Trečiadienį įstatymo projektą pristatant Seimo Informacinės visuomenės plėtros komitete Ryšių ir informacinių sistemų tarnybos direktorius Rimtautas Černiauskas sakė, kad paties įstatymo indėlis į kibernetinį saugumą sudaro apie penktadalį, o jį derinant su verslu bei įvairiomis suinteresuotomis grupėmis, taip pat įsteigiant patį Kibernetinio saugumo centrą, būtų tikimasi pasiekti „80 proc. progresą“.
„Vis dėlto, liks 20 proc. nepasiekta. Iš saugos pusės, nėra tokios sąvokos kaip absoliutus saugumas – yra visada rizikos vertinimas ir pagal tą riziką yra kompromisai tarp resursų ir kokybės. Amerikiečiai yra pasakę, kad 5 proc. grėsmių išliks – kaip besistengtum, bet viskas atsiremia į finansus ir darosi ekonomiškai nenaudinga. Garantuoti, kad nieko neįvyks blogo ir kad mes viską atremsime, tikrai būtų per drąsu“, – komiteto posėdyje sakė institucijos prie Vidaus reikalų minsiterijos atstovas.
Garantuoti, kad nieko neįvyks blogo ir kad mes viską atremsime, tikrai būtų per drąsu.
Ryšių reguliavimo tarnybos (RRT) Tinklų ir informacijos priežiūros skyriaus vedėjas Rytis Rainys sakė suprantantis, jog įsteigiant Kibernetinio saugumo centrą verslui atsiras administracinių kaštų, nes informaciją apie incidentus teks teikti ne tik RRT, bet ir kitoms institucijoms. Jis tikino, kad bus ieškoma įvairių sprendimų, kaip palengvinti reikiamos informacijos pateikimą.
„Pasaulio išsivysčiusios šalys eina tuo formatu, kad stiprina rinkos gebėjimus apsisaugoti jai pačiai. Ir valstybė gali padėti tai rinkai – tai ir turėtų į tai orientuotis. Tikėtis, kad apsaugos, apgins – tai yra šiek tiek iliuzija“, – sakė R.Rainys.
Parengto įstatymo projekte numatoma, kad Kibernetinio saugumo politikai vadovaus Krašto apsaugos ministerija, kuriai ir būtų pavaldus planuojamas sukurti Nacionalinis kibernetinio saugumo centras (NKSC).
Įstatyme taip pat nurodoma, jog Kibernetinio saugumo politikos formavime dalyvautų ir Vidaus reikalų minsiterija, NKSC, RRT, Policijos departamentas, Asmens duomenų apsaugos inspekcija.
R.Rainys tvirtino, kad per metus Lietuvoje įvyksta virš 25 tūkst. incidentų, susijusių su kibernetiniu saugumu, didžioji dalis jų kyla dėl veiklos iš užsienio. Tad padidinta stebėsena esą reikalinga.
NKSC centro veiklai pradžioje planuojama sukurti 7 etatus, vėlia jų skaičius būtų didinamas iki 25.
R.Černiauskas paminėjo, kad NKSC būtų kuriamas dabar veikiančio Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio (CERT) pagrindu, kuriame jau ir dirba 7 žmonės – šios institucijos veikla palaipsniui būtų stiprinama.
Pasak jo, dalis paslaugų teikėjų, kurie patektų į vadinamosios kritinės informacinės struktūros apibrėžimą, turėtų informaciją apie incidentus teikti dviems institucijoms – RRT ir NKSC.
Tuo metu R.Rainys tvirtino, kad per metus Lietuvoje įvyksta virš 25 tūkst. incidentų, susijusių su kibernetiniu saugumu, didžioji dalis jų kyla dėl veiklos iš užsienio. Tad padidinta stebėsena esą reikalinga. Anot jo, ryšių paslaugų tiekėjai įsigaliojus įstatymui neturėtų pirkti naujos įrangos, tad čia nepatirtų papildomų išlaidų.
Tačiau posėdyje dalyvavę asociacijos „Infobalt“, vienijančios informacinių ryšių ir technologijų įmones, atstovai turėjo pretenzijų dėl įstatymo projekto. Pasak asociacijos darbo grupės vadovo, Teo.lt atstovo Antano Bubnelio, įstatymo redakcija yra „gana fragmentiška“, nenusako bendros politikos, kad ypatingai svarbi šaliai veikla būtų „valdoma sistemiškai“. Taip pat jis tvirtino, jog įstatyme suformuotas klaidingas požiūris, jog esminį dėmesį reikia skirti valstybės valdomai infrastruktūrai, o ne verslui.
„Nebus laužiamas Seimo tinklalapis ar kažkoks valstybės registras. Jei ir bus kas nors laužiama, tai bus interneto portalas, kaip jau buvo, finansinė sistema, telekomunikacijų operatoriai“, – sakė jis.
Kibernetinio saugumo įstatymui įgyvendinti per trejus metus planuojama skirti apie 12 mln. litų, nuo 2017 metų kasmet planuojama skirti dar po 3,2 mln. litų.
R.Bubneliui taip pat kliuvo ir „kritinės infrastruktūros“ sąvoka – ji esą per plati. Jo nuomone, turėtų būti konkrečiai įvardyta, kokio tipo tai galėtų būti įrenginiai ir įmonės.
Verslo atstovams taip pat nepatiko koncepcija, kad NKSC būtų tik viena iš keturių struktūrų, dirbančių su kibernetiniu saugumu.
„Atakos metu, kada viskas vyksta minutėmis, toks modelis neefektyvus – centras turėtų būti atsakingas už operatyvų reagavimą, o kitos organizacijos turėtų būti pavaldžios (...). Norėtumėme turėti vieną telefono ragelį, kam informacija yra perduodama“, – sakė jis.
Nors verslo atstovai turėjo ir daugiau priekaištų, Infobalt“ atstovė Vilma Misiukonienė tikino, kad pačios įmonės taip pat sutiktų prisidėti prie kibernetinio saugumo stiprinimo priemonių finansavimo.
Ji pateikė pavyzdį, kad suomiai turi Nacionalinį krizių valdymo centrą, į kurį keliauja dalis valstybei mokamų akcizų ir kt. mokesčių, bet dalį išlaikymo išlaidų sumoka ir verslas.
„80 proc. išlaidų dengiama iš nacionalinio fondo, 20 proc. verslas sumoka pats. Jo srautas prijungiamas prie tam tikros stebėjimo sistemos, ir centras, jeigu kažkas įvyksta, reaguoja ir gali teikti pagalbą. Be abejonės, verslas turės investuoti ir investuos“, – sakė ji.
Kibernetinio saugumo įstatymui įgyvendinti per trejus metus planuojama skirti apie 12 mln. litų, nuo 2017 metų kasmet planuojama skirti dar po 3,2 mln. litų.