Apie tai, kokių veiksmų jau imasi valstybės institucijos ir kokių priemonių dar reikėtų imtis, ypač ruošiantis Lietuvos pirmininkavimui Europos Sąjungai, papasakojo Vidaus reikalų ministerijos E. valdžios politikos skyriaus vedėjas Rimvydas Jančiauskas.
- Kaip dešimtbalėje sistemoje įvertintumėte Lietuvos pasirengimą apsisaugoti nuo kibernetinių atakų - pavyzdžiui, nuo tokių, kaip DDoS pastaruoju metu arba „defeisinimo“, kaip teko matyti „Raudonųjų vėliavų dieną“, 2008 metais?
- Deja, kibernetinio saugumo srityje praktiškai neįmanoma įvertinti situacijos tokiais vienareikšmiškais ir konkrečiais įverčiais. Juo labiau, kai kalbama apie valstybę visumoje. Internetinio ryšio specifika yra tokia, kad Lietuvoje yra net 4-5 tarptautinio „interneto“ durys ir atakuojama gali būti pro vieną iš jų, o ypač didelės ir gerai koordinuotos atakos metu – visas. Beveik visos šios išorinės sąsajos yra privačių kompanijų žinioje ir valstybė tiesioginėmis technologinėmis priemonėmis jų nevaldo.
Viešasis sektorius, ypač Vidaus reikalų ministerijos valdomo saugaus duomenų perdavimo tinklo vartotojai, esant koordinuotai DDoS atakai turi galimybę greitai ir efektyviai reaguoti ir iki tam tikro atakos mąsto užtikrinti paslaugų internete prieinamumą neužsidarant nuo išorinių ryšio tinklų. Bendra gi Lietuvos pasirengimo tokioms atakoms branda priklauso ir nuo privačių ryšio paslaugų operatorių galimybių apsaugoti jų valdomus išorinius ryšių kanalus, kas, dėl jų teikiamų paslaugų specifikos yra gana sudėtinga technologiškai – naudojamos ryšio linijos yra itin didelio pralaidumo, ir tokio mąsto ryšio linijų apsauga reikalauja didelių investicijų. Atakos, kurios nepavyksta neutralizuoti specialiomis techninėmis priemonėmis yra atremiamos uždarant minėtas išorines prieigas ir izoliuojant Lietuvos kibernetinį perimetrą. Tą, koordinuojant Ryšių reguliavimo tarnybai, Lietuva yra pajėgi padaryti.
- Koks turėtų būti siektinas atsakomybių ir pareigų pasiskirstymas tarp įmonių bei institucijų norint efektyviai kovoti su nepageidaujamu kibernetinių nusikaltėlių iš užsienio dėmesiu?
- Šiuo metu atsakomybių paskirstymas tarp institucijų jau yra – Vidaus reikalų ministerija atsakinga už kibernetinio saugumo politikos formavimą, kibernetinės saugos plėtros programos įgyvendinimo koordinavimą, Ryšių reguliavimo tarnyba atsakinga už viešųjų ryšio paslaugų operatorių priežiūrą, incidentų šiuose tinkluose registravimą ir reagavimą į juos. Taip pat VRM per valstybinę įmonę „Infostruktūra“ valdo Saugų valstybinį duomenų perdavimo tinklą (SVDPT), kuriuo naudojasi apie 1200 viešojo sektoriaus institucijų ir organizacijų. Krašto apsaugos ministerija atsakinga už gynybą tiesioginių karinių atakų atveju, tame tarpe ir kibernetinių. Šių institucijų tarpusavio veiksmai koordinuojami Elektroninės informacijos saugos (kibernetinio saugumo) koordinavimo komisijos, sudarytos Lietuvos Respublikos Vyriausybės nutarimu.
Tačiau artėjant Lietuvos pirmininkavimui Europos Sąjungos Tarybai bei atsižvelgiant į paskutinių savaičių įvykius, tenka pripažinti, kad ši atsakomybių ir koordinavimo schema nėra pakankamai efektyvi esant kritinėms situacijoms, kada skubiems veiksmams ir sprendimams priimti reikia dinamiškesnės, atitinkamus įgaliojimus turinčios grupės ar institucijos. Todėl artimiausiu metu bus svarstomos galimybės steigti kibernetinės saugos centrą (pavadinimas sąlyginis), taip pat įteisinti viešojo ir privataus sektoriaus bendradarbiavimo formatą kibernetinio saugumo krizių atveju.
- O gal jau kas nors pajudėjo po pastarųjų DDoS atakų - ne kalbų, kaip reikėtų veikti, o realių veiksmų lygmenyje?
- Kalbant apie konkrečius dalykus, birželio 10 Lietuvos Respublikos vyriausybės pasitarime buvo pritarta Ryšių reguliavimo tarnybos CERT-LT darbo organizavimui 24 valandas per parą, 7 dienas per savaitę ir tam skirti papildomus 4 etatus. Artimiausiu metu Vyriausybėje bus svarstomi siūlymai dėl kibernetinio saugumo centro ar analogiškos įstaigos steigimo tikslingumo, kitų būtinų veiksmų siekiant užtikrinti Lietuvos kibernetinį saugumą pirmininkavimo laikotarpiu ir vėliau.
