Šių metų balandį daugybė Lietuvos valstybės institucijų nukentėjo nuo kibernetinių atakų, sutrikus jų interneto tinklalapių pasiekiamumui ir vidinių informacinių sistemų veiklai. Pirminiais duomenimis, kibernetinės atakos pasireiškė surengus DDoS (angl. Distributed denial-of-service) atakas, per kurias tuo pačiu metu iš daugybės kompiuterių ir kitų įrenginių visame pasaulyje buvo siunčiamas didelis kiekis užklausų, siekiant apsunkinti sistemų veiklą ir sutrikdyti tinklalapių veiklą. Šiuo metu vis dar vykstant ikiteisminiams tyrimams, konkretūs nuostoliai, patirti dėl šių atakų, nebuvo įvardyti, ir taip pat neaišku, ar šiomis atakomis programišiai siekė neteisėtai pasisavinti įstaigų informacinėse sistemose kaupiamą ir valdomą informaciją.
Tuo tarpu prieš metus JAV daug rimčiau nukentėjo nuo didžiausios šalies istorijos kibernetinės atakos: programišiai įsilaužė į JAV Personalo valdymo įstaigos duomenų bazę ir iš jos pasisavino duomenis apie daugiau nei 4 milijonus JAV įstaigų darbuotojų ir 22 milijonus žmonių, kuriuos tikrino JAV žvalgybos institucijos, vertindamos jų galimybę dirbti su įslaptinta informacija. Programišiai pasiekė nukentėjusiųjų klausimynus, kuriuose jie pateikė vardus, pavardes, adresus, sveikatos ir finansinę informaciją, socialinio draudimo numerius, informaciją apie šeimos narius ir kt. Negana to, programišiams pavyko pasiekti beveik 6 milijonus šių žmonių pirštų antspaudų.
Programišiai nesunkiai priėjo prie visų duomenų, kadangi informacinėje sistemoje nebuvo naudojamos priemonės, identifikuojančios pašalinį prisijungimą, o asmens duomenys nebuvo tinkamai užšifruoti. Personalo valdymo įstaiga keletą metų prieš šią ataką buvo įspėta apie informacinės sistemos pažeidžiamumą, tačiau nesiėmė tinkamų priemonių galimoms kibernetinėms atakoms užkardyti. Dėl šios priežasties įstaigos vadovė Katherine Archuleta buvo priversta atsistatydinti.
Tai tik keli kibernetinių atakų atvejai. Įprastai kibernetinės atakos gali pasireikšti įvairiomis formomis: jau minėtomis DDoS atakomis, virusais, Trojos arkliais ir kt., ir jų taikiniai gali būti tiek pavieniai asmenys, įmonės, įstaigos, turinčios svarbios informacijos, tiek visuomenei ypač svarbūs infrastruktūros objektai: atominių elektrinių, elektros energijos, dujų, vandens, transporto valdymo sistemos, bankų informacinės sistemos ir kt. Daugelis įvykusių didžiausių kibernetinių atakų atskleidė, kad dažniausiai jas rengia programišiai iš Kinijos, Rusijos, Šiaurės Korėjos, Irano, Pakistano ir kitų tarptautiniuose konfliktuose dalyvaujančių šalių. Šių atakų tikslai taip pat gali būti patys įvairiausi: nuo paprasčiausio bet kokio tinklalapio veiklos sutrikdymo, asmens duomenų ar pinigų vagystės, iki visuomenei gyvybiškai svarbių infrastruktūrų veiklos sutrikdymo.
Kaip siekiama užtikrinti kibernetinį saugumą Europos Sąjungos lygiu?
Šių metų liepos 6 d. Europos Parlamentas priėmė Direktyvą dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (Kibernetinio saugumo direktyva). Direktyva turėtų įsigalioti rugpjūčio mėnesį, o iki 2018 metų vidurio valstybės turės parengti ją įgyvendinančius nacionalinius teisės aktus.
Direktyva numato, kad ES šalys narės privalės parengti Nacionalinę kibernetinio saugumo strategiją ir paskirti instituciją, atsakingą už tinklų ir informacinių sistemų saugą, kuri bendradarbiaus ir keisis informacija su analogiškomis institucijomis visoje ES. Tuo tarpu viešo administravimo įstaigos, visuomenei svarbios infrastruktūros operatoriai ir paslaugų internete teikimo bendroves bus įpareigotos imtis tinkamų ir proporcingų techninių bei administracinių priemonių, vertinant naudojamų tinklų ir informacinių sistemų saugumo riziką. Jos taip pat privalės nedelsdamos informuoti kompetentingą instituciją apie svarbius kibernetinius incidentus, turinčius įtakos paslaugų teikimui, o to nepadarius, bus taikomos sankcijos. Panašaus pobūdžio įpareigojimas jau yra numatytas įsigaliojusiame Bendrajame duomenų apsaugos reglamente. Trumpai tariant, ši direktyva sukurs efektyvesnį kibernetinio saugumo rizikos vertinimo, priežiūros ir keitimosi informacija mechanizmą ir tikėtina, kad padės pristabdyti ir efektyviau suvaldyti nuolat didėjantį kibernetinių incidentų srautą.
