Kibernetinė sauga lieka skylėta
Ne­drau­giš­kos Lie­tu­vai vals­ty­bės pa­ty­liu­kais šni­pi­nė­ja ki­ber­ne­ti­nę erd­vę, kruopš­čiai ir nuo­sek­liai ren­ka duo­me­nis ir me­tų me­tus ren­gia­si ga­li­miems at­akos sce­na­ri­jams. Štai ir pa­sta­ruo­ju me­tu ke­lio­se vals­ty­bės įmo­nė­se ras­ta už­sie­nio vals­ty­bių šni­pi­nė­ji­mo įran­ga. Ta­čiau iki šiol ne­tu­ri­me kri­ti­nės inf­ras­truk­tū­ros są­ra­šo, o vals­ty­bės ins­ti­tu­ci­jų dė­me­sys ki­ber­ne­ti­nei sau­gai – vi­du­ti­nis.

Sau­gu­mo tar­ny­bos ke­le­rius pa­sta­ruo­sius me­tus sa­vo vie­šo­se at­as­kai­to­se ki­ber­ne­ti­nes at­akas prieš vals­ty­bės ins­ti­tu­ci­jas įvar­di­ja kaip vie­ną pa­grin­di­nių grės­mių ša­lies na­cio­na­li­niam sau­gu­mui. Ta­čiau apie to­kias grės­mes ir apie tai, kaip nuo jų ap­si­sau­go­ti, pra­de­da­ma dis­ku­tuo­ti tik tuo­met, kai at­akuo­ja­mi Sei­mo, pre­zi­den­tū­ros, Už­sie­nio rei­ka­lų, Kraš­to ap­sau­gos mi­nis­te­ri­jų ar ki­tų ins­ti­tu­ci­jų tink­la­la­piai. Pu­san­trų me­tų vei­kian­čio Na­cio­na­li­nio ki­ber­ne­ti­nio sau­gu­mo cen­tro (NKSC) va­do­vas Rim­tau­tas Černiauskas, duo­da­mas in­ter­viu „Lie­tu­vos ži­nioms“, pri­pa­ži­no, kad sau­gu­mo sri­ty­je dar daug ko ne­sa­me pa­da­rę, ir už­si­mi­nė apie at­lik­tus vals­ty­bės įstai­gų au­di­tus, NKSC ap­tik­tą šni­pi­nė­ji­mo įran­gą. Ta­čiau aiš­kė­ja, kad dau­ge­lis ins­ti­tu­ci­jų dar tik ren­gia­si at­rem­ti ki­ber­ne­ti­nes grės­mes.

Rink­sis spe­cia­li taryba

– Vals­ty­bės sau­gu­mo de­par­ta­men­to (VSD) at­as­kai­to­je skel­bia­ma, kad vie­nas pa­grin­di­nių ki­ber­ne­ti­nio šni­pi­nė­ji­mo ir at­akas vyk­dan­čių su­bjek­tų tiks­lų – ne­pas­te­bi­mai pa­tek­ti į sis­te­mas, tink­lus ir rink­ti in­for­ma­ci­ją. Ne ža­la ar komp­ro­mi­ta­vi­mas yra to­kių at­akų tiks­las. Šie­met pa­va­sa­rį, pa­vyz­džiui, iš­gir­do­me apie at­akas prieš ša­lies par­la­men­to tink­la­la­pį. O kuo vi­sa tai bai­gė­si?

– Skir­tin­gos ins­ti­tu­ci­jos at­lie­ka skir­tin­gus ty­ri­mus. Ar ras­ti už­sa­ko­vai ir vyk­dy­to­jai, rei­kia klaus­ti kri­mi­na­li­nės po­li­ci­jos at­sto­vų. Kiek ži­nau, ty­ri­mai pra­dė­ti, gal­būt jie bai­gia­mi at­lik­ti. NKSC sa­vo dar­bą bai­gė, at­akos yra pa­si­bai­gu­sios. Pa­gal­bą su­tei­kė­me, iden­ti­fi­ka­vo­me trū­ku­mus ir tas sri­tis, kur ir ką to­bu­lin­ti. Vi­sa ta me­džia­ga, re­ko­men­da­ci­jos pa­teik­tos ins­ti­tu­ci­joms. Tam ti­krus da­ly­kus, ko ge­ro, sprę­si­me Ki­ber­ne­ti­nio sau­gu­mo ta­ry­bo­je.

