2016 m. vienu metu vykdytos atakos buvo nukreiptos į Seimo, prezidentūros, Vyriausybės, didžiosios dalies ministerijų, įvairių valstybinių institucijų, tarp jų - Valstybinės mokesčių inspekcijos, Centrinės projektų valdymo agentūros tinklalapius, o atakos metu vadinamasis „botnet“ tinklas apėmė kone 10 tūkst. kompiuterių.
- Ar mūsų aukščiausių valstybinių institucijų svetainių apsauga tokia silpna, kad ir nepilnamečiai be didelio vargo gali jas „nulaužti“? - „Vakaro žinios“ paklausė Mykolo Romerio universiteto profesoriaus, besispecializuojančio IT teisės srityje, Dariaus ŠTITILIO.
- Dažnai elektroniniai nusikaltimai tuo ir pasižymi, kad juos vykdantys asmenys ne visuomet yra atsakomybės subjektai. Tai ir yra problema, kuri žinoma net pasaulinėje praktikoje. Yra buvę atvejų, kai net 5 ar 6 metų vaikai atlikdavo labai rimtas neteisėtas veikas elektroninėje erdvėje. Juk patys matome, kaip kone ką tik gimę vaikai jau žaidžia planšetėmis.
Reikia paminėti, jog atsiranda daug papildomų galimybių. Jei anksčiau kas nors norėdavo organizuoti „DDoS“ ataką, pirmiausia turėdavo kurti tam skirtą zombių kompiuterių tinklą. O dabar tokią paslaugą jau galima nusipirkti. Nebereikia pačiam būti specialistu norint suorganizuoti šią ataką. Reikia turėti lėšų ir žinoti, kur tai užsakyti.
- Kokios išvados peršasi vertinant turimas saugos sistemas?
- Skaitant oficialiai paskelbtą Nacionalinio kibernetinio saugumo centro ataskaitą darosi liūdna. Rengiant ataskaitą remtasi viešuoju sektoriumi, rezultatai labai prasti. To neslepia ir pati institucija. Priežasčių, kodėl tokia situacija, yra labai įvairių. Manyčiau, kad viena iš priežasčių yra neefektyvus lėšų panaudojimas, kartais gal net paremtas kyšininkavimo atvejais, kuriais taip pat turėtų tarnybos užsiimti. Neseniai Valstybės kontrolės ataskaitoje buvo konstatuota, kad e.sveikatos sistema buvo kurta 3 kartus. Pirmų dviejų variantų, nors jiems buvo panaudoti milijonai eurų, tiesiog atsisakyta. Tai jeigu mes galime sau leisti tokias išlaidas, todėl ir esame tokie neturtingi.
- Ar įvykus kibernetinei atakai krinta kokia nors atsakomybė gamintojui ir saugos sistemos administratoriui už nekokybišką produktą ar suteiktą nekokybišką paslaugą?
- Kalbant apie institucijų saugos sistemas buvo net anekdotinių atvejų, kaip, pvz., Vyriausiosios rinkimų komisijos puslapio atveju. Net trūksta žodžių. Kaip galima tokio brangaus užsakymo kontekste palikti tokių esminių saugumo skylių, kai į sistemą buvo galima patekti net neturint programavimo įgūdžių.
Turėtų būti viena konkreti institucija, dirbanti šiais klausimais. Dabar to nėra. Esame viena iš 3 Europos valstybių, kurios neturi kibernetinio saugumo strategijos, kurioje būtų įvardyta, ką valstybėje reikia saugoti ir nuo ko. O juk planuojant ilgalaikę veiklą strateginiai dalykai ir yra pagrindas.
- Rodos, tokiems darbams 2015 m. ir buvo įkurtas Nacionalinis kibernetinio saugumo centras. Dabar jis priskirtas Krašto apsaugos ministerijai ir net neturi savo svetainės. Dėl saugumo, siekiant išvengti kibernetinių atakų, ar todėl, kad nelabai ką ir veikia?
