Vidaus reikalų ministerijos (VRM) parengtas įstatymo projektas turėjo būti skubos tvarka svarstomas dar praėjusios Seimo sesijos metu, bet parlamentarai nesuspėjo. Vasarą pailsėję, dabar jie grįžo prie darbų, o vienas pirmųjų – būtent šis įstatymas.
Trečiadienį jis buvo pristatytas Seimo Informacinės visuomenės plėtros komitete. Jį aptarę valdininkai ir verslo atstovai sutarė, kad tobulėti dar yra kur, todėl apsikeitė namų darbais, kuriuos aptarti tikimasi po vienos dviejų savaičių.
Galės atjungti internetą
Šiame posėdyje aptarta daug ydų, bet viena formuluotė niekam neužkliuvo. Tai – dviprasmiškai skambantis Policijos departamento įgaliojimas, leidžiantis be teismo sankcijos nutraukti interneto paslaugų teikimą vartotojams.
„Nutraukti paslaugų teikimą vartotojams būtų galima ne tik kibernetinio incidento atveju, bet ir tais atvejais, kai paslaugos gavėjas ar jo įranga dalyvauja kitoje nusikalstamoje veikloje. Žinoma, pirmiausia į galvą ateina atvejai, susiję su autorių teisių pažeidimu, neteisėtu filmų ir muzikos platinimu ir atsisiuntimu internetu. Manau, tai labai galingas įrankis policijos rankose kovojant su tokiais pažeidimais“, – pastebėjo „AAA Law“ advokatas ir partneris Andrius Iškauskas.
Kitaip sakant, jei įstatymas būtų priimtas be pakeitimų, remdamiesi juo pareigūnai galėtų kreiptis į jūsų interneto tiekėją ir nurodyti jums išjungti interneto ryšį bent dviem paroms, pateikę paprasčiausią paaiškinimą – jūs atliekate neteisėtą veiklą. O jau vėliau aiškintis, kaip yra iš tiesų, ar kreiptis į teismą dėl ilgalaikių apribojimų.
Daugiau biurokratijos?
Verslo atstovai Kibernetinio saugumo įstatyme įžvelgia ir daugiau trūkumų, neapibrėžtumo. Asociacijos „Infobalt“ narės „Teo LT“ korporatyvinių reikalų vadovas Antanas Bubnelis pastebėjo, kad įstatyme suformuotas klaidingas požiūris, jog kibernetinės atakos atveju svarbiausia ginti valstybės sektorių, o ne verslą.
Jis siūlė patikslinti ypatingos svarbos infrastruktūros sąvoką, kad būtų saugomos ne tik viešojo, bet ir privataus sektoriaus sistemos (bankų, prekybos, vandens, elektros tiekimo ar net naujienų portalų). Kitaip sakant, kad kibernetinė ataka nesustabdytų įprasto gyvenimo ritmo ar bent turėtų jam kuo mažesnę įtaką. Taip pat siūloma numatyti priemones, kuriomis šios sistemos būtų ginamos.
Dar vienas pasiūlymas – naujai steigiamą Nacionalinio kibernetinio saugumo centrą įvardinti kaip pagrindinę instituciją, į kurią vieno langelio principu būtų galima kreiptis prasidėjus kibernetinei atakai. Mat dabar šis centras – tik dar viena įstaiga, kuriai papildomai reikės teikti ataskaitas, raportuoti apie situaciją vykstant atakai ir kt.
Taip pat siūloma atsisakyti idėjos steigti „viešųjų elektroninių ryšių duomenų srautų mainų sistemą“. A.Bubnelis pastebėjo, kad toks „mazgas“ tik padidintų kibernetinių atakų pavojų: „Mūsų supratimu, norima steigti tam tikrą mazgą, kur būtų keičiamasi duomenimis. Bet šiais laikais daryti vieną centrinį mazgą būtų nelogiška – atakos atveju tereiktų jį išjungti, ir visa sistema nustotų veikti.“
Dirbti liepia, bet pagalbos rankos netiesia
Įstatymas įtarimų kelia ir internetinės žiniasklaidos atstovams. Beje, būtent atakos prieš naujienų portalus padidino visuomenės ir politikų susidomėjimą kibernetiniu saugumu.