– VSD kal­ba apie tai, kad di­džiau­sią grės­mę ke­lia su ne­drau­giš­ko­mis Lie­tu­vai vals­ty­bė­mis su­si­ję ki­ber­ne­ti­niai įsib­ro­vė­liai. Pa­žy­mi­ma, kad su­rink­ta in­for­ma­ci­ja nau­do­ja­ma ir pla­nuo­jant ka­ri­nes ope­ra­ci­jas.

– Tai vals­ty­bės, ku­rios ne­la­bai sie­kia vie­šu­mo, kol joms to ne­rei­kia. Jos kruopš­čiai ir nuo­sek­liai me­tų me­tais ren­gia­si tam ti­kriems sce­na­ri­jams. Kol tai vals­ty­bei ar­ba tai spe­cia­lia­jai tar­ny­bai nė­ra tiks­lo ką nors pa­da­ry­ti, jos už­sii­ma žval­gy­bos veik­la, t. y. ren­ka in­for­ma­ci­ją, duo­me­nis, kau­pia pri­si­jun­gi­mo slap­ta­žo­džius. Ta­čiau kol ne­pa­teik­ta už­duo­tis, įsib­ro­vė­liai ne­no­ri par­ody­ti, ką jie ga­li.

Pa­vyz­džiui, tam ti­kros su na­cio­na­li­niais in­te­re­sais su­si­ju­sios ope­ra­ci­jos ga­li bū­ti at­lie­ka­mos dip­lo­ma­ti­nė­je ar­ba eko­no­mi­nė­je erd­vė­je. Ir ne­bū­ti­nai tai tu­ri bū­ti ka­ri­nė ope­ra­ci­ja. Tie­siog ki­ber­ne­ti­nė erd­vė yra vie­na iš prie­mo­nių siek­ti tiks­lų. Ir kai kas tą in­for­ma­ci­nį ka­rą ne­blo­gai mo­ka ka­riau­ti. Ga­li ką nors pa­vie­šin­ti, ta­da im­ama svars­ty­ti: gal­būt ta in­for­ma­ci­ja ti­kra, o gal ir ne. Ta­čiau fak­tas, kad jie ją pa­vie­ši­na. Im­ama gal­vo­ti, kaip tą in­for­ma­ci­ją pa­neig­ti, ir ji iš­pla­ti­na­ma. Taip da­ro­ma ža­la.

Sau­go­ma­si la­bai vidutiniškai

– Kaip jūs, nau­do­da­mie­si duo­me­ni­mis ar fik­suo­tais at­ve­jais, apie ku­riuos esa­te in­for­muo­ti, api­bend­rin­tu­mė­te da­bar­ti­nę si­tua­ci­ją?

– Ga­li­me pa­žy­mė­ti, kad, pa­vyz­džiui, pa­sit­vir­ti­no An­tro­jo ope­ra­ty­vi­nių tar­ny­bų de­par­ta­men­to prie Kraš­to ap­sau­gos mi­nis­te­ri­jos (KAM) at­as­kai­to­je skelb­ta in­for­ma­ci­ja apie kon­kre­čią šni­pi­nė­ji­mo prog­ra­mi­nę įran­gą. Iš tie­sų to­kios įran­gos, nors ir ne­daug, bet ran­da­me. Tu­riu gal­vo­je vei­kian­čią už­sie­nio vals­ty­bėms pri­klau­san­čią, tar­ki­me, šni­pi­nė­ji­mui skir­tą, prog­ra­mi­nę įran­gą.

– Vals­ty­bės įmo­nė­se?

– Taip, ke­lio­se. Tai ro­do, kad šių tar­ny­bų skel­bia­ma in­for­ma­ci­ja tu­ri tam ti­krą rea­lų pa­grin­dą, tai iš tie­sų vyks­ta.

– Vals­ty­bės kon­tro­lė, per­nai at­li­ku­si au­di­tą, kons­ta­ta­vo, kad Lie­tu­vos vals­ty­bės įstai­gos tai­ko apie ket­vir­ta­da­lį ki­ber­ne­ti­nei sau­gai už­ti­krin­ti re­ko­men­duo­ja­mų or­ga­ni­za­ci­nių prie­mo­nių. Ki­taip ta­riant, sau­go­si la­bai vi­du­ti­niš­kai. Ar yra pa­grin­do ne­ri­mau­ti?

