– Kibernetinio saugumo įstatymas jau pasiekė Seimą. Kaip vertinate šį įstatymą? Pradėkime nuo privalumų. Jis yra reikalingas. Kažkas turėtų kontroliuoti „vaikščiojimus“ po internetą...
Kibernetinės saugos įstatymas buvo ruošiamas šiek tiek kitiems tikslams. Jo tikslas apsaugoti Lietuvos, kaip valstybės, ypatingos svarbos infrastruktūrą.
– Kibernetinės saugos įstatymas buvo ruošiamas šiek tiek kitiems tikslams. Jo tikslas apsaugoti Lietuvos, kaip valstybės, ypatingos svarbos infrastruktūrą. Tai daiktai svarbūs valstybės valdymui: inžineriniai dalykai, susiję su oru, vandeniu, kaip pavyzdys, šviesoforais, elektros, maisto tiekimu, kariniais dalykais ir panašiai. Įstatymas buvo dėliojamas taip, kad šiems objektams būtų šiek tiek saugiau. Tam bus skiriamos lėšos, žmonės, kurie budės, stebės galimas grėsmes, incidentus, rinks informaciją, kiek jų įvyko, reaguos, jeigu bus tam priemonių. Taip pat planuos priemones, kurias būtina įsigyti, kad tokie incidentai neįvyktų. O įvykus – galima būtų duoti tinkamą atsaką.
– Kokia situacija dabar? Vartotojas gali pagalvoti: „yra kompiuteriai, tinklai, antivirusinės programos – įsidiegiam ir viskas gerai.“
– Kiekviena institucija, kuri turi internetą ar prieigą prie jo, taip pat turi vienokias ar kitokias priemones. Tai gali būti tiek technologinės priemonės, tiek žmogiški ištekliai. Bet, kaip rodo praėjusių kelerių metų įvykiai, dalis tų priemonių yra neveiksnios. Kita dalis nemokšiškai naudojama. Šalyse, kur tokie incidentai dažnesni, tos priemonės aktyviai naudojamos. Valdžia skiria priemones darbuotojų kvalifikacijai kelti ir tai yra efektyvu. Lietuvoje rimtesnių atakų (nekalbu apie telekomunikacijų bendroves, jos atakų gauna tikrai daug) mes matome vienetus.
– Įstatymas reikalingas, reikalingi kibernetinio saugumo centrai, kvalifikuoti specialistai, kurie užsiimtų prevencija...
– Turi dirbti žvalgyba, kuri užkardytų galimus incidentus. Valstybė turi žinoti – jeigu Lietuvoje išjungsi pagrindinius 2-3 informacijos šaltinius – kils panika. O tai jau yra valstybės saugumo reikalai. Sutinku, kad kibernetinio saugumo įstatymas turėjo atsirast. Klausimas – kokios priemonės ten turi būti aprašytos? Kas tas priemones pirks, kas už jas mokės?
– Čia jau atsiranda komerciniai interesai...Ir vieniems norisi tą situaciją išskaidrinti, kaip šiuo atveju mums, kitiems labiau norisi įvesti tokią „matinę“ padėtį... Negalima išsiaiškint, kaip kas juda, bet labai gražiai gali viskas sujudėt į vieną pusę... O kas nepatinka? Neaišku, kur čia ta kontrolė prasideda ir kur baigiasi. Ir kai įstatymas paliečia konkrečių žmonių, kurie galėtų kažkieno manymu dalyvauti kokioje nors abejotinoje veikloje (bet tik galėtų), interesus ir pagal šį kriterijų jie gali pakliūti „į tinklelį“ nėra labai gerai. Galimybė kontroliuoti gali pavirsti visiškai netinkama praktika.
– Pradėkim nuo šiandieninės situacijos. Tai, kas yra daroma valstybėj ir kaip yra daroma. Kai kas yra daroma atžagariom rankom ir taškant pinigus, kur nereikia. Įstatyme minima kritinė infrastruktūra ir jos subjektai. ES yra priiminėjamas dokumentas, NIS direktyva, kuri bus taikoma ir Lietuvai ir į kurią Lietuva niekaip neatsižvelgia. Kritinės infrastruktūros sąrašas ten jau yra paruoštas.
Lietuva apie tokį sąrašą jau kelerius metus šneka, bet jo neturi. Skelbia konkursus sąrašo metodikoms pasitvirtinti. Tokiu atveju mes turėsim 2 sąrašus. Mes turėsim ES sąrašo laikytis, 1-2 savi punktai atsiras, susiję su valstybės specifika...
Valstybė ir šiandien saugo mus internete, tik saugojimo priemonės panašios į imituojamą darbą. Pavyzdžiui, renkama informacija apie interneto incidentus, skelbiama, kad jų yra dešintys tūkstančių, kai elementarus siuntimas „spamo“, ar viruso gavimas naršant po interneto puslapius – Lietuvoje jau yra laikoma incidentu.
