Nors rusiškos įrangos naudojimas įvardijamas kaip rimta problema, LRT Tyrimų skyriaus duomenimis, Rusijoje kuriamų programų srautas Lietuvoje nemažėja. 2018 m. gegužę Lietuvos bankas atliko programinės įrangos „1C“ paslaugų pirkimą. Sutartis dėl „1C“ apskaitos sistemos priežiūros sudaryta iki 2021 m. Sutarčių dar keleriems metams į priekį turi ir kitos valstybinės įstaigos.
Dokumentų valdymo bei buhalterijos programinės „1C“ įrangos kūrėjai – „1C Company“ – yra Rusijoje, jos vadovai palaiko artimus ryšius su aukščiausia valdžia ir saugumo institucijomis. Pati bendrovė skelbia produkciją teikianti Rusijos saugumo tarnybai, Vidaus reikalų ministerijai ir Muitinės departamentui. „1C Company“, finansuojant Rusijos Komunikacijos ministerijai, taip pat kūrė kompiuterinį žaidimą, kaip skelbiama, skatinantį Rusijos jaunimo patriotinius jausmus.
LRT Tyrimų skyriaus kalbintas kibernetinio saugumo ekspertas Giedrius Meškauskas sako, kad „1C Company“ artimus ryšius su Kremliumi įrodo ir tai, jog įmonė naujausias programų versijas išleidžia anksčiau nei oficialiai Rusijoje įsiteisina tokių sistemų reguliavimas. Minėtos „1C Company“ sąsajos netrukdo jų gaminamai programinei įrangai plisti Lietuvoje.
LRT Tyrimų skyriaus duomenimis, rusiška dokumentų valdymo ir buhalterijos programinės sistemos šalies institucijose naudojamos beveik dešimtmetį. Jas pasirinkusių įstaigų sąraše be Lietuvos banko, Policijos departamento ir Finansinių nusikaltimų tyrimų tarnybos rikiuojasi Seimo kontrolieriaus tarnyba, „Investuok Lietuvoje“, Priešgaisrinės apsaugos ir gelbėjimo departamentas. Dar vienas rusiškas produktas – „ABBYY eform filler“ – naudojamas Valstybinės mokesčių inspekcijos (VMI), „Sodros“ ir kitų duomenis kaupiančių įstaigų, Lietuvoje perkamas nuo 2003 m.
Milijonai į Rusijos programų pardavėjų kišenes
Viešųjų pirkimų tarnybos (VPT) duomenimis, per šešerius metus Lietuvos institucijos „1C“ dokumentų valdymo ir buhalterijos programinei įrangai išleido apie 840 tūkst. eurų. Lietuvoje rusišku produktu paremtas apskaitos sistemas tiekia bent penkios bendrovės, trys iš jų produktus parduoda valstybiniam sektoriui. Didžiausią šios rinkos dalį užima bendrovė UAB „Eurosoft LT“, kurios trejų metų pirkimų dalis sudaro apie 800 tūkst. eurų.
Nuo 2015 m. ši bendrovė dalyvavo 34 pirkimuose, iš kurių pralaimėjo tik 2. Kaip galėjo atsitikti, kad rusiška programinė įranga lengvai pateko į Lietuvos finansų ir teisėsaugos institucijų kompiuterius, nors Lietuva skelbiasi visomis išgalėmis kovojanti su kibernetinio saugumo iššūkiais ir investuojanti į tai šiais metais bent 2,5 mln.? Iš viso iš ES biudžeto numatyta skirti apie 8 milijonus eurų.
Pasak krašto apsaugos viceministro Edvino Kerzos, „1C“ programinei įrangai pavyko „įsibrauti“ į valstybinį sektorių, nes institucijos renkasi pigiausius pasiūlymus.
„Tu negali žinoti, ką rinkos dalyviai tau pasiūlys. Taip gali nutikti, kad nepatikima įranga pas tave atkeliauja, nors tu to ir nenori“, – teigia krašto apsaugos viceministras. Jis pabrėžia, kad šiandien galimybių išvengti nesaugių IT sistemų valstybiniame sektoriuje nėra. Viešųjų pirkimų taisyklės neleidžia uždrausti rusiškoms bendrovėms dalyvauti konkursuose. Nebent jos neturi patikimumo pažymėjimo. Šiuo atveju viskas dar apsukriau. Rusiškus produktus pardavinėja lietuviškos įmonės. Apriboti jų produkciją įrankių nėra, nesvarbu, kad tai gali kelti grėsmę saugumui.
