Dar ir šiandien maždaug 20 proc. savivaldybės naudojamų informacinių sistemų veikia atstatymo režime. „Kibernetinio saugumo svarbą sunku suvokti, kol neįvyksta incidentas“, – portalui lrytas.lt sakė Vilniaus raj. savivaldybės administracijos direktorius Vladislavas Kondratovičius.
Tąkart, besibaigiant 2023-iesiems, į savivaldybės kompiuterius paleidus „ransomware“ tipo virusą buvo užkoduota daugybė informacijos. Už ją programišiai pareikalavo šimtus tūkstančių eurų siekiančios išpirkos.
Dėl incidento gyventojams vėlavo socialinės išmokos, o savivaldybės darbuotojai nutarimus apie pašalpas į kompiuterius turėjo suvesti rankomis. Žmonės informacinius pranešimus apie apskaičiuotas mokėtinas sumas už komunalinių atliekų surinkimą ir atliekų tvarkymą gavo dviem mėnesiais vėliau negu įprastai, vėlavo ir pranešimai tėvams apie mokėjimus už darželį.
J. Sabatauskas apie duomenų apsaugą Lietuvoje: bijau, kad tai tik formalumas
Sprendimas teisingas, bet brangiai kainuojantis
„Kibernetinis saugumas – tai ne projektas, o ilgas ir brangus procesas, į kurį reikia investuoti nuolat. Reikia ne tik atitinkamų žmogiškųjų resursų organizacijoje, IT specialistų – itin svarbu kurti tinkamą ir saugią IT infrastruktūrą, diegti pažangias kibernetinio saugumo priemones. Tai kainuoja dešimtis tūkstančių ir pačiai savivaldybei yra gan didelė finansinė našta.
Susiję straipsniai
Svarbu suprasti, kad ankstesnių kibernetinio saugumo priemonių nepakaks – organizacija turi eiti koja kojon su naujausiomis technologijomis ir diegti pažangiausias duomenų apsaugos priemones“, – kalbėjo Vilniaus raj. savivaldybės administracijos direktorius.
Valstybė numato, kad valstybinės institucijos savo informacinius išteklius turi saugoti valstybiniuose duomenų centruose (VDC).
„Tai teisingas ir puikus sprendimas, ypač aktualus mažesnėms savivaldybėms, kurios neturi tiek IT išteklių ar žmogiškųjų resursų, bet tai nepigu ar, sakyčiau, net gan brangu. Po patirtos kibernetinės atakos atstatant sistemas ir procesus turėjome tą padaryti užtikrinant maksimalų saugumą, todėl buvo priimtas sprendimas pasinaudoti VDC debesijos paslaugomis. Tačiau tai savivaldybei tikrai daug kainavo“, – pasakojo V.Kondratovičius.
Stiprindama saugumą ir dėliodama naujus tinklo topologijos sprendimus, kalbant apie informacinių sistemų ir duomenų saugojimą, Vilniaus raj. savivaldybė planuoja maksimaliai naudotis valstybės teikiamomis paslaugomis – pereiti prie valstybinės dokumentų valdymo sistemos DBSIS ir duomenis saugoti valstybiniame duomenų centre.
Vertino kibirą, o dabar – jame esantį vandenį
Panašūs kibernetiniai incidentai, su kuriuo susidūrė Vilniaus raj. savivaldybė, verčia iš naujo įvertinti, ar teisės aktuose neliko skylių, kurios neapsaugo nuo tokių atvejų ateityje.
Nemažai valstybės duomenų patenka į žemą, mažai apsaugomą lygį, iš kurio pavogti duomenis palyginti nesudėtinga.
Kurie duomenys priskiriami aukščiausiajai, pirmajai, o kurie – žemiausiajai, ketvirtajai, kategorijai, lemia keli rodikliai. Vienas svarbesnių – informacinės sistemos vartotojų skaičius.
Dr. Ernestas Lipnickas, „Adwisery“ direktorius, kalbėdamas portalui lrytas.lt, minėjo, kad ir anksčiau duomenys buvo kategorizuojami. Tik anuomet informacinės sistemos tam tikrai kategorijai buvo priskiriamos pagal tose informacinės sistemose tvarkomos ir valdomos informacijos duomenų apimtis.
Dabar gi konkrečiai kategorijai priskiriamos ne pačios informacinės sistemos, o jose esantys duomenys.
„Nuo talpyklų, kuriose buvo duomenys, vertinimo perėjome prie duomenų, kurie iš tiesų yra labai svarbūs, vertinimo. Juk ir pati valstybės informacinė sistema be duomenų yra niekas“, – sakė dr. E.Lipnickas ir atkreipė dėmesį į dar vieną aspektą.
