Apžvalgos tema

  • Kibernetinio saugumo aplinka Lietuvoje

  • Data: 2016-12-29
    Autorius: Romena Čiūtienė

    Valstybinio audito ataskaitos apžvalga

    www.flicr.com, Blogtrepreneur nuotrauka

    2015 metų gruodį Valstybinis auditas paskelbė ataskaitą apie Kibernetinio saugumo aplinką Lietuvoje. Skamba pakankamai paradoksaliai, bet tik 2015-aisiais metais valstybė iš esmės (pakankamai plačiai ir giliai) apžvelgė šalies kibernetinę aplinką. Tai iškalbingas faktas. Visgi straipsnio tikslas ne dramatizuoti, o trumpai apžvelgti 34 puslapių apimties atsakaitą, kuri, tiesą sakant, pati iš savęs yra pakankamai dramatiška. Bet apie viską – iš eilės.

    Apie tyrimą

    Pasak ataskaitos, dar 2006 m. Lietuvos Respublikos Vyriausybė nustatė, kad galiojantis elektroninės informacijos saugos (kibernetinio saugumo) srities reglamentavimas nepakankamas, todėl nutarė parengti elektroninių ryšių tinklų ir informacijos saugumo įstatymą, o 2011 m. patvirtinto elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 m. programą. Tačiau programa realių rezultatų nedavė, o minėtas įstatymas taip ir nebuvo priimtas. Taigi, kibernetinio saugumo sritis iki 2015 m. rėmėsi teisės aktais, kuriuose nebuvo aiškiai nustatytų šios srities politiką formuojančių ir įgyvendinančių institucijų, kibernetinio saugumo dalyvių pareigų, atsakomybės, organizacinių ir techninių kibernetinio saugumo reikalavimų ir kibernetinio saugumo užtikrinimo priemonių.

    Tiktai 2014 m. Lietuvoje pradedama kurti  nuosekli kibernetinio saugumo sistema. Ir tai – tik de jure. 2014 metų pabaigoje priimtas Kibernetinio saugumo įstatymas, nustatantis kibernetinio saugumo sistemos organizavimą, valdymą ir kontrolę, apibrėžiantis kibernetinio saugumo ir kitas pagrindines šios srities sąvokas. Nuo 2015 metų, kuomet įsigaliojo įstatymas, Krašto apsaugos ministerijai suteikti įgaliojimai formuoti kibernetinio saugumo politiką, organizuoti, kontroliuoti ir koordinuoti jos įgyvendinimą. Įsteigtas Nacionalinis kibernetinio saugumo centras, sudaryta Kibernetinio saugumo taryba. Vidaus reikalų ministerijai, kuri neteko formuotojos vaidmens, skirtos remiančios institucijos pareigos.

    Lietuvos Respublikos Vyriausybės pavedimas atlikti Kibernetinio saugumo aplinkos Lietuvoje auditą duotas dar 2014 metų gale. Suburta auditorių grupė metus laiko analizavo 2011–2015 metų laikotarpį. Audito tikslas – įvertinti, ar užtikrinamas kibernetinis saugumas Lietuvoje. Tikslui pasiekti iškelti šie uždaviniai:

    -                    įvertinti, ar sukurta kibernetinio saugumo sistema;

    -                    įvertinti, ar užtikrinamas kibernetinis saugumas valstybinėse įmonėse.

