Programišiai šantažuoja įmonę išsipirkti pavogtus duomenis, o kartu terorizuoja ir niekuo dėtus pacientus. Įmonės potencialiai laukia gausybė teisinių ieškinių, milžiniški finansiniai nuostoliai ir, panašu, nebepataisomai sugriauta reputacija. Programišiams pradėjus viešinti privataus pobūdžio nuotraukas, klinikos pacientai taip pat atsidūrė nepavydėtinoje padėtyje.

Visa ši netvarka užvirė dėl vieno banalaus niuanso – nemažus pinigus iš savo paslaugų uždirbanti klinika pabandė sutaupyti kelis tūkstančius eurų ir nepakankamai investavo į IT infrastruktūros bei klientų duomenų saugumą.

Finansinis pelnas šiandien yra svarbiausias kibernetinių nusikaltimų motyvas. Tai gerai iliustruoja ir naujausia masinė „WannaCry“ viruso ataka. Pastarųjų metų kibernetinių nusikaltimų statistika byloja, jog nuo kibernetinių nusikaltėlių labiausiai nukenčia ne privatūs asmenys, o kur kas pelningesni taikiniai – įmonės. Bendrovės veiklai paralyžiuoti užtenka ir gana primityvios kibernetinės atakos užblokuojant prieigą prie įmonės duomenų. Tokiu atveju verslininkai yra priversti mokėti išpirkas, kartais siekiančias milijonus eurų.

Tai turi būti aiškus signalas verslui, kad duomenų apsauga yra ypatingos svarbos sritis, į kurią privalu investuoti taip, kaip investuojama į seifus, signalizacijas ar šarvuotas duris.

Asmens duomenų apsaugos srityje – nedovanotinas aplaidumas

Tiek privačiame, tiek valstybiniame sektoriuje Lietuvoje kasmet registruojama apie 15 tūkstančių įvairaus masto kibernetinių įsilaužimų ir duomenų vagysčių. Kaip teigiama Krašto apsaugos ministerijos parengtoje Lietuvos kibernetinio saugumo būklės ataskaitoje, kibernetinių nusikaltimų mastas, sudėtingumas bei pavojingumas auga nerimą keliančiu greičiu. Dar daugiau – Lietuvos kompiuterių tinklus stebintys ekspertai fiksuoja suintensyvėjusią tinklų išorinio perimetro kibernetinę žvalgybą ir augančias grėsmes, susijusias su vartotojų apsilankymais žalingą kodą platinančiose interneto svetainėse. Visa tai – elementariausios kibernetinės higienos, saugos standartų bei LR teisės aktų nesilaikymo pasekmė.

Dauguma valstybinių ir privačių įstaigų ignoruoja Lietuvos teisės aktus, įpareigojančius imtis kibernetinio bei asmens duomenų saugumą užtikrinančių priemonių. Todėl nereikia stebėtis, kad beveik į penktadalį (18 proc.) Lietuvos interneto svetainių (tarp jų ir valstybinių institucijų bei verslo) galima įsilaužti net neturint gilių techninių žinių ar ypatingų programavimo įgūdžių. Visa tokiam įsilaužimui būtina informacija yra laisvai prieinama internete. Paprastai tariant, asmuo, truputį daugiau besidomintis informacinės technologijomis, gali ,,nulaužti“ penktadalį interneto svetainių Lietuvoje. Dar į 33 proc. svetainių galima nesunkiai įsilaužti turint jau gilesnes žinias bei surenkant reikiamą informaciją uždarose programišių bendruomenėse.

Valstybės institucijos, atsakingos už asmens duomenų apsaugą, neturi reikalingų kompetencijų, gebėjimų nei tinkamai vykdyti prevenciją, nei tinkamai reaguoti į jau nutikusius duomenų praradimus. Valstybinė duomenų apsaugos inspekcija (VDAI) negeba atlikti jai patikėto darbo. Netgi ypatingai jautrių duomenų apsauga, pavyzdžiui, žmonių sveikatos informacijos apsauga, kaip „Grožio chirurgijos“ centro atveju, – VDAI šiandien yra nepasiekiamas tikslas.

VDAI stebi tik vienos iš dešimties Lietuvoje veikiančių medicinos įstaigų pastangas užtikrinti asmens duomenų apsaugą. Kokia duomenų apsaugos būklė likusiose 90 procentų sveikatos priežiūros įstaigų, šiandien pasakyti negali niekas. Kaip rodo „Grožio chirurgijos“ atvejis, egzistuoja reali tikimybė, kad ši informacija gali būti pasisavinta ir panaudota prieš privačius asmenis ir jais besirūpinančias sveikatos įstaigas.