Kibernetinio saugumo teisinis reguliavimas ir įgyvendinimas Lietuvoje
2014 metų pabaigoje Lietuvoje buvo priimtas Kibernetinio saugumo įstatymas, pagal kurį kibernetinio saugumo politiką buvo pavesta organizuoti ir įgyvendinti Krašto apsaugos ministerijai, Vidaus reikalų ministerijai, naujai įkurtam Nacionaliniam kibernetinio saugumo centrui, Ryšių reguliavimo tarnybai, Valstybinei duomenų apsaugos inspekcijai ir Policijos departamentui.
Šių metų liepos pradžioje oficialiai atidarytas Nacionalinis kibernetinio saugumo centras įgijo teisę analizuoti kibernetinio saugumo situaciją Lietuvoje ir reaguoti į kibernetinius incidentus valstybės institucijų informacinėse sistemose bei visuomenei svarbios infrastruktūros operatorių valdomose sistemose. Tuo tarpu Ryšių reguliavimo tarnybos nacionalinio elektroninių ryšių tinklų ir informacijos kibernetinių incidentų tyrimo padalinys CERT dar nuo 2008 metų atlieka kibernetinių incidentų stebėseną ir prevenciją viešuosiuose ryšių tinkluose. Kibernetinio saugumo įstatymas taip pat nustatė naujas pareigas valstybės institucijoms, visuomenei svarbios infrastruktūros operatoriams ir telekomunikacinių paslaugų teikėjams: jie privalo informuoti atitinkamas institucijas apie kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir šių įvykių suvaldymo priemones. Taip pat jie įpareigoti turėti bent vieną asmenį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą.
Vis dėlto, praėjus metams po Kibernetinio saugumo įstatymo įsigaliojimo, Valstybės kontrolė konstatavo, kad valstybė nepajėgė sistemiškai, tinkamai ir laiku sureguliuoti strategiškai svarbių kibernetinio saugumo sričių, kadangi didžiausias dėmesys buvo skiriamas reakcijai į kibernetinius incidentus ir jų užkardymui, tačiau neskirta pakankamai dėmesio elektroninės informacijos saugos valdymo plėtrai. Prie tokios išvados buvo prieita nustačius, kad valstybės institucijos taiko vidutiniškai ketvirtadalį kibernetinei saugai užtikrinti rekomenduojamų organizacinių priemonių ir tinkamai įgyvendina mažiau nei pusę kibernetinei saugai užtikrinti rekomenduojamų techninių priemonių.
Taigi, žinant tokią išvadą, nereikėtų stebėtis, kaip programišiams pavyko sutrikdyti valstybės institucijų tinklalapių ir jų informacinių sistemų veiklą. Seimo Nacionalinio saugumo ir gynybos komiteto pirmininkas Artūras Paulauskas taip pat patvirtino, kad daugybė institucijų valdo svarbius duomenis, tačiau jų kibernetinė apsauga neatitinka šių dienų reikalavimų: neinvestuojama į duomenų saugumą, pasirenkami pigesni, bet ne kokybiškesni sprendimai, atsisakoma kibernetinių išpuolių prevencijos paslaugų ir nusprendžiama gintis individualiai.
Valstybės institucijos bando gerinti kibernetinio saugumo užtikrinimo situaciją Lietuvoje: šių metų pradžioje priimtas Nacionalinis kibernetinių incidentų valdymo planas, numatantis konkrečias kibernetinių incidentų užkardymo priemones ir pagalbos teikimo būdus, taip pat rengiamas Tipinis kibernetinių incidentų valdymo ypatingos svarbos infrastruktūrose planas ir kiti teisės aktai. Be to, nuo 2008 metų galioja Valstybinės duomenų apsaugos inspekcijos patvirtinti Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, kuriais privalo vadovautis asmens duomenų valdytojai ir tvarkytojai, informacinėse sistemose kaupiantys ir saugantys asmens duomenis. Tačiau, kaip pažymi Mykolo Romerio universiteto profesorius ir kibernetinio saugumo ekspertas Darius Štitilis, kibernetinio saugumo reguliavimas neveiks, jeigu organizacijose nedirbs aukštas kibernetinio saugumo kompetencijas (ne tik IT žinias) turintys vadybininkai.
Norėtųsi tikėti, kad Lietuvoje per kelerius metus apsauga nuo kibernetinių incidentų padidės, nors, greičiausiai, pačių incidentų skaičius nemažės, be to, jų pobūdis gali tapti labai sudėtingu.
Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis.
Prie šios straipsnių serijos galite prisidėti ir jūs, atsiųsdami savo pageidavimus ar klausimus dėl naujų jus dominančių temų el. paštu skaitmeninesteises@gmail.com.