Please update your Flash Player to view content.

Ar Lietuvoje tinkamai užtikrinamas kibernetinis saugumas?

Dažniausiai kibernetinės atakos vykdomos iš Rusijos, Kinijos, Šiaurės Korėjos, Irano, Pakistano ir kitų tarptautiniuose konfliktuose dalyvaujančių šalių įvairiausiais tikslais – tinklalapio veiklos sutrikdymo, pinigų, asmens duomenų vagystės, visuomenei gyvybiškai svarbių infrastruktūrų veiklos sutrikdymo. Atsižvelgiant į tai, yra svarbu užtikrinti kibernetinį saugumą tiek Europos Sąjungos, tiek Lietuvos lygiu.

Europos Parlamentas 2016 m. liepos 6 d. priėmė Kibernetinio saugumo direktyvą, kuri įsigalios rugpjūčio mėnesį. Šioje direktyvoje reglamentuota, kad valstybės narės privalės parengti Nacionalinę kibernetinio saugumo strategiją ir paskirti instituciją, atsakingą už tinklų ir informacinių sistemų saugą, kuri bendradarbiaus ir keisis informacija su analogiškomis institucijomis visoje Europos Sąjungoje. Manytina, kad ši direktyva sukurs efektyvesnį kibernetinio saugumo rizikos vertinimo, priežiūros ir keitimosi informacija mechanizmą ir tikėtina, kad padės pristabdyti ir efektyviau suvaldyti nuolat didėjantį kibernetinių incidentų srautą. Valstybės narės iki 2018 metų vidurio turės parengti direktyvą įgyvendinančius nacionalinius teisės aktus.

Lietuvoje kibernetinį saugumą reglamentuoja Kibernetinio saugumo įstatymas (įsigaliojo 2015 metais), pagal kurį kibernetinio saugumo politiką organizuoja ir įgyvendina:

  • Nacionalinis kibernetinio saugumo centras (analizuoja kibernetinio saugumo situaciją Lietuvoje ir reaguoja į kibernetinius incidentus valstybės institucijų informacinėse sistemose bei visuomenei svarbios infrastruktūros operatorių valdomose sistemose);
  • Krašto apsaugos ministerija (formuoja kibernetinio saugumo politiką, organizuoja, kontroliuoja ir koordinuoja jos įgyvendinimą);
  • Vidaus reikalų ministerija (rengia ir teikia Vyriausybei tvirtinti ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką ir ypatingos svarbos informacinę infrastruktūrą ir (arba) šios infrastruktūros valdytojų sąrašą);
  • Ryšių reguliavimo tarnyba (atlieka kibernetinių incidentų stebėseną ir prevenciją viešuosiuose ryšių tinkluose);
  • Valstybinė duomenų apsaugos inspekcija (atlieka kibernetinių incidentų stebėseną asmens duomenų apsaugoje, teikia informaciją apie kibernetinio saugumo, susijusio su asmens duomenų apsauga, rizikos veiksnius, pavojus ir grėsmes kibernetinėje erdvėje);
  • Policijos departamentas (renka, analizuoja ir apibendrina informaciją apie kibernetinius incidentus, galimai turinčius nusikalstamos veikos požymių, turi teisę apriboti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų teikimą paslaugų gavėjui, jeigu tai susiję su kibernetinėmis atakomis);
  • Kibernetinio saugumo taryba (analizuoja kibernetinio saugumo užtikrinimo būklę ir teikia pasiūlymus kibernetinio saugumo dalyviams dėl šios būklės gerinimo).

Viešojo administravimo subjektai, ypatingos svarbos informacinės infrastruktūros valdytojai turi pareigą informuoti Nacionalinį kibernetinio saugumo centrą, Valstybinę duomenų apsaugos inspekciją bei policiją apie įvykusius kibernetinius incidentus, asmens duomenų saugumo pažeidimus. Taip pat šios institucijos turi paskirti bent vieną asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą.

Pasak Valstybės kontrolės, Lietuvos valstybinės institucijos vidutiniškai taiko tik ketvirtadalį kibernetinei saugai užtikrinti rekomenduojamų organizacinių priemonių ir tinkamai įgyvendina mažiau nei pusę kibernetinei saugai užtikrinti rekomenduojamų techninių priemonių, nors Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti 2008 metais Valstybinės duomenų apsaugos inspekcijos, yra privalomi tiek viešiesiems, tiek privatiems asmens duomenų valdytojams ir tvarkytojams, kurie informacinėse sistemose saugoja asmens duomenis. Tikimasi, kad Nacionalinis kibernetinių incidentų valdymo planas (priimtas šių metų pradžioje) pagerins kibernetinio saugumo situaciją.

Apibendrinant galima teigti, kad kibernetines atakas gali patirti įmonės, įstaigos, kurios savo teikiamomis paslaugomis yra svarbios visuomenei bei kaupia informaciją. Dėl šios priežasties turi būti investuojama į tinkamą asmens duomenų saugojimą, užtikrinamos saugumo priemonės, nes tikėtina, kad ateityje kibernetinių atakų tik daugės.

 

HOROS primena, kad specializuojasi asmens teisinių duomenų srityje, teikia konsultacijas, rengia privalomus dokumentus. Taip pat HOROS informuoja apie naujai teikiamą paslaugą – kibernetinio saugumo patikrinimą įmonėje siekiant užtikrinti tinkamą duomenų saugumą bei apsaugoti asmens duomenis nuo kibernetinių atakų.

 

Straipsnį parengė teisinių ir personalo paslaugų bendrovė HOROS.