Nacionalinis kibernetinio saugumo centras Lietuvoje po ilgų diskusijų buvo įsteigtas tik šiemet, kai įsigaliojo Kibernetinio saugumo įstatymas.
Centrui pavesta rūpintis valstybės informacinių sistemų ir joms skirtos infrastruktūros saugumu, tirti kibernetinius incidentus ir vertinti jų grėsmes.
Nacionalinis kibernetinio saugumo centras suformuotas pertvarkius Ryšių ir informacinių sistemų tarnybą prie Krašto apsaugos ministerijos.
Planuojama, kad šiemet jo veiklai reikės apie beveik milijono eurų (3,3 mln. litų). Didžioji šių lėšų dalis turėtų būti panaudota kibernetinio saugumo programinei ir kompiuterinei įrangai įsigyti.
– Kibernetinio saugumo centras pradėjo veikti vos prieš du mėnesius. Kas per tą laiką nuveikta? Kokius incidentus, susijusius su kibernetiniu saugumu, jau išsprendėte?
– Geras klausimas. Per du mėnesius nuversti kalnus neišeitų, tiek, kiek norime nuveikti, ambicijas įgyvendinsime per metus ar daugiau. Ambicijų turime nemažų, bet kol kas žengėme kelis žingsnelius. Galime pasigirti, kad esame gavę tam tikrą finansavimą, susidėliojome, ką ketiname įsigyti. Esame pasirengę. Planuojame priimti žmones, pareigybių aprašymai parengti, tada skelbsime priėmimą į specialistų darbo vietas. Institucijų paprašėme pateikti techninius duomenis apie tinklus, juos sisteminame, sukūrėme kontaktų duomenų bazę. Kreipimųsi į mus šiek tiek yra, bet dar tik pradžia, vėliau jų bus daugiau.
– Apibrėžkite paprastai, kuo centras užsiims, kai jau bus galutinai suformuota komanda, supirkta technika?
– Įsivaizduojame centro veiklą kaip uždarą ratą, vadybos teorija, procesų valdymo teorija. Jei yra poreikis, jį tenkinti reikia taisant klaidas ir vėl iš naujo. Objektai, kuriuos centras saugos yra valstybės informaciniai ištekliai, tie, kas yra finansuojami iš biudžeto. Svarbios privačios įmonės, valstybės įmonės, jų kibernetiniu saugumu centras ir užsiims. Padėsime aptikti pažeidimus, įsibrovėlius.
– Kiek centro veikla persidengia su cert.lt (Lietuvos Respublikos nacionaliniu elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padaliniu) ir kuo skiriasi?
– Buvo nemažai diskusijų apie tai. RRT vadovaujasi Elektroninių ryšių įstatymu, pagal jį jie apsaugo elektroninių ryšių sistemos saugą ir tinklų naudotojus.
– Oficialiai skelbiama, kad centro veiklai metams bus skirtas mažiau nei milijonas eurų. Ar šių lėšų pakaks centrui įkurti, juk kompiuterinė įranga yra labai brangi?
– Svarbiausia žmonės ir jų gebėjimai. Technika yra tik įrankis, kuris leidžia kažką geriau padaryti. Pirmais metais, manau, kad užteks, yra ir kitų namų darbų. Neturime kritinės infrastruktūros sąrašo, šiuo metu prisipirkti įrangos ir galvoti, ką su ja veikti, nebus logiška. Įsigysime ją palaipsniui.
– Kiek šiuo metu darbuotojų dirba centre? Ar jų pakanka?
– Sakyčiau, kad nepakanka, bet reikia įrodyti darbais, ką mes galime, ir tada pagrįsti. Turime 10 darbuotojų, jie praėję mokymus, dirba nuo 2008 metų tokį darbą, jie nėra naujokai. O norai yra įdarbinti dar 8 žmones, o dar kitais metais dar labiau plėstis.
Tam tikri žmonės gal jaus pareigą ir malonumą paaukoti savo žinias valstybės labui. Pinigai yra svarbu, bet tai nėra vienintelis stimulas. Su tam tikrais apribojimais, tikiuosi, pavyks suburti gerą komandą.
– Ryšių reguliavimo tarnyba, policija skundžiasi, kad saugumo specialistams dėl įstatymuose numatytų rėmų negali mokėti tiek, kiek jie paprastai uždirba privačiame sektoriuje. Todėl kyla klausimų ir dėl darbuotojų profesionalumo. Ar ir ieškant darbuotojų Kibernetinio saugumo centre susiduriate su šia bėda?