Interneto žiniasklaidos asociacijos pirmininkė Aistė Žilinskienė teigia, kad naujienų portalai nesiveržia būti įtraukti į ypatingos svarbos infrastruktūros sąrašą, tačiau pageidautų aiškesnės informacijos, kas, kada ir kokių veiksmų turėtų imtis kibernetinės atakos atveju.
„Labai gerai, kad įstatymas yra svarstomas, bet svarbu ir jo turinys. Pagal dabartinę įstatymo versiją, privataus verslo atstovai turi dalytis informacija net su keliomis institucijomis. Jei jie to nedaro, gresia baudos, o pagalbos jiems nėra numatyta, – pastebėjo A.Žilinskienė. – Taip pat vertėtų tiksliau apibrėžti steigiamo kibernetinio saugumo centro pareigas: ką jis gali daryti, kokią pagalbą suteikti, kas ir kaip gali į jį kreiptis. Dabar numatyta tik daug įvairių ataskaitų jam teikti, net apie mažas atakas, kurios nuolat vyksta. Gal ir naudinga tokią statistiką turėti, analizuoti, bet realios naudos verslui mažai.“
Ką valdžia palieps, tą ir gins
Įstatymą parengusi VRM aiškina, kad verslininkai punktus traktuoja neteisingai. Ministerijos Elektroninės valdžios politikos skyriaus vedėjas Rimvydas Jančiauskas teigė, kad į ypatingos svarbos informacinės infrastruktūros sąrašą bus įtraukiami visi objektai, tenkinantys keliamus kriterijus pagal metodiką, kurią patvirtins Vyriausybė. Todėl įstatyme to konkretizuoti nereikia.
Nacionalinis kibernetinio saugumo centras, jo teigimu, taip pat turės aiškias užduotis ir tikslus, kurie nustatyti įvertinus esamą padėtį ir išklausius specialistų patarimų. „Sutinkame, kad vieno langelio principas pagelbėtų verslui, tačiau tokiu atveju Nacionalinis kibernetinio saugumo centras turėtų žinoti visas subtilybes: ar kibernetinis incidentas, apie kurį pranešta, turi įtakos asmens duomenų saugumui, ar turi nusikalstamos veikos požymių ir kt. Be to, Elektroninių ryšių įstatyme nustatyta, kad viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų tiekėjai turi informuoti Ryšių reguliavimo tarnybą apie informacijos saugumo incidentus, ši savo ruožtu turi informuoti ENISA ir kitas ES institucijas. Jei tarnyba, Valstybinė duomenų apsaugos inspekcija ar policija operatyviai negautų informacijos, negalėtų tinkamai vykdyti savo funkcijų“, – teigė R.Jančiauskas.
Rengiant šio įstatymo projektą buvo svarstytos įvairūs galimi institucijų vaidmenys, pavyzdžiui, nacionalinio CERT funkcijas perduodant Nacionaliniam kibernetinio saugumo centrui. Tačiau nustatyta, kad toks perkėlimas pareikalautų didesnių laiko, finansinių ir žmogiškųjų išteklių. Todėl buvo nuspręsta esamos sistemos negriauti, o ją sustiprinti naujais pajėgumais kibernetiniam saugumui užtikrinti.
VRM atstovas pridūrė, kad nenumatoma atsisakyti ir viešųjų elektroninių ryšių duomenų srautų mainų sistemos apibrėžimo. „Šiuo metu tarptinkliniai duomenų apsikeitimai nėra reglamentuoti ir tokio ryšių mazgo, de facto jau egzistuojančio Lietuvoje, įvardijimas iš esmės sudarys galimybes efektyviai realizuoti kibernetinio saugumo priemones ir valdyti kibernetinius incidentus, vykdomus iš vidinio Lietuvos tinklo“, – paaiškino jis.
Kibernetinio saugumo įstatymui įgyvendinti per trejus metus planuojama skirti apie 12 mln. litų, nuo 2017 metų kasmet – dar po 3,2 mln. litų.
