Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos (ITU), vienijančios 194 valstybes, sudarytame tarptautiniame kibernetinio saugumo indekse Lietuva pateko į stipriausiųjų dešimtuką ir užėmė šeštą vietą. Europos valstybių sąraše esame ketvirti. Tarptautinis kibernetinio saugumo indeksas – kompleksinis rodiklis, parodantis valstybės pastangas ir pažangą kibernetinio saugumo srityje.
Tokias tvirtas ir aukštas pozicijas pagal šį indeksą Lietuva išlaiko jau kelis metus. 2019 m. pagal tą patį indeksą Lietuva buvo 4-ta pasaulyje, praleisdama tik Jungtinę Karalystę, Jungtines Amerikos Valstijas ir Prancūziją. Šis faktas įspūdingesnis žinant, kad 2017 m. Lietuva buvo 57-oje vietoje. Kas gi lėmė tokį šuolį?
Pradėkime nuo pradžių. Istoriškai kibernetiniu saugumu Lietuvoje būdavo rūpinamasi menkai. Vien jau faktas, kad Lietuvoje už tuomet taip vadinamąją el. informacijos saugą buvo atsakingos net kelios institucijos reiškia, kad nesirūpino tinkamai nei viena. Tačiau situacija pasikeitė, kai po Kibernetinio saugumo įstatymo patvirtinimo pradėta kibernetinio saugumo konsolidacija. Kai lyderystės kibernetinio saugumo srity ėmėsi Lietuvos Respublikos Krašto apsaugos ministerija. 2016 metais, pertvarkius Ryšių ir informacinių sistemų tarnybą, oficialiai veiklą pradėjo Nacionalinis kibernetinio saugumo centras (NKSC) (prie kurio vėliau buvo prijungtas RRT CERT), KAM`e atsirado kibernetinio saugumo politikos klausimus koordinuojantis atskiras skyrius ir pan. Ir štai nuo 2019-ųjų Lietuva tarp pasaulio lyderių. Lietuva – tarp aukščiausiai tarptautinės kibernetinio saugumo bendruomenės vertinamų valstybių. Kuo aukštesnis reitingas, tuo labiau šalis pažengusi kibernetinio saugumo bei atsparumo kontekste ir pasiryžusi gynybai kibernetinio saugumo srityje. Tai rezultatas, atskleidžiantis valstybės saugumą el. erdvėje, kiek kibernetinio saugumo prasme yra patikimos esminės (kritinės) paslaugos, tokios kaip vandens ar elektros tiekimas, finansinės paslaugos ir pan.
Taip, reikia nulenkti galvą – Lietuvoje kibernetinio saugumo srity buvo daug padaryta. Priimtas bene pirmasis Europoje atskiras Kibernetinio saugumo įstatymas, patvirtinta Lietuvos nacionalinė kibernetinio saugumo taryba, įkurtas NKSC, patvirtinta nauja nacionalinė kibernetinio saugumo strategija, patvirtinti nauji kibernetinio saugumo reikalavimai, konsoliduota visa kibernetinio saugumo sritis, koncentruojant išteklius į Krašto apsaugos sistemą ir dar daug kitų ne mažiau reikšmingų iniciatyvų.
Bet ar viskas taip puiku? Pasižiūrėkime į ITU kibernetinio saugumo reitingo metodologiją, pagal kurią, reitingas nustatomas įvertinant keturias dedamąsias:
- Teisinę;
- Techninę;
- Organizacinę ir
- Pajėgumų plėtros.
Skamba puikiai, tačiau ar teorija atitinka praktiką? Pasinagrinėjus konkrečius klausimynus (skelbiamas viešai ir yra prieinamas čia), naudotus būtent šiam reitingui nustatyti, tampa aišku, kad pasaulinis kibernetinio saugumo reitingas vertina daugiau formalią pusę, t. y. kaip kibernetinio saugumo sritis reglamentuota, kaip nustatytos atsakomybės, ar vyksta mokymai ir pan. Tačiau kibernetinio saugumo reitingas nevertina realios padėties atskirose šalyse, pvz., kaip kritinės infrastruktūros valdytojai, kitos įmonės ar organizacijos realiai yra pasirengusios atremti kibernetines atakas bei atstatyti surikdytas paslaugas.