Būtent pigumu „Eurosoft LT“ nuo kitų bendrovių ir skiriasi. Tai savo portale skelbia ir pati bendrovė, tą rodo viešųjų pirkimų ataskaitos. Pavyzdžiui, Lietuvos bankui perkant „1C: Organizacija“ programinę įrangą, „Eurosoft LT“ pasiūlymas buvo perpus pigesnis už visų šešių pasiūlymų vidurkį. Tuo metu „Eurosoft LT“ ir brangiausio pasiūlymo kaina skyrėsi tris kartus.
VPT ataskaitos rodo, kad ne kartą viešuosiuose konkursuose „Eurosoft LT“ buvo vienintelis dalyvis, o tokius konkursus skelbė Lietuvos bankas ir Vilniaus apskrities vyriausiasis policijos komisariatas. Pavyzdžiui, 2013 ir 2015 m. Lietuvos bankui perkant „1C: Organizacija“ sistemos aptarnavimą, konkurse dalyvavo tik „Eurosoft LT“.
Bendrovės vadovė Jelena Ošurkovienė lengvą pergalę viešuosiuose konkursuose grindžia programos paprastumu ir pigumu. „Mes akcentuojame, kad tai yra rusiškas produktas, bet valstybiniame sektoriuje dirbame daugiau kaip dešimt metų, ir niekas kol kas nesiskundė. Esame Lietuvos patriotai ir teiginius, kad mūsų programa kelia grėsmę saugumui, vertiname kaip konkurencinį susidorojimą“, – sako J.Ošurkovienė.
Šios programinės įrangos atsiradimas valstybiniame sektoriuje – gana mįslingas. Pasak Policijos departamento atstovo Ramūno Matonio, departamentas „1C“ pirko 2010 m. iš šiuo metu likviduotos bendrovės UAB „Eurosoft Baltic“. Tai įmonė, kuri nefigūruoja jokiose pirkimų ataskaitose.
Tačiau pabrėžiama, kad kur kas anksčiau rusišką programinę įrangą įsidiegė Vilniaus apskrities vyriausiasis policijos komisariatas (VPK). Šis „1C“ produktą įsigijo 2006 m. iš šiuo metu jau likviduotos UAB „Biudžeto valdymo sistemos“, o už paslaugas sumokėjo beveik 15 tūkst. eurų. VPK teigia, kad vėliau iš „Eurosoft LT“ pirko tik sistemos priežiūros paslaugas.
Kitos institucijos patvirtina krašto apsaugos viceministro teiginius, kad „1C“ į jų įstaigas pateko viešojo konkurso būdu perkant buhalterijos ir dokumentų valdymo sistemas. Lygiai taip pat Mokesčių inspekcija, „Sodra“ ir Statistikos departamentas pradėjo naudoti rusiškąjį „ABBYY eformfiller“. Tai formų pildymo sistema, su kuria šalies gyventojai susiduria pavasariais pildydami pajamų deklaracijas.
Bendrovė „ABBYY“ Rusijoje pradėjo veikti nuo 90-ųjų, o 2010 m. jau turėjo savo atstovybes beveik visuose pasaulio žemynuose. Nors „ABBYY“ grupė – tarptautinė bendrovė, įmonės pagrindiniai vadovai vis dar yra rusai.
Viešai „ABBYY“, atvirkščiai nei „1C“, su Rusijos valdžia ryšių nepalaiko, bet bendrovė intensyviai bendradarbiauja ir yra finansuojama šioje šalyje veikiančio Skolkovo fondo, kurio tarybą sudaro dabartinis Rusijos premjeras Dmitrijus Medvedevas, prezidento Vladimiro Putino patarėjas ir asistentas, švietimo ir mokslo, ekonominio vystymosi, prekybos bei finansų ministrai ir Maskvos meras.
