Bent jau tokius ambicingus pažadus žarstė Krašto apsaugos viceministras Edvinas Kerza, kuris pabrėžė, jog prieš kelias savaites patvirtinus metus rengtą naująją Nacionalinę kibernetinio saugumo strategiją, jos įgyvendinimui liko labai nedaug laiko.
E. Kerzos teigimu, „Yandex. Taxi“ atvejis tik dar kartą patvirtino, kodėl reikėjo tokio dokumento. Jame kaip tik numatytas kibernetinio saugumo, prevencinės veiklos ir nacionalinių kibernetinių gynybos pajėgumų stiprinimas.
Skeptikų teiginiams, esą tokie strateginiai dokumentai Lietuvoje neretai tiesiog dūla stalčiuose atšaunama, kad strategija numato aiškias kryptis, konkrečius veiksmus, kurių nesiėmus lauks tikrinimai, o gal net ir baudos.
Ir atvirkščiai, numatytas talentų pritraukimas bei spragas aptikusių asmenų skatinimas. Esą jau dabar Lietuva savo galimybėmis kibernetinio saugumo srityje gerokai lenkia tuo labiau besigiriančius estus – Lietuva gali ne tik gintis, bet ir pulti.
„Yandex“ – po didinamuoju stiklu
Bet kodėl Lietuva neapsigynė nuo „Yandex. Taxi“, kurios atėjimas iššaukė audringą visuomenės, politikų ir institucijų reakciją? Juk Nacionalinis kibernetinio saugumo centras (NKSC) rekomendacija nesinaudoti nesaugios programėlės paslaugomis, kuri galimai daro tą patį, ką „Yandex“ pripažino dariusi prieš 7 metus – perdavusi privačius asmeninius duomenis Rusijos Federalinei saugumo tarnybai, pasirodė tik paslaugos pristatymo dienomis.
„Lietuva – demokratinė valstybė, joje jūs galite įsteigti UABą neišėjęs iš namų, niekas negali uždrausti pradėti vykdyti veiklos, čia galioja lygios teisės visiems, nesvarbu kokia jūsų tautybė – jei atitinkate reikalavimus, o „Yandex. Taxi“ formaliai atitinka, yra registruota Nyderlanduose, pagrindo neleisti pradėti ūkinės veiklos nebuvo.
Mes jau pirmą dieną nustatėme, kad yra neaiškūs veiklos požymiai, kad programėlė atlieka tam tikrus veiksmus budėjimo režime, galimos sesijos už ES ribų.
Kodėl įdiegta programėlė turi prieigą prie mikrofono budėjimo režime? Kodėl GPS turi veikti budėjimo režime ir siųsti kažką už ES ribų? Ar ten jūsų nuotraukos? Jūsų buvimo vieta? Gal ten jūsų kontaktai? Todėl ir informuojame pilietį, tarnautoją, pareigūną, nes kyla verbavimo rizikos, galima sužinoti, kas kur lankosi, kur kieno giminės, asmuo gali būti šantažuojamas“, – sakė E. Kerza, pažymėjęs, kad šiuo metu Valstybinė duomenų apsaugos inspekcija (VDAI) tęsia tyrimą.
Ir kol kas įtarimai tėra teoriniai – kol nėra įrodymų, kuriuos būtų galima pateikti teismui, jokių kalbų apie draudimus negali būti. O įrodymus rinkti sunku, mat programėlė sukurta profesionaliai – šifravimo algoritmai sudėtingi, dalis sertifikatų – nekomerciniai.
„Bet nepamirškite, kad Lietuvoje specialiosios tarnybos pakankamai pajėgios ir neabejoju, kad artimiausiu metu gausime papildomos informacijos“, – įspėjo E. Kerzna, pripažinęs, kad informacijos laukiama ir iš užsienio.
