucijas, tačiau tokio didelio dėmesio jos nesulaukė ir klausimas taip smarkiai eskaluojamas nebuvo.
Pasaulyje vyksta 50 kartų stipresnės atakos nei tos, kurios buvo vykdomos prieš naujienų portalus Lietuvoje. Tokiems atvejams mūsų šalis šiandien yra nepasiruošusi“, – sakė „Teo LT“ atstovas.