– Ga­li­me no­rė­ti pa­siek­ti ab­so­liu­tų sau­gu­mą. Rea­lia­me gy­ve­ni­me mū­sų tu­ri­mos lė­šos, mū­sų ge­bė­ji­mai, žmo­giš­kie­ji re­sur­sai leis pa­siek­ti di­des­nę da­lį tiks­lų, bet var­gu ar įma­no­ma įgy­ven­din­ti 100 proc. ab­so­liu­tų sau­gu­mą. To­dėl pa­si­ren­gi­mas ir įver­tin­tas kaip vi­du­ti­nis. Kai ku­rios ins­ti­tu­ci­jos gal­būt įsi­gi­jo įran­gos, bet no­rė­tų tu­rė­ti dau­giau žmo­nių. Ki­ti ak­cen­tuo­ja, kad ir žmo­nių, ir įran­gos yra pa­kan­ka­mai, bet trūks­ta kva­li­fi­ka­ci­jos. Vis­kas iš tie­sų yra su­bjek­ty­vu.

Lie­tu­va pa­da­rė dar ne vis­ką, ir mums dar yra kur to­bu­lė­ti. NKSC tu­ri­me, ati­tin­ka­mą įsta­ty­mą tu­ri­me, bet kri­ti­nės inf­ras­truk­tū­ros są­ra­šo dar rei­kės pa­lauk­ti iki me­tų pa­bai­gos. Vy­riau­sy­bė tu­rė­tų pa­tvir­tin­ti są­ra­šą tam ti­krų įmo­nių, ku­rios val­do ir tei­kia vi­sai Lie­tu­vai svar­bias pa­slau­gas. Tos pa­slau­gos tei­kia­mos ki­ber­ne­ti­nė­je erd­vė­je ar­ba nuo jos pri­klau­so­mos.

Pri­žiū­ri ke­tu­rios institucijos

– Už cen­tra­li­zuo­tos ap­sau­gos nuo ki­ber­ne­ti­nių at­akų kon­tro­lę at­sa­kin­gi ne tik KAM bei jū­sų va­do­vau­ja­mas cen­tras, bet ir Ry­šių re­gu­lia­vi­mo tar­ny­ba (RRT), taip pat Vals­ty­bi­nė duo­me­nų ap­sau­gos ins­pek­ci­ja (VDAI) ir Po­li­ci­jos de­par­ta­men­tas. At­ro­do, kad už tai at­sa­kin­gų ins­ti­tu­ci­jų yra ne­ma­žai.

– Ma­tau di­de­lį skir­tu­mą tarp mū­sų cen­tro ir kri­mi­na­li­nės po­li­ci­jos. Ji yra ope­ra­ty­vi­nė tar­ny­ba, jos par­ei­gū­nai, tu­rė­da­mi pro­ku­ro­ro sank­ci­ją, tu­ri tei­sę pa­tek­ti į pa­tal­pas, pa­im­ti įkal­čius. VDAI įgy­ven­di­na Eu­ro­pos Są­jun­gos (ES) nu­ta­ri­mus ir rū­pi­na­si, kad ne­nu­te­kė­tų as­mens duo­me­nys. Fak­tiš­kai tu­ri­me tik vie­ną mums gi­mi­nin­gą struk­tū­rą – RRT. Ši tar­ny­ba ir­gi įgy­ven­di­na ES di­rek­ty­vą dėl in­ter­ne­to pa­slau­gų tei­ki­mo. In­ter­ne­to pa­slau­gų tei­kė­jai pri­va­lo teik­ti in­for­ma­ci­ją apie in­ci­den­tus ir tą in­for­ma­ci­ją jie tei­kia RRT. Šios tar­ny­bos veik­los sri­tis yra su­si­ju­si su in­ter­ne­to pa­slau­gų pa­ti­ki­mu­mu, taip pat ki­ber­ne­ti­niu sau­gu­mu. Ta­čiau ne­ak­cen­tuo­ja­ma, kad RRT sau­go vals­ty­bei svar­bių įstai­gų ir įmo­nių inf­ras­truk­tū­rą. Pa­vyz­džiui, van­dens tie­ki­mo įmo­nė ar ko­mu­na­li­nin­kai ne­tu­ri nie­ko bend­ra su RRT. Ir ši spra­ga eg­zis­ta­vo iki 2015 me­tų. Da­bar tu­ri­me dvi ins­ti­tu­ci­jas – RRT ir NKSC, ku­rios už­sii­ma pa­na­šia veik­la, ta­čiau jų veik­los sri­tys yra skir­tin­gos.

