Ruošiami teisės aktų pakeitimai
Kibernetinių incidentų tendencijos atspindi vartotojų įpročius. Debesų kompiuterijos pagrindu kuriama ir teikiama vis daugiau elektroninės informacijos prieglobos paslaugų, virtualiose saugyklose laikoma vis daugiau informacijos. Didžioji dalis kasdienių operacijų keliasi į internetines svetaines, todėl vis dažniau pastebime, kad kibernetiniai nusikaltėliai bando pažeisti jas siekdami generuoti kriptovaliutas ar skleisti melagingą informaciją. Tuo tarpu reikalavimai, kaip pasirinkti patikimą prieglobos paslaugų teikėją ir į ką atsižvelgti renkantis svetainės apsaugą, tėra tik rekomendacinio pobūdžio arba jų išvis nėra.
Lietuvoje numatomi teisės aktų papildymai ir pakeitimai kibernetinio saugumo programinės įrangos pirkimui, kurie leistų pašalinti nepatikimus tiekėjus iš viešųjų konkursų. Artėja ir naujasis ES Bendrasis duomenų apsaugos reglamentas. Akivaizdu, kad pokyčiai teisės aktuose yra ir būtini, ir neišvengiami, tačiau ar esame jiems pasiruošę?
Lietuvai nereikia toli ieškoti sektinų pavyzdžių – šiuo metu Estija užima 5-ąją vietą ir kibernetiniu požiūriu yra saugiausia šalis Europoje pagal paskutinį Tarptautinės telekomunikacijų sąjungos pasaulinio kibernetinio saugumo indeksą. Saugiausių Europos šalių penketuką sudaro Estija, Prancūzija, Norvegija, Didžioji Britanija ir Olandija. Tarp 43-ijų Europos šalių Latvija užima 10 vietą, Lietuva – 28.
Reikia daugiau aiškumo
Šiuo metu pagal Lietuvos Respublikos viešųjų pirkimų įstatymą tiekėjai yra atrenkami pagal pačios perkančiosios organizacijos nustatytus kvalifikacinius reikalavimus ir, jeigu taikytina, kokybės vadybos sistemos ir aplinkos apsaugos vadybos sistemos standartus. Tikrinant tiekėjų kvalifikaciją, pasirinktinai atsižvelgiama į tiekėjo teisę verstis atitinkama veikla, finansinį ir ekonominį pajėgumą bei techninį ir profesinį pajėgumą.
Tikimasi, kad numatomi teisinio reglamentavimo pakeitimai perkančiosioms organizacijoms įneš daugiau aiškumo renkantis kibernetinio saugumo programinę įrangą. Be to, šiandien reikšmingai keičiasi ir šalies kibernetinio saugumo valdymas. Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) nuo 2018 m. pradžios nacionaliniu lygmeniu įgavo daugiau teisinių galių valdant kibernetinius incidentus. Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinio CERT funkcijos jau perduotos į NKSC. Toks įstaigų apjungimas į NKSC suteikia galimybę įgyvendinti Lietuvos Respublikos kibernetinio saugumo įstatymo nuostatas dėl vieno langelio principo ir sumažinti administracinę naštą valstybės ir privačių informacinių išteklių valdytojams.
Tiesa, daugiau nerimo kelia privatus sektorius. Iš verslo atstovų dažnai girdime, kad jų įmonė niekam nėra įdomi ir nemato tikslo skirti lėšų apsaugai nuo kibernetinių grėsmių arba nusprendžia nuo jų gintis su nemokama antivirusine programa.
Deja, retas susimąsto, ar namų vartotojams skirtos programinės įrangos licencija leidžia tokias programas naudoti versle. Nemokami produktai yra labiau priskiriami tęstinių produktų kategorijai ir įvykus kibernetiniam incidentui pagalbos kažin ar sulauktume.
Verta nepamiršti, kad už pastato elektrą, ūkį ir IT infrastruktūros eksploatavimą bei tenkančias žalas atsako organizacijos vadovas. Todėl ne be reikalo yra tobulinamas teisinis reglamentavimas kibernetinio saugumo programinei įrangai – verslas turi į tai pilnavertiškai reaguoti ir padaryti atitinkamas išvadas.
Papildomi kriterijai renkantis
Šiuo metu nereikėtų pasyviai laukti įstatymų bazės atnaujinimo, o renkantis kibernetinės saugumo programinės įrangos tiekėjus iš karto kelti aukštesnius reikalavimus.
Visų pirma, rekomenduojame atkreipti dėmesį į jų specializaciją. Tiekėjo produkto apsaugos patikimumas kibernetinėje srityje yra kur kas didesnis, jei jo pagrindinė veikla yra orientuota į saugumo produktų kūrimą, o ne, pavyzdžiui, į operacinių sistemų gamybą.
Taip pat reikėtų atsižvelgti, kad gamintojo šalies jurisdikcija būtų Europos Sąjungoje. Privalumas, jei gamintojo techninė pagalba būtų teikiama lietuvių kalba, t. y. turėtų atstovybę Lietuvoje. Tokiu būdu yra išvengiama rizikos nesusikalbėti dėl konfigūravimo ir operatyviau gauti atsakymus į užduotus klausimus. Svarbu, kad tiekėjas labiau kreiptų dėmesį į produkto lokalizavimą ir programos pranešimus bei nustatymus galutiniams vartotojams pateiktų lietuvių kalba. Dar reikėtų atsižvelgti į programos gamintojo „svorį“, kiek ilgai tiekėjas dalyvauja saugumo rinkoje. Ir galiausiai visi taškai ant „i“ susideda, kai įvertinami nepriklausomų laboratorijų atlikti testų rezultatai.
Pakeitimai taps galvos skausmu
Šiais metais laukia ir naujasis ES Bendrasis duomenų apsaugos reglamentas (BDAR), kuris labiausiai palies įmones ir viešąjį sektorių. Jau dabar svarbu imtis priemonių apsaugant jautrius fizinių asmenų duomenis. Matome, kad dar labai nedidelė organizacijų dalis yra tam pasiruošusi, taigi, daugumai šie pakeitimai, terminui vis artėjant, gali tapti stipriu galvos skausmu.
Pasirengimo ciklas turi vykti linijiniu būdu – iš pradžių reikia atlikti organizacijoje disponuojamų duomenų auditą – galbūt yra renkami pertekliniai duomenys, po to parengti aprašus, kaip tie duomenys turi būti tvarkomi, saugomi, naikinami, šifruojami ir pan., tik tada rinktis programinę įrangą, kaip tuos duomenis apsaugoti ar riboti priėjimą prie jų.
Tačiau reikia įsidėmėti, kad jei organizacija naudoja bazines apsaugos nuo virusų priemones arba išvis neturi jokios apsaugos, tai nelaukdami BDAR įsigaliojimo ar audito išvadų turėtų kuo greičiau sustiprinti apsaugą su pažangesne kibernetinio saugumo programine įranga. Šiais laikais kompiuteris be antivirusinės programinės įrangos tas pats kaip automobilis žiemą su vasarinėmis padangomis.
Komentaro autorius Ramūnas Liubertas, ESET IT inžinierius.