– Trumpas atsakymas būtų, kad įstatymas yra įstatymas, ir rėmai, kiek galima mokėti, turi būti. Sako, už pinigus laimės nenupirksi. Žmones motyvuoja ne tik alga, bet ir kiti dalykai, tokie kaip galimybė dirbti labai pažangų darbą, prisiliesti prie neviešų dalykų. Pamatyti, kas vyksta pogrindiniame fronte. Tam tikri žmonės gal jaus pareigą ir malonumą paaukoti savo žinias valstybės labui. Pinigai yra svarbu, bet tai nėra vienintelis stimulas. Su tam tikrais apribojimais, tikiuosi, pavyks suburti gerą komandą.
– Skaitytojas Aurelijus teiraujasi, ar jis pats po skaitmeninių ir kompiuterinių nusikaltimų tyrimų studijų Jungtinėje Karalystėje galėtų tikėtis gauti darbą jūsų vadovaujamame centre. Kokie dar reikalavimai keliami norint siekti karjeros Kibernetinio saugumo centre?
– Labai džiugu, kad klausiama. Skelbsime artimiausiu metu atranką. Reikalavimai yra įvardinti Valstybės tarnybos įstatyme. Prasideda nuo gebėjimų testo Valstybės tarnybos departamente, pageidausime žmonių, kurie kalbėtų angliškai, kad techninę kalbą mokėtų. Rusų? Neprivalomi dalykai. Gal pliusas būtų papildoma kalba. Toliau reikia ateiti į pačią atranką, pateikti savo CV, motyvacinį laišką. Bus papildomų atrankos etapų. Paskutiniame etape bus interviu, kuriame paaiškės, ar žmogus galvoja kad žino, ar iš tiesų žino. Yra specifiniai reikalavimai žmogaus patikimumui. Turi būti Lietuvos pilietis, neteistas ir su skaidriomis pajamomis.
– Kibernetinio saugumo įstatymo projekte buvo numatyta nacionalinė interneto duomenų srautų mainų sistema. Koks šiuo metu nacionalinės interneto duomenų srautų mainų sistemos likimas?
– Viena iš svarbesnių idėjų – sukurti galimybę keistis informacija. Bekalbant su saugumo specialistais išsiaiškinome, kad apribojimus įneša Asmens duomenų apribojimo įstatymas. Mūsų siekis buvo gerą pasaulinę praktiką keistis duomenimis, įteisinti. Asmens kodo, vardo pavardės nebus, ketinimai yra likę, bet tai, kad mes ją turėtume, negaliu sakyti. Kalbame apie prototipo sukūrimą, o vėliau – tobulinimą. Turime kontaktų duomenų bazę, tai – vienas žingsnis. Į nuveiktų darbų sąrašą dar negaliu įtraukti.
Būtų naivu galvoti, kad jie kurs sistemas, nekreipdami dėmesio į saugą, o paskui valstybė bėgs gelbėti. Centras padės tais atvejais, kai bus sudėtingesnė situacija.
– Ar Vyriausybė jau yra parengusi ypatingos svarbos informacinės infrastruktūros sąrašą? Kas į jį patenka? Kokie kriterijai buvo taikomi jį sudarant?
– Ne, nėra sąrašo, net nėra metodikos, kurią reikia pirmiau parengti. O vėliau teikti Vyriausybei tvirtinti. Įstatymą priiminėjant buvo diskutuojama, kas tai turėjo būti. Turiu pasakyti, kad tai bus įmonių infrastruktūra, kurios svarbios Lietuvai. Tai bus ir privačių įmonių. Geriausias būdas būtų pasižiūrėti į Nacionaliniam saugumui svarbių įmonių įstatymą, ten turime „Lietuvos dujas“, oro uostus, sąraše 40 įmonių, tai būtų pirmieji kandidatai.
– Kaip sekasi bendradarbiauti su privačiu sektoriumi? Ar matote pačių įmonių norą investuoti į saugą, ar dažniau tikimasi, kad atakos atveju apgins valstybė?
– Kiekvienas turi sugebėti gintis pats, nėra, kad dėl mažiausio incidento kreipiamės į policiją ir sakome: „Padėkite“. Kreipiamės, kai didesnė ataka. Būtų naivu galvoti, kad jie kurs sistemas, nekreipdami dėmesio į saugą, o paskui valstybė bėgs gelbėti. Centras padės tais atvejais, kai bus sudėtingesnė situacija.