– Šių me­tų pa­va­sa­rį „Lie­tu­vos ži­nios“ kaip tik ra­šė apie tai, kad sa­vi­val­dy­bių ko­mu­na­li­nin­kus puo­la prog­ra­mi­šiai. Rad­vi­liš­kio ir Ku­piš­kio van­dens tie­ki­mo bend­ro­vių kom­piu­te­rius at­aka­vo iš­pir­kos pra­šan­tys vi­ru­sai (angl. ran­som­wa­re). Įmo­nių va­do­vai pa­sa­ko­jo, kad ne­ži­no­jo, ką da­ry­ti – vie­nas jų krei­pė­si į po­li­ci­ją, ki­tas stan­džiuo­sius dis­kus pa­sa­ko­jo ve­žęs į Vi­daus rei­ka­lų mi­nis­te­ri­ją. Pa­aiš­kė­jo, kad nė ne­ži­no­ma, kaip rei­kė­jo į tai rea­guo­ti.

– Vi­sa­da eg­zis­tuo­ja ne­ti­kė­tu­mo fak­to­rius. Gy­ve­ni­me ga­li­ma daug ką pa­ban­dy­ti, pa­gal­vo­ti, ga­li­ma ban­dy­ti nu­ma­ty­ti tam ti­kras si­tua­ci­jas ir kaip tu­rė­tų bū­ti rea­guo­ja­ma, ta­čiau gy­ve­ni­mas yra gy­ve­ni­mas, bet ka­da ga­li nu­tik­ti kas nors, apie ką ne­bū­tų pa­gal­vo­ta. Ta­čiau svar­biau­sia ži­no­ti, kas yra ta­vo drau­gai, kas yra ta­vo pir­mo­sios pa­gal­bos šal­ti­niai.

Pa­teik­tas pa­vyz­dys, kai bu­vo „už­ra­kin­ti fai­lai“, yra eks­tre­ma­lus at­ve­jis, nes in­cin­den­tas jau įvy­ko. Jei­gu įsi­lau­žė­liai su­kū­rė ko­ky­biš­ką pro­duk­tą, pa­da­ry­ti stai­giai, grei­tai ir efek­ty­viai ne­la­bai ką ga­li­ma. Ta­čiau tu­ri­me kal­bė­ti apie tam ti­kras prie­mo­nes, kad to­kie da­ly­kai ne­įvyk­tų. Vy­riau­sy­bė yra pri­ėmu­si spe­cia­lų do­ku­men­tą, ku­ria­me nu­ro­do­mi mi­ni­ma­lūs or­ga­ni­za­ci­niai ir tech­ni­niai ki­ber­ne­ti­nio sau­gu­mo rei­ka­la­vi­mai. Tai do­ku­men­tas, ku­ris iš pri­nci­po pa­aiš­ki­na, ką gi rei­kė­tų da­ry­ti. Grei­čiau­siai di­džio­ji da­lis tų prie­mo­nių ir įdieg­ta ins­ti­tu­ci­jo­se.

Bent jau mums, dir­ban­tiems kraš­to ap­sau­gos sis­te­mo­je, la­bai keis­ta, kai svar­bi ir tie­sio­giai su pa­slau­gų tei­ki­mu su­si­ju­si sis­te­ma ga­li bū­ti už­krės­ta štai to­kiu iš­pir­kos pra­šan­čiu vi­ru­su. Tai reiš­kia, kad ri­zi­ka ne­bu­vo įver­tin­ta, gal­būt ne­bu­vo kon­tro­lės.

