2013 metų antrąjį pusmetį Lietuva pirmininkaus Europos Sąjungos Tarybai. Be kitų darbų, šiuo laikotarpiu laukia ir bendros ES kibernetinio saugumo strategijos patvirtinimas, kurią ruošia Europos Komisija ir Europos išorės veiksmų tarnyba. Didėjantį organizacijos dėmesį šiai sričiai ir atsiradusį bendros vizijos poreikį lemia ne tik gausus interneto vartotojų skaičius ir vis didesnės kasdienio gyvenimo dalies perkėlimas į virtualią erdvę, dėl kurio išauga ir galima nesaugumo žala, bet ir didėjantis pačių europiečių sąmoningumas.
Štai naujausia Europos Komisijos atlikta „Eurobarometro“ apklausa parodė, kad net ketvirtadalis ES šalių narių gyventojų baiminasi dėl saugumo perkant internetu ir galimo jų asmeninių duomenų neteisėto panaudojimo; apie du trečdalius (59 proc.) apklaustųjų nesijaučia tinkamai informuoti apie kibernetinių nusikaltimų grėsmes, 12 proc. ES piliečių jau yra tapę internetinio sukčiavimo, o 8 proc. – asmens duomenų vagysčių aukomis.
Siekdama stiprinti kibernetinį saugumą, Europos Taryba ėmėsi žingsnių – 2001 m. pasirašyta Budapešto konvencija dėl kibernetinių nusikaltimų (įsigaliojo 2004 m.). Nors tenka pripažinti, kad jos ratifikavimas nebuvo labai sklandus, nes kai kurios šalys nenorėjo to padaryti dėl požiūrių į duomenų apsaugą ir privatumą skirtumo, tačiau vis viena šis dokumentas svarbus vien jau dėl to, jog tai – pirmoji tarptautinė sutartis, kalbanti apie internete ir kituose kompiuterių tinkluose padarytus nusikaltimus.
Konvencijos preambulėje įvardytas pagrindinis tikslas – formuoti bendrą politiką saugant tarptautinę bendruomenę nuo kibernetinio nusikalstamumo, pirmiausia, per tinkamą šios srities reglamentavimą bei Konvencijos šalių bendradarbiavimo skatinimą. Europos Taryba dokumentą rengdama apie ketverius metus bendradarbiavo su JAV, Japonija, Kanada bei kitomis šalimis, taigi Budapešto konvencija yra atvira ir prie jos gali prisijungti ne tik ET šalys narės (daugiau apie tai čia). 2003 m. Konvencija papildyta protokolu dėl ksenofobiško ir rasistinio pobūdžio medžiagos kompiuterių tinkluose kriminalizavimo (įsigaliojo 2006 m.).Bendros konsultacijos šia kibernetinio saugumo problemika vyksta Konvencijos komitete dėl kibernetinio nusikalstamumo (angl.Convention Committee on Cybercrime, T-CY), į kurį prie Konvencijos prisijungusių šalių atstovai renkasi bent kartą per metus.
Nors Budapešto konvencija nėra „bedantė“ ir turi tam tikrų galių, tačiau nėra pakankamai efektyvi kovojant su kibernetiniu nusikalstamumu. Pasak Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos direktoriaus Gintaro Čiurlionio, paprastai tariant, sutarties esmė ta, kad šalis, tirdama elektroninius nusikaltimus, gali parašyti kitai šaliai atitinkamą užklausą ir šalis, į kurią buvo kreiptasi, privalo į ją atsakyti. „Tai labai svarbu, bet tokių turimų įrankių neužtenka: vien tam, kad būtų suformuotas toks paklausimas, teisėtvarkai reikia nemažai padirbėti su interneto paslaugų tiekėjais, surinkti duomenis, sužinoti maršrutus... Kad būtų galima paklausti, pavyzdžiui, vengrų, pirmiausia apskritai reikia žinoti, jog tai buvo padaryta iš Vengrijos, tad iki tol turi būti atliktas tyrimas, o tai yra gana sudėtinga“, – aiškino G. Čiurlionis.
