Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos (ITU), vienijančios 194 valstybes, sudarytame tarptautiniame kibernetinio saugumo indekse Lietuva pateko į stipriausiųjų dešimtuką ir užėmė šeštą vietą. Europos valstybių sąraše esame ketvirti. Tarptautinis kibernetinio saugumo indeksas – kompleksinis rodiklis, parodantis valstybės pastangas ir pažangą kibernetinio saugumo srityje.
Tokias tvirtas ir aukštas pozicijas pagal šį indeksą Lietuva išlaiko jau kelis metus. 2019 m. pagal tą patį indeksą, Lietuva buvo 4-ta pasaulyje, praleisdama tik Jungtinę Karalystę, Jungtines Amerikos Valstijas ir Prancūziją. Dar įspūdingiau šis faktas vertintinas žinant, kad 2017 m. Lietuva buvo 57-a. Kas gi lėmė tokį šuolį?
Pradėkime nuo pradžių. Istoriškai kibernetiniu saugumu Lietuvoje būdavo rūpinamasi menkai. Vien jau faktas, kad Lietuvoje už, tuomet taip vadinamąją, el. informacijos saugą buvo atsakingos net kelios institucijos reiškia, kad nesirūpino tinkamai nei viena. Tačiau situacija pasikeitė, kai po Kibernetinio saugumo įstatymo patvirtinimo pradėta kibernetinio saugumo konsolidacija.
Lyderystės kibernetinio saugumo srity ėmėsi Lietuvos Respublikos Krašto apsaugos ministerija. 2016 metais, pertvarkius Ryšių ir informacinių sistemų tarnybą oficialiai veiklą pradėjo Nacionalinis kibernetinio saugumo centras (NKSC) (prie kurio vėliau buvo prijungtas RRT CERT), KAM`e atsirado kibernetinio saugumo politikos klausimus koordinuojantis atskiras skyrius ir pan. Ir štai nuo 2019-ųjų Lietuva yra tarp pasaulio lyderių.
Lietuva – tarp aukščiausiai tarptautinės kibernetinio saugumo bendruomenės vertinamų valstybių. Kuo aukštesnis reitingas, tuo labiau šalis pažengusi kibernetinio saugumo bei atsparumo kontekste ir pasiryžusi gynybai kibernetinio saugumo srityje. Tai rezultatas, kiek valstybė yra saugi el. erdvėje, kiek kibernetinio saugumo prasme yra patikimos esminės paslaugos, tokios kaip vandens ar elektros tiekimas, finansinės paslaugos ir pan.
Taip, reikia nulenkti galvą, Lietuvoje kibernetinio saugumo srity buvo daug padaryta. Priimtas bene pirmasis Europoje atskiras Kibernetinio saugumo įstatymas, patvirtinta Lietuvos nacionalinė kibernetinio saugumo taryba, įkurtas NKSC, patvirtinta nauja nacionalinė kibernetinio saugumo strategija, patvirtinti nauji kibernetinio saugumo reikalavimai, konsoliduota visa kibernetinio saugumo sritis, koncentruojant išteklius į Krašto apsaugos sistemą ir dar daug kitų ne mažiau reikšmingų iniciatyvų.
Bet ar viskas taip puiku? Pasižiūrėkime į ITU kibernetinio saugumo reitingo metodologiją, pagal kurią reitingas nustatomas įvertinant keturias dedamąsias:
- Teisinę;
- Techninę;
- Organizacinę ir
- Pajėgumų plėtros.
Skamba puikiai, tačiau ar teorija atitinka praktiką? Pasinagrinėjus konkrečius klausimynus, kurie naudoti būtent šiam reitingui nustatyti, tampa aišku, kad pasaulinis kibernetinio saugumo reitingas vertina daugiau formalią pusę, t. y. kaip kibernetinio saugumo sritis reglamentuota, kaip nustatytos atsakomybės, ar vyksta mokymai ir pan.
Tačiau kibernetinio saugumo reitingas neįvertina realios padėties atskirose šalyse, pvz., kaip kritinės infrastruktūros valdytojai, kitos įmonės ar organizacijos realiai yra pasirengusios atremti kibernetines atakas ir atstatyti surikdytas paslaugas.
Prisiminkime, kad Lietuvoje glūdi formalios atitikties problema, apie kurią prabilo ir pats NKSC savo metinėje 2020-ūjų metų ataskaitoje. Vadinamoji formali atitiktis pasireiškia tuomet, kai pvz., kibernetinio saugumo reikalavimai organizacijoje yra dokumentuoti, tačiau praktikoje jų įgyvendinimas stringa.
Šiuo atveju tą patvirtina ir konkretūs NKSC atlikti patikrinimai viešojo sektoriaus organizacijose. Problema opi ir dėl valstybės informacinių išteklių (VII) valdytojų atsainaus požiūrio į kibernetinio saugumo reikalavimų įgyvendinimą.
Pavyzdžiui, vis dar nemaža dalis valstybės interneto svetainių nėra saugios, o kibernetinio saugumo rizikos vertinamos neatsakingai. Daug problemų kelia ir nepakankama kibernetinio saugumo higiena.
Taigi, viena vertus, formaliai žiūrint, su kibernetiniu saugumu tvarkomės puikiai – Lietuvoje galioja sąlyginai gera kibernetinio saugumo teisinė bazė, paskirstytos atsakomybės, kibernetinio saugumo subjektai demonstruoja, kad turi patvirtintus kibernetinio saugumo dokumentus.
Kita vertus, realus kibernetinis atsparumas labai gerai buvo „pademonstruotas“, kai 2020 m. vasarą lietui užpylus Registrų centro serverines, Lietuvoje sutriko daugelio pagrindinių registrų ir valstybės informacinių sistemų darbas.
Notarai negalėjo patvirtinti dokumentų ir pan. Bene kritiškiausias – e. sveikatos sistemos sutrikimas, kai sunkiomis ligomis sergantys asmenys negalėjo gauti gyvybei svarbių vaistų, ligoniai negalėjo užsiregistruoti pas gydytojus ir kt.
Taigi, ar ITU pasaulinis kibernetinio saugumo reitingas parodo realią situaciją, ypač kiek tai susiję su realiu atsparumu kibernetinėms atakoms ir gebėjimais atstatyti sutrikusias paslaugas? Tikrai ne. Šių aspektų ITU reitingas nevertina. Turint omenyje, kad Lietuvoje net nėra įrankių ar metodologijos, kaip įvertinti kibernetinio saugumo reikalavimų įgyvendinimą praktikoje.
Galima konstatuoti, kad nors ir puiku, kad Lietuva yra tarp ITU paskelbtų pasaulinių lyderių kibernetinio saugumo srityje, faktinio kibernetinio saugumo reikalavimų įgyvendinimo ir aukšto lygio atsparumo kibernetinėms atakoms ir atsparumo gamtos reiškiniams dar teks palaukti.
Taigi, pasidžiaukime aukšta Lietuvos pozicija pasauliniame kibernetinio saugumo reitinge ir eikime gerinti realią kibernetinio saugumo situaciją, kuri šiai dienai, deja, nėra gera. Kibernetinį saugumą realiai užtikrinsime tik tuomet, kai visos suinteresuotos pusės prie kibernetinio saugumo užtikrinimo, kultūros kėlimo ir atsparumo gerinimo prisidės ne tik žodžiais, bet ir konkrečiais darbais.
Autorius yra Mykolo Romerio universiteto profesorius, teisės mokslų daktaras, Kibernetinio saugumo valdymo studijų programos vadovas