„Yra tokių gandų, kad viešumoje pasirodo visiškai privati informacija, nors jos tokios niekas be to žmogaus negalėtų sužinoti“, – sako Seimo narys Arvydas Anušauskas. Bet tokio pobūdžio gandų buvo visais laikais ir visais laikais buvo baiminamasi, kad asmenys, ypač politikai, žurnalistai, verslininkai, ir visi kiti, dirbantys su specifine informacija, nebūtų šnipinėjami.
Šešėlis dėl galimai perteklinio duomenų kaupimo ir saugojimo dabar krenta ant už kibernetinį saugumą atsakingų institucijų.
Sensoriai leidžia matyti ne tik kibernetines atakas
Gaudžiančioje LRT serverinėje yra įtaisytas sensorius. Sensorius iš LRT tinklo kopijuoja duomenis, kurie yra siunčiami į Nacionalinį kibernetinio saugumo centrą (NKSC). Tokių sensorių, LRT Tyrimų skyriaus duomenimis, jau yra mažiausiai 30 įtaisyta ant svarbiausių valstybės institucijų ir įmonių interneto tinklų.
Sensoriai yra duomenų srauto stebėjimo įrenginiai, jie veikia kaip įsilaužimo perspėjimo sistema, kuri skirta kibernetinėms atakoms identifikuoti. Lietuvoje kibernetinių grėsmių lygis smarkiai išaugo nuo 2014 m., tai vienas didžiausių iššūkių Vakarų demokratijoms.
Kaip LRT Tyrimų skyriui aiškino informacinių technologijų specialistas Marius Pareščius, sensoriai „dažniausiai yra skirti tam, kad užfiksuotų istoriją. Tai yra istoriją, kas įvyko, kai įvyko. Pavyzdys – buvo ataka iki kažkokio serverio, ir įvykus tai atakai, pradėjo neveikti. Tada aiškinasi priežastis, dėl ko neveikia, kas atakavo ir kada atakavo”.
M. Pareščiaus teigimu, yra ir tokių sensorių, kurie taip pat tikrina visą duomenų srautą, kurie ėjo per vienus ar kitus tinklus tam, kad identifikuotų galimas kibernetines atakas, joms dar neįvykus.
Kaip veikia kibernetinė sauga Lietuvoje per sensorius, paaiškina štai ši žemiau esanti schema.
Schemos paaiškinimas: techniškai informacija, kuri yra sukaupta iš valstybės institucijų ir įmonių, būna NKSC serveryje ir ten, anot LRT Tyrimų skyriaus šaltinių, laikoma mažiausiai savaitę. Tai reiškia, kad serveryje kaupiama daug asmeninių duomenų: galimai IP telefonijos pokalbiai, jei ne elektroninių laiškų turinys, tai adresatų sąrašas, visa kita informacija, kurią galima atsekti pagal IP adresus arba bent tai, kas įeina į tinklą ir išeina. Per sensorius praeinančius duomenis analizuoja Nacionalinio kibernetinio saugumo centro specialistai.
Kadangi tai yra susiję su nacionalinio saugumo dalykais, priėjimą prie Kibernetinio saugumo centro serveryje esančių duomenų taip pat turi Antrasis KAM departamentas, užsiimantis karine žvalgyba.
Sensorių paskirtis yra mus apsaugoti nuo kibernetinių atakų, tačiau IT ekspertai sako, kad jie sudaro prielaidas ne tik sukaupti asmeninio pobūdžio turinį, bet ir atlikti išsamią jo analizę.
Anot M. Pareščiaus, ši programinė ir technologinė įranga gali matyti ir turinį.
„Vartotojai vaikšto po interneto svetaines, turinys, kuris yra matomas vartotojams ir ką jie daro, gal kažką skaito, gal rašo, el. pašto susirašinėjimas, telefonų skambučiai, „Messengerio“ pokalbiai arba IP telefonija, jeigu ji yra nepakankamai šifruota, sensoriai juos matys kaip duomenis, o paskui jau tuos duomenis arba patys turi galimybę analizuoti arba tik kaupia“, – sako IT specialistas.
Kas „nusipelno“ sensoriaus ir kaip nuo jo „pasislėpti“
LRT Tyrimų skyriaus duomenimis, tikrai dar ne ant visų valstybės institucijų ir įmonių interneto tinklo yra įdiegti sensoriai.
