TV programa
 

Horoskopai
 
SEKITE MUS Registruotiems varototojams
Paieška
LIETUVAKOMENTARAIPASAULISKULTŪRAISTORIJALŽ REKOMENDUOJAEKONOMIKASPORTAS
Šeima ir sveikataPrie kavosŽmonėsGimtasis kraštasMokslas ir švietimasTrasaKelionėsKonkursaiNamų pasaulisGamtaAugintiniai
LIETUVA

Kibernetinė sauga lieka skylėta

2016 08 10 6:00
Rimtautas Černiauskas. Romo Jurgaičio (LŽ) nuotrauka

Nedraugiškos Lietuvai valstybės patyliukais šnipinėja kibernetinę erdvę, kruopščiai ir nuosekliai renka duomenis ir metų metus rengiasi galimiems atakos scenarijams. Štai ir pastaruoju metu keliose valstybės įmonėse rasta užsienio valstybių šnipinėjimo įranga. Tačiau iki šiol neturime kritinės infrastruktūros sąrašo, o valstybės institucijų dėmesys kibernetinei saugai – vidutinis.

Saugumo tarnybos kelerius pastaruosius metus savo viešose ataskaitose kibernetines atakas prieš valstybės institucijas įvardija kaip vieną pagrindinių grėsmių šalies nacionaliniam saugumui. Tačiau apie tokias grėsmes ir apie tai, kaip nuo jų apsisaugoti, pradedama diskutuoti tik tuomet, kai atakuojami Seimo, prezidentūros, Užsienio reikalų, Krašto apsaugos ministerijų ar kitų institucijų tinklalapiai. Pusantrų metų veikiančio Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rimtautas Černiauskas, duodamas interviu „Lietuvos žinioms“, pripažino, kad saugumo srityje dar daug ko nesame padarę, ir užsiminė apie atliktus valstybės įstaigų auditus, NKSC aptiktą šnipinėjimo įrangą. Tačiau aiškėja, kad daugelis institucijų dar tik rengiasi atremti kibernetines grėsmes.

Rinksis speciali taryba

– Valstybės saugumo departamento (VSD) ataskaitoje skelbiama, kad vienas pagrindinių kibernetinio šnipinėjimo ir atakas vykdančių subjektų tikslų – nepastebimai patekti į sistemas, tinklus ir rinkti informaciją. Ne žala ar kompromitavimas yra tokių atakų tikslas. Šiemet pavasarį, pavyzdžiui, išgirdome apie atakas prieš šalies parlamento tinklalapį. O kuo visa tai baigėsi?

– Skirtingos institucijos atlieka skirtingus tyrimus. Ar rasti užsakovai ir vykdytojai, reikia klausti kriminalinės policijos atstovų. Kiek žinau, tyrimai pradėti, galbūt jie baigiami atlikti. NKSC savo darbą baigė, atakos yra pasibaigusios. Pagalbą suteikėme, identifikavome trūkumus ir tas sritis, kur ir ką tobulinti. Visa ta medžiaga, rekomendacijos pateiktos institucijoms. Tam tikrus dalykus, ko gero, spręsime Kibernetinio saugumo taryboje.

– VSD kalba apie tai, kad didžiausią grėsmę kelia su nedraugiškomis Lietuvai valstybėmis susiję kibernetiniai įsibrovėliai. Pažymima, kad surinkta informacija naudojama ir planuojant karines operacijas.

– Tai valstybės, kurios nelabai siekia viešumo, kol joms to nereikia. Jos kruopščiai ir nuosekliai metų metais rengiasi tam tikriems scenarijams. Kol tai valstybei arba tai specialiajai tarnybai nėra tikslo ką nors padaryti, jos užsiima žvalgybos veikla, t. y. renka informaciją, duomenis, kaupia prisijungimo slaptažodžius. Tačiau kol nepateikta užduotis, įsibrovėliai nenori parodyti, ką jie gali.

