IT saugumui pinigų trūksta, bet 55 mln. eurų buvo per daug
Dau­gė­jant ki­ber­ne­ti­nių in­ci­den­tų bū­ti­na stip­rin­ti itin svar­bių vals­ty­bės in­for­ma­ci­nių iš­tek­lių sau­gu­mą. Ta­čiau, kaip nu­sta­tė Vals­ty­bės kon­tro­lė (VK), net ins­ti­tu­ci­jų spren­di­mai, ką pri­skir­ti to­kiems iš­tek­liams, yra vi­siš­ka sa­vi­veik­la.

Nacionalinio kibernetinio saugumo centro duomenimis, pernai Lietuvoje užfiksuota 54,4 tūkst. kibernetinių incidentų – dešimtadaliu daugiau nei užpernai. Jie dažniausiai buvo nukreipti prieš viešąjį ir energetikos sektorius, oro uostus, žiniasklaidą, nacionaliniam saugumui svarbių objektų infrastruktūrą. Dauguma incidentų sietini su Rusija.

Pagal pasaulio kibernetinio saugumo indeksą Lietuva tarp Europos Sąjungos (ES) šalių yra vos 23-ia. Padėtį mėginama keisti. Krašto apsaugos ministerija pirmąkart parengė kibernetinio saugumo strategiją, Seimas prieš kelias dienas priėmė naujos redakcijos Kibernetinio saugumo įstatymą. Už nepakankamą rūpinimąsi kibernetiniu saugumu įstaigų vadovams ir savininkams grės baudos iki 5,8 tūkst. eurų.

Živilė Uždavinytė-Kerbelė: „Gerinant IT valdymo kokybę esminio proveržio neįvyko. Esant dabartiniam grėsmių lygiui reikia didinti atsparumą kibernetinėms atakoms.“

Tačiau vakar paskelbtose VK ypatingos svarbos valstybės informacinių išteklių valdymo audito išvadose pažymima, kad didėjanti kibernetinė grėsmė reikalauja spartesnių pokyčių. Naudojant šiuos išteklius įgyvendinamos svarbios funkcijos – valstybės finansų valdymas, mokesčių administravimas, sveikatos apsauga, tad jų praradimas ir nepasiekiamumas gali turėti skaudžių pasekmių visuomenės saugai, gerovei ir ekonomikai.

Priskiria dėl finansavimo

Itin svarbių valstybės informacinių sistemų saugumo užtikrinimas ir tvarkymas patikėtas dvylikai viešojo sektoriaus organizacijų – Registrų centrui, Valstybinei mokesčių inspekcijai ir kitoms. Šioms sistemoms kurti, modernizuoti ir palaikyti 2014–2017 metais išleista 74,4 mln. eurų, kasmet – vidutiniškai 18,6 mln. eurų. Išlaikymo išlaidos didėja.

Tačiau sistemų valdymo kokybė nedžiugina. „IT valdymo brandos vertinimus atliekame nuo 2006 metų, bet esminio proveržio nėra. Vidutinis brandos lygis – 1,7, nors turėtų būti bent trečio ar ketvirto lygio iš penkių galimų“, – pabrėžė VK Valdymo audito departamento direktoriaus pavaduotoja Živilė Uždavinytė-Kerbelė. Tik 1 iš 12 tokių sistemų valdytojų pasiekė trečią lygį, o vienas įvertintas nuliu. Tokia prasta valdymo kokybė sudaro sąlygas didesniam išteklių pažeidžiamumui atsirasti.

Kurios informacinės sistemos priskirtinos prie itin svarbių, dauguma – 9 iš 12 – valdytojų sprendžia remdamiesi ne objektyviu vertinimu ir galimos žalos skaičiavimais, o tik savo darbuotojų nuomone. Kaip pripažįsta patys valdytojai, kai kurios informacinės sistemos prie labai svarbių priskirtos be pagrindo, tik tam, kad būtų gautas didesnis finansavimas joms tvarkyti. Taigi yra landa išlaidauti nebūtinoms saugumo priemonėms ir neužkardyti pavojų, kai tai būtina.

Auditorių nuomone, daugiau objektyvumo suteiktų vadinamoji nacionalinė informacinė architektūra, kuri vizualizuotų visus valstybės informacinius išteklius ir jų sąsajas. Tai padėtų priimti strateginius tokių išteklių plėtros ir saugumo sprendimus. Pavyzdžiui, JAV ir Estija turi valstybės vyriausiąjį IT architektą, kuris atsako už minėtos architektūros tvarkymą. Šiuo metu Lietuvoje kuriamas informacinių išteklių vadovo biuras. Jis turėtų koordinuoti IT valdymo klausimus.

Pasenusi įranga – spraga

VK vertinimu, IT planavimas nėra darnus, todėl sudėtinga nustatyti svarbiausius prioritetus ir nukreipti išteklius didžiausioms grėsmėms valdyti. Kuriant, modernizuojant, modifikuojant informacines sistemas nepakankamai testuojamas saugumas.

Pernai nustatyta beveik 21 tūkst. programinės įrangos pažeidžiamumo atvejų – 31 proc. daugiau negu 2016 metais, dėl jų kibernetinės atakos gali greitai plisti tinkle. Neveiksmingas IT saugumo rizikos vertinimas. Pernai lapkritį Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos serverių ištekliai buvo išnaudoti, todėl ji ilgiau kaip 8 valandas neveikė.

Kasmet nustatoma vis daugiau operacinės sistemos ir programinės įrangos spragų, tačiau jų tvarkytojai dažnai nediegia reikiamų atnaujinimų. 8 iš 12 audituotų įstaigų vis dar eksploatuoja „Windows XP“ gamintojo nebepalaikomą programinę įrangą. Tai ir buvo pagrindinė priežastis, kodėl pernai gegužę kenksminga, išpirkos reikalaujančia „WannaCry“ programa buvo užkrėsta 200 tūkst. kompiuterių 150 pasaulio šalių ir sutrikdytos svarbios valstybių informacinės sistemos.

Kibernetiniai nusikaltėliai, įsilauždami į organizacijų infrastruktūrą, vis dažniau naudojasi jų darbuotojais, t. y. rengia socialinės inžinerijos atakas. Tyrimai rodo, kad 63 proc. IT saugumo incidentų įvyksta dėl žmonių klaidos. Tačiau, kaip nustatė valstybės auditoriai, dauguma itin svarbių informacinių sistemų tvarkytojų neskiria deramo dėmesio savo darbuotojams mokyti.

Proveržio neįvyko

„Atlikę organizacijų, valdančių svarbius informacinius išteklius, auditą, atskleidėme sistemines problemas. Nėra objektyvaus mechanizmo, leidžiančio nustatyti, kas priskirtina prie ypatingos svarbos informacinių išteklių. Gerinant IT valdymo kokybę esminio proveržio neįvyko. Esant dabartiniam grėsmių lygiui reikia didinti atsparumą kibernetinėms atakoms“, – apibendrino Ž. Uždavinytė-Kerbelė.

Šiuo metu valstybės IT politikos funkcijos perskirstomos tarp ministerijų. Tačiau užtrukusios diskusijos stabdo ES investicijų naudojimą IT srityje. Šių metų balandį nuspręsta 55 mln. eurų, numatytų IT, skirti kitoms sritims. Vadinasi, trūksta ne pinigų, o suvokimo, ką reikia daryti, ir politinės valios.