Grįžkime prie jau matytos schemos. Schemoje yra pažymėta Valstybės kontrolė, tačiau LRT Tyrimų skyriaus duomenimis, LRT, nors tai žiniasklaidos institucija, sensorius yra, tuo metu ant Valstybės kontrolės interneto tinklo sensoriaus nėra. Be to, kai kurios valstybės įmonės, kurių pavadinimai LRT Tyrimų skyriui yra žinomi, prieš diegiant sensorius, pertvarkė virtualius tinklus tam, kad ypatingos svarbos informacinė sistema būtų prieinama, tačiau atskirta nuo bendrovės duomenų tinklų srautų, taigi tokiu būdu buvo apribotas sensoriaus „matymo“ laukas.
Buvęs krašto apsaugos ministras Juozas Olekas sako, kad sensoriai pirmiausiai yra skiriami mūsų saugumui, todėl jei kuri nors institucija tokio įrenginio neturi, ji yra mažiau saugi.
Kiek tokių saugių ir dar nesaugių institucijų ir įmonių yra tai – nevieša informacija, nes įmonių ir įstaigų, ant kurių turi būti diegiamas sensorius, sąrašas yra slaptas. Tačiau kriterijai, nustatyti vyriausybės nutarimu, vieši. Ir šie yra labai platūs. Nuo pavojaus žmogaus gyvybei iki pavojaus valstybės suverenitetui, nuo objekto sutrikimo atveju sukeliamo pavojaus gyventojų skaičiui iki poveikio kitoms Europos Sąjungos valstybėms narėms.
Kriterijai, pagal kuriuos sprendžiama, ar diegti sensorių ant interneto tinklo
Bet šie vyriausybės nustatyti kriterijai neatsako į klausimą, kodėl LRT yra tiek svarbesnė už Valstybės kontrolę, kad vienur sensorius buvo įdiegtas vienas pirmųjų, kitur jo nėra iki šiol. Ir kodėl įstaigos ir įmonės gali pačios nuspręsti, kiek „matomumo“ suteikti sensoriui?
Ar gali būti ir taip, kad sensoriai neatlieka apsaugos nuo kibernetinių atakų funkcijos, jei kai kurios institucijos sąmoningai per juos „paleidžia” tik dalį srauto.
LRT Tyrimų skyriui taip pat kilo klausimas, ar tai, kad jei tinklai, prieš statant sensorių, buvo pertvarkyti taip, kad ne viską skenuotų sensorius, reiškia, jog buvo baiminamasi, kad NKSC serveryje nebūtų kaupiami jų ypatingos svarbos informacinės sistemos duomenys? Tarkime, įmonės vadovų susirašinėjimai.
Kitaip tariant, saugomasi nuo potencialaus šnipinėjimo net ir saugumo sąskaita.
Priemonių saugumui užtikrinti – daug, o kontrolės – jokios
J. Olekas sako, kad šie klausimai gali būti keliami, bet į juos jis turi atsakymą, kad įstatymais visa tai yra tiksliai reglamentuota. Anot politiko, „tokių pokalbių ir susirašinėjimų įstatymas klausytis leidžia tik tokiu atveju, jei yra teismo sankcija. Šiaip įstatyme labai aiškiai parašyta, kad sensoriai yra naudojami tik užkardinti saugumui, o ne analizuoti srautus ir turinį to objekto, į kurį jie papuola.“
Politikai ramina, tačiau advokatė Daiva Dumčiuvienė teigia, kad pagrindo abejonėms dėl neteisėto duomenų kaupimo ir piktnaudžiavimo jais tikrai yra. Ar užtenka Nacionalinio kibernetinio saugumo centro veiklą reglamentuojančio Kibernetinio saugumo įstatymo, kad būtume ramūs, jog toji informacija, kuri surenkama iš valstybinių įmonių ir įstaigų per sensorius, kada nors nepateks į viešumą?
„Nemanau, kad to užtenka“, – sako D. Dumčiuvienė.
Anot advokatės, neužtenka, nes pats įstatymas sako, kad tas pats Kibernetinio saugumo centras gali perduoti duomenis žvalgybos tikslais, ir kontržvalgybos tikslais, ir nacionalinio saugumo tikslais.
„Tai, be abejo, yra daug plačiau nei kibernetinio saugumo tikslais naudojami duomenys, – teigia teisininkė, – šiuo atveju įstatymas, mano supratimu, nėra sistemiškas.”
„Įstatymas pirmiausiai to stokoja ir aš tikiuosi, kad jis bus pataisytas atsižvelgiant į 2016 m. balandžio 27 d. direktyvą dėl asmens duomenų apsaugos ir asmens duomenų tvarkymo tiriant nusikalstamas veikas, taip pat vykdant apsaugą visuomenės nuo grėsmių (be abejo – kibernetinės veiklos įstatymas ir skirtas apsaugoti visuomenę nuo grėsmių), tai šita direktyva bus integruota į įstatymą su visomis žmogaus teisėmis, kurios svarbios kiekvienam iš mūsų“, – komentuoja padėtį D. Dumčiuvienė.