Nuoroda į Skolkovo fondo tarybą
Daugiausiai duomenų apie šalies gyventojus ir bendroves kaupianti Lietuvos mokesčių inspekcija rusišką produkciją pradėjo naudoti netrukus po 2000 m., kai pirkdama elektroninio deklaravimo sistemas pasitelkė „ABBYY“ partnerius Lietuvoje UAB „Info-tec“. Šie 2003 m. tapo pagrindiniais VMI deklaravimo sistemos kūrimo projekto vykdytojais. Tą kartą inspekcija už darbą sumokėjo daugiau kaip 5 mln. litų (1,58 mln. eurų), tačiau 2005 m. VMI sutartį pasirašė konkrečiai tik su „Info-tec“ ir įmonei sumokėjo apie 5 mln. litų (1,52 mln. eurų).
Toks VMI žingsnis papiktino kitas informacinių technologijų bendroves, nes darbams atlikti nebuvo skelbiamas viešasis konkursas. Reaguodamas į bendrovių nepasitenkinimą, tuometis VMI vadovo pavaduotojas Eidris Karevičius tikino, kad pasirinko „Info-tec“, nes tik ji turėjo teisę platinti „ABBYY“ dokumentų valdymo programinę įrangą.
Kiek iš viso per 15 m. VMI sumokėjo už „ABBYY“ technologijas pati Mokesčių inspekcija tikina negalinti paskaičiuoti, nes, kaip teigiama, rusiškos programinės įrangos diegimas buvo sudėtinė elektroninių deklaracijų kūrimo dalis. Tuo metu „Sodra“ ir Statistikos departamentas per daugiau kaip dešimtmetį „ABBYY“ formoms išleido apie 100 tūkst. eurų. Pastarosios institucijos Rusijos bendrovės produktą pradėjo naudoti nuo 2005–2007 metų.
Ukrainoje – analogiškų sistemų katastrofa
Tai, kad ir „1C“, ir „ABBYY“ naudojamos programos Lietuvoje kelia grėsmę institucijų saugumui, pasak ekspertų, įrodo įvykiai Ukrainoje. Pernai birželį Ukrainoje naudota buhalterinės apskaitos programa, skirta elektroninių dokumentų apsikeitimui tarp įmonių, buvo užpulta viruso.
„Į serverį buvo paguldyti modifikuoti programinės įrangos atnaujinimo dokumentai, kurie savyje turėjo viruso platinimo modelį“, – aiškina kibernetinio saugumo ekspertas Marius Pareščius.
Todėl schema susidarė tokia: programinė įranga pastebėjo, kad serveryje yra atnaujinimų, pasiėmė juos, paleido apkrėsdama kompiuterius, o virusas, apsižiūrėjęs tinkle, pradėjo šifruoti duomenis. Pasak M.Pareščiaus, Lietuvoje ukrainietiškos buhalterinės apskaitos programos analogas – būtent „ABBYY eFormFiller“.
Buvęs Ukrainos ekonomikos ministro patarėjas Darius Tamauskas pasakoja, kad, Kijevui patyrus viruso rusišku pavadinimu „notPetya“ ataką, didžioji dalis verslo ir valstybinio sektoriaus kompiuterių tiesiog buvo išjungti, o darbuotojai paleisti namo.
„Paliesta visa infrastruktūra: 30 Ukrainos bankų, geležinkelio bendrovės, oro uostai, degalinių tinklai, prekybos centrai, paštas ir valstybinės įmonės. Nuostoliai – milijonai dolerių“, – atsimena D.Tamauskas.
Tuo metu keli įtakingi Jungtinių Amerikos Valstijų leidiniai, remdamiesi savo šaltiniais, patvirtino, kad virusas atkeliavo iš Rusijos. Jis, beje, buvo pasiekęs ir Lietuvą.
Ukrainiečiai taip pat skelbė išsiaiškinę, kad bendrovės nelegaliai „1C“ programinę įrangą tiekė į Rusijos okupuotas teritorijas – Luhanską ir Donbasą.
Programinė įranga „1C“ Ukrainoje buvo uždrausta 2017 m. pavasarį. Ukrainos valstybinė saugumo ir gynybos taryba dėl sąsajų su Rusijos saugumo tarnyba „1C“ programinės įrangos tiekėjus įtraukė į bendrovių, kurioms taikomos sankcijos, sąrašus (jame atsirado ir „ABBYY“ bendrovė). Tiesa, 2017 m. lapkritį, kai dar ne visos Ukrainos bendrovės buvo atsisakiusios „1C“, Kijevo verslas, naudojantis rusišką programą, ir vėl patyrė kibernetines atakas.