Atsirado reikalavimas atlikti duomenų, kuriuos vienaip ar kitaip tvarko organizacija ar įmonė, svarbos vertinimą. Pavyzdžiui, jei organizacija ar įmonė turėjo dokumentų, personalo valdymo sistemą, kuri, kaip galėjo atrodyti, neturi labai svarbių duomenų ir nebūdavo priskiriama prie valstybės informacinių sistemų, duomenų svarba taip ir nebuvo niekada įvertinta. Dabar gi įstatymų leidėjas nuėjo keliu, kur visi duomenys turi būti įvertinti.
„Mes nebevertiname kibiro, kuriame yra vanduo, o vertiname vandenį. Kita vertus, vertinkime vandenį, esantį visur – ne tik kibire, bet ir kituose induose. Tenka įsivertinti visus duomenis, Ekonomikos ir inovacijų ministerijai (EIMIN) išsiųsti ataskaitą, o pati EIMIN, jei reikia, įpareigoja peržiūrėti ir atnaujinti arba netgi keisti įvertį. Atsiranda tam tikras kontrolės mechanizmas.
Jei teisingai padarytas visas duomenų žemėlapis, EIMIN dabar gali suvokti, kokios apimties, kokios svarbos duomenų yra valstybėje“, – aiškino „Adwisery“ direktorius.
Jam tekę analizuoti e.sveikatos ir ligoninių informacinių sistemų palyginimą. Nustatyta, kad kai kurios ligoninės pagal duomenų apimtis turėtų būti priskirtos aukštesnei kategorijai. Tačiau, anot pašnekovo, jos dirbtinai nuleisdavo kartelę vien tam, kad pakaktų įgyvendinti mažesnius reikalavimus.
„Kai pradedame vertinti ne kibirą, o vandenį, mums nėra skirtumo, kur tas vanduo: jei tai ypatingi duomenys ir jų apimtis atitinka tam tikrus kriterijus, tie duomenys turi būti priskirti konkrečiai svarbos kategorijai“, – kalbėjo dr. E.Lipnickas.
Vertinti vien kiekybiškai nepakanka
Telecentro, kuris stato keturis VDC, Veiklos vystymo departamento direktorius Arnas Zuikis įsitikinęs, kad vertinti informacines sistemas ir duomenis vien kiekybiškai, vien pagal jų vartotojų skaičių ar potencialaus incidento mastą, nepakanka.
„Pagal šiuo metu egzistuojančią tvarką nedidelės rajono ligoninės duomenys iškart priskiriami žemiausiajai kategorijai, o didmiesčio ligoninės IT sistemoms ir valdomiems duomenims bus taikomi aukštesni saugos reikalavimai.
Socialine prasme čia susiduriame su regionine atskirtimi ir diskriminacija pagal institucijos dydį.
O kas, jeigu kibernetinę ataką patirs ne viena savivaldybė, ne viena ligoninė, o iškart kelios? Incidento ir praradimų mastas iškart išaugs keleriopai, bet kiekviena įstaiga atskirai ir toliau liks su tomis pačiomis saugumo užtikrinimo procedūromis bei priemonėmis, taikomomis mažos reikšmės duomenims. Iš esmės jos galės ir toliau nieko nedaryti“, – portalui lrytas.lt komentavo A.Zuikis.
„O kur dar pačių įstaigų nesuinteresuotumas priskirti valdomus duomenis aukštesnei kategorijai, t.y. ypatingos svarbos ar svarbiems? Juk tai susiję su papildomais rūpesčiais ir įsipareigojimais diegti saugos priemones ir procedūras, užtikrinti kontrolės ir atnaujinimo procesus“, – teigė Telecentro Veiklos vystymo departamento direktorius.
Jo nuomone, vertinant institucijų valdomų duomenų svarbą, nepakanka įvertinti jų potencialaus praradimo riziką – derėtų taip pat atsižvelgti į jų turinį, kokio pobūdžio duomenis institucija valdo.
Griežta ES direktyva
Pašnekovas atkreipė dėmesį ir į europinį reguliavimą. Pagal Europos Komisijos patvirtintą NIS2 direktyvą viešojo administravimo subjektai priskiriami esminių subjektų (angl. essential entities) kategorijai, todėl jiems taikomas ypač platus reikalavimų spektras. Vien technologinių reikalavimų sąrašas, anot A.Zuikio, apima apie 190 komponentų, kurių kontrolė turi būti užtikrinta.
Tad atsiranda didelė tikimybė, kad ilgainiui susidursime su teisės aktų prieštaravimu. Pašnekovas svarstė: tikėtina, kad galiausiai liberali bei duomenų saugumo neskatinanti lietuviška tvarka turės būti keičiama ir priderinama prie griežtos ir imperatyvius įpareigojimus institucijoms stiprinti kibernetinę saugą nustatančios europinės direktyvos.
Ateityje galbūt kartelę pakels
Valstybės informacinių išteklių valdymo įstatyme numatyta, kad labai svarbūs duomenys gali būti laikomi tik VDC, kurie atitinka tokiems centrams keliamus reikalavimus. Vidutinės ir mažos svarbos duomenys gali būti saugomi privačiuose duomenų centruose.