Ki­tą­met jau ga­li bausti

– Kol kas kal­ba­te apie pre­ven­ci­ją, o ne apie prie­žiū­rą, kon­tro­lę. Štai, pa­vyz­džiui, ins­ti­tu­ci­ja nė ne­pa­si­rū­pi­no pa­da­ry­ti tai, kas bū­ti­na, pra­ra­do duo­me­nis. Kas pa­ti­krins, ar jos sau­ga ati­tin­ka rei­ka­la­vi­mus?

– Per­nai dvie­jo­se ins­ti­tu­ci­jo­se at­li­ko­me iš­sa­mius au­di­tus. Jie bu­vo pa­da­ry­ti bend­ru su­si­ta­ri­mu, ins­ti­tu­ci­jos pa­čios to no­rė­jo.Ta­čiau griež­tų, kon­tro­liuo­jan­čių veiks­mų mū­sų ins­ti­tu­ci­ja kol kas ne­siė­mė.

– Ta­čiau NKSC tu­ri to­kių ga­lių.

– Taip, įsta­ty­mu įtei­sin­ta mū­sų tei­sė at­lik­ti au­di­tus. Ra­dę trū­ku­mų, ga­li­me skir­ti ad­mi­nis­tra­ci­nę nuo­bau­dą, ga­li­me par­ei­ka­lau­ti, kad at­jung­tų sis­te­mas nuo in­ter­ne­to. Vy­riau­sy­bė šiuo me­tu yra pri­ėmu­si ati­tin­ka­mus nu­ta­ri­mus, kas įstai­go­se tu­ri bū­ti pa­da­ry­ta. Prie­mo­nių pla­nus ins­ti­tu­ci­jos tu­ri par­eng­ti per šį mė­ne­sį., o juos įgy­ven­din­ti – iki ki­tų me­tų ba­lan­džio. Tai­gi nuo ki­tų me­tų ba­lan­džio ga­lė­si­me ne klaus­ti, ka­da bus įgy­ven­din­ti sau­gu­mo už­ti­kri­ni­mo pla­nai, o tei­rau­tis, ko­dėl to ne­pa­da­ry­ta.

Bū­tų ne­adek­va­tu, pa­vyz­džiui, pa­nai­kin­ti in­ter­ne­to prie­igą, jei vie­nur ar ki­tur ap­tik­ti ne­di­de­li trū­ku­mai. Aps­kri­tai ta­riant, tei­sių tu­ri­me, bet pir­miau­sia bū­ti­ni pe­rei­na­mie­ji pro­ce­sai. Vie­na ar ki­ta ins­ti­tu­ci­ja tu­ri aki­vaiz­džiai pa­de­mons­truo­ti, kad ji yra ne­pa­jė­gi ar­ba ne­no­ri įgy­ven­din­ti tam ti­krų rei­ka­la­vi­mų.

– Ki­ber­ne­ti­nio sau­gu­mo as­pek­tus kon­tro­liuo­jan­čių ins­ti­tu­ci­jų yra ke­lios. Bet pa­gal ga­lio­jan­čius tei­sės ak­tus stra­te­gi­nių ins­ti­tu­ci­jų ir val­džios struk­tū­rų, oro uos­tų, ka­riuo­me­nės sau­gu­mą nuo ki­ber­ne­ti­nių at­akų pri­va­lo už­si­ti­krin­ti jos pa­čios?

– Taip, tai lo­giš­ka. Bū­tų la­bai keis­ta, jei ins­ti­tu­ci­ja, ban­dy­da­ma ko­kią nors svar­bią sis­te­mą, lai­ky­tų­si po­žiū­rio, kad ji už sis­te­mos vei­ki­mą, sau­gą ne­at­sa­kin­ga. Tar­ki­me, ėjau gat­ve, ma­ne apip­lė­šė, esu ne­kal­tas, nes po­li­ci­ja ma­nęs ne­iš­gel­bė­jo. Jei pats ne­si­sau­gau, tur­būt ne­men­ka ti­ki­my­bė, kad ta ne­lai­mė ir įvyks. Ins­ti­tu­ci­jos tu­ri sa­vo spe­cia­lis­tų, joms ski­ria­mas fi­nan­sa­vi­mas, jos tu­ri įgy­ven­din­ti tam ti­krus nu­ta­ri­mus, spren­di­mus ar teik­ti kon­kre­čias pa­slau­gas.