– Kaip apskritai vertinate Lietuvos galimybes tinkamai reaguoti į incidentus ir apsiginti nuo kibernetinių atakų? Ar tiesa, kad su mūsų dabartinėmis galimybėmis, bet kas galėtų Lietuvą „išjungti“ vos panorėjęs?
– Bet kas tikrai ne, nes interneto skverbties prasme esame, jei ne pirmoji, tai trejetuke. Išjungti valstybę, kuri turi gerus interneto ryšius, nelengva užduotis. Yra grupuočių, kurios yra pajėgios tai padaryti. Atakos didėja, stiprėja, tam tikra riba mums būtų grėsminga. Mes, kaip Lietuva, nesame vieni, esame bendrijoje. Galime tikėtis pagalbos iš sąjungininkų, bet turime ir patys mokėti. Jeigu mes lauksime, kad mus kažkas išgelbės – vienas požiūris, bet sėkmingiau apsiginsime, jei patys tai darysime.
Jeigu mes lauksime, kad mus kažkas išgelbės – vienas požiūris, bet sėkmingiau apsiginsime, jei patys tai darysime.
– Dar pernai buvo kalbama apie tai, kad 90 proc. Lietuvos valstybinių įstaigų išvis nesaugo savo informacijos. Ar situacija pasikeitė?
– Procentais kalbėti negaliu, nes prieš tai reikėtų audito vienoje ar kitoje valstybės įstaigoje. Informaciją saugoti yra įpareigota įstatymais, jie sauga rūpinasi. Sistemos konstruojamos laikantis principų. Ar neviršija įsibrovėlių užmačios šių gebėjimų, pamatysime. Centras šiemet jau galės tikrinti, ar tie 90 proc. pasitvirtins, bus matyti. Tačiau netikiu šiuo skaičiumi. Mes tam, kad silpnesnių gebėjimus pritraukt prie geresnių.
– Ką galvojate apie VSD ir Generalinės prokuratūros naudojamą informacinę sistemą ERTIKIS ir jos pažeidžiamumą?
– Nieko nežinau apie ją ir komentuoti negaliu. Kaip pilietis tikiuosi, kad ji nepažeidžiama.
– Kaip vertinate galimą balsavimo internetu įteisinimą esant dabartinėms techninėms galimybėms?
– Sudėtingas klausimas, bet tai priklausytų iš to, kas į jį atsakinėja. Ar iš techninės pusės, ar iš organizatoriaus. Techniškai visada yra grėsmės, nereikia nei kibernetinių – balsuotojui gali kompiuteris sugesti. Galėtų atsirasti balsavimo virusai, tik klausimas, ar tai stipriai darytų įtaką rinkimų rezultatams. Iš organizacinės pusės – neįveikiamų sistemų nėra, jos būtų labai brangios, yra rizikos valdymas, yra valstybės įsidiegusios tokias sistemas, kol kas tokių atvejų, kad būtų kažkas negerai, nėra žinoma. Technologiškai tiesiog reikėtų padirbėti vertinant rizikas. Nepasakyčiau, kad tai per brangu, centrinių sistemų patikimumo klausimas yra, bet tai nebūtų ženkliai didesnė papildoma investicija.
Mus puola tie patys, kurie ir Lenkiją, Rytų kaimynę. Kas nori pasipelnyti kibernetinėje erdvėje, jiems nesvarbu, ką pulti, svarbu uždirbti.
– Pakalbėkime apie didžiausias atakas prieš Lietuvą. Kokios jos buvo? Kokiose sferose, kur dažniausiai pasitaiko kibernetiniai išpuoliai, ir ar jie panašūs lyginant su kitomis ES šalimis? Ar turite statistiką kelintoje vietoje ES esame pagal incidentų kiekį?
– Kas mus puola – mus puola tie patys, kurie ir Lenkiją, Rytų kaimynę. Kas nori pasipelnyti kibernetinėje erdvėje, jiems nesvarbu, ką pulti, svarbu uždirbti. Ribų nėra. Puola tiek „haktyvistai“, tikintys tam tikromis idėjomis, kiti yra kriminaliniai elementai, kuriems svarbu uždirbti. Yra valstybės, siekiančios politinių tikslų, jų veikla yra tyli, rami, vadinama informaciniu karu kartais, mes esame nei lyderiai atakų prasme, nei pasaulio pamirštas kampelis. Esame tokie pat, kaip kaimynai. Statistikos nežinau, kiek puola, tačiau manau, kad būtume geriausiai atrodančių valstybių – geriausiai besiginančių ketvirtadalyje. Estai yra stipriai nukentėję, jie pamokas bando išmokti, jie dabar atrodo geriau.