Vis dėlto jis pripažino, kad vos tik pasirodžius informacijai apie „Yandex. Taxi“ atėjimą į Lietuvą, buvo kreiptasi į kolegas Baltijos šalyse, pirmiausiai į estus, kurių rinkoje ši programelė pasirodė pirmiausiai. Tačiau Estijos, technologinėmis naujovėmis ir, iš pirmo žvilgsnio, kibernetinio saugumo supratimu garsėjančios šalies įvaizdis pasirodė kiek apgaulingas.
Kuo estus pranoksta lietuviai?
„Teko bendrauti su kolegomis Estijoje, Latvijoje, kodėl jie neinformavo visuomenės apie grėsmes. Žinau, kad ir po VDAI pradėto tyrimo, jie kreipėsi į savo kolegas Baltijos šalyse, bet estai neatliko jokių tyrimų, nes neturi tokio lygio specialistų ir pajėgumų kaip mes turime konsolidavę Krašto apsaugos sistemoje.
Estų specializacija daugiau teorinė. Pavyzdžiui, yra jų kibernetinio saugumo centras, bet jie nieko nesaugo, negina. Ten kuriamos doktrinos, vyksta teoriniai mokymai, o Lietuvoje vyksta praktiniai mokymai“, – tikino E. Kerza.
Tokie drąsūs pareiškimai, kad Lietuva esą lenkia Estiją kibernetinio saugumo srityje, anot E. Kerzos, nėra tik savigyra – jie pagrįsti faktais.
„Mes vertinami ES ir NATO, nors ir neinvestuojame į viešuosius ryšius, nerodome gražių paveikslėlių, už kurių nieko neturime, bet sakome: čia yra mūsų niša, turime gebėjimus. Juk kas yra ES kibernetinių greitojo reagavimo pajėgų autoriai? Lietuviai – labai konkretūs žmonės, trintys įrankius, serverius, supakuotus į lagaminus, laidus.
Būtent Lietuvoje neatsitiktinai neseniai vyko kibernetinio saugumo pratybos „Tvirtas Kobaltas“, kuriose per tūkstantį karių iš NATO ir partnerių valstybių treniravosi realiomis sąlygomis ne tik gintis, bet ir kontratakuoti kibernetinėje erdvėje.
Lietuva deklaruoja, kad gali tokias pratybas ir toliau rengti Kaune, kur kartu su amerikiečiais kuriamas regioninis kibernetinės gynybos ir kompetencijų centras.
Čia yra mūsų išskirtinumas: viską darome praktiškai – pas mus tikri prietaisai, laidai, tikras palydovinis ryšys, jungiamasi prie NATO sistemų, imituojamos puolamosios operacijos, o estai viską daro virtualioje aplinkoje, tik teoriškai“, – tikino E. Kerza.
Jo teigimu, nors NATO visada tvirtins, kad yra gynybinė organizacija, šio Aljanso narės gali turėti puolamuosius pajėgumus, pavyzdžiui, apie tokių kūrimą neseniai paskelbė Prancūzija. Apie Lietuvą viceministras kalbėjo kiek aptakiau ir iliustratyviau.
„Lietuva turi aktyvią gynybą. Ką tai reiškia? Įsivaizduokite – į jus šaudo tankas. Galite bėgioti, slapstytis, bet norint neutralizuoti grėsmę, tanką reikia sunaikinti. Lietuva turi pajėgumus, gali apsiginti aktyviai – identifikuoti ir neutralizuoti oponentą“, – tikino E. Kerza.
Liko vos keli mėnesiai
Tiesa, jis pripažino, kad tokių pajėgumų turėjimas – tik ledkalnio viršūnė, būtent todėl svarbi strategija, kurios pagrindinės kryptys yra 5: Nacionalinių pajėgumų stiprinimas ir didinimas, Kibernetinių nusikaltimų prevencija, užkardymas ir tyrimas, pajėgumų didinimas, švietimo ir inovacijų sritis, bendradarbiavimas tarp valstybinio ir privataus sektoriaus bei mokslo ir tarptautinis bendradarbiavimas.
„Kiekvienai iš tų penkių krypčių numatyti konkretūs darbai“, – sakė pašnekovas, pridūręs, kad pirmieji įgyvendinimo darbai turėtų prasidėti jau už kelių mėnesių.