- Jų klausantis atrodo, kad jie tikrai bent jau bando veikti, atlieka ir tyrimus, pateikia ataskaitas. Mes siūlėme, kad centras būtų nepriklausomas. Nes dabar centras gali duoti nurodymus visoms valstybinėms įstaigoms, taip pat ir ministerijoms. Kaip manote, kokius nurodymus centras gali duoti Krašto apsaugos ministerijai, kurios dalimi pats yra? Gal tai gali atrodyti smulkmenos, bet tai yra esminiai dalykai. Tokios institucijos turi būti nepriklausomos ir turėti galią valstybėje, nustatyti realias atgrasančias sankcijas. Nes dabar tenka išgirsti nuomonių, kad subjektai nesivargina įdiegti tam tikrų saugumo priemonių, nes jos kainuoja brangiau, nei sumokėti baudą. Tokias pozicijas girdžiu ir iš valstybinio sektoriaus.
Povilas URBŠYS, Seimo narys:
Arba tie nepilnamečiai yra vunderkindai, kuriuos kaip tik reikėtų įdarbinti, kad jie apsaugotų mus nuo kibernetinių grėsmių, arba mūsų sistema yra tokia, kad net nepilnamečiai gali ją įveikti. Jei taip yra, kažkas turi prisiimti atsakomybę, nes šiems dalykams buvo išleista dešimtys milijonų, jeigu ne daugiau, kad būtų užtikrintas sistemos saugumas. Jei paaiškėja, kad saugumas yra visiškai pažeidžiamas, kyla klausimas, kas atsakingas.
Juk valstybės piliečiai konkrečioms institucijoms teikia savo įvairius duomenis, o tuomet pasirodo, kad šie duomenys yra labai lengvai prieinami. Aš pats buvau labai nustebęs, kai sužinojau, kad Valstybinės tarnybinės etikos komisijos duomenų bazė nėra registruota pagal atitinkamus reikalavimus. O saugomi duomenys - tikrai naudingi priešiškų šalių žvalgyboms.
Neseniai mūsų specialiosios tarnybos konstatavo, kad dėl kibernetinio saugumo ir atsakomybės mūsų valstybinėse institucijose kyla problemų. Jei šiuo atveju bus apsiribota tik tuo, kad tie paaugliai bus patraukti baudžiamojon atsakomybėn, bet valstybinėse įstaigose į duomenų apsaugą nebus rimtai pažiūrėta, tai, man atrodo, prilygsta šaudymui iš patrankos į žvirblius.
Visur, kur tik matome išleidžiamus pinigus informacinėms technologijoms, matome, kad viskas stringa, neveikia, neatitinka reikalavimų. Pradedant tuo, kad nepilnamečiai įsilaužia į institucijų puslapius, prisimenant neveikiančią e.sveikatos sistemą ar net Vyriausiosios rinkimų komisijos puslapį. Susidaro įspūdis, kad konkursai vykdomi be valstybinių institucijų priežiūros. Ar institucijoms trūksta kompetencijos, ar jose yra asmenys, suinteresuoti tik didinti pelnus IT paslaugų teikėjams?
Galiausiai turi būti priimti sprendimai, kad viena institucija būtų atsakinga už šią sritį, ir būtų galima iš kažko pareikalauti atsakomybės. Juk šiuo atveju, kai buvo įsilaužta į konkrečių valstybinių institucijų bazes, institucijose turėjo būti inicijuoti tarnybiniai patikrinimai ir nustatyta, kas atsakingas už tai, kad buvo įsigyta tokia pažeidžiama sistema ir nebuvo užtikrintas saugumas. Juk yra sutartys, gal net yra žmonės, kuriems už tą saugumo užtikrinimą galėjo būti mokami atlyginimai. Bet bijau, kad bus apsiribota viešu nepilnamečių nulinčiavimu. Nors iš tiesų jiems reikėtų padėkoti, kad parodė šias spragas.
Kibernetinio saugumo ir telekomunikacijų tarnybos prie Krašto apsaugos ministerijos atsakymas
Apsaugos sistemų administratoriai neturi nieko bendra tiesiogine prasme su kibernetiniu saugumu. Kalbant apie kibernetinį saugumą, atsakomybė pirmiausia tenka informacinių sistemų valdytojui (organizacijai) pirkusiam paslaugą. Toliau jau pirkėjas sudarytos sutarties su paslaugos teikėju rėmuose nustato, kas ir už ką yra atsakingas.
Kibernetinio saugumo ir telekomunikacijų tarnyba prie Krašto apsaugos ministerijos savo svetainės neturi, o Nacionalinio kibernetinio saugumo centro svetainė šiuo metu yra testuojama ir plačiam skaitytojų ratui šiuo metu dar nėra pasiekiama.
Parengta pagal dienraštį „Vakaro žinios“
Rašyti komentarą