    Audito metu išanalizuotas esamas kibernetinio saugumo ir el. informacijos saugos teisinis reguliavimas, strateginis planavimas, valdymo praktika, šiai sričiai skirtos ir skiriamos bei naudojamos lėšos. Vertinta, ar pasiekti planavimo dokumentuose nustatyti kibernetinio saugumo ir el. informacijos saugos rezultatai ir kaip valstybės įstaigos užtikrina kibernetinį saugumą ar tinkamai taiko kibernetinio saugumo technines ir organizacines priemones. Auditas atliktas Vidaus reikalų ministerijoje ir Krašto apsaugos ministerijoje. Duomenys ir informacija surinkti iš šių ministerijų valdymo srities įstaigų, kitų ministerijų, Vyriausybės kanceliarijos, Ryšių reguliavimo tarnybos, Valstybinės duomenų apsaugos inspekcijos, Valstybės saugumo departamento, Lietuvos mokslo ir studijų institucijų kompiuterinio tinklo (LITNET) tarybos atstovų ir Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos. Audituojant bendradarbiauta ir  su asociacijos „INFOBALT“ kibernetinio saugumo specialistais.

    Siekiant gilesnės ir esminės analizės, auditoriai teigia analizavę užsienio šalių patirtį, gerąją praktiką, mokslinių tyrimų duomenis ir visuomenės informavimo priemonėse skelbiamą informaciją, susijusią su audituojama sritimi. Analizuojant pačią ataskaitą, iš tiesų susidaro įspūdis, jog į kibernetinį saugumą buvo bandyta pažvelgti plačiau, nei vien tik apibrėžta Kibernetinio saugumo įstatyme. Visgi bendram Lietuvos kibernetinio saugumo paveikslui susidaryti, jaučiamas didžiulis operatyvinių tarnybų įdirbio analizės trūkumas. Tikėkimės, kad egzistuoja ir klasifikuota apžvalginė medžiaga apie kibernetinį saugumą Lietuvoje ir su ja politikos formuotojai susipažinę, tačiau viešai apie tokį dokumentą jokios informacijos nesama.

    Audito išvados

    Audito metu pastebėta, kad iki šiol valstybėje nepakankamai efektyviai sprendžiami kibernetinio saugumo ir jo atsparumo didinimo klausimai. Akcentuojant tik reagavimą į incidentus ir jų užkardymą kibernetinėje erdvėje, pamirštami tradiciniai el. informacijos saugos valdymo klausimai (informacijos konfidencialumas, vientisumas, prieinamumas) ir nuo 2015 m. neskiriama pakankamai dėmesio šios srities plėtrai, teisės aktų rengimui, organizacinės struktūros tobulinimui ir panašiems aspektams.

    Nustatyta, kad viešajame sektoriuje įgyvendinamos nepakankamos šios srities organizacinės ir techninės priemonės. Valstybinės įstaigos savo veikloje nepakankamai dėmesio skiria kibernetiniam saugumui užtikrinti, o naujai priimtas Kibernetinio saugumo įstatymas neišsprendžia visų su kibernetiniu saugumu susijusių grėsmių. Pasak Valstybės kontrolės, šis įstatymas gali būti veiksmingas tiek, kiek bus veiksmingi jį lydintieji teisės aktai, įstaigų praktinė patirtis ir gebėjimai valdyti kibernetinį saugumą ir el. informacijos saugą. Taip pat būtina parinkti efektyvias reikalavimų įgyvendinimo kontrolės priemones bei spręsti šios srities specialistų kompetencijos problemas. Nepašalinus šių trūkumų, gali nukentėti ne tik administracinės ir viešosios paslaugos, informacija, bet ir kiekvienas pilietis, šalies prestižas, pasitikėjimas naujomis technologijomis.

    Siekiant tobulinti kibernetinio saugumo reglamentavimo kokybę, spręsti esamas planavimo ir finansavimo problemas, auditoriai pasiūlė Vyriausybei nustatyti bendras kibernetinio saugumo, el. informacijos saugos strategines kryptis ir joms pasiekti būtinas priemones, konsoliduoti el. informacijos saugos valdymą. Taip pat rekomenduota skirti įstaigą, kuri koordinuotų šios srities reikalavimų rengimą, jų suvienijimą, ir nustatyti lėšų skyrimo, panaudojimo prioritetus ir kriterijus. Krašto apsaugos ir Vidaus reikalų ministerijoms rekomenduota peržiūrėti esamus kibernetinio saugumo, el. informacijos saugos reikalavimus, juos suderinti, patvirtinti šios srities trūkstamas nuostatas, metodinius dokumentus ir numatyti priemones, skirtas konsultuoti ir informuoti kibernetinį saugumą, el. informacijos saugą užtikrinančius subjektus aktualiais šios srities klausimais.