Kibernetinio saugumo ekspertas G.Meškauskas primena ir 2016 m., kai buvo sukurtas virusas, atakuojantis tik „1C“ naudotojus. Virusą aptikusios antivirusinės programos atstovai teigė, kad žalingi failai, skirti tik „1C“ įrangos vartotojams užkrėsti, naudojami nuo 2005 m.
Pernai, kai Ukrainos saugumas nusprendė uždrausti „1C“ produktus, trys Seimo nariai (Audronius Ažubalis, Laurynas Kasčiūnas ir Žygimantas Pavilionis) kreipėsi į Vyriausybę, ragindami nutraukti Rusijos IT sistemų naudojimą Lietuvoje. Tąkart politikai kėlė klausimą tik dėl Policijos departamento, nežinodami, kad programa naudojama ir FNTT, Lietuvos banko bei kitų institucijų.
Vis dėlto Vyriausybė sureagavo gana formaliai. LRT Tyrimų skyriui pavyko gauti krašto apsaugos ministro Raimundo Karoblio pasirašytą atsakymą parlamentarams, kuriame dėstoma, kad „KAM diegia technines saugumo priemones saugumui užtikrinti“, „Policijos departamento atstovai patikino, kad programinė įranga bus keičiama“, „programinė įranga neturi sąsajų su valstybiniu tinklu“.
Tačiau ar toks atsakymas pakankamas? LRT Tyrimų skyriaus kalbinti ekspertai sako, kad ne.
Valdininkų saugumo spragos neįtikina
Kibernetinio saugumo ekspertas M.Pareščius teigia ir pats įspėjęs valstybės institucijas, kad minėti produktai yra rizikingi, o įstaigų sukaupta informacija gali patekti į nedraugiškos valstybės rankas. Tačiau jokių pokyčių nesulaukta.
Krašto apsaugos viceministras E.Kerza aiškina suprantantis grėsmes, ypač po Ukrainos įvykių. Tačiau, jo teigimu, Lietuva turi didesnių problemų.
„Ši rizika yra ne paskutinėje vietoje, bet masinis Rusijos šnipinėjimas ir sudėtingų virusų kūrimas kelia didesnį nerimą. Yra atakuojamos ištisos valstybinės institucijos ir ministerijos“, – sako jis.
Tai, kad Rusijos puolamos institucijos naudojasi rusiška produkcija, pasak krašto apsaugos viceministro, šiuo metu didelių rizikų nekelia, nes, kaip teigiama, grėsmės yra suvaldytos, o saugumas – užtikrintas. Aiškinama, kad pirmiausia „Rusijos specialistai nedirba tose institucijose ir sistemų neprižiūri“, taip pat – jog yra kuriami kibernetinio saugumo planai.
„Eurosoft LT“ vadovė J.Ošurkovienė ekspertų teiginius vadina nesąmone. Anot jos, bendrovė naudoja tik rusiško produkto pagrindą, o visa kita – lietuvių kūryba, todėl grėsmių dėl atnaujinimų iš Rusijos esą nėra. „Net jeigu programišiams platforma ir yra gerai pažįstama, jiems reikia prasibrauti pro institucijos saugumo barjerus. Beje, Rusijoje yra gerai išmanančių „Microsoft“ sistemą, todėl, jeigu duomenys neapsaugoti, niekas nėra saugus“, – teigia J.Ošurkovienė.
G.Meškauskas sako negirdėjęs apie konkrečius sprendimus, kurie akivaizdžiai užtikrintų valstybinių institucijų saugumą.
„Manau, kad tai yra iš seniau likę sprendimai ir vengiama juos keisti, atnaujinti, tiesiog gyvenama taupant kaštus“, – svarsto jis.
Savo ruožtu M.Pareščius aiškina, kad teiginiai apie „tik rusiškos platformos“ naudojimą esmės nekeičia. „Platforma skirta programavimui ir ji taip pat yra atnaujinama Rusijos. Niekas Europoje nėra tikrinęs „1C“ platformos vidaus, ji neturi saugumo sertifikato. Tokį sertifikatą bendrovei yra išdavusios tik Rusijos saugumo tarnybos. Tai reiškia, kad tik jos vienintelės žvalgėsi po programos vidų“, – sako ekspertas.
