„Lietuva viena pirmųjų Europos Sąjungos valstybių, kuri ėmėsi praktinių žingsnių, siekdama teisiškai reglamentuoti taip vadinamųjų etiškų įsilaužėlių veiklą. Nustatę aiškias sąlygas, kada galima teisėtai ieškoti kibernetinio saugumo spragų ir kaip tinkamai apie tai pranešti, mes ne tik užkirsime kelią būsimiems kibernetiniams incidentams, bet ir stiprinsime bendrą mūsų šalies kibernetinę brandą“, – sako krašto apsaugos ministras A.Anušauskas.
Ryšių ir informacinių sistemų spragų atskleidimas yra laikomas atsakingu, kai informacija apie aptiktas spragas yra, visų pirma, pateikiama pačiai organizacijai, kurios sistemose ar produkte jos buvo aptiktos, ir/ar spragų atskleidimo procesą koordinuojančiai institucijai. Kibernetinio saugumo įstatymo pataisomis, siūloma, kad šią koordinavimo funkciją atliktų Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos.
NKSC savo iniciatyva jau pradėjo taikyti kibernetinio saugumo spragų atskleidimo praktiką. NKSC interneto svetainėje yra skelbiama speciali pranešimų forma, skirta apie tai pranešti. Visi pranešimai registruojami, informacija įvertinama ir imamasi veiksmų informuoti organizaciją ar valstybės instituciją, pažymint, kad apie spragą buvo pranešta vadovaujantis spragų atskleidimo praktika.
„Matoma tendencija, kad pilietiškų asmenų bei socialiai atsakingų įmonių daugėja. 2020 m. daugiausiai pranešimų NKSC gavo asmenims informuojant apie spragas įvairiose interneto svetainėse“, – teigia NKSC direktorius Rytis Rainys.
Pasaulinė patirtis rodo, kad visos ryšių ir informacinės sistemos turi didesnių ar mažesnių spragų, programos klaidų (angl. bugs). Kibernetinio saugumo spragos taip pat atsiranda tobulinant, plečiant ar sujungiant sistemas, vykdant duomenų migravimą. Šių spragų ieško ne tik piktavaliai, bet ir kibernetinio saugumo bendruomenės nariai, mokslininkai ar entuziastai. Asmenys, kurie spragų ieško turėdami kilnių tikslų ir siekdami sumažinti kibernetinio saugumo rizikas, yra vadinami „baltaisiais“ arba „etiškaisiais” įsilaužėliais (angl., white hats, ethical hackers).
Lietuvoje iki šiol nacionaliniu lygiu nėra įteisintos spragų atskleidimo praktikos. Tai reiškia, kad spragą suradusiam ir jo pašalinimu suinteresuotam asmeniui nėra aišku, kaip bendradarbiauti su kibernetinio saugumo subjektu, kurio ryšių ir informacinėje sistemoje spraga buvo identifikuota. Dėl spragų atskleidimo reglamentavimo trūkumo identifikuotos spragos neretai lieka neatskleistos, o juos suradę kibernetinio saugumo tyrėjai kol kas rizikuoja užsitraukti administracinę arba baudžiamąją atsakomybę.
