„Nuo 2015 m. įsigaliojo Kibernetinio saugumo įstatymas, tačiau to nepakako, kad valstybė sistemiškai sureguliuotų strategiškai svarbias kibernetinio saugumo ir elektroninės informacijos saugos sritis. Vis dar atsiliekame nuo planuotų terminų, trūksta koordinavimo, kompleksinio požiūrio valdant kibernetinio saugumo ir elektroninės informacijos saugos sritis“, – sakoma audito išvadose.
Auditoriai konstatuoja, kad kasmet užregistruojama vis daugiau pranešimų apie incidentus kibernetinėje erdvėje, ir, remdamiesi Antrojo operatyvinių tarnybų departamento prie Krašto apsaugos ministerijos išvadomis, pabrėžia, jog kibernetinių incidentų skaičius bent jau artimiausiu metu nemažės.
Kibernetinė erdvė liks viena pagrindinių veiklos sričių vykdant šnipinėjimą ir kitaip veikiant kritinės infrastruktūros objektus, svarbius nacionaliniam saugumui ir gynybinei galiai. Tačiau dėmesio nepakanka net personalo kompetencijoms tobulinti ir išoriniam bendradarbiavimui.
Valstybės kontrolė taip pat nurodo, kad besirūpinant kibernetiniu saugumu neišvengiama įstaigų veiklos dubliavimo, neatskirtas politikos formavimas ir įgyvendinimas.
Be to, auditoriai atkreipia dėmesį, kad kibernetiniam saugumui ir elektroninės informacijos saugai reikiamos lėšos skiriamos ir naudojamos (2015–2020 m. numatyta 15,6 mln. eurų) nenustačius lėšų skyrimo prioritetų ir kriterijų, neturint duomenų apie faktinę įstaigų kibernetinio saugumo ir elektroninės informacijos saugos būklę.
Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų departamento direktorius Arvydas Plėščius sako, kad atliekant auditą daugiausia buvo vertinami laikotarpio iki Kibernetinio saugumo įstatymo priėmimo duomenys. „Tai, kad saugumo lygis buvo įvertintas kaip vidutinis yra pagrįsta ir suprantama. Tuo metu pagrindiniai trūkumai ir buvo vieningos sistemos nebuvimas tiek incidentų valdymo, tiek personalo kompetencijos, tiek bendradarbiavimo ir informacijos keitimosi srityse. Būtent Kibernetinio saugumo įstatymas sudarė teisinį pagrindą situaciją valdyti, nustatė procese dalyvaujančias institucijas, jų funkcijas, teises ir atsakomybes“, – sakoma ministerijos Visuomenės informavimo skyriaus perduotame A.Plėščio komentare.
Anot departamento direktoriaus, „poįstatyminių aktų rengimas kiek vėluoja, tačiau tai labai nauja sritis, reikalauja derinimo su gana daug institucijų ir net su svarbios informacinės infrastruktūros valdytojais“.
Jis taip pat sako, kad auditorių rekmendacijos dėl lėšų skyrimo ir planavimo „nėra visai teisingos“, nes „už IT sistemų parengtį pirmiausiai atsakingi tų sistemų valdytojai ir būtent jie turi skirti tiek lėšų, kiek reikia tam, kad būtų įdiegti visi nustatyti kibernetinio atsparumo reikalavimai“.
Vidaus reikalų ministerija savo ruožtu sako pritarianti Valstybės kontrolės išsakytiems pastebėjimams ir numato įgyvendinti audito ataskaitoje išdėstytas rekomendacijas.
Žadama, kad bus stiprinamas bendradarbiavimas su Krašto apsaugos ministerija, aiškiai pasidalinti darbai, kuriuos būtina atlikti didinant šalies kibernetinį saugumą. Kad kartu su Krašto apsaugos ministerija, o prireikus ir kitomis institucijomis, bus peržiūrima valstybės strategija kibernetinio saugumo srityje. „Turės būti parengtas naujas šių dienų realijas ir ateities lūkesčius atitinkantis strateginis dokumentas, be svarbiausių strateginių dalykų numatantis lėšų kibernetiniam saugumui užtikrinti skyrimo prioritetus ir kriterijus“, – Valstybės kontrolės ataskaitą komentavo VRM.