Ke­lios de­šim­tys profesionalų

– Jū­sų tar­ny­bo­je dir­ban­čių as­me­nų skai­čius ne­skel­bia­mas, fi­nan­sa­vi­mas taip pat ne­ži­no­mas. Iš NKSC pa­teik­tų dar­bo skel­bi­mų aiš­kė­ja, kad ieš­ko­te IT spe­cia­lis­tų, ta­čiau iš jų ne­rei­ka­lau­ja­te nu­ro­dy­ti dar­bo pa­tir­tį. Ži­nant, ko­kia ypa­tin­ga IT sek­to­riaus dar­buo­to­jų pa­dė­tis, ar leng­vai ran­da­te spe­cia­lis­tų?

– Pa­ti­ria­me tam ti­krus ri­bo­ji­mus, su­si­ju­sius su dar­bo ap­mo­kė­ji­mu, ta­čiau tu­ri­me ga­li­my­bę su­do­min­ti žmo­nes dar­bo spe­ci­fi­ka. Da­ro­me tai, ko dau­giau nie­kas Lie­tu­vo­je ne­da­ro. Tai­gi ga­li­me pa­siū­ly­ti įgy­ti la­bai uni­ka­lios pa­tir­ties, uni­ka­lių ži­nių, lan­ky­ti mo­ky­mus.

Su­skai­čiuo­ti Lie­tu­vos ki­ber­ne­ti­nio sau­gu­mo spe­cia­lis­tus, kaip juo­kau­ja­me, už­tek­tų ko­jų ir ran­kų pirš­tų, jei kal­bė­tu­me apie ti­kruo­sius pro­fe­sio­na­lus. Tad fak­tas, kad mums ten­ka orien­tuo­tis į vi­du­ti­nius spe­cia­lis­tus, iš­ma­nan­čius in­for­ma­ci­nes sis­te­mas, bet gal­būt ne­tu­rin­čius daug ži­nių apie ki­ber­ne­ti­nį sau­gu­mą. Ta­čiau tai – vi­siš­kai nor­ma­lu, nes to­kių spe­cia­lis­tų, ku­rie bū­tų ir pa­ty­rę, mū­sų vals­ty­bė­je ne­tu­ri­me. Ga­li­me iš da­lies tuos spe­cia­lis­tus mo­ky­ti, siųs­ti į kur­sus Lie­tu­vo­je ar už­sie­ny­je, ga­li­me nau­do­tis mū­sų są­jun­gi­nin­kų NA­TO mo­ky­mo cen­trais.

– Ne kar­tą esa­te kar­to­jęs, kad nė­ra tink­lų, į ku­riuos ne­įma­no­ma įsi­lauž­ti. Nuo to ne­ap­si­sau­go net JAV, jas vis at­akuo­ja prog­ra­mi­šiai, iš ten nu­te­ka duo­me­nų srau­tai.

– Vi­sų pir­ma, kal­ba­me apie tink­lus, pri­jung­tus prie in­ter­ne­to. Ap­sau­go­ti to­kius tink­lus yra di­džiu­lis gal­vos skaus­mas. Ta­čiau rei­kė­tų ma­ty­ti skir­tu­mą tarp duo­me­nų nu­te­kė­ji­mo iš to­kių tink­lų ir pa­čio įsi­lau­ži­mo fak­to. Jei įsi­lau­ži­mas ne­pa­ša­li­na­mas per ke­lias pir­mą­sias va­lan­das, kar­tais ke­lias pir­mą­sias die­nas, ta­da jie iš tie­sų tu­ri ga­li­my­bę ta­me tink­le ką nors val­dy­ti. Ta­čiau pa­pras­tai per ke­lias va­lan­das, ke­lias die­nas pa­vyks­ta vis­ką su­tvar­ky­ti. Jei­gu įsi­lau­žė­lis grei­tai ap­tin­ka­mas, ža­la dar mi­ni­ma­li, dau­giau ne­ri­mau­ja­ma, kad to­kie da­ly­kai iš­vis įma­no­mi. Jei bū­ti­na rim­tes­nė ap­sau­ga, to­kie tink­lai aps­kri­tai ne­jun­gia­mi prie in­ter­ne­to. Ta­čiau ir į juos įma­no­ma įsi­lauž­ti.