Rusai taikosi į gręžinius
„Plungės vandenų“ vadovas Alvydas Jasevičius iš kolegų gavo begalę nuotraukų, kuriose užfiksuota kaip raketos pataiko į gręžinius ar nuotekų valymo įrenginius, tačiau nebuvo apšaudyti administraciniai pastatai.
Daugiau nei prieš metus įsigaliojo Aplinkos ministro įsakymas, kuriuo patvirtintas Nacionaliniam saugumui užtikrinti svarbių viešųjų geriamojo vandens tiekėjų ir nuotekų tvarkytojų vandens tiekimo, nuotekų tvarkymo infrastruktūros fizinės ir veiklos saugos reikalavimai. Tačiau ne ką mažiau svarbu apsaugoti ir objektų kibernetinę erdvę. Prieš pusantrų metų įsigaliojo atnaujinti Kibernetinio saugumo įstatymo reikalavimai.
Vandentvarkos įmonės puolė gyvendinti naujus reikalavimus, bet iš karto susidūrė ir su problemomis – darbų marios, lėšų tam – vos vos.
Pasak „Molėtų vandenų“ energetiko Valdemaro Devicijono, įmonė skyrė 5 tūkst. eurų vertės TIS2 atitikties pasiruošimo projektui: buvo įvertinta kibernetinio saugumo būklė, sudarytas NIS 2 reikalavimų neatitikčių identifikavimo sąrašas bei individualus atitikties užtikrinimo veiksmų planas, parengtos Incidentų reagavimo planas ir veiksmų gairės. Buvo įvertinta ir tiekimo grandinės saugumo rizika. Molėtiškiai taip pat parengė Kibernetinių rizikų valdymo strategijos aprašą bei modernizavo teritorijos fizinę apsaugą nuotekų valymo įrenginiuose ir miesto vandens gerinimo įrenginiuose – ten buvo sumontuotos vaizdo stebėjimo kameros.
,,Projektas nėra ypatingas, tai turi įgyvendinti visos įmonės, įtrauktos į KSS registrą kaip ypatingos svarbos objektas“, – pastebėjo ,,Molėtų vandenų“ V.Devicijonas, kurio teigimu, šie darbai įmonei nemaža finansinė našta
Žemaitijoje – ugniasienės
„Tauragės vandenys“ inžinieriaus Liucijaus Urbučio teigimu, bendrovė iki 2025 m. įrengė 2 fizinės ugniasienes, kompiuterinių darbų vietų saugumui įsigijo „Eset Cloud Elite“ licencijas, elektroninį paštą perkėlė į naujesnes ir saugesnes O365 versijas.
„Kretingos vandenys“ kibernetinio saugumo procesus pradėjo integruoti 2022 metais. Tiesioginis darbų derinimas su Nacionaliniu kibernetinio saugumo centru (NKSC) žemaičiams kėlė didelių organizacinių iššūkių. Proceso metu išryškėjo esminė problema – kibernetinio saugumo kompetencijų trūkumas įmonės viduje bei išsiskiriantys IT ir saugumo funkcijų tikslai. Suvokiama, kad IT padalinio prioritetas – nepertraukiamas sistemų veikimas, tačiau tam reikia griežto duomenų konfidencialumo, išlaikyti vientisą infrastruktūrą bei ją apsaugoti nuo išorinių grėsmių.
Paaiškėjo, kad be vidinių specialistų, suprantančių techninę specifiką, šabloninis reikalavimų taikymas virsta neefektyvia „popierine atitiktimi“. „Nesuprantant giliųjų saugumo principų, apsaugos priemonių diegimo kaštai tampa neproporcingai dideli palyginti su realia saugomų objektų verte“, – pabrėžė „Kretingos vandenų“ vadovė Eglė Alonderienė, kurios teigimu, siekdama užtikrinti praktiškai veikiantį, o ne tik formalų saugumą, įmonė priėmė strateginį sprendimą aktyviai ugdyti vidines kompetencijas.
„Nusprendėme siekti gerokai aukštesnių standartų nei reikalauja bazinės normos“, – minėjo „Kretingos vandenų“ vadovė, kurios teigimu, šiuo metu iškeltas tikslas įgyti vieną precižiškiausių saugumo valdymo sertifikatų pasaulyje – CISSP (Certified Information Systems Security Professional).
„Tai leis įmonei pereiti nuo „bazinės higienos“ prie brandaus, aukščiausius tarptautinius standartus atitinkančio strateginio valdymo lygmens“, – minėjo įstaigos vadovė, kurios manymu, pagrindinis ateinančių metų prioritetas – techninių neatitikčių šalinimas bei infrastruktūros modernizavimas.
„Įvertinus tai, kad kai kurių techninių reikalavimų įgyvendinimas senesnėse sistemose yra fiziškai neįmanomas arba finansiškai neproporcingas, įmonė bandys pritaikyti naują, efektyvesnę strategiją“, – sakė „Kretingos vandenų“ vadovė, kurios teigimu bus pereinama prie modelio, kai saugumo priemonės parenkamos remiantis realiu, pamatuotu visos infrastruktūros rizikų vertinimu, atsisakant aklai taikomų šablonų. Tai leis identifikuoti pačias kritiškiausias vietas ir tikslingai nukreipti resursus didžiausių problemų šalinimui.
Kaštus reiktų įtraukti į sąnaudas
LVTA prezidento Eimanto Kirkliausko teigimu,. Molėtų ir Kretingos pavyzdžiai liudija, kad investuoti į šalies vandentvarkos įmonių kibernetinio saugumo infrastruktūrą yra būtina.
„Niekam nereikia įrodinėti, kad saugus geriamojo vandens tiekimas yra pagrindinis išgyvenimo faktorius, o vandentvarkos įmonės – vieni svarbiausių infrastruktūrinių objektų“, – sako LVTA vadovas, kurio teigimu, visais įmanomais būdais infrastruktūros objektus būtina apsaugoti nuo įvairiausio pobūdžio galimų atakų. Įmonių kibernetinis saugumas – itin svarbus.