Pavyzdžiui, pripažįstant, kad kibernetinių nusikaltimų žala siekia šimtus milijardų eurų per metus, būtina geriau apmokyti visus Lietuvos pareigūnus, kad šie gebėtų atpažinti tokius nusikaltimus.
Daug kritikos dėl neefektyvumo, išteklių trūkumo ir kitų įsisenėjusių ydų sulaukiančioje Švietimo srityje taip pat laukiama permainų. Anot E. Kerzos, jau dabar organizuojami mokymai savivaldybėse, skatinamas bendradarbiavimas tarp Lietuvos ir užsienio šalių universitetų, tariamasi dėl bendrų projektų, studentų mainų programų.
Tačiau tai – tik pradžia, mat kibernetinio saugumo strategijoje pažymėta, jog informacinių ir ryšių technologijų (IRT) specialistų Lietuvoje tėra 22,6 tūkst. Vien privačiame sektoriuje per artimiausius trejus metus reikės dar apie 13.3 tūkst. tokių specialistų.
„Universitetai ar KAM jų visų neparuoš, turime keisti mąstymą – taip pat ir privatus sektorius, kuris turi investuoti į IRT srities mokymus“, – pabrėžė E. Kerza, pažymėjęs, kad šiemetinės Europos inovacijų diegimo rezultatų suvestinės duomenimis Lietuvoje dėmesys tokiems mokymams dvigubai atsilieka nuo ES vidurkio – 10 proc. Lietuvoje prieš 21 proc. Bet žiūrint į augantį IRT specialistų poreikį, jau nuo kitų metų ketinama daugiau dėmesio skirti ir mokiniams.
Kelia ambicingus tikslus
„Esu įsitikinęs, kad 5-6 klasėse galime dėstyti kibernetinio saugumo temas per įvairius dalykus. Šeštokas jau turi būti supažindintas su IRT kultūra, ką internete galima daryti, ko ne, kokios yra rizikos, kas yra tapatybės vagystė.
Ir tai turi būti dėstoma ne tik per informatikos pamokas, bet ir per ekonomikos, nes kibernetinis saugumas yra ir ekonominis veiksnys. Ir per istoriją“, – teigė E. Kerza, pažymėjęs, kad kibernetinio saugumo strategijoje savo pastabų rašė ne tik NKSC, bet ir universitetai, Švietimo ir mokslo ministerijos specialistai, kriminalinės policijos pareigūnai – iš esmės keitėsi turinys bei apimtis, kuri sumažėjo nuo 50 iki 18 puslapių.
Vis dėlto, kaip valstybė gali tinkamai skirti dėmesio kibernetinio saugumo švietimui, jei trūksta pačių mokytojų ar lėšų mokyklų remontams, jei kasmet egzaminų rezultatai tik prastėjo, o iš nuolatinių reformų pelkės neišbrendančioje švietimo pelkėje ką nors nuveikti norinčių ir gebančių idealistų kasmet – vis mažiau? Ir galiausiai: kas už visa tai mokės?
„Finansai nevaidina lemiamo vaidmens, nes kibernetinė sauga nedaug kainuoja. Kalbame apie 4-5 mln. eurų iš KAM, bet yra ir daug instrumentų: ES fondai – apie 9 mln. eurų, dar 5 mln. iš JAV, stengiamės pritraukti kitų pinigų kibernetinei saugai, o konkrečias sumas švietimui suskaičiuosime po dviejų mėnesių“, – tikino E. Kerza.
Tiesa, jo manymu, sumažinti atsilikimą iki nulio vargu ar pavyks net svarstant optimistiškiausius scenarijus – daug ką lems ir demografiniai, ir technologijų pažangos veiksniai. Tačiau, anot viceministro, strategijoje yra numatyti ambicingi siekiai.
