Didžiausią nerimą verslui kelią atsakingų institucijų skaičius, kurios šiuo metu privalo rūpintis kibernetiniu saugumu. Patirtis rodo, kad kibernetinių atakų atveju realios pagalbos iš valstybės sulaukti sudėtinga. Šią savaitę turėtų paaiškėti, kas paruoš metodiką kritinių infrastruktūrų sąrašui sudaryti. Būtent nuo jo priklausys, ką imsis ginti naujasis kibernetinio saugumo centras.
Lietuva vėluoja
Dabar kova su kibernetiniais pavojais yra paskirstyta šešioms institucijoms ir vieningo veiksmų koordinavimo nėra, – teigė A.Paulauskas.
Seimo Nacionalinio saugumo ir gynybos komiteto pirmininkas Artūras Paulauskas 15min.lt teigė, kad kibernetinio saugumo centro reikia jau seniai: „Mūsų komitetas šio įstatymo poreikį pripažino jau prieš keletą metų. Raginome vyriausybę tokį įstatymą sukurti. Yra ir Europos Komisijos parengta kibernetinio saugumo strategija, kuri gali virsti reglamentu arba direktyva. Joje kalbama apie tokių centrų būtinybę.
Kai kuriose šalyse, pavyzdžiui, Estijoje, kuri patyrė rimtas kibernetines atakas, tokie centrai sukurti ir veikia jau seniai. Mes šiek tiek vėluojam, bet tikimės, kad įstatymą pavyks priimti ir centras pradės veikti nuo sausio 1 d.“
Numatyta, kad centras bus steigiamas Krašto apsaugos ministerijos (KAM) sistemoje. Pasak A.Paulausko, centras turi imtis koordinuoti kitų institucijų darbą. „Dabar kova su kibernetiniais pavojais yra paskirstyta šešioms institucijoms ir vieningo veiksmų koordinavimo nėra. Centro funkcijos bus nustatyti saugumo standartus, jų priežiūra, koordinavimas atakų atrėmimui“, – sakė jis.
Į ką kreiptis?
Interneto žiniasklaidos asociacijos pirmininkė Aistė Žilinskienė 15min.lt išsakė abejones, ar įstatyme numatytas centro veiklos reglamentavimas sukurs papildomą saugumą verslui.
Įstatymas reglamentuoja daug pareigų interneto ryšio ir prieglaudos paslaugų teikėjams, bet jame niekur neapibrėžta, kokia pagalba bus teikiama verslui, – sakė A.Žilinskienė.
„Mums kyla du esminiai klausimai. Įstatymas reglamentuoja daug pareigų interneto ryšio ir prieglaudos paslaugų teikėjams, bet jame niekur neapibrėžta, kokia pagalba bus teikiama verslui. Mums svarbu, kad būtų įvardinta konkreti institucija, kuri privalo konsultuoti ir padėti įvykus kibernetinėms atakoms arba numatant grėsmes.
Norime abipusio bendradarbiavimo. Dabar jaučiasi, kad atsiranda daugiau pareigų dalintis informacija su valstybės institucijomis, bet realios pagalbos verslui numatyta nėra. Kyla klausimas, kas realiai pasikeis į gerąją pusę priėmus šį įstatymą?
Jei būtų vienas centras, kuris koordinuotų kitų institucijų darbą, problemos nekiltų, bet tai turi būti įvardinta įstatyme. Dabar kyla klausimas į kurią iš penkių institucijų kreiptis ir kaip jos pasidalins funkcijas, kad viena kitos darbo nedubliuotų“, – svarstė ji.
Pagalbos nesulaukė
Realiai pagalbą teikia ryšio tiekėjai. Valstybės institucijos daugiausiai skėsčiodavo rankomis ir sakydavo, kad mato, kas vyksta, renka medžiagą, analizuoja, bet išvadas gali pateikti tik post factum.
Antras svarbus klausimas yra kritinių infrastruktūrų sąrašas, kuris iki šiol nėra paruoštas. „Jis parodys, ar valstybė saugos tik viešąją infrastruktūrą, ar padės ir privačiam verslui. Teisės aktas negali būti priimamas nežinant, kam jis bus taikomas“, – teigė A.Žilinskienė.
Pasak jos, kyla klausimas, kam bus taikomi papildomi įpareigojimai: „Tikimės, kad visuomenei svarbūs informacijos šaltiniai paklius į kritinės infrastruktūros sąrašą, tačiau turi būti aiškus atskyrimas. Papildomi įpareigojimai turi galioti ryšio ir prieglaudos paslaugų teikėjams, nuo kurių priklauso tinklų saugumas, o ne turinio valdytojams. Juk būtų visiškai nelogiška, jei turinio valdytojams ir ryšio tiekėjams būtų priskirtos tos pačios pareigos.“
Asociacijos vadovė prisiminė pirmąsias dideles atakas prieš Lietuvos naujienų portalus. „Mes susidūrėme su didžiausia problema – nėra aišku į ką kreiptis ir negali greitai gauti pagalbos. Realiai pagalbą teikia ryšio tiekėjai. Valstybės institucijos daugiausiai skėsčiodavo rankomis ir sakydavo, kad mato, kas vyksta, renka medžiagą, analizuoja, bet išvadas gali pateikti tik post factum.
Tam laiko tiesiog nėra. Būtina veikti greitai. Konsultacijos turi būti teikiamos kai tik jų prireikia. Dėl to mes ir keliame klausimą, kaip sistema veiks praktiškai, kad tai nebūtų tik dar viena duomenis renkanti institucija, o atsirastų galimybė gauti realią pagalbą iš patyrusių specialistų“, – minėjo A.Žilinskienė.