Tuo metu Nacionalinio kibernetinio saugumo centro (NKSC), pavaldaus Krašto apsaugos ministerijai, duomenimis, didelės ir vidutinės reikšmės kibernetinių incidentų skaičius Lietuvoje kasmet auga. Daugiausia jie susiję su kenkimo programine įranga.
LRT Tyrimų skyriaus paklaustas, ar yra atliekama „1C“ ir „ABBYY“ saugumo analizė, NKSC sako, kad ne.
„Atsiradus kibernetinio saugumo precedentui, susijusiam su šių produktų veikla Lietuvoje, NKSC pasiruošusi imtis veiksmų pagal savo kompetenciją“, – rašoma šios institucijos atsakyme.
Ar galima manyti, kad centras imsis veiksmų tik tuo atveju, jeigu programos bus užpultos?
E.Kerza aiškina, kad, matyt, LRT Tyrimų skyriui atsakymą pateikė „kažkas ne tas“, nes jį asmeniškai centro vadovas yra patikinęs, kad kiekvieną savaitę rizikos yra stebimos. Tačiau jis tikina: „Grėsmė suvaldyta, nematome šiai dienai priežasčių, kodėl reikėtų kažkokių papildomų priemonių.“
Minimas „suvaldymas“, pasak krašto apsaugos viceministro, tai – institucijose atlikta patikra, rodanti, kad naudojama „1C“ programinė įranga tiesiogiai neprieina prie interneto, tiesioginių sąsajų su Rusija nėra, todėl esą atakos grėsmė – minimali.
LRT Tyrimų skyriaus kalbinti ekspertai aiškina, kad rizika išliks visuomet, nes visos programinės įrangos reikalauja atnaujinimų, kuriuos išleidžia motininės bendrovės, šiuo atveju esančios Maskvoje.
„Atnaujinimo galimybė visuose šiuose produktuose yra, o jie yra guldomi į rusiškus serverius, rusiškų institucijų“, – sako M.Pareščius.
Pinigus leidžia ir toliau
Lietuvos institucijos per kelerius metus modernizavo „1C“ programinę įrangą, o jos aptarnavimas ir tobulinimas perkamas iki šiol. Naujausias – šių metų gegužę vykdytas Lietuvos banko pirkimas. Sutartis dėl „1C“ apskaitos sistemos priežiūros sudaryta iki 2021 m.
Klausiamas, kodėl tiek metų institucijose naudojama žalinga programinė įranga, kuriai gresia ataka iš Rusijos, krašto apsaugos viceministras aiškina, kad ministerija rengia naujas pataisas, siūlančias sukurti uždaro tipo valstybinį tinklą.
Pasak E.Kerzos, nuo kitų metų palaipsniui institucijos pereis prie vienos dokumentų valdymo ir buhalterijos sistemos, todėl šiuo metu atskirose institucijose keisti rusiškus produktus ekonomiškai nenaudinga.
„Jeigu keistume vienos institucijos mastu, kainuotų milijonus. Jeigu visos valstybės, tai – dešimtys ir šimtai milijonų“, – sako krašto apsaugos viceministras.
Konkrečiai perėjimu prie centralizuotos programinės įrangos rūpinasi Nacionalinis bendrųjų funkcijų centras (NBFC), kurio planai skiriasi nuo išsakytų E.Kerzos lūkesčių. Centro vadovas Antanas Matusa LRT Tyrimų skyriui aiškina, kad valstybės įstaigos prie bendros dokumentų valdymo ir buhalterijos sistemos pereis po dvejų metų, ne kitąmet.
„Didesnės įstaigos, pavyzdžiui, policija, „Sodra“ ir kitos, pereiti galės vėlesniame etape“, – rašoma atsakyme.
Taip pat NBFC teigia, kad Lietuvos bankas nėra atskaitingas Vyriausybei, todėl jis negali būti įpareigotas naudotis bendra sistema. Tiesa, pastarosios institucijos atstovai sako, kad „šiuo metu sistemos funkcijos palaipsniui perkeliamos į kitas apskaitos sistemas“.
Pasak A.Matusos, centralizuota sistema kainuos ne šimtus ir ne dešimtis milijonų, o 14 mln. eurų. Visi pinigai – iš Europos Sąjungos biudžeto. Tuo metu VMI ir „Sodra“ sako, kad 2020 m. „ABBYY“ programos nebebus naudojamos.