Teisininkai pastebi, kad tame pačiame įstatyme prie NKSC funkcijų yra nurodyta, jog „Nacionalinio kibernetinio saugumo centro lėšomis įdiegtos priemonės naudojamos išimtinai tik kibernetiniam saugumui užtikrinti“, o tai reiškia, kad šiomis priemonėmis galima labai daug padaryti. Tačiau kontrolės mechanizmo – nėra.
Taigi, nėra numatyta, arba visuomenė nėra informuota, kaip NKSC tvarkosi su tuo turiniu, kuris kaupiamas jos serveryje. Ar turinys yra ištrinamas, kaip jis ištrinamas, kas tikrina, ar tikrai duomenų kopijos nepatenka į kitas rankas, ar niekas be teismo sankcijos neanalizuoja būtent per sensorius matomo turinio, pavyzdžiui, elektroninių susirašinėjimų arba bent į tinklą įeinančios ir išeinančios informacijos. Ar padarytos kopijos nesaugomos kažkur kitur, o ne NSKC?
Tokių klausimų ir abejonių kyla dar ir todėl, kad specialus vyriausybės nutarimas, kokių dokumentų reikia kaupiamam turiniui tvarkyti atsirado tik 2016 m. balandį. Tačiau pirmieji sensoriai, kaip teigia LRT Tyrimų skyriaus šaltiniai, buvo pradėti diegti dar 2014 m. LRT sensorius taip pat buvo įdiegtas iki šio nutarimo atsiradimo.
Buvęs krašto apsaugos ministras J. Olekas, pasirašęs daugybę su kibernetiniu saugumu susijusių teisės aktų, sako, nebuvo laiko laukti – kibernetinės atakos kilo viena po kitos. Esą tikslas „buvo apsaugoti informacinę infrastruktūrą. Mes turėjome tikrai ne vieną ataką šitų objektų, čia Seime tai pat buvo. Ir tikslas yra kad NKSC galėtų turėti informaciją ir užkirsti tokioms atakoms kelią”.
Seimo Nacionalinio saugumo ir gynybos komitete klausimai, kuriuos kelia LRT Tyrimų skyrius, nebuvo užduodami, o paskutinį pusmetį komitetas gilinosi tik į vykdomą parlamentinį tyrimą dėl verslo įtakos politikams. A. Anušauskas teigia, kad „2017 m. buvo ne vienas toks svarstymas, tačiau kai prasidėjo parlamentinis tyrimas, tai buvo 2017 m. pabaiga, tai mes jį pabaigėm per pusmetį, tai tą pusmetį turiu pasakyti, kad parlamentinės kontrolės instrumentas buvo visiškai nenaudojamas.“
Nacionalinio kibernetinio saugumo centro vadovas Rytis Rainys pirmadienį atsiliepė į LRT Tyrimų skambutį, tačiau sakė, kad jam reikia pasirengti atsakymams į klausimus ir leidimo kalbėti su žiniasklaida. Tokį leidimą turėjęs suteikti krašto apsaugos viceministras Edvinas Kerza, atsakingas už kibernetinio saugumo politiką, pirmadienį kalbėti sutiko, tačiau trečiadienį per KAM Viešųjų ryšių skyrių prašė klausimų raštu ir SMS žinutėmis informavo, kad neturi laiko atsakyti į klausimus net ir telefonu.
KAM Strateginės komunikacijos ir viešųjų ryšių departamentui buvo išsiųsti ne klausimai viceministrui E. Kerzai, o tik pokalbio tema. Departamentas į suformuluotą temą komentarą atsiuntė lapkričio 1 d.
KAM komentarą rasite žemiau, tačiau klausimai, ar sensoriai, esą atlikdami apsaugos nuo kibernetinių atakų funkciją, tikrai ją atlieka, ar vis dėlto jie naudojami ir jautriems duomenims kaupti, lieka atviri.
Krašto apsaugos ministerijos Strateginės komunikacijos ir viešųjų ryšių lapkričio 1 d. atsiųstas komentaras į temas, kuriomis prašėme interviu KAM pareigūnų.
Nacionalinis kibernetinio saugumo centras, vykdydamas valstybės informacinių sistemų ir ypatingos svarbos informacinės infrastruktūros kibernetinę apsaugą, gali naudoti ir valdyti įvairias technines kibernetinio saugumo priemones. Jų diegimas yra įtvirtintas Kibernetinio saugumo įstatyme. Pačių priemonių diegimo tvarka yra reglamentuota Techninių kibernetinių saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos apraše, patvirtintame krašto apsaugos ministro.
