Valstybės kontrolės Informacinių technologijų audito departamento vadovas Markas Marcinkevičius tvirtina, kad Tarptautinės telekomunikacijų sąjungos (ITU) paskelbtame kibernetinio saugumo reitinge 2021 m. Lietuva užėmė aukštą 6-ąją vietą, tačiau tai neatspindi realios padėties. Pasak jo, 2019–2021 m. registruoti 11.659 kibernetiniai incidentai, asignavimų kibernetinio saugumo stiprinimo priemonėms planuota 9,7 mln. Eur.
„ITU reitingas susideda iš keturių dedamųjų – teisinės, techninės, organizacinės ir pajėgumų plėtros. Kibernetinio saugumo reitingas daugiau vertina formaliąją pusę, t. y. kaip kibernetinio saugumo sudėtis reglamentuota, kaip nustatytos atsakomybės, ar vyksta mokymai ir pan. Noriu pabrėžti, kad kibernetinio saugumo reitingas tikrai neįvertina realios padėties, kaip kritinės infrastruktūros valdytojai, įmonės, organizacijos realiai yra pasirengusios atremti kibernetines atakas ir atstatyti sutrikdytas paslaugas“, – pirmadienį Seimo Ekonomikos komiteto Aukštųjų technologijų, inovacijų ir skaitmeninės ekonomikos pakomitečio posėdžio metu teigė M. Marcinkevičius.
Jis pažymėjo, kad audito rezultatai parodė, jog saugumo valdymo sistema yra nepakankamai veiksminga.
„38 proc. neatliko kibernetinio saugumo rizikos vertinimo, trijų metų laikotarpyje, 56 proc. atliko kibernetinio saugumo rizikos vertinimą, bet nacionaliniam saugumo centrui jo nepateikė“, – sakė Valstybės kontrolės atstovas.
„Nesudarytos sąlygos skaitmenizuotai vykdyti saugumo reikalavimų atitiktį. 46 proc. audito metu apklaustų valstybės informacinių išteklių valdytojų nei karto neatliko informacinių technologijų saugos atitikties vertinimo. 81 proc. nepateikė informacinių technologijų saugos atitikties vertinimo ataskaitų. 41 proc. informacinių technologijų saugos atitikties vertinimą atlikusių valstybės informacinių išteklių valdytojų duomenų į ARSIS neteikė“, – tikino jis.
M. Marcinkevičius aiškino, kad taip pat nėra konsoliduotas kibernetinio saugumo ir elektroninės informacijos saugos teisinis reguliavimas, o 53 proc. apklaustųjų kibernetinio saugumo subjektų parodė, jog kibernetinio saugumo elektroninės informacijos saugos reikalavimai nėra integralūs, nes dalis jų dubliuojasi.
„2020 m. 4330 kibernetinių incidentų buvo registruota, 1966 kenkimo programinės įrangos, 61 sėkmingų įsilaužimo atvejų, 75 paslaugų trikdymų. Tačiau, jeigu pažvelgtume toliau, matome, kad 2102 incidentai, kurie galimai turėjo nusikalstamos veikos požymių, todėl apie Lietuvos policija turėjo būti informuota, tačiau 2020 m. buvo tik du atvejai, kai Nacionalinis kibernetinio saugumo centras gavęs informaciją apie kibernetinius incidentus informaciją perdavė policijai“, – akcentavo Valstybės kontrolės atstovas.
Galiausiai jis nurodė tris rekomendacijas KAM, kurios galėtų prisidėti pertvarkant kibernetinio saugumo valdymą.
„Reikėtų įdiegti ir nacionaliniu mastu koordinuoti informacinių technologijų saugumo rizikos valdymo procesą, sukurti bendrą kibernetinio saugumo ir informacinių išteklių IT saugos atitikties vertinimo metodiką bei patvirtinti priemones, kurios užtikrintų sklandesnį komunikavimą apie kibernetinius incidentus“, – sakė M. Marcinkevičius.
Tuo tarpu KAM atstovai pažymėjo, kad progresas šioje srityje yra daromas ir šiuo metu esantys rezultatai kibernetinio saugumo srityje yra geresni, negu audituojamu laikotarpiu.