Pavyzdžiui, jei pernai Lietuvos vieta pasauliniame kibernetinio saugumo indekse buvo 57 ir, anot E. Kerzos, reiškė, kad „iki šiol nieko niekas nematavo, nežiūrėjo, nieko rimtai nedarė“, tai 2021 m. užsibrėžtas tikslas papulti į trisdešimtuką. Iki tų metų ne mažiau, šalies pareigūnų, prokurorų, specialistų ir ekspertų, dalyvaujančių tiriant kibernetinius nusikaltimus skaičius turėtų siekti ne mažiau 70 proc. Bet tai – tik sausa statistika, beveik nieko nesakanti eiliniam vartotojui.
„Jau pernai sakėme, kad ne visi viešojo sektoriaus įstaigų vadovai laikosi reikalavimų, užtikrinant kibernetinį saugumą. Todėl priėmus naują įstatymą buvo pakoreguotas ir administracinių nusižengimų kodeksas, įvestos asmeninės baudos įstaigų vadovams.
Jie privalo rūpintis ne tik priešgaisrine, bet ir kibernetine sauga, nes jų informacinėje sistemoje esantiems privačių asmenų duomenims taip pat gali kilti grėsmė, o jei ši nevertinama, tai vadovai turi jausti atsakomybę“, – pabrėžė E. Kerza.
Vis dėlto DELFi viceministrui priminė atvejį, kai tie patys valstybės pareigūnai, patvirtino nerašytą taisyklę, kad Lietuvoje už iniciatyvą gali būti baudžiama.
Vangių pareigūnų lauks baudos
Nors pačioje Kibernetinio saugumo strategijoje įrašyta, jog vienas uždavinių yra „ugdyti kūrybiškumą, pažangius gebėjimus ir rinkos poreikius atitinkančius kibernetinio saugumo įgūdžius ir kvalifikaciją“, o „IRT saugumo spragų ieškantiems sudaromos sąlygos ir skatinamas bendradarbiavimas“, realybė vienam 13-mečiui, kuris viename elektroniniame dienyne aptiko pavojingą kibernetinio saugumo spragą buvo karti.
Jis ne tik nesulaukė reakcijos iš elektroninį dienyną administruojančios įmonės – ši nesiteikė taisyti savo klaidos. Bet vietoje padėkos jaunuolis sulaukė bauginimų. Ir ne iš bet kur, o iš vieno VDAI darbuotojo, kuris baugino 13-metį ir jo tėvus anoniminėje DELFI diskusijų erdvėje.
„Ši problema žinoma, naujame kibernetinio saugumo įstatyme yra netgi tokia sąvoka: savanoriškas pranešimas apie incidentą. Tas žmogus, kuris rašė tuos komentarus elgėsi visiškai netinkamai, tikiuosi, kad jis nubaustas.
Mes kaip tik sakome: praneškite mus apie tokias spragas, nes jau sukūrėme informacinę sistemą, kurioje dalyvauja didelė dalis strateginę reikšmę turinčių įstaigų ir įmonių. Jei kas praneša, visi gauna informaciją apie grėsmę, tai vyksta kasdien. Be to, sukurta dar viena sistema, kuri automatiškai apdoroja informaciją, informuoja tuos, kam gali kilti grėsmė arba paslaugos tiekėją – kad ir kas jis bebūtų. Net naktį ir savaitgaliais budinami inžinieriai tų kompanijų, kur gali kilti grėsmės“, – tikino viceministras.
Minėtą 13-mečio atskleistą atvejį jis vadino pavyzdžiu, kaip nuo šiol viskas esą būtų daroma kitaip: jei apie grėsmę būtų informuojamas NKSC, specialistų komanda iš karto galėtų vykti į nurodytą vietą – jie nuo šiol turi teisę suteikti privalomą nurodymą ištaisyti spragą, o neįvykdžius privalomo NKSC reikalavimo gali būti nedelsiant vykdomas privalomas auditas, skiriamos baudos, stabdoma pažeidėjo veikla. O pranešėjas?
„Mes jam padėkosime, ir, kaip su kai kuriais privačiais specialistais vyks neformalus bendradarbiavimas, įtraukiami į pratybas“, – žadėjo viceministras.