Krašto apsaugos ministerija, siekdama koordinuoto ir teisiškai reglamentuoto kibernetinio saugumo bendruomenės įtraukimo į šalies kibernetinio saugumo brandos kėlimą, parengė Lietuvos Respublikos kibernetinio saugumo įstatymo pakeitimo projektą. Juo numatoma įteisinti atsakingo ryšių ir informacinių sistemų (RIS) pažeidžiamumų, dėl kurių gali kilti kibernetinis nutikimas, atskleidimo procesą.
Kibernetinio saugumo įstatymo projekte nustatytos sąlygos, į kurias atsižvelgiant būtų galima teisėtai ieškoti RIS pažeidžiamumų. Juos aptikę ir pagal įstatyme nustatytas sąlygas pranešę asmenys galės jaustis ne tik prisidėję prie atitinkamo privataus ir (ar) viešojo sektorių atstovų didesnio kibernetinio saugumo užtikrinimo, bet ir būti ramūs dėl savo teisinės padėties.
Ministerija, siekdama įtraukti suinteresuotas institucijas, tokias kaip teisėsauga, į diskusiją apie siūlomą naują teisinį reglamentavimą, rugsėjo 30 d. rengs diskusiją-forumą „Atsakingo kibernetinio saugumo pažeidžiamumų atskleidimo reglamentavimas Lietuvoje“.
Šį renginį Krašto apsaugos ministerija rengia bendradarbiaudama su įmone NRD Cyber Security.
Diskusijoje-forume dalyviai bus supažindinti su naujuoju reglamentavimu, ketinama nagrinėti galimus teisinius šios praktikos taikymo iššūkius, išgirsti dalyvių nuomonę. Tokiu būdu, bus galima numatyti, kur gali kilti neaiškumų ar interpretacijų.
Kaip veikia atsakingas pažeidžiamumų atskleidimas?
Reikia pripažinti, kad visos asmenų naudojamos RIS turi didesnių ar mažesnių „skylių“, klaidų programoje (angl., bugs) ir kitų trūkumų, kurių dažnai ieško piktavaliai. Tačiau gera žinia yra ta, kad ne tik piktavaliai, bet ir kiti informacinių ir ryšių technologijų (kibernetinio saugumo) specialistai, mokslininkai kiti IRT mėgėjai taip pat domisi ir ieško tokių RIS pažeidžiamumų. Pastarieji asmenys, kurie neretai visuomenėje vadinami „baltaisiais“ arba „etiškaisiais“ įsilaužėliais (angl., „white hats“, „ethical hackers“) siekia, taip vadinamų, „etiškų“ tikslų – sumažinti RIS kibernetinio saugumo pavojų. Todėl atsakingo RIS pažeidžiamumų atskleidimo praktikos reglamentavimas ir taikymas valstybėse tampa vis labiau populiarėjančia priemone, pasitelkiant kibernetinio saugumo bendruomenę, atsakingai ieškoti ir pranešti apie atrastus pažeidžiamumus. RIS pažeidžiamumų atskleidimas yra laikomas atsakingu tik tuomet, kai informacija apie aptiktus pažeidžiamumus yra, visų pirma, pateikiama pačiai organizacijai, kurios RIS ar kitame IRT gaminyje jie buvo aptikti ir/ar atsakingai, pažeidžiamumų atskleidimo procesą prižiūrinčiai, institucijai.
Savo veikloje taikydama nustatytą ir viešai paskelbtą atsakingo pažeidžiamumų atskleidimo tvarką, organizacija pateikia aiškius RIS pažeidžiamumų ieškojimo ir atskleidimo būdus ir sąlygas, nustato procese dalyvaujančiųjų teises ir pareigas, apibrėžia priemones ir būdus, kuriais vadovaujantis pažeidžiamumų atskleidimas nebus laikomas kenkėjiška veikla. Taip pat nurodomas laikotarpis per kurį turi būti neviešinama informacija apie atrastus pažeidžiamumus, nes tuo metu turėtų būti siekiama pažeidžiamumus pašalinti ar surasti kitą pažeidžiamumo valdymo būdą.
Iki šiol Lietuvoje atsakingas RIS pažeidžiamumų atskleidimas valstybiniu mastu nebuvo reglamentuojamas, tačiau tai nebuvo kliūtis kai kurioms organizacijoms pačioms rengti, sukomplektuoti ir taikyti atsakingo pažeidžiamumų atskleidimo politiką, Vilniaus m. savivaldybė yra puikus to pavyzdys. Šių metų pradžioje ši institucija pakvietė kibernetinio saugumo žinovus ir mėgėjus dalyvauti atsakingo pažeidžiamumų atskleidimo programoje „Hack me if you can“ (liet. „Surask spragas, jei gali“).
