Apžvalgos tema

  • Tinklų ir informacinių sistemų saugumo direktyva – didžiulės ambicijos ir neapibrėžtos priemonės

  • Data: 2016-12-29
    Autorius: Albert Komar

    Reaguodama į padažnėjusias kibernetines atakas, gedimus, paralyžiuojančius kasdienę piliečių veiklą, ir su tuo susijusius nuostolius, Europos Sąjunga žengė dar vieną žingsnį link bendrų kibernetinės erdvės apsaugos taisyklių priėmimo. 2015 metų pabaigoje Taryba ir Europos Parlamentas po ilgų derybų sutarė dėl ES tinklų ir informacinių sistemų saugumo direktyvos priėmimo (NIS). Šia direktyva siekiama „nustatyti aukštą bendrą tinklų ir informacijos sistemų apsaugos standartą“ valstybėse narėse. Nors pirminis sutarimas jau yra, kad direktyva įsigaliotų, jai turi būti pritarta Europos Parlamento plenarinėje sesijoje bei Vadovų Taryboje, tuomet ES valstybės privalės per 21 mėnesį pakeisti savo kibernetinį saugumą reglamentuojančią teisinę bazę bei įgyvendinti tam tikrus institucinius pokyčius.

    Pagrindinės direktyvos nuostatos

    www.flickr.com, Perspecsys Photos nuotrauka (Valstybės institucijos turės prieigą prie duomenų talpyklų vartotojų informacijos);

    Nepaisant to, kad ES narės vis dažniau imasi iniciatyvų užtikrinti tinklų ir informacinių sistemų apsaugą, jų pasirengimas kovoti su kibernetinėm grėsmėm labai skiriasi, o bendrų saugumo standartų išvis nėra. Todėl glaudžiai tarpusavyje susiję tinklai ir sistemos tampa ypač pažeidžiami. Dažni informacinių sistemų, tinklų bei paslaugų, tokių kaip transporto, elektroninės bankininkystės, paieškos ir failų talpinimo sistemų valdymo pažeidimai yra sukeliami įvairaus mąsto kibernetinių atakų ar paprasčiausiai žmogiškųjų klaidų. Skaičiuojama, kad dėl minėtų priežasčių ES per metus praranda apie 260-340 mln. eurų. Į kaštus nėra įtraukiamos sunkiai įvertinamos, emocinės privačios informacijos praradimo pasekmės asmenims bei kiti su kasdieniu žmonių gyvenimu susiję nepatogumai. Nepasitenkinimas taip pat skatina vartotojų nepasitikėjimą elektroninėmis paslaugomis. Toks nepasitikėjimas didėja kiekvienais metais.

    Būtent dėl to tinklų ir informacinių sistemų saugumo klausimas vienas pirmųjų atsidūrė ES institucijų darbotvarkėje. Dokumente numatytas priemones, kuriomis siekiama užtikrinti patikimesnę apsaugą bei sumažinti nemalonias pasekmes, galima suskirstyti į 3 pagrindinius žingsnius:

    Pirma – bus sustiprinti valstybių narių pajėgumai kovoti su kibernetinėmis grėsmėmis numatant, kad kiekviena Valstybė narė turi priimti tinklų ir informacinių sistemų apsaugos strategijas, kooperacijos planus bei atitinkamai pritaikyti nacionalinę teisę. Papildomai šalys narės privalės įsteigti specialias, už tinklų ir informacinių sistemų apsaugą atsakingas institucijas  bei kompiuterinių incidentų tyrimų tarnybas („Computer Security Incident ResponseTeams“ – CSIRTs), kurios reaguos į pažeidimus ir bus atsakingos už incidentų ir rizikos valdymą. Tarnybos galės būti įsteigtos ir veikti prie esamų valstybės institucijų (pvz., Krašto apsaugos ministerijos).

    Antra – ES šalys, kurdamos ir palaikydamos saugumo struktūrą, turės bendradarbiauti tarpusavyje. Taip bus siekiama dalintis gerąja tarnybų kūrimo bei įstatyminės bazės reformavimo patirtimi bei keistis informacija apie pažeidimus ir jų prevenciją įvairiose valstybėse. Bendradarbiavimas tarp šalių bus vykdomas per valstybinių institucijų bendradarbiavo grupę, CSIRTs tinklą, padedant Europos tinklų ir informacijos apsaugos agentūrai (ENISA).

