Anot auditorių, valstybės įstaigos pažeidžiamos dėl nepakankamai įgyvendinamų techninių priemonių – netinkamo saugios konfigūracijos nustatymo, el. ryšių tinklų, mobiliųjų ir kitų technologijų valdymo, taip pat dėl organizacinių trūkumų, susijusių su saugumo valdymo sistemos kūrimu, incidentų valdymu, veiklos tęstinumo užtikrinimu, personalo kompetencijos tobulinimu ir išoriniu bendradarbiavimu.
„Nuo 2015 m. įsigaliojo Kibernetinio saugumo įstatymas, tačiau to nepakako, kad valstybė sistemiškai sureguliuotų strategiškai svarbias kibernetinio saugumo ir el. informacijos saugos sritis. Vis dar atsiliekame nuo planuotų terminų, trūksta koordinavimo, kompleksinio požiūrio valdant kibernetinio saugumo ir el. informacijos saugos sritis“, – sakoma audito išvadose.
Valstybės kontrolė taip pat nurodo, kad besirūpinant kibernetiniu saugumu neišvengiama įstaigų veiklos dubliavimo, neatskirtas politikos formavimas ir įgyvendinimas. Be to, auditoriai atkreipia dėmesį, kad kibernetiniam saugumui ir elektroninės informacijos saugai reikalingų lėšų skyrimas ir panaudojimas (2015–2020 m. suplanuota 15,6 mln. eurų) vykdomas nenustačius lėšų skyrimo prioritetų ir kriterijų, neturint duomenų apie faktinę įstaigų kibernetinio saugumo ir elektroninės informacijos saugos būklę.
Auditoriai konstatuoja, kad kasmet užregistruojama vis daugiau pranešimų apie incidentus kibernetinėje erdvėje, bei, remdamiesi Antrojo operatyvinių tarnybų departamentu prie Krašto apsaugos ministerijos, pabrėžia, jog kibernetinių incidentų skaičius bent jau artimiausiu metu nemažės ir kibernetinė erdvė liks viena pagrindinių veiklos erdvių vykdant šnipinėjimą ir kitaip veikiant kritinės infrastruktūros objektus, svarbius nacionaliniam saugumui ir gynybinei galiai.
Pasak Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų departamento direktoriaus Arvydo Plėščio, auditas buvo atliktas vertinant duomenis daugiausia už laikotarpį iki Kibernetinio saugumo įstatymo priėmimo.
„Tai, kad saugumo lygis buvo įvertintas kaip vidutinis yra pagrįstas ir suprantamas. Tuo metu pagrindiniai trūkumai ir buvo vieningos sistemos nebuvimas tiek incidentų valdymo, tiek personalo kompetencijos, tiek bendradarbiavimo ir informacijos keitimosi srityse. Kibernetinio saugumo įstatymas būtent ir sudarė teisinį pagrindą kibernetinio saugumo situaciją valdyti, nustatė procese dalyvaujančias institucijas, jų funkcijas, teises ir atsakomybes“, – teigia A.Plėštys. Jo komentarą BNS perdavė ministerijos Visuomenės informavimo skyrius.
Anot A.Plėščio, Kibernetinio saugumo įstatymo „poįstatyminių aktų rengimas kiek vėluoja, tačiau tai labai nauja sritis ir reikalauja derinimo su gana daug institucijų ir net su svarbios informacinės infrastruktūros valdytojais“.
Jis taip pat nurodo, kad auditorių rekmendacijos dėl lėšų skyrimo ir planavimo „nėra visai teisingos“, nes „už IT sistemų parengtį pirmiausiai atsakingi tų sistemų valdytojai ir būtent jie turi skirti tiek lėšų, kiek reikia tam, kad būtų įdiegti visi nustatyti kibernetinio atsparumo reikalavimai“.
Vidaus reikalų ministerija savo ruožtu sako pritarianti Valstybės kontrolės išsakytiems pastebėjimams ir numato įgyvendinti audito ataskaitoje išdėstytas rekomendacijas. Žadama, kad bus stiprinamas tarpinstitucinis bendradarbiavimas su Krašto apsaugos ministerija ir aiškiai pasidalinti darbai, kuriuos būtina atlikti didinant šalies kibernetinį saugumą. Be kita ko, teigiama, kad kartu su Krašto apsaugos ministerija, o prireikus ir kitomis institucijomis, bus peržiūrima valstybės strategija kibernetinio saugumo srityje.
„Turės būti parengtas naujas šių dienų realijas ir ateities lūkesčius atitinkantis strateginis dokumentas, be svarbiausių strateginių dalykų numatantis lėšų kibernetiniam saugumui užtikrinti skyrimo prioritetus ir kriterijus“, – Valstybės kontrolės ataskaitą BNS komentavo VRM.