Informacija apie kibernetinius incidentus, gauta iš techninių kibernetinio saugumo priemonių, yra apdorojama Kibernetinio saugumo informaciniame tinkle (toliau – KSIT), kurio valdytojas yra Nacionalinis kibernetinio saugumo centras. KSIT turi patvirtintus nuostatus, saugaus informacijos tvarkymo taisykles, veiklos duomenų saugos nuostatus ir vartotojų administravimo tvarką, kuriuose griežtai reglamentuota, kokie būtent duomenys yra gaunami ir apdorojami, kaip jie tvarkomi ir kas gali prie jų prieiti.
Techninės priemonės, kurias naudoja Nacionalinis kibernetinio saugumo centras, yra skirtos fiksuoti kibernetinius incidentus Valstybės informacinių išteklių ir Ypatingos svarbos informacinės infrastruktūros tinkluose bei vertinti jų kibernetinio saugumo situaciją.
Grėsmių atpažinimo sistema sukurta taip, kad grėsmėms identifikuoti yra fiksuojami tik meta-duomenys (t.y. duomenys apie duomenis, pvz. bylos tipas, sukūrimo data, pan.). Norime atkreipti dėmesį, kad bylos turinys grėsmių identifikavimui nėra reikalingas, todėl šie duomenys nėra fiksuojami, tikrinami ar kaupiami.
Techninės kibernetinio saugumo priemonės Valstybės informacinių išteklių ar Ypatingos svarbos informacinės infrastruktūros tinkluose yra įdiegiamos tik gavus jų valdytojų sutikimą. Užfiksavęs kibernetinių grėsmių atvejus, Nacionalinis kibernetinio saugumo centras įstatymų nustatyta tvarka apie tai informuoja Valstybės informacinių išteklių ar Ypatingos svarbos informacinės infrastruktūros tinklų valdytojus.
Norime atkreipti dėmesį, kad Kibernetinio saugumo įstatymas aiškiai reglamentuoja, kad duomenys, kuriuos apdorojami KSIT, gali būti naudojami tik kibernetinio saugumo užtikrinimo tikslais. Duomenys Nacionalinio kibernetinio saugumo serveriuose yra saugomi 1 m.
Paskelbtas tyrimas apie Europos valstybių veiklą, užtikrinant šalies kibernetinį saugumą, rodo, kad Lietuva šioje srityje padarė ženklią pažangą ir šiuo metu yra antroje vietoje: https://ncsi.ega.ee/ncsi-index/
Toliau pateikiame detalesnę informaciją apie teisės aktus, kurie buvo paminėti prieš tai tekste:
Vadovaujantis Kibernetinio saugumo įstatymo 6 straipsnio 9 punktu Krašto apsaugos ministerija tvirtina techninių kibernetinio saugumo priemonių diegimo planą, nustato jų diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarką. Pačią tvarką galima rasti čia: https://www.e-tar.lt/portal/lt/legalAct/7faa0300f3c611e4927fda1d051299fb
Vadovaujantis Kibernetinio saugumo įstatymo 8 straipsnio 2 dalies 8 punktu, Nacionalinis kibernetinio saugumo centras pagal techninių kibernetinio saugumo priemonių diegimo planą, suderintą su subjektais, valdančiais ir (arba) tvarkančiais Valstybės informacinius išteklius ar Ypatingos svarbos informacinės infrastruktūros valdytojais, laikydamasis krašto apsaugos ministro nustatytos tvarkos, diegia ir valdo technines kibernetinio saugumo priemones valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėse infrastruktūrose. Nacionalinio kibernetinio saugumo centro lėšomis įdiegtos priemonės naudojamos išimtinai tik kibernetiniam saugumui užtikrinti.
Ypatingos svarbos informacinės infrastruktūros valdytojai, pagal Kibernetinio saugumo įstatymo 12 straipsnio 1 dalies 4 ketvirtą punktą, sudaro sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones ypatingos svarbos informacinėje infrastruktūroje ir taikyti technines priemones, siekiant įvertinti ypatingos svarbos informacinių infrastruktūrų atsparumą kibernetiniams incidentams.
Kibernetinio saugumo įstatymo 15 straipsnis numato informacijos apsaugą ir reglamentuoja, kad Kibernetinio saugumo politikos įgyvendinimo institucijos kibernetinio saugumo subjektų pateikta informacija, įskaitant ir konfidencialią informaciją, turi teisę keistis tik tiek, kiek tai yra būtina šių institucijų funkcijoms pagal kompetenciją atlikti ir privalo užtikrinti gautos informacijos apsaugą.