    Trečia – valstybės turės skatinti viešojo ir privataus sektoriaus bendradarbiavimą, keičiantis informacija apie saugumą. Valstybės privalės apibrėžti saugumo grėsmes, įvertinti konkrečių sektorių pažeidžiamumą bei užtikrinti direktyvos reikalavimus, atitinkančius saugumo standartus. Iš kompanijų bus reikalaujama sustiprinti tinklų apsaugą bei pranešti apie patiriamus pažeidimus. Nustačius pažeidimą, valstybės institucijos, įvertinusios grėsmes, turės nuspręsti dėl tolesnių veiksmų siekiant apsaugoti viešųjų paslaugų teikimą. Šis reikalavimas bus taikomas kompanijoms, kurios teikia „būtiniausias paslaugas“ (transporto, sveikatos, energetikos, atsiskaitymų ir t.t.) ir kurių paslaugų nutraukimas lemtų didžiulius nuostolius. Svarbu pabrėžti, kad direktyva prie tokių kompanijų priskiria ir internetinių paslaugų teikėjus – internetines parduotuves, paieškos sistemas ir duomenų talpyklas.

    Saugumas ar privatumas?

    Nuo pat pradžių ES politikus neramino direktyvos nuostatos, kuriomis vadovaudamosi valstybės institucijos galėtų perimti interneto teikėjų turimus duomenis. Nors diskusijų Europos Parlamente metu šis punktas iš galutinio dokumento buvo išbrauktas, internetinių parduotuvių, paieškos sistemų ar duomenų talpyklų naudotojų asmeninė informacija galės patekti į valdžios rankas. Šių skaitmeninių paslaugų įtraukimas į direktyvos veikimo lauką kelia pagrįstą nerimą dėl vartotojų privatumo. Kompanijai pranešus apie sistemos saugumo pažeidimus, valstybės institucijos potencialiai turės prieigą prie gausybės asmeninių piliečių duomenų.

    Direktyvos kritikus iš kitos pusės neramina ir tai, kad direktyvos nuostatų vykdymas yra nepakankamai reglamentuotas. Anot kritikų, tai gali lemti, kad ES valstybės skirtingai interpretuos ir vykdys direktyvą, o tinklų ir sistemų apsaugos sritis ir toliau stagnuos. Apibrėžtumo trūksta ir straipsniuose, kurie numato ES šalių bendradarbiavimą, ypač formuojant atsaką į kelias valstybes vienijančius saugumo pažeidimus bei taikant sankcijas už taisyklių nesilaikymą.

    Apibendrinant, direktyvos nuostatos sprendimų priėmėjus verčia užduoti amžiną klausimą: saugumas ar privatumas?  Lietuvai šie pokyčiai yra naudingi visų pirma dėl to, kad vyriausybė bus įpareigota imtis konkrečių veiksmų, įtvirtinant valstybės institucijų ir svarbiausių valstybėje veikiančių įmonių kibernetinį saugumą. Esamos saugumo programos bus atnaujintos ir pritaikytos naujiems iššūkiams, kas yra svarbu Rusijos agresijos ir padažnėjusių kibernetinių atakų kontekste. Dar vienas direktyvos privalumas yra tai, kad valstybės privalės dalintis informacija apie pažeidimus. Tai praplės Lietuvos ekspertų supratinimą apie informacines grėsmes ES. Vienintelis iššūkis, su kuriuo gali susidurti Lietuvos institucijos įgyvendinant direktyvą, yra patirties ir atitinkamos kvalifikacijos ekspertų stoka.

    Vis dėlto, nors pagrindinis dokumento tikslas buvo nustatyti bendrą tinklų ir informacijos sistemų apsaugos standartą, svarbių straipsnių neapibrėžtumas ir didžiulė valstybių manevro laisvė gali ir vėl nulemti skirtingų taisyklių priėmimą ES šalyse. Straipsniai dėl tolesnio tarnybų bendradarbiavimo bei informacijos apsikeitimo galės būti koreguojami proceso metu, tačiau silpni direktyvos pamatai gali nulemti, kad prie bendradarbiavimo bus prieita tik po labai ilgo laiko. ■

  • ATGAL
    Kibernetinių atakų Lietuvoje atvejai ir kaip į juos reaguojama
    PIRMYN
    Išmanieji elektros tinklai: problemos ir perspektyvos. Enisa studijos apžvalga
  • Mūsų draugai:
  • ELP grupė
  • Bernardinai.lt
  • Europarlamentaras Algirdas Saudargas

Copyright © 2011 apzvalga.eu. Visos teisės saugomos.

Draudžiama tinklapyje „Apžvalga“ paskelbtą tekstinę ir vaizdinę medžiagą panaudoti kitose žiniasklaidos priemonėse arba platinti šio tinklapio medžiagą kuriuo nors pavidalu be „Apžvalgos“ leidėjų sutikimo, o jei sutikimas gautas, būtina nurodyti „Apžvalgą“ kaip šaltinį.