Iš stambesnių atakų galėčiau nurodyti 2012 m. ataką prieš Lietuvos banką. Taip pat kelias atakas prieš naujienų portalą „Delfi“, kurias ne visas jie viešino.
– Gal galite plačiau papasakoti apie 2008 m. atvejį, kai Lietuvos specialiųjų operacijų kariai Afganistane apsigavo paimdami dovanų užkrėstus USB raktus? Susidarė toks įspūdis, kad apie šį atvejį kalba visi, išskyrus Lietuvą?
– Kad Lietuvos kariai Afganistane apsigavo, tai nieko nuostabaus. Taip pat sėkmingai kariai galėjo apsigauti Lietuvoje, taip pat galėjo apsigauti ir valstybės tarnautojai, piliečiai. Visi, kurie naudojasi USB. Nepasakyčiau, kad ten buvo kažkas tai įdomu, tai egzotika šiek tiek. Tačiau būdas primityvus ir neoriginalus. Dabar naudoti USB raktus Krašto apsaugos ministerijoje uždrausta. Tai padarius sauga buvo pagerinta, jei incidentų skaičiais, 20 kartų, o net ne procentų. Gražiausia pusė šio sprendimo, kad žmonės pradėjo rasti laiko pastebėti kitus incidentus. Ir galime mažiau laiko skirti smulkiems atvejams ir koncentruotis į įdomesnius atvejus.
– O kuo baigėsi pernykštė istorija, kai buvo įtariama, kad Ukrainos valstybiniuose tinkluose aptikta „Gyvatė“ buvo įdiegta ir Lietuvos institucijų kompiuteriuose? Ar paaiškėjo, kokie šios atakos mastai ir nuostoliai?
– Kalbant apie ataskaitą, kurioje Ukraina pirmoje, antroje – Lietuva... Apie krašto apsaugos sistemos tikslus kalbant, mes patikrinome, nerasta duomenyse. Mūsų tinklai buvo saugūs, yra saugūs ir ta ataskaita, gerai, kad pasirodė, ji mums nei padeda, nei kenkia. Tai jautri informacija, vargu, ar apsidžiaugtų nedidelės įmonės vadovas, jeigu jis būtų paminėtas tokiame kontekste. Perspėjome valstybės institucijas, jie, kaip suprantu, to nerado. Jei kas rado, susitvarkė, ataskaita pasiekė tikslą.
– Skaitytojas Jonas pažymi, kad pernai Vidaus reikalų ministerijoje pradėtas STT tyrimas iš esmės susijęs su informacinių technologijų pirkimais. Taip pat ir tokiais, nuo kurių priklauso visų Lietuvos valstybinių tinklų saugumas. Skaitytojas tvirtina girdėjęs net tokių gandų, kad įtariamojo šioje byloje ir valstybinių tinklų kūrimu ir priežiūra besirūpinusi Peischo Kačerginskio įmonė „NT Service“ gali būti artimai susijusi su Rusija. Ar jūs apie tai ką nors žinote?
– Na, aš galiu tiek pat pasakyti, kiek kitas pilietis, kuris skaito spaudą. Žinau, kad yra VRM, įmonė „Infrastruktūra“, kad ją kuruoja VRM. Kokie procesai pas juos vyko, nežinau, apie tyrimą žinau, bet detalios informacijos man niekas neteikia. Nesinorėtų spekuliuoti.
– Kalbant apie kibernetinį saugumą dažniausiai minima, kad atakos prieš Lietuvą vykdomos ne iš Lietuvos. O ar žinote Lietuvoje veikiančių programišių? Kokie jie, kuo užsiima, ar yra organizuoti?