Žada saugoti ir verslą
Šiuo metu Vidaus reikalų ministerija vykdo konkursą, kurio nugalėtojas turės sukurti metodologiją kritinių infrastruktūrų sąrašui sudaryti.
Pasak A.Paulausko, įstatymas numato, kad kuriamas kibernetinio saugumo centras pagalbą teiks net tik valstybės įstaigoms: „Mes kaip svarbiausią saugomą objektą išskiriame infrastruktūrą. Ne atskiras įmones ar įstaigas. Visų pirma viešąją, bet ir privačiąją. Tai taikoma ir telekomunikacijų tinklams, ir naujienų portalams, ir energetiniams objektams, transportui. Tam, kas susiję su mūsų šalies gyvybingumu ir to gyvybingumo palaikymu. Kritinė infrastruktūra nebus skirstoma į viešąją ir privačią. Turės būti ginama ir viena, ir kita.
Man teko bendrauti su asociacijos „Infobalt“ atstovais, kitų asociacijų vadovais. Jie mato savo vaidmenį saugumo kontekste. Svarbu užtikrinti perimetro apsaugą, o tai padaryti vien tik valstybės institucijų jėgomis mes negalėsime. Čia turi kartu veikti ir privatus, ir viešasis sektorius.“
Šiuo metu Vidaus reikalų ministerija (VRM) vykdo konkursą, kurio nugalėtojas turės sukurti metodologiją kritinių infrastruktūrų sąrašui sudaryti. Mums svarstant tuos kriterijus būtina žinoti. Mes nuolatos raginome ir dabar dar kartą paprašėme, kad prieš priimant galutinį sprendimą žinotume pagrindinius poįstatiminius aktus. Norime žinoti, kokia bus centro struktūra, iš kur bus numatytas finansavimas, kaip atrodys kritinės infrastruktūros sąrašas. Mes reikalausime, kad penki pagrindiniai poįstatyminiai aktai būtų pateikti dar įstatymo svarstymo metu“, – žadėjo A.Paulauskas.
Tai, kad konkursas vyksta, 15min.lt patvirtino vidaus reikalų ministro patarėjas Valdas Kaminskas. Pasak jo, konkursas dar nėra pasibaigęs. Šią savaitę turi būti atplėšti vokai.
JAV saugojo ir spragėsių gamyklas
Ryšių reguliavimo tarnybos (RRT) Rinkos priežiūros departamento Tinklų ir informacijos saugumo skyriaus vedėjas Rytis Rainys 15min.lt nurodė, kad didžioji dalis kritinių infrastruktūrų yra privačiose rankose, todėl jos neabejotinai pateks į rengiamą sąrašą. Kas konkrečiai pateks, labai priklausys nuo rengiamos metodikos.
R.Rainys prisiminė JAV patirtį: „2003 m. kriterijai buvo tokie, kad juos atitiko 23 tūkst. objektų. Tarp jų pateko net spragėsių gamyklos. Blogai parengti kriterijai yra pamokos, kaip paruošti suvaldomą sąrašą.“
Paklaustas, ar kibernetinę erdvę saugant RRT, Kriminalinei policijai, Asmens duomenų inspekcijai ir kitoms įstaigoms nekyla funkcijų dubliavimo problema, R.Rainys teigė, kad atskyrimas pakankamai aiškus.
„Šie klausimai svarstomi tarp institucijų. Mums atrodo, kad ribos yra gana aiškios. Jas reikia tinkamai iškomunikuoti. Kai yra kriminalas, ar jis vyksta fiziškai, ar virtualioje erdvėje, tai yra policijos darbas ir jos apeiti negalima. Suprantame, kad verslui būtų geriau kreiptis į vieną instituciją – kibernetinio saugumo centrą, tačiau tai įgyvendinti būtų sudėtinga.“
Trys milijonai metams
Nacionaliniame kibernetinio saugumo centre dirbs 25 žmonės. Jam numatyti 3 milijonai litų metams.
Paklaustas, į ką konkrečiai reiktų kreiptis naujienų portalų valdytojams, jei atakos pasikartotų, pašnekovas atsakė, kad tai priklausys nuo ruošiamo kritinių infrastruktūrų sąrašo:
„Galiu tiksliai pasakyti, kad RRT jurisdikcijoje yra interneto ryšio tiekėjai, operatoriai ir informacijos prieglobos paslaugų tiekėjai. Manau, kad pastarajai kategorijai portalai ir priskiriami, todėl kreiptis reiktų į RRT.
Jeigu portalas ar duomenų centras pateks į kritinių infrastruktūrų sąrašą, tada jam teks kreiptis į Kibernetinio saugumo centrą.“
Pasak jo, RRT dirbant su ryšio operatoriais yra nusistovėjusi ilgametė techninės informacijos pateikimo patirtis. „Greitis, operatyvumas, tikslumas tinka ir operatoriams, ir tarnybai. Tą patį formatą galime susikurti su informacijos prieglobos tiekėjais“, – minėjo R.Rainys.
RRT jau dabar derina būsimo bendradarbiavimo su kibernetiniu saugumo centru gaires. „Penktadienį dalyvavau pasitarime KAM, kaip efektyviai dalintis jau turimais resursais – patirtimi, duomenų bazėmis. Jų galimybės bus didesnės, nes RRT šiuo klausimu tiesiogiai užsiima 7 žmonės, ten bus 25. Skirta 3 milijonai litų metams. Tai daug didesni resursai nei mūsų. Institucija bus prie KAM, tačiau ji bus civilinė ir turės dirbti su verslu“, – sakė departamento direktorius.