– Ar yra metodika, kaip atskirti incidento?
– Taip. Lietuviai pasitvirtino tą metodiką, kai yra daugiausiai incidentų... Jeigu aš kompiutery turiu gerą antivirusinę programą, aš jau turiu prevenciją. Visų pirma turi būti prevencija, žmonių švietimas. O tik tada fiksavimas tokių atvejų, kai edukacija jau nepadeda.
– Iš kur atakuojama mūsų kibernetinė erdvė?
Gal ir smalsu, ką veikia vienas ar kitas vartotojas, bet tai jau ne šio įstatymo reikalas.
– M.Pareščius: Prieš 10 metų buvo atakų, kai buvo atakuojama iš vidaus, bet daugiau tokių atakų nepasikartojo. Ir tam tikrų tarnybų veiksmai, prašant informacijos apie Lietuvos interneto vartotojus yra visai ne šio įstatymo reikalas. Bet jeigu atakos iš užsienio – nelabai yra ką nagrinėti.
Mūsų tarnybos nelabai turi įgaliojimų dirbti užsienyje, iš kitos pusės jie gali prašyt tik tam tikros teisinės pagalbos iš valstybių, iš kurių yra atakuojama Lietuva. Bet to paprastai nedaro, nes užkrėstųjų yra dešimtys tūkstančių kompiuterių – tai ne vienas vartotojas, kuris atakuoja. Tokios yra dažniausios atakos, kurias stebime Lietuvoje. Reikia saugotis atakų iš užsienio. Viduje – gal ir smalsu, ką veikia vienas ar kitas vartotojas, bet tai jau ne šio įstatymo reikalas.
– Bet jeigu darbo nebus kontroliuojant išorinius srautus, policijos pareigūnai pradės kontroliuoti vidinius?
Įstatyme kalbama apie kriminalistus, kad jie galėtų išjungti interneto vartotojus be teismo ar prokuroro sankcijos. Ne taip baisu, kad galės išjungti pavienius vartotojus. Baisu, kad gali pradėti išjunginėti įmones ir organizacijas.
– Jie mokysis tai daryt... Šiandien kvalifikuotų pareigūnų yra saujelė. Įstatyme kalbama apie kriminalistus, kad jie galėtų išjungti interneto vartotojus be teismo ar prokuroro sankcijos. Ne taip baisu, kad galės išjungt pavienius vartotojus. Baisu, kad gali pradėti išjunginėti įmones ir organizacijas, kur vienas ar kitas darbuotojas parašė panašų į šmeižtą interneto komentarą.
O tokių žmonių yra daug. O jei tiekėjas interneto neišjungs, jam gresia atsakomybė, nes jis nevykdė reikalavimų, kurie numatyti Kritinės infrastruktūros apsaugos įstatyme, kuris visiškai ne į temą. Mes kalbam apie kontrolę.
Jeigu Europa mums atneš naujų vėjų, mes ne kartą keisim šį įstatymą. O kol kas gaištam laiką ir pinigus. Panašu, kad mes patys save silpninsim, nes saugosim ne tą vietą. Skaudu matyti, kad Seimo nariai komitetuose struktūrom leidžia „paklodę tampyti“ į save. Šiuo atveju – Kriminalinės policijos biuras sugalvojo, kad ir jie turi būti įtraukti į šį įstatymą. Ir jiems pavyko.
– Kokių pasiūlymų turite situacijai pagerinti?
M.Pareščius: Pirmas – palaukti ES NIS direktyvos, kuri greitai bus išleista. Pagal ją sutvarkyti mūsų įstatymą. Nes daug mūsų įstatymo nuostatų su direktyva tikrai kirsis. Prevencija turi prasidėt nuo edukacijos. Mes jos neturim .
– Kaip prognozuojate baigį?
Informaciją, kurią sukaups mūsų tarnybos, galima panaudoti įvairiems tikslams.
– Manau, kad parlamentarai pasakys „taip“. Atsarginis variantas – jei vienas ar kitas Seimo narys apsigalvos, pateiks pakeitimus, pamąstys, ką daro. Techniškai dar įmanoma, kad valstybės vadovė turės kitokią nuomonę ir įsiklausys į paprastų vartotojų nuogąstavimus. Kad čia prasideda sekimas, valstybės kova prieš žmones, o ne saugojimasis nuo išorės atakų.
Informaciją, kurią sukaups mūsų tarnybos, galima panaudoti įvairiems tikslams. Bijau, kad dalis prievolės bus ant privačių interneto tiekėjų pečių, kaups ne tik valstybė, bet ir „privatukai“. O kur panaudos ir kas paprašys tos informacijos – čia jau yra blogoji pusė.