„Sakyčiau, kad toks prioritetizavimo kelias teisingas. Jei ateityje brandos lygis padidės ir su labai svarbios kategorijos ir svarbiais duomenimis VDC susitvarkys, galbūt kartelę pakels, kad ir vidutinės svarbos duomenys galės būti saugomi tik VDC.
Kita vertus, reikia suprasti, kad VDC atsirado tik prieš dvejus metus, iki tol duomenys laikyti privačiuose centruose arba serverinėse, kurios, mūsų vertinimu, kiek galime teigti iš atliktų auditų, neatitikdavo reikalavimų“, – dėstė „Adwisery“ direktorius dr. E.Lipnickas.
Privačias įmones įtraukė, kad būtų efektyviau
Valstybės politiką valstybės informacinių išteklių valdymo srityje formuojančios ir kontroliuojančios EIMIN atstovai portalui lrytas.lt teigė, kad duomenų saugumo lygis priklauso ne nuo to, ar jie saugomi valstybiniame ar privačiame centre, tačiau nuo duomenų centrui ir jo paslaugoms keliamų reikalavimų. Todėl, norėdami apsaugoti duomenis, jų valdytojai turi pasirinkti reikalavimus atitinkantį duomenų centrą.
„Jeigu VDC bus nesaugios ir nekokybiškai sukurtos sistemos, be to, nepasirūpinsime tinkamu prieigos teisių suteikimu ar taikysime netinkamas autentifikavimo priemones, tai neapsaugos sistemos ir duomenų. Apskritai, atsižvelgiant į pasaulines tendencijas, valstybiniame sektoriuje vis plačiau naudojamos viešosios debesijos paslaugos, o valstybinė infrastruktūra – tik valstybei kritiniams duomenims saugoti.
Privačios įmonės irgi valdo jautrius duomenis. Joms numatyta didelė atsakomybė už duomenų saugumą, tačiau jos iki šiol naudojasi privačių duomenų centrų paslaugomis, vadinasi, tas saugumo lygis juos tenkina ir jie pasitiki privačiais duomenų centrais“, – rašoma portalui perduotame ministerijos komentare.
Ten pat minima, jog svarbiausia, kad valstybės duomenys ir IT sistemos nebūtų saugomos tik vienoje teritorijoje, pvz., Vilniuje ir Lietuvoje, o būtų išskirstyti platesnėje teritorijoje užtikrinant veikimą net ir ekstremaliais, pavyzdžiui, kibernetinės atakos, atvejais, jei vietiniai duomenų centrai būtų pažeisti.
EIMIN teigimu, į valstybės duomenų saugojimą įtraukti privačias įmones vertėjo dėl to, kad laikyti mažos svarbos ir mažo jautrumo duomenis taikant tokius pat reikalavimus ir priemones, kokios turi būti taikomos svarbių ir jautrių duomenų laikymui ir apsaugai, netikslinga ir neefektyvu.
„Užsidarymas vien VDC reikalautų pastovių investicijų į valstybinę IT infrastruktūrą ir jos išlaikymą. Be kita ko, privatūs duomenų centrai turi didesnes plėtros galimybes ir lankstumą reaguoti į trumpalaikius duomenų kiekių ir skaičiavimo pajėgumų poreikio svyravimus, neinvestuojant papildomų milijonų į laikinai išaugusius poreikius“, – aiškino ministerijos atstovai.
Investuoja per 20 mln. eurų
Valstybės valdomas Telecentras stato keturis VDC. Pagal projektą iki 2026 m. po du tokius centrus turi atsirasti Vilniuje ir Kaune. Investicijos siekia daugiau nei 20 mln. eurų. Ar dalį duomenų patikėjus saugoti privačioms įstaigoms Telecentro statomi centrai neliks stovėti be naudos?
EIMIN tikina, kad taip nenutiks. Esą duomenų kiekis vis labiau auga, skaitmeninama vis daugiau viešųjų ir administracinių paslaugų, taip pat ir įstaigų veiklos procesų.
„Pasaulinėje praktikoje dabar dažnai taikomas hibridinės multidebesijos modelis, integruojantis lokalius (valstybinius ir nevalstybinius) ir tarptautinius duomenų centrų paslaugų teikėjus. Taip įgyvendinama moderni, efektyvi, atspari, tvari, technologinius ir veiklos poreikius atitinkanti ir geopolitinius iššūkius atliepianti konsoliduota IT infrastruktūra. Tokiu keliu eina ir Lietuva.
Sudarant galimybę naudoti ir privačius duomenų centrus taip pat siekiama išvengti rizikos atskiroms valstybės valdomoms įmonėms monopolizuoti rinką ir prisidengiant pavadinimu „valstybinis duomenų centras“ veikti neefektyviai“, – komentavo EIMIN atstovai.