Naujuoju įstatymu į nacionalinę teisę yra perkeliama Europos Sąjungos priimta Tinklų ir informacinių sistemų direktyva (TIS 2), kuri numato, kad didėjant kibernetinėms grėsmėms organizacijos turi būti pasiruošusios užtikrinti savo tinklų ir sistemų saugumą, nes incidentai gali turėti rimtų pasekmių jų veiklai ir visuomenei. Kibernetinio saugumo įstatymas bus taikomas skirtinguose sektoriuose veikiančioms įmonėms, viešojo sektoriaus institucijoms ir fiziniams asmenims, o pokyčiai palies ir kiekvieną Lietuvos gyventoją.
Apie tai, kokių pokyčių tikėtis įsigaliojus įstatymui – pokalbis su Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės (KAM KSITPG) vadove Inga Sūnelaitiene bei įmonės „Telia“ teisės ekspertu, Mykolo Romerio universiteto teisės profesoriumi Pauliumi Pakutinsku.
Investuojame į save: naudą gaus organizacijos, kiekvienas Lietuvos pilietis ir visa valstybė
Kalbant apie Kibernetinio saugumo įstatymo naudą, Krašto apsaugos ministerijos atstovė I. Sūnelaitienė pirmiausia pabrėžia, kad tai yra vienos iš gynybos linijų stiprinimas – Lietuva bus saugesnė.
„Esant dabartinėms geopolitinėms įtampoms, kibernetinis saugumas tampa neatsiejama įmonių, piliečių ir valstybių saugumo dalimi. Tą rodo ir Ukrainos patirtis. NATO jau pripažino kibernetinę erdvę kaip penktąjį karo domeną, šalia sausumos, oro, jūrų ir kosmoso, pabrėždama jos strateginę svarbą šiuolaikiniame konflikte. Tai dar kartą įrodo, kad saugumas šioje srityje yra esminė sąlyga siekiant apsaugoti tiek nacionalinius, tiek tarptautinius interesus“, – sako KAM KSITPG vadovė.
Ruošiant naująjį įstatymą, Krašto apsaugos ministerija ne tik siekė įgyvendinti TIS 2 direktyvą, bet ir atliepti privataus verslo atstovų, asociacijų, akademikų saugumo poreikį ir lūkesčius naujam teisiniam reguliavimui. Kaip pasakoja I. Sūnelaitienė, ministerija parodė didelį atvirumą šiame teisėkūros procese ir tai įvertino ne viena įmonė bei organizacija. Pašnekovė sako, kad organizacijos dažniausiai supranta, kad naujas kibernetinio saugumo reguliavimas yra joms naudingas: jis atneš naudą tiek pačioms organizacijoms, tiek kiekvienam piliečiui ir visai Lietuvai.
„Kai kurios organizacijos pavadino mus išskirtine ministerija, kuri iš tiesų įtraukia į teisėkūrą privatų sektorių. Su organizacijų ir ekspertų pagalba parašėme įstatymą, kuris atitinka realybę. Abipusis bendradarbiavimas tęsis ir toliau: keisimės patirtimis ir stebėsime, kaip naujasis reguliavimas veikia praktikoje. Per konsultacijas, mokymus ir pratybas teikiame ir numatome teikti dar daugiau praktinio pobūdžio pagalbos organizacijoms. Pavyzdžiui, NKSC atnaujina kibernetinio saugumo informacinį tinklą, kuris bus įrankis visiems kibernetinio saugumo subjektams keistis informacija, informuoti NKSC apie incidentus, gauti rekomendacijas ir patarimus. Esame įsitikinę, kad šis įrankis pagreitins procesus ir galimą atsaką bei pagalbą iš mūsų pusės, jeigu to reikėtų“ – sako KAM KSITPG vadovė.
