„Dėl augančios kibernetinių ir hibridinių atakų grėsmės ypatingos svarbos informacinė infrastruktūra ir elektroninė informacija turi būti saugoma itin atsakingai. Lietuva yra šeštoje vietoje tarp pasaulio valstybių pagal 2021 m. Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos paskelbtą kibernetinio saugumo indeksą. Rezultatas nuteikia palyginti optimistiškai, vis dėlto mūsų atlikto audito išvados rodo, kad galime ir privalome patobulinti šalies kibernetinio saugumo užtikrinimo sistemą“, – teigė Informacinių technologijų audito departamento vadovas Markas Marcinkevičius.
Auditoriai pabrėžia, kad nacionaliniu lygiu turėtų būti kompleksiškiau stebimos ir analizuojamos kibernetinio saugumo rizikos, skaitmenizuotas saugumo reikalavimų atitikties vertinimas ir stebėsena, o teisės aktuose išdėstyti reikalavimai kibernetiniam saugumui ir elektroninės informacijos saugai užtikrinti turėtų būti nuoseklūs.
Vykdomos kibernetinio saugumo pratybos, mokymai ir konsultacijos prisideda prie kibernetinio atsparumo didinimo, tačiau jų dar nepakanka siekiant stiprinti institucijų gebėjimus suvaldyti kibernetinius incidentus. Pavyzdžiui, per tris pastaruosius metus apie trečdalį kibernetinio saugumo subjektų nė karto nedalyvavo kibernetinio saugumo pratybose, pusė jų – kibernetinio saugumo mokymuose, o kas ketvirtas kibernetinio saugumo subjektas neturi kibernetinių incidentų valdymo plano. Kibernetinio saugumo subjektai neįsitikina savo valdomos informacijos saugumo valdymo sistemos faktine būkle: 2019–2021 m. beveik pusė (45 proc.) valstybės informacinių išteklių valdytojų ir (arba) tvarkytojų nė karto neatliko informacinių technologijų (IT) saugos atitikties vertinimo ir daugiau nei trečdalis (38 proc.) jų neatliko kibernetinio saugumo rizikų vertinimo.
Valstybės kontrolė Krašto apsaugos ministerijai, organizuojančiai ir koordinuojančiai kibernetinio saugumo politikos įgyvendinimą, pateikė rekomendacijas, kurias įgyvendinus nacionaliniu lygiu būtų efektyviau valdomos IT saugumo rizikos, būtų sudarytos sąlygos skaitmenizuotai vykdyti kibernetinio saugumo ir IT saugos atitikties vertinimą ir stebėseną. Pavyzdžiui, sudarius ir kasmet atnaujinant nacionalinį kibernetinio saugumo rizikos profilį, būtų ne tik identifikuotos rizikos, bet ir periodiškai vertinamas jų potencialus poveikis, numatomos rizikos suvaldymo priemonės, taip užtikrinant atsparumą kibernetinėms grėsmėms. Įgyvendinus kitas Valstybės kontrolės rekomendacijas būtų užtikrintas sklandesnis komunikavimas apie kibernetinius incidentus, sustiprintos kibernetinio saugumo subjektų kompetencijos, patvirtintas tipinis detalus šių incidentų valdymo planas.