Prisiminkime, kad Lietuvoje gaji formalios atitikties problema, apie kurią prabilo ir pats NKSC savo metinėje ataskaitoje už 2020 metus. Vadinamoji formali atitiktis pasireiškia tuomet, kai pvz., kibernetinio saugumo reikalavimai organizacijoje yra dokumentuoti, tačiau praktikoje jų įgyvendinimas stringa. Šiuo atveju tą patvirtina ir konkretūs NKSC atlikti patikrinimai viešojo sektoriaus organizacijose. Problema opi ir dėl valstybės informacinių išteklių (VII) valdytojų atsainaus požiūrio į kibernetinio saugumo reikalavimų įgyvendinimą. Pavyzdžiui, vis dar nemaža dalis valstybės interneto svetainių nėra saugios, o kibernetinio saugumo rizikos vertinamos per daug neatsakingai. Daug problemų kelia ir nepakankama kibernetinio saugumo higiena.
Taigi, viena vertus, formaliai žiūrint, su kibernetiniu saugumu tvarkomės puikiai – Lietuvoje galioja sąlyginai gera kibernetinio saugumo teisinė bazė, paskirstytos atsakomybės, kibernetinio saugumo subjektai demonstruoja, kad turi patvirtintus kibernetinio saugumo dokumentus. Kita vertus, realus kibernetinis atsparumas labai gerai buvo „pademonstruotas“, kai 2020 m. vasarą lietui užpylus Registrų centro serverines, Lietuvoje sutriko daugelio pagrindinių registrų ir valstybės informacinių sistemų darbas. Notarai negalėjo patvirtinti dokumentų ir pan. Bene kritiškiausias – e. sveikatos sistemos sutrikimas, kai sunkiomis ligomis sergantys asmenys negalėjo gauti gyvybei svarbių vaistų, ligoniai negalėjo užsiregistruoti pas gydytojus ir kt.
Taigi, ar ITU pasaulinis kibernetinio saugumo reitingas parodo realią situaciją, ypač kiek tai susiję su realiu atsparumu kibernetinėms atakoms ir gebėjimais atstatyti sutrikusias paslaugas? Tikrai ne. Šių aspektų ITU reitingas nevertina. Turint omenyje, kad Lietuvoje net nėra įrankių/metodologijos, kaip įvertinti kibernetinio saugumo reikalavimų įgyvendinimą praktikoje, galima konstatuoti, kad nors ir puiku, kad Lietuva yra tarp ITU paskelbtų pasaulinių lyderių kibernetinio saugumo srityje, faktinio kibernetinio saugumo reikalavimų įgyvendinimo ir aukšto lygio atsparumo kibernetinėms atakoms bei atsparumo gamtos reiškiniams dar teks palaukti.
Tuo tarpu Mykolo Romerio universitetas savo ruožtu prisideda prie kibernetinio saugumo specialistų rengimo. Daug vilčių universitete dedame į būsimus Technologijų ir kibernetinio saugumo vadybos specialistus. Jų poreikis – milžiniškas. Nuo pat pradžios studentams stengiamės perduoti ne tik naujausias teorines žinias, bet mokome kaip realiai vertinti kibernetinio saugumo rizikas, valdyti kibernetinius incidentus ir užtikrinti kibernetinį atsparumą. Taip pat į paskaitas kviečiame ir aukščiausio lygio praktikus, pavyzdžiui nuo šių metų MRU kibernetinio saugumo magistrams pradėjo dėstyti dr. Rytis Rainys – dabartinis nacionalinio kibernetinio saugumo centro vadovas.
Taigi, kibernetinį saugumą realiai užtikrinsime tik tuomet, kai visos suinteresuotos pusės prie kibernetinio saugumo užtikrinimo, kultūros kėlimo ir atsparumo gerinimo prisidės ne tik žodžiais, bet ir konkrečiais darbais.