Pavyzdžiui, tam tikros su nacionaliniais interesais susijusios operacijos gali būti atliekamos diplomatinėje arba ekonominėje erdvėje. Ir nebūtinai tai turi būti karinė operacija. Tiesiog kibernetinė erdvė yra viena iš priemonių siekti tikslų. Ir kai kas tą informacinį karą neblogai moka kariauti. Gali ką nors paviešinti, tada imama svarstyti: galbūt ta informacija tikra, o gal ir ne. Tačiau faktas, kad jie ją paviešina. Imama galvoti, kaip tą informaciją paneigti, ir ji išplatinama. Taip daroma žala.

Saugomasi labai vidutiniškai

– Kaip jūs, naudodamiesi duomenimis ar fiksuotais atvejais, apie kuriuos esate informuoti, apibendrintumėte dabartinę situaciją?

– Galime pažymėti, kad, pavyzdžiui, pasitvirtino Antrojo operatyvinių tarnybų departamento prie Krašto apsaugos ministerijos (KAM) ataskaitoje skelbta informacija apie konkrečią šnipinėjimo programinę įrangą. Iš tiesų tokios įrangos, nors ir nedaug, bet randame. Turiu galvoje veikiančią užsienio valstybėms priklausančią, tarkime, šnipinėjimui skirtą, programinę įrangą.

– Valstybės įmonėse?

– Taip, keliose. Tai rodo, kad šių tarnybų skelbiama informacija turi tam tikrą realų pagrindą, tai iš tiesų vyksta.

– Valstybės kontrolė, pernai atlikusi auditą, konstatavo, kad Lietuvos valstybės įstaigos taiko apie ketvirtadalį kibernetinei saugai užtikrinti rekomenduojamų organizacinių priemonių. Kitaip tariant, saugosi labai vidutiniškai. Ar yra pagrindo nerimauti?

– Galime norėti pasiekti absoliutų saugumą. Realiame gyvenime mūsų turimos lėšos, mūsų gebėjimai, žmogiškieji resursai leis pasiekti didesnę dalį tikslų, bet vargu ar įmanoma įgyvendinti 100 proc. absoliutų saugumą. Todėl pasirengimas ir įvertintas kaip vidutinis. Kai kurios institucijos galbūt įsigijo įrangos, bet norėtų turėti daugiau žmonių. Kiti akcentuoja, kad ir žmonių, ir įrangos yra pakankamai, bet trūksta kvalifikacijos. Viskas iš tiesų yra subjektyvu.

Lietuva padarė dar ne viską, ir mums dar yra kur tobulėti. NKSC turime, atitinkamą įstatymą turime, bet kritinės infrastruktūros sąrašo dar reikės palaukti iki metų pabaigos. Vyriausybė turėtų patvirtinti sąrašą tam tikrų įmonių, kurios valdo ir teikia visai Lietuvai svarbias paslaugas. Tos paslaugos teikiamos kibernetinėje erdvėje arba nuo jos priklausomos.

Prižiūri keturios institucijos

– Už centralizuotos apsaugos nuo kibernetinių atakų kontrolę atsakingi ne tik KAM bei jūsų vadovaujamas centras, bet ir Ryšių reguliavimo tarnyba (RRT), taip pat Valstybinė duomenų apsaugos inspekcija (VDAI) ir Policijos departamentas. Atrodo, kad už tai atsakingų institucijų yra nemažai.

– Matau didelį skirtumą tarp mūsų centro ir kriminalinės policijos. Ji yra operatyvinė tarnyba, jos pareigūnai, turėdami prokuroro sankciją, turi teisę patekti į patalpas, paimti įkalčius. VDAI įgyvendina Europos Sąjungos (ES) nutarimus ir rūpinasi, kad nenutekėtų asmens duomenys. Faktiškai turime tik vieną mums giminingą struktūrą – RRT. Ši tarnyba irgi įgyvendina ES direktyvą dėl interneto paslaugų teikimo. Interneto paslaugų teikėjai privalo teikti informaciją apie incidentus ir tą informaciją jie teikia RRT. Šios tarnybos veiklos sritis yra susijusi su interneto paslaugų patikimumu, taip pat kibernetiniu saugumu. Tačiau neakcentuojama, kad RRT saugo valstybei svarbių įstaigų ir įmonių infrastruktūrą. Pavyzdžiui, vandens tiekimo įmonė ar komunalininkai neturi nieko bendra su RRT. Ir ši spraga egzistavo iki 2015 metų. Dabar turime dvi institucijas – RRT ir NKSC, kurios užsiima panašia veikla, tačiau jų veiklos sritys yra skirtingos.