I. Sūnelaitienė priduria, kad pagrindinė naujojo teisinio reguliavimo nauda organizacijoms yra tai, kad jos patenka į tam tikrą kibernetinio saugumo bendruomenę, o reguliavimas kartu ir reiškia tai, kad gaunama visokeriopa pagalba. Anot KAM atstovės, jei organizacijai rūpi jos ateitis, finansų, intelektinės nuosavybės apsauga, reputacija, savo duomenų saugumas, tai vadovaudamasi šiuo įstatymu, organizacija užtikrina viso to apsaugą. Papildomai bus gaunamos ne tik NKSC rekomendacijos, bet ir reali pagalba incidentų valdymo metu.
P. Pakutinskas pabrėžia, kad įsigaliojus Kibernetinio saugumo įstatymui svarbus vaidmuo tenka ir kiekvienam piliečiui. Pasak pašnekovo, klientas iš savo paslaugų teikėjo turi reikalauti Kibernetinio saugumo įstatymo reikalavimų atitikties – tai turi būti kliento ir paslaugos teikėjo susitarimas. „Telia“ atstovas akcentuoja, kad klientui labiausiai turi rūpėti jo duomenų saugumas.
„Klientas nori jaustis saugiai, todėl turi reikalauti, kad prekės ir paslaugos būtų teikiamos pagal aukščiausius kibernetinio saugumo reikalavimus. Nė vienas asmuo, pirkdamas paslaugą, nenori susidurti su neigiama kibernetinės atakos ar incidento pasekme – nenori, kad iš jo būtų išviliojami pinigai, sunaikinami duomenys ir panašiai Kitas dalykas – dėl naujojo reguliavimo klientai gali tikėtis kokybiškesnių svarbių paslaugų ir greitesnio reagavimo į incidentus.“
„Telia“ ekspertas neslepia, kad klientai ko gero pajaus ir pokyčių, kuriuos jie gali vertinti neigiamai – tikėtina, kad minimaliai didės paslaugų kainos.
„Jei įmonės investicijos dėl naujojo reguliavimo bus labai didelės, puikiai suprantame, kad tos investicijos bus perduotos ir klientui. Bet ir čia reikia suvokti kaip papildomą vertę pačiam klientui. Pozityvesnė vartotojo patirtis ir privatumo pažeidimų nebuvimas – tai yra vertė klientui. Būtent klientas galės geriausiai pajausti pozityvų pokyčių efektą. Mažiausiai investuodamas klientas gali išlošti daugiausiai.“
Pasak P. Pakutinsko, piliečiai, kaip ir įmonės, turi suprasti, kad investicijos į kibernetinį saugumą yra būtinos. Pašnekovas geru pavyzdžiu laiko bendrą visuomenės susitarimą dėl to, kad Lietuvai būtina išlaikyti arba didinti esamą gynybos biudžetą: „turėti stiprią kariuomenę kainuoja brangiai, bet mes ją stipriname, nes suprantame tikslą, o tokia pačia logika reikėtų vadovautis ir kibernetiniame saugume.“
„TIS2 direktyvoje yra aiškiai įvardintas jos tikslas – paskatinti investicijas į kibernetinį saugumą. Norint turėti aukštesnį saugumo lygį reikia investuoti. Reikia suprasti, kad investuojame į save ir savo duomenų bei lėšų apsaugą. Žinome, kad investuojame į gynybą 3,2 proc. BVP ir suprantame, kam to reikia. Į kibernetinį saugumą taip pat būtina investuoti, tačiau su kibernetiniu saugumu yra labai didelė specifika. Nėra vienos organizacijos ar vienos valstybinės institucijos, tokios kaip kariuomenė, kuri išspręstų kibernetinio saugumo klausimą. Kibernetiniu saugumu turime rūpintis visi.
Dažnu atveju kibernetiniai incidentai įvyksta silpniausiose grandyse: jei turėsime daug pažeidžiamų vietų, daug nesusitvarkiusių organizacijų, susidursime su pakankamai daug kibernetinių incidentų. Tik visuotinai besirūpindami kibernetiniu saugumu, galėsime užtikrinti gerokai saugesnę aplinką. Kibernetinio saugumo įstatymas nėra kažkoks valstybės institucijų noras praturėti ar surinkti papildomų mokesčių – tai būtent ir yra tas reikalingas ekosistemos stiprinimas „nuo iki“. Nuo valstybinių institucijų, verslų iki piliečių“, – sako P. Pakutinskas.