Kas pasikeis atsiradus atsakingo pažeidžiamumų atskleidimo reglamentavimui?
Tikimasi, kad padėjus teisinius atsakingo RIS pažeidžiamumų atskleidimo pagrindus, atsiras aiškumas dėl atsakomybių paskirstymo bei pranešimo apie pažeidžiamumus sąlygų. Pašalinus šiuos pažeidžiamumus, bus gerinama kibernetinio saugumo padėtis Lietuvoje.
„Kiekviena organizacija siekia stiprinti savo kibernetinį atsparumą, tam naudodama įvairius programinės ir techninės įrangos sprendimus ir kitus būdus, vienas kurių – atsakingo RIS pažeidžiamumų atskleidimo proceso reglamentavimas ir taikymas“, – sako Jonas Skardinskas, Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas.
Kibernetinio saugumo bendruomenė bus aktyviau įtraukiama į šalies kibernetinės erdvės stiprinimą – visi norintys ir turintys įgūdžių bei žinių, pastebėję RIS pažeidžiamumus, galės nesibaimindami baudžiamojo persekiojimo apie tai pranešti. Teisės aktas galios visiems kibernetinio saugumo subjektams, tokiems kaip valstybės institucijos, privataus sektoriaus atstovai, kurie teikia ypatingos svarbos paslaugas valstybėje (pvz., elektros, vandens tiekimas, sveikatos, finansinės paslaugos ir kt.), interneto ryšio, debesijos paslaugų tiekėjai bei asmenys, vykdantys elektroninę prekybą didesniu mastu.
Siekiama, kad kibernetinio saugumo subjektai būtų labiau skatinami iš anksto susitvarkyti savo RIS, užlopyti žinomus pažeidžiamumus. Tačiau teisės aktuose sudarius galimybę etiškiems įsilaužėliams ieškoti RIS pažeidžiamumų ir siekiant išvengti nesusipratimų, ieškoti jų galima bus tik laikantis įstatyme nustatytų apribojimų. Taip pat, tikėtina, kad padidės dėmesys atsakingam pažeidžiamumų atskleidimui – kils daugiau diskusijų tiek visuomenėje, tiek kibernetinio saugumo bendruomenėje, ilgainiui susiformuos teigiama pažeidžiamumų atskleidimo praktika.
„Natūralu, kad verdant gyvenimui, mūsų aplinkoje atsiranda skylių, lūžusių lentų, suskilusių šaligatvio plytelių ir pan. Dažniausiai turime galimybę apie tai pranešti miesto savivaldai. Tačiau kibernetinėje erdvėje iki šiol dar daug nežinomųjų – t.y. nėra aišku, ar pranešus apie aptiktą pažeidžiamumą, nepatrauks baudžiamojon atsakomybėn, o gal iš viso niekas neatkreips dėmesio? Įvedus atsakingo RIS pažeidžiamumų atskleidimo reglamentavimą, bus mažiau neaiškumų, aiškesnės rolės, atsakomybės ir jų ribos. Taip pat, toks reglamentavimas – brandos požymis, todėl tokios pastangos tik sustiprins Lietuvos įvaizdį tarptautinėje kibernetinio saugumo bendruomenėje bei įvairiuose reitinguose“ – sako Vilius Benetis, NRD Cyber Security vadovas.
Geroji atsakingo RIS pažeidžiamumų atskleidimo praktika teigia, kad svarbu nustatyti ir atitinkamai institucijai pavesti aiškiai apibrėžtas, su pažeidžiamumų atskleidimo priežiūra susijusias, veiklas. Tokį vaidmenį atsakingo pažeidžiamumų atskleidimo reglamentavimo procese žadama paskirti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.
„Nacionalinis kibernetinio saugumo centras skatina atsakingo atskleidimo būdų taikymą kibernetinio saugumo srityje, todėl neskelbkime RIS aptiktų saugumo pažeidžiamumų viešai, o praneškite apie jas sistemų valdytojui, suteikdami jam galimybę ištaisyti klaidas. Ankstyvas pažeidžiamumo atskleidimas gali būti piktavalio išnaudotas kibernetinėms atakoms atlikti. Esant tarpininkavimo poreikiui, galite apie pažeidžiamumą informuoti užpildę pranešimo formą NKSC interneto svetainėje www.nksc.lt. NKSC yra pasiruošusi įvertinti padėtį ir imsis veiksmų, siekdama apie atrastą RIS pažeidžiamumą informuoti sistemos valdytoją, pažymėdama, kad apie pažeidžiamumą buvo pranešta naudojant atsakingo atskleidimo praktiką. Įsigaliojus įstatymo nuostatoms, pažeidžiamumų atskleidimo valdymo procesas ir NKSC vaidmuo jame taps dar aiškesnis“, – teigė dr. Rytis Rainys, Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos direktorius.