– Šių metų pavasarį „Lietuvos žinios“ kaip tik rašė apie tai, kad savivaldybių komunalininkus puola programišiai. Radviliškio ir Kupiškio vandens tiekimo bendrovių kompiuterius atakavo išpirkos prašantys virusai (angl. ransomware). Įmonių vadovai pasakojo, kad nežinojo, ką daryti – vienas jų kreipėsi į policiją, kitas standžiuosius diskus pasakojo vežęs į Vidaus reikalų ministeriją. Paaiškėjo, kad nė nežinoma, kaip reikėjo į tai reaguoti.

– Visada egzistuoja netikėtumo faktorius. Gyvenime galima daug ką pabandyti, pagalvoti, galima bandyti numatyti tam tikras situacijas ir kaip turėtų būti reaguojama, tačiau gyvenimas yra gyvenimas, bet kada gali nutikti kas nors, apie ką nebūtų pagalvota. Tačiau svarbiausia žinoti, kas yra tavo draugai, kas yra tavo pirmosios pagalbos šaltiniai.

Pateiktas pavyzdys, kai buvo „užrakinti failai“, yra ekstremalus atvejis, nes incindentas jau įvyko. Jeigu įsilaužėliai sukūrė kokybišką produktą, padaryti staigiai, greitai ir efektyviai nelabai ką galima. Tačiau turime kalbėti apie tam tikras priemones, kad tokie dalykai neįvyktų. Vyriausybė yra priėmusi specialų dokumentą, kuriame nurodomi minimalūs organizaciniai ir techniniai kibernetinio saugumo reikalavimai. Tai dokumentas, kuris iš principo paaiškina, ką gi reikėtų daryti. Greičiausiai didžioji dalis tų priemonių ir įdiegta institucijose.

Bent jau mums, dirbantiems krašto apsaugos sistemoje, labai keista, kai svarbi ir tiesiogiai su paslaugų teikimu susijusi sistema gali būti užkrėsta štai tokiu išpirkos prašančiu virusu. Tai reiškia, kad rizika nebuvo įvertinta, galbūt nebuvo kontrolės.

Kitąmet jau gali bausti

– Kol kas kalbate apie prevenciją, o ne apie priežiūrą, kontrolę. Štai, pavyzdžiui, institucija nė nepasirūpino padaryti tai, kas būtina, prarado duomenis. Kas patikrins, ar jos sauga atitinka reikalavimus?

– Pernai dviejose institucijose atlikome išsamius auditus. Jie buvo padaryti bendru susitarimu, institucijos pačios to norėjo.Tačiau griežtų, kontroliuojančių veiksmų mūsų institucija kol kas nesiėmė.

– Tačiau NKSC turi tokių galių.

– Taip, įstatymu įteisinta mūsų teisė atlikti auditus. Radę trūkumų, galime skirti administracinę nuobaudą, galime pareikalauti, kad atjungtų sistemas nuo interneto. Vyriausybė šiuo metu yra priėmusi atitinkamus nutarimus, kas įstaigose turi būti padaryta. Priemonių planus institucijos turi parengti per šį mėnesį., o juos įgyvendinti – iki kitų metų balandžio. Taigi nuo kitų metų balandžio galėsime ne klausti, kada bus įgyvendinti saugumo užtikrinimo planai, o teirautis, kodėl to nepadaryta.

Būtų neadekvatu, pavyzdžiui, panaikinti interneto prieigą, jei vienur ar kitur aptikti nedideli trūkumai. Apskritai tariant, teisių turime, bet pirmiausia būtini pereinamieji procesai. Viena ar kita institucija turi akivaizdžiai pademonstruoti, kad ji yra nepajėgi arba nenori įgyvendinti tam tikrų reikalavimų.