ENISA
2004 m. įkurta Europos tinklų ir informacijos apsaugos agentūra (ENISA, angl. European Network and Information Security Agency) yra patariamoji įstaiga ES šalims narėms ir jos institucijoms, siūlanti techninius bei mokslinius sprendimus. Jai formuluojama užduotis – pagerinti kompiuterių tinklų ir informacijos saugumą ES, pirmiausia interneto rinkoje. Kita svarbi Europos tinklų ir informacijos apsaugos agentūros veiklos kryptis – skatinti elektroninių tinklų ir informacijos saugumo incidentų tyrimo padalinių (CERT, angl. Computer Emergency Response Team) kūrimąsi Europoje bei derinti visų jų veiklą užtikrinant kuo efektyvesnį kibernetinių incidentų valdymą. Pačių CERT užduotis konkretesnė – reaguoti į saugumo incidentus elektroninių ryšių tinkluose ir koordinuoti veiksmus juos šalinant. Kaip vaizdingai įvardijama CERT-LT interneto svetainėje, jie gesina gaisrus elektroninėje erdvėje, be to, konsultuoja ir atlieka statistinę duomenų analizę (apskritai pirmasis CERT buvo įsteigtas 1988 m. JAV Carnegie Mellon universitete).
Taigi, ar ENISA veikla sėkminga? Tai vienareikšmiai nusakyti pakankamai sudėtinga, nes ENISA yra ekspertų organizacija, tegalinti teikti rekomendacijas ir orientuojasi labiau į sistemos stiprinimą ir kibernetinių incidentų prevenciją. Negalima sakyti, kad jei viskas gerai, tai yra ENISA nuopelnas, nes kas galėtų paneigti, jog ir taip nieko nebūtų nutikę. Vis dėlto kritikos agentūrai ENISA išvengti nepavyksta. Daugiausia ji buitinė – nepakankami žmogiškieji ištekliai, kad būtų įmanoma adekvačiai spręsti dideles kibernetinio saugumo problemas; jog jos būstinė Kretos saloje, Graikijoje, yra per toli nuo Briuselio, svarbiausių ES institucijų ir todėl esą sunku atsivilioti aukščiausios kompetencijos darbuotojų. Diskutuojant, ar ENISA verta palikti savarankiška agentūra, ar geriau ją būtų kur nors integruoti, bent iki 2012 m. pabaigos ENISA savo veiklą tęs taip pat. Dėl trejiems metams pratęsiamo mandato dar 2008 m. pritarė Europos Parlamentas ir Europos Taryba.
Šiame kontekste vertėtų paminėti dar vieną instituciją – tam tikrą akademinį forumą TERENA (angl. Trans-European Research and Education Networking Association), kurio pagrindinis tikslas – skatinti ir dalyvauti plėtojant aukštos kokybės tarptautinę informacijos ir telekomunikacijų infrastruktūrą mokslo ir studijų labui. Paprastai tariant, TERENA koncentruojasi į technologinius sprendimus, padedančius užtikrinti tinkamą kibernetinės erdvės veiklą. Šiuo tikslu jos iniciatyva organizuojami įvairūs mokymai, konferencijos, suburiantys šios srities profesionalus ir suteikiantys jiems galimybę dalytis patirtimi ir bendradarbiauti.