– Internetas didelis, mes jo dalis ir tai, kad mūsų IP adresai dalyvauja kenkėjiškoje veikloje, nemalonu, bet tokios realijos. Įdomesnė pusė, kad lietuviškas IP adresas užsiima kažkokia veikla, nereiškia, kad būtent lietuvis ta veikla ir užsiima. Gali būti, kad įsiskverbta į sistemą ir ja naudojamasi be savininko žinios. Kiek žinau, tokie atvejai yra dažnesni, kai ne mūsų piliečiai dalyvauja, o naudojamasi be jų žinios. Kriminalinis pasaulis yra organizuotas.
– Kodėl iki šiol beveik negirdime atvejų, kad būtų sulaikyti ir realių bausmių sulauktų internetiniai nusikaltėliai?
– Prielaidas galiu išsakyti. Kiek žinau, apkaltinti asmenį reikia turėti įkalčių. Jų rinkimas nebūtinai baigiasi tuo, kad surenkami įrodymai. JAV FTB paprastai trejus metus renka informaciją, tokie tempai dėl to, kad reikia užtikrintus įrodymus surinkti, laukiama, kada bus padaryta klaida ar įklius kas su įkalčiais. Sudėtingas tai yra darbas ir teisinė bazė yra tobulintina.
– Ar pritartumėte minčiai, kad kibernetinėje erdvėje iki šiol pasaulyje vadovaujamasi vos ne džiunglių įstatymais, nes tarptautinių sutarčių šioje srityje beveik nėra, o visos šalys stengiasi patyliukais įgyti kuo daugiau galių?
– Pavyzdžiui, Estijoje toks centras nagrinėja teisinę bazę. Tarptautinė teisinė bazė egzistuoja, joje kalbama apie atsakus. Reikia vieno kito precedento, garsaus įvykio, kad teisinė bazė susigulėtų. Nesakyčiau, kad mes esame visiškai naujoje teisinėje aplinkoje. Gyvenimas greitėja, pokyčiai irgi greitai vyksta. Teisinė bazė kuriama pagal precedentą. Nesame tokie, kad visai nieko negalėtume daryti.
Straipsnio taikymą linkęs būčiau atmesti, nes nebūtų proporcinga priemonė įvedinėti tankus, kai kibernetinė ataka.
– Kaip Vertinate NATO galimybes apginti savo nares nuo kibernetinių atakų? Štai Estijos užpuolimo atveju NATO teikta pagalba net nebuvo vadinama 4-ojo straipsnio dėl konsultacijų taikymu. Kiek realu, kad dėl kibernetinės atakos galėtų būti pritaikytas kolektyvinę gynybą numatantis penktasis NATO sutarties straipsnis?
– Čia slidus ir sudėtingas klausimas. Nesu ekspertas 5 straipsnio taikymo, tai kariškiai galėtų pasakyti. Manau, kad jis labiau apie tikrą karą. Reikia komponentų, kad tai pavadintume karu. Straipsnio taikymą linkęs būčiau atmesti, nes nebūtų proporcinga priemonė įvedinėti tankus, kai kibernetinė ataka. Manau, kad jei kreiptumėmės pagalbos, mes ją gautume.
Pulti mes nieko nesiruošiame, tai gynybinė organizacija. Kibernetinė erdvė nėra išimtis, mūsų tikslas – aptikti atakas, įsibrovimus, užkardyti juos.
– Dalis pasaulio valstybių jau kalba ne tik apie kibernetinę gynybą, bet pripažįsta turinčios galimybių ir rengti kibernetines atakas. Lietuvai apie tai galvoti per anksti ir per brangu?
– Mes laikomės bendro NATO principo. Pulti mes nieko nesiruošiame, tai gynybinė organizacija. Kibernetinė erdvė nėra išimtis, mūsų tikslas – aptikti atakas, įsibrovimus, užkardyti juos.
– Kaip pats saugote savo asmeninį kompiuterį, mobilų telefoną?
– Prieš ketverius metus būdamas tiesiog IT specialistu, bet neįsigilinęs į saugos sritį žiūrėjau paprasčiau. Dabar, ką kiekvienas gali padaryti – naudokite legalias operacines sistemas ir siųskitės naujinimus. Antra priemonė – naudokite antivirusinę programą. Taip pat internetu naudokitės protingai, nevaikščiokite ten, kur nereikia, neatidarinėkite laiškuose nuorodų, jei atsiuntė nežinomi asmenys. Jei laiškas su „Google“ vertimu, vargu, ar yra dovana ar komercinis pasiūlymas. Mažiau pasitikėkite nepažįstamais asmenimis. Slaptažodžius reikėtų naudoti skirtingus, o ne visiems vienodus.