– Kibernetinio saugumo aspektus kontroliuojančių institucijų yra kelios. Bet pagal galiojančius teisės aktus strateginių institucijų ir valdžios struktūrų, oro uostų, kariuomenės saugumą nuo kibernetinių atakų privalo užsitikrinti jos pačios?

– Taip, tai logiška. Būtų labai keista, jei institucija, bandydama kokią nors svarbią sistemą, laikytųsi požiūrio, kad ji už sistemos veikimą, saugą neatsakinga. Tarkime, ėjau gatve, mane apiplėšė, esu nekaltas, nes policija manęs neišgelbėjo. Jei pats nesisaugau, turbūt nemenka tikimybė, kad ta nelaimė ir įvyks. Institucijos turi savo specialistų, joms skiriamas finansavimas, jos turi įgyvendinti tam tikrus nutarimus, sprendimus ar teikti konkrečias paslaugas.

Kelios dešimtys profesionalų

– Jūsų tarnyboje dirbančių asmenų skaičius neskelbiamas, finansavimas taip pat nežinomas. Iš NKSC pateiktų darbo skelbimų aiškėja, kad ieškote IT specialistų, tačiau iš jų nereikalaujate nurodyti darbo patirtį. Žinant, kokia ypatinga IT sektoriaus darbuotojų padėtis, ar lengvai randate specialistų?

– Patiriame tam tikrus ribojimus, susijusius su darbo apmokėjimu, tačiau turime galimybę sudominti žmones darbo specifika. Darome tai, ko daugiau niekas Lietuvoje nedaro. Taigi galime pasiūlyti įgyti labai unikalios patirties, unikalių žinių, lankyti mokymus.

Suskaičiuoti Lietuvos kibernetinio saugumo specialistus, kaip juokaujame, užtektų kojų ir rankų pirštų, jei kalbėtume apie tikruosius profesionalus. Tad faktas, kad mums tenka orientuotis į vidutinius specialistus, išmanančius informacines sistemas, bet galbūt neturinčius daug žinių apie kibernetinį saugumą. Tačiau tai – visiškai normalu, nes tokių specialistų, kurie būtų ir patyrę, mūsų valstybėje neturime. Galime iš dalies tuos specialistus mokyti, siųsti į kursus Lietuvoje ar užsienyje, galime naudotis mūsų sąjungininkų NATO mokymo centrais.

– Ne kartą esate kartojęs, kad nėra tinklų, į kuriuos neįmanoma įsilaužti. Nuo to neapsisaugo net JAV, jas vis atakuoja programišiai, iš ten nuteka duomenų srautai.

– Visų pirma, kalbame apie tinklus, prijungtus prie interneto. Apsaugoti tokius tinklus yra didžiulis galvos skausmas. Tačiau reikėtų matyti skirtumą tarp duomenų nutekėjimo iš tokių tinklų ir pačio įsilaužimo fakto. Jei įsilaužimas nepašalinamas per kelias pirmąsias valandas, kartais kelias pirmąsias dienas, tada jie iš tiesų turi galimybę tame tinkle ką nors valdyti. Tačiau paprastai per kelias valandas, kelias dienas pavyksta viską sutvarkyti. Jeigu įsilaužėlis greitai aptinkamas, žala dar minimali, daugiau nerimaujama, kad tokie dalykai išvis įmanomi. Jei būtina rimtesnė apsauga, tokie tinklai apskritai nejungiami prie interneto. Tačiau ir į juos įmanoma įsilaužti.

DALINKIS:
0
0
SPAUSDINTI
LIETUVA
Rubrikos: Informacija:
AugintiniaiEkonomikaFutbolasGamtaĮkainiai
Gimtasis kraštasIstorijaJurgos virtuvėKelionėsInfoblokai
KomentaraiKonkursaiKovos menaiKrepšinisReklaminiai priedai
KultūraLengvoji atletikaLietuvaLŽ rekomenduojaPrenumerata
Mokslas ir švietimasNamų pasaulisPasaulisPrie kavosKontaktai
SportasŠeima ir sveikataTrasaŽmonėsKarjera
Visos teisės saugomos © 2013-2016 UAB "Lietuvos žinios"