Kalbant iš esmės, ataka prieš DELFI portalą turėjo sveikintinų edukacinių pasekmių, nes privertė suklusti ir imtis veiksmų ne tik tas organizacijas, kurios privalo saugoti ir ginti Lietuvos kibernetinę erdvę, bet ir jų teikiamų saugos priemonių ir paslaugų vartotojus. Džiaugiausi, kad kai kurios viešojo sektoriaus institucijos pagaliau suprato, kad jos turi pradėti naudotis aukštesnio lygio saugumo priemonėmis. Šiuo metu kalbamės su Užsienio reikalų ministerija, Vilniaus miesto savivaldybe dėl jų tinklų ir duomenų apsaugos sustiprinimo, SVDPT galimybėmis ėmė domėtis ir kitos institucijos. Spėčiau, kad privačiame sektoriuje susidomėjimas duomenų ir tinklų saugos paslaugomis pastarosiomis savaitėmis taip pat išaugo.
- Kiek Lietuvai kainuotų efektyvi apsauga nuo programišių atakų - vienkartinėmis pradinėmis priemonėmis ir nuolatiniais kaštais? Ir kaip tie kaštai turėtų būti dalinami tarp valstybės bei verslų?
- Be itin išsamios ir detalios studijos apimančios tiek viešojo tiek privataus sektoriaus institucijas vienareikšmiškų skaičių pasakyti neįmanoma. Pradiniai kaštai apimtų visų be išimties valstybės duomenų tinklų ir informacinių sistemų pažeidžiamumų analizės atlikimą. Žinant kuriose vietose esama trūkumų, galimas planavimas jų pašalinimui reikalingų investicijų. Tačiau šiuos darbus reikia vykdyti nuolatos, pastoviai skiriant dėmesį ir finansavimą informacinių sistemų saugai.
Dažnai yra teigiama, kad bet kokios informacinės sistemos, kompiuterinio tinklo palaikymo kaštai sudaro apie 10 % per metus nuo jos įdiegimo sumos. Nuolatiniam saugumo užtikrinimui turėtų būti skiriama didžioji dalis šių išlaidų. Atsakant į klausimą dėl kaštų paskirstymo tarp valstybės ir verslų – valstybės informacines sistemas kuria, o vėliau ir palaiko dažniausiai tas pats verslas, iš jo perkamos paslaugos. Be jokios abejonės, už savo informacinių sistemų priežiūrą yra atsakinga valstybė. Taip pat ir atsakingas verslas, siekdamas teikti savo klientams patikimas ir saugias paslaugas yra atsakingas už savo sistemų priežiūrą, patikimumą, saugumą.
- Kaip vertinate Lietuvos specialistų (privačiame ir viešajame sektoriuje) kompetenciją kovai su kibernetiniais nusikaltėliais, lyginant su pačiais nusikaltėliais - ar reikia mūsiškius „kiberpolicininkus“ kaip nors papildomai lavinti, ar jie jau ir taip yra puikūs specialistai, tik be pakankamų priemonių, leidimų ir galimybių?
- Sunku lyginti viešojo ir privataus sektoriaus specialistus kartu, priešpastatant juos „piktavaliams“. Tiesiog paties viešojo ir privataus sektoriaus specialistų kompetencija ir kiekis yra drastiškai skirtingas. Viešasis sektorius neturi galimybės mokėti tokias algas, kurios pritrauktų itin aukštos kvalifikacijos IT technologijų specialistus. Kalbame apie 3-4 tūkstančių litų skirtumą. Privatus sektorius turi galimybę samdyti daugiau specialistų ir už didesnes algas, tačiau ar pasirenka tai daryti – kitas klausimas. Dažnas atvejis, kad iki pirmo rimto incidento ir privataus sektoriaus įstaigose nerasime šios srities ekspertų. Įmonės, dirbančios būtent tinklų saugumo, kibernetinio saugumo srityse, t. y. kuriose koncentruojasi didžiausias šių gebėjimų potencialas, skundžiasi specialistų trūkumu Lietuvoje iš esmės. Kolegos iš Ryšių reguliavimo tarnybos teisingai pastebėjo, kad nors kiekvienas Lietuvos universitetas turi po kelias informatikos bakalauro ir magistro programas, tik keli jų – kibernetinio saugumo magistrų programas ir nė vienas - tinklų saugumo specialistų rengimo programų.
Apibendrinant, Lietuvoje tikrai esama pajėgių šios srities ekspertų, ypač privataus sektoriaus turimų specialistų kompetencija greičiausiai niekuo nenusileidžia nusikaltėlių išmonei. Tačiau reikia atkreipti dėmesį prieš kokias pajėgas iš esmės yra kovojama. Didelės apimties DDoS atakos užsakymas kainuoja palyginus nedidelius pinigus, o ji vykdoma iš užkrėstų kompiuterių bet kurioje pasaulio vietoje. Šiuo atveju vien mastas, kad ir technologiškai nesudėtingos atakos, smarkiai apsunkina apsigynimą be specializuotų įrankių, kurie savo ruožtu taip pat kainuoja itin brangiai.