    Auditas taip pat nustatė, jog kibernetinio saugumo ir el. informacijos saugos sritys Lietuvoje atskirtos įstatymų lygiu, tačiau juos įgyvendinti nėra lengva, o bendra valstybės saugumo būklė šiose srityse kol kas negerėja, nes:

    -                    El. informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 m. programa, kurioje planuota pasiekti daugiausia rezultatų šioje srityje, vykdoma nerezultatyviai. Nustatyti ne visi su kibernetinio saugumo ir el. informacijos sauga susijusių planavimo dokumentų tarpusavio ryšiai, vėluojama įgyvendinti planavimo dokumentuose numatytas priemones.

    -                    Laiku neparengti teisės aktai, reglamentuojantys kibernetinį saugumą, nėra sprendimo dėl el. informacijos saugos, kibernetinio saugumo ir kitų su informacijos sauga susijusių sričių reikalavimų peržiūrėjimo ir suderinimo.

    -                    2015 m. pradėjusi veikti kibernetinio saugumo valdymo sistema nesudaro visų su el. informacijos sauga susijusių sričių darnaus valdymo sąlygų: neišvengiama dalinio įstaigų veiklos dubliavimo, trūksta kompetencijos atskyrimo formuojant ir įgyvendinant kibernetinio saugumo ir el. informacijos saugos politiką.

    -                    Kibernetiniam saugumui ir el. informacijos saugai reikalingų lėšų skyrimas ir panaudojimas (2015–2020 m. laikotarpiui yra suplanuota 15,6 mln. EUR) vykdomas nenustačius lėšų skyrimo prioritetų ir kriterijų, neturint duomenų apie faktinę įstaigų kibernetinio saugumo ir el. informacijos saugos būklę, panaudotas lėšas ir jų poveikį.

    Įvertinta, jog kibernetinio saugumo ir el. informacijos saugos techninių ir organizacinių priemonių įgyvendinimas viešajame sektoriuje nepakankamas, netinkamai pasiruošta reaguoti į kibernetinėje erdvėje kylančias grėsmes, kadangi:

    -                    Vidutiniškai taikoma 25 proc. šiai sričiai užtikrinti rekomenduojamų organizacinių priemonių. Pagrindiniai trūkumai susiję su saugumo valdymo sistemos kūrimu, incidentų valdymu, veiklos tęstinumo užtikrinimu, personalo kompetencijos tobulinimu ir išoriniu bendradarbiavimu.

    -                    Tinkamai įgyvendinta tik 39 proc. rekomenduojamų techninių priemonių, kurios lieka pažeidžiamos dėl iš esmės netinkamo jų valdymo.

    Auditorių rekomendacijos

    Valstybės audito pateiktose rekomendacijose Lietuvos Respublikos Vyriausybei, siekiant užtikrinti kibernetinį saugumą ir jo atsparumo didinimą, siūloma:

    -                    nustatyti bendras kibernetinio saugumo, el. informacijos saugos strategines kryptis ir joms pasiekti būtinas priemones;

    -                    skirti įstaigą, kuri valstybės mastu koordinuotų kibernetinio saugumo, el. informacijos saugos reikalavimų rengimą, jų suvienijimą;

    -                    konsoliduoti el. informacijos saugos valdymą;

    -                    valstybės mastu nustatyti kibernetiniam saugumui, el. informacijos saugai reikalingų lėšų skyrimo ir panaudojimo prioritetus, kriterijus, stebėsenos ir kontrolės mechanizmą.