Minėtoje VDAI šiuo metu dirba 27 žmonės, dėl sąlyginai mažų atlyginimų inspekcijoje beveik nėra tinkamai paruoštų specialistų. Akivaizdu, kad padėtį gali išgelbėti tik didesnis finansavimas ir valstybiniu lygmeniu rimtai pradėta traktuoti kibernetinio saugumo bei asmens duomenų apsaugos tema.

Estijos kibernetinio fronto pamokos Lietuvai

Turint galvoje kibernetinio saugumo situaciją Lietuvoje, verta išskirti ir potencialią kibernetinę grėsmę valstybės nacionaliniam saugumui. 2007 m., iš Talino centro nusprendus iškelti sovietinio kario skulptūrą, prieš Estijos kompiuterių tinklus buvo įvykdytas didžiulio masto kibernetinis puolimas. Kaip paaiškėjo vėliau, šio puolimo scenarijus buvo suderintas su aukščiausias Kremliaus pareigūnais.

Per kelias savaites programišių taikiniais tapo bankai, žiniasklaidos priemonės, policija, valdžios institucijos ir nevyriausybinės organizacijos, pasklido klaidinanti informacija apie tuo metu dar Estijoje cirkuliavusios kronos devalvavimą.

Nors daugeliui jau įgriso geruoju pavyzdžiu nuolat minėti Estiją, vargu, ar buvo įmanoma geriau sureaguoti į kibernetinį puolimą nei tai padarė mūsų šiauriniai kaimynai. Atsilaikęs nuo kibernetinės atakos, Talinas įsteigė kibernetinės gynybos pajėgas, savanorišką organizaciją, karo atveju skirtą ginti Estijos kibernetinę erdvę. Taip pat Estijoje veikia ir kiberšauktinių dalinys, reguliariai dalyvaujantis NATO šalių kibernetinės gynybos pratybose. Suprantant, jog Estijos ir Lietuvos geopolitinė padėtis yra itin panaši, verta svarstyti apie panašaus ,,kibernetinio dalinio“ įkūrimą ir Lietuvoje.

Šiandien JAV, Nyderlandų ar Prancūzijos rinkimų kontekste liudijame, jog kibernetinės atakos dažnėja valstybių demokratinių ciklų laiku ar jautrių politinių klausimų fone. Reikalingos kibernetinės infrastruktūros turėjimas yra valstybės saugumo klausimas. Juo labiau, kai Lietuvos nacionalinio kibernetinio saugumo būklės ataskaitoje akcentuojama, jog kibernetinių incidentų skaičius tik augs, o ypatingą pavojų kelia išpuoliai fizinėje plotmėje, kai bandoma paveikti valstybės energetikos ir transporto sektorius ar ekonominių subjektų kasdieninę veiklą.

Būtinos priemonės

Pagal šiandien Lietuvoje galiojantį įstatymą, programišiams pavogus konfidencialią informaciją apie įmonės klientus, tuo atveju, jei nėra galimybių įrodyti žmogaus orumui padarytos žalos, bendrovei gresianti bauda tesiekia vos 1000 eurų. Tokios nereikšmingos sankcijos, savaime suprantama, verslo neverčia daugiau investuoti į savo kaupiamų duomenų apsaugą.

Vis dėlto reikia tikėtis, jog dėl naujų Europos Sąjungos reikalavimų situacija iš esmės keisis. Nuo kitų metų, tinkamai neapsaugojusioms bei netinkamai ar neteisėtai tvarkančioms asmens duomenis įmonėms, grės milžiniškos baudos – iki 20 mln. eurų arba iki 4 proc. metinės įmonės apyvartos. Visiškai palaikau siūlymą lėšas, kurios bus surinktos iš šių baudų, skirti Valstybinei duomenų apsaugos inspekcijai – jos veiklos tobulinimui ir efektyvinimui.

Valstybiniu lygiu šiek tiek pasistūmėta įkūrus Nacionalinį kibernetinio saugumo centrą, teikiantį ekspertinę informaciją bei tiriantį kibernetinius incidentus, tačiau to dar negana. Nacionalinio kibernetinio saugumo centras dirba tik su kritine infrastruktūra, kuri neapima dideles dalies Lietuvos interneto, ten tik labai rimti valstybiniai objektai. Visa kita yra RRT CERT veiklos sritis.

Nuolatinis darbuotojų švietimas apie kibernetines grėsmes, jų prevenciją ir aptikimą yra viena iš pagrindinių priemonių neutralizuojant kibernetinį pavojų valstybės institucijose.

Ką dar galėtų nuveikti Lietuva? Viena iš galimų pokyčio krypčių – sekti pasiteisinusiu Estijos ar efektyviausia kibernetine gynyba garsėjančio Izraelio pavyzdžiais ir Lietuvos kariuomenėje įsteigti kibernetinių operacijų dalinį. Tik suvokę, kad savo saugumu pirmiausia turime pasirūpinti patys, iš tiesų tapsime saugesniais.