Kibernetinių nusikaltimų tyrimo centro kūrimas
Kad kibernetiniam saugumui užtikrinti dabartinių pajėgumų ES rėmuose nepakanka, matome iš vykdomų planų kurti naują instituciją – Kibernetinių nusikaltimų tyrimo centrą. Kokios tokio sprendimo priežastys? Remiantis LR Seimo Nacionalinio saugumo ir gynybos komiteto (NSGK) išvada „Dėl Komisijos komunikato Tarybai ir Europos Parlamentui „Kova su nusikalstamumu skaitmeniniame amžiuje. Europos kovos su elektroniniu nusikalstamumu centro kūrimas“ matome, kad vis dar nėra išspręstos tam tikros problemos, trukdančios užtikrinti efektyvų kibernetinių nusikaltimų bylų tyrimą ir nusikaltėlių persekiojimą ES mastu, t. y. neaiškios valstybių jurisdikcijos ribos, nepakankami keitimosi informacija pajėgumai, egzistuoja techninės tokio tipo nusikaltimų susekamumo problemos, nėra suderinta nusikaltimų tyrimo ir kriminalistinės ekspertizės veikla, nepakankamai kompetentingas personalas, nepakankamas bendradarbiavimas su kitais šioje srityje veikiančiais subjektais ir kt.
Šis centras iki 2013-ųjų turėtų būti įkurtas Nyderlanduose, Hagoje, ir veikti po Europolo (Europos policijos biuro) vėliava. Pastarasis sprendimas atitinka minėtame komunikate įvardytą principą, kad centras turėtų būti kuriamas remiantis esamomis struktūromis. Be kita ko, Europolas jau turi įdirbį kovos su organizuotu nusikalstamumu, pagalbos teikimo valstybėms narėms srityse bei yra stiprus partneris santykiuose su kitais šioje srityje veikiančiais subjektais (Interpolu, kitomis teisėsaugos institucijomis), o tai neabejotinai didintų Kibernetinių nusikaltimų tyrimo centro veiklos efektyvumą ir kokybę.
Kaip teigiama Seimo NSGK išvadoje, būtent per jį valstybės narės ir ES institucijos turės galimybę plėtoti operatyvinius ir analitinius tyrimų ir bendradarbiavimo su tarptautiniais partneriais pajėgumus ir gebėjimus. Oficialiai teigiama, kad tai padėtų gerinti esamų prevencinių ir tyrimo priemonių vertinimą bei stebėjimą, remti teisėsaugos institucijoms ir teismams skirtus mokymus ir informuotumo didinimo priemones, glaudžiai bendradarbiauti su ENISA bei kurti sąveiką su nacionalinėmis ir/arba vyriausybinėmis kompiuterinių incidentų tyrimo tarnybomis (CERT).Atrodo, kad šio Kovos su elektroniniu nusikalstamumu centro įkūrimas galėtų būti tas postūmis, kurio dabar reikia Europai vienijant jėgas sprendžiant kibernetinio saugumo problemas ir gerinant tarpusavio veiksmų koordinavimą bei tikslingiau išnaudojant turimus išteklius. Vis dėlto ES šalims narėms susitelkti ir įtvirtinti bendrą poziciją naujos institucijos nepakaks – tam reikia ne vadybinių ar techninių, o politinių sprendimų.
„Kiekvieną kartą susitikusios ir tardamosi dėl kibernetinės saugos šalys fiksuoja, kad yra didelis požiūrių skirtumas, ir tai nėra gerai. Kibernetinė erdvė neturi sienų ir jei bent vienoje šalyje ji yra pažeidžiama ar nebaudžiama dėl elektroninių nusikaltimų, jau rizikuojama, nes tokios valstybės infrastruktūra gali būti panaudojama prieš kitas šalis“, – sakė G. Čiurlionis.Dėl susiklosčiusios padėties viltys dedamos į šiuo metu rengiamą Europos kibernetinio saugumo strategiją, turinčią suvienodinti skirtingus atskirų valstybių požiūrius į kibernetinį saugumą. Vis dėlto klausimas, ar realu, jog dėl to ES atsiras tikrų pokyčių, išlieka atviras. G. Čiurlionio nuomone, didžiausias jos pliusas tas, kad tai, jog ji atsirado, galbūt atkreips žmonių dėmesį į vis didėjantį kibernetinį nesaugumą. Jo manymu, padėtį kur kas labiau pagerintų paprastesni dalykai, pirmiausia – didesnis investavimas į kibernetinę saugą ir konkrečių apsaugos priemonių diegimas.
Vaiva Sapetkaitė