    Lietuvos Respublikos krašto apsaugos ir vidaus reikalų ministerijoms, siekiant gerinti kibernetinio saugumo reglamentavimo kokybę ir efektyvumą, Valstybės auditas rekomendavo:

    -                    peržiūrėti esamus kibernetinio saugumo, el. informacijos saugos reikalavimus, juos suderinti ir (arba) patvirtinti trūkstamas nuostatas ir metodinius dokumentus;

    -                    užtikrinti įstaigų konsultavimą ir informavimą kibernetinio saugumo ir el. informacijos saugos (valdymo sistemos kūrimas, incidentų valdymas, veiklos tęstinumo užtikrinimas, personalo kompetencijos tobulinimas, išorinis bendradarbiavimas, saugios konfigūracijos nustatymas, tinklo saugumas, mobilių ir kitų technologijų valdymas) klausimais.

    Pabaigai, arba epilogas

    Taip, epilogas. Šis terminas vartojamas baigiant dramas ir šiame kontekste jis tikrai tinka. Lietuva jau eilę metų yra tarp pirmaujančių pasaulyje pagal interneto spartą ir plėtrą, ji taip pat  kotiruojasi tarp imliausiųjų IT sektoriuje, o štai valstybiniame sektoriuje… viduramžiai? Koncentruota ir visa vertinanti šalies kibernetinio saugumo apžvalga atlikta tik 2015 viešpaties metais, praėjus daugiau nei pusei amžiaus (!) po interneto atsiradimo. Jos rezultatai – liūdni, nėra koordinavimo, nėra poįstatyminių aktų bazės, priemonės įgyvendinamos ne daugiau kaip 50 procentų to, kas buvo užsibrėžta. O ir užsibrėžta buvo, švelniai tariant, tikrai ne ambicingai.

    Lietuvos ekonomikos vis didesnę dalį sudarant paslaugų sektoriui, kuris tiesiog šuoliuoja į kibernetinę erdvę, tokia šalies kibernetinio saugumo būklė yra išties apverktina. Juolab kad aplinka veikti išties dėkinga ir tą rodo pasauliniai reitingai. Ši ataskaita garsiai pasako, kad karalius nuogas – daug kartų valdžios naudotas argumentas apie plačiai išvystytą IT sektorių, deja, tėra privataus sektoriaus nuopelnas.

    Baigiant telieka pasidžiaugti, kad sisteminio valdžios požiūrio į kibernetinį saugumą indikacijų esama. Įsteigtos insitucijos, pasidalinta atsakomybės sferomis, sukurti pagrindiniai teisės aktai. Belieka veikti. Veikti proveržio rėžimu, pamirštant trepsenimus ir blaškymusis. Veikti teikiant valstybinį prioritetą, paprastinant biurokratines procedūras, metant didžiulius resursus, įsigijant naujausią organizacinę techniką, priviliojant kompetetingą personalą, glaudžiai ir imliai bendradarbiaujant su privačiu sektoriumi, kuris mūsų valstybei šioje sferoje yra didysis brolis, pripažinkime. Tam reikalinga stipri politinė valia. Tikėkimės, artimos ateities vyriausybė jos nestokos. ■

  • ATGAL
    Kibernetinio saugumo situacijos Lietuvoje apžvalga ir tendencijos
    PIRMYN
    Kovų arena - kibernetinė erdvė
  • Mūsų draugai:
  • ELP grupė
  • Bernardinai.lt
  • Europarlamentaras Algirdas Saudargas

Copyright © 2011 apzvalga.eu. Visos teisės saugomos.

Draudžiama tinklapyje „Apžvalga“ paskelbtą tekstinę ir vaizdinę medžiagą panaudoti kitose žiniasklaidos priemonėse arba platinti šio tinklapio medžiagą kuriuo nors pavidalu be „Apžvalgos“ leidėjų sutikimo, o jei sutikimas gautas, būtina nurodyti „Apžvalgą“ kaip šaltinį.