Gyvenimas neužrakinus durų: už reikalavimų nesilaikymą – griežtos sankcijos
Apie „papildomus mokesčius“ valstybei „Telia“ atstovas prabyla ne be reikalo. Kalbant apie naująjį kibernetinio saugumo reguliavimą, viešojoje erdvėje neretai užsimenama apie griežtas baudas, kurios numatomos už reikalavimų nesilaikymą. ES sukurtoje direktyvoje užkoduotos piniginės baudos įrašytos ir į Kibernetinio saugumo įstatymą Lietuvoje, tačiau I. Sūnelaitienė akcentuoja – tikimasi, kad griežčiausių baudų skirti neteks niekada.
„Jei organizacijos neatitiks reikalavimų, visų pirma, mes su jomis tikrai susisieksime ir paklausime – galbūt ištiko tokia bėda, kurią mes galime padėti išspręsti. Mes matome šį įstatymą kaip pagalbą įmonėms mūsų teikiamais sprendimais, rekomendacijomis, gairėmis ir viso kelio nuėjimu kartu, kol kiekvienas kibernetinio saugumo subjektas pasieks tokią kibernetinio saugumo brandą, kurios mes prašome.
Mes norime matyti Lietuvą atsparią. Tai yra bendras darbas. Tai nėra vien ministerijos ar NKSC atsakomybė, pirma gynybos linija yra pačios organizacijos. Jos rizikuoja savo verslais, savo reputacija, savo duomenų apsauga. Tai yra kiekvienos įmone besirūpinančio vadovo atsakomybė, o mes esame tie, kurie yra suinteresuoti padėti“, – pasakoja KAM KSITPG vadovė.
„Jeigu pamatysime, kad reikalavimai yra nevykdomi piktybiškai, kad po konsultacijų vis tiek nedaromi prašomi veiksmai, tuomet gali būti įspėjimai, veiklos įmonės stabdymas, vadovo nušalinimas, o galiausiai ir piniginės baudos. Baudos yra didelės, tačiau tai yra prevencinė priemonė, ne baudžiamoji, kurią mes norėtume pritaikyti. Ne toks tikslas. Mes tikimės, kad to niekada nereikės panaudoti.“
Esmines kritinės svarbos paslaugas teikiantiems kibernetinio saugumo subjektams baudos maksimaliai sieks iki 10 mln. eurų. Mažesnės svarbos paslaugų teikėjams – iki 7 mln. eurų. Kiekvienas pažeidimų atvejis bus vertinamas individualiai.
Profesorius P. Pakutinskas mano, kad kai kurios įmonės gali mėginti gudrauti ir siekdamos sutaupyti ir stengtis apeiti Kibernetinio saugumo įstatymo keliamus reikalavimus. Vis dėlto patyręs teisininkas įsitikinęs – taupančios įmonės tikrai nieko neišloš, o tik reikšmingai gali nukentėti jos reputacija.
„Tie, kurie nesuvokia reguliavimo naudos ir vertės, visada ieškos būdų, kaip jį apeiti. Manau, kad tokių bandymų bus. Ar tai yra protinga ir atsakinga? Tikrai ne. Įvykus incidentui, juk negalėsi pasakyti, kad buvai labai gudrus apeidamas įstatymą. Taip pat yra klaidinga manyti, kad įsigaliojus įstatymui ir įvykdžius visus reikalavimus, nebebus jokių kibernetinių atakų ir incidentų. Jų tikrai bus, bet organizacijos bus pasiruošusios. Šioje situacijoje visoms organizacijoms reikėtų suprasti – ko mes norime. Ar norime turėti reputacinių bei finansinių problemų, nepatogumų su partneriais ir klientais, kai prarandami duomenys, ar vis dėlto nenorime.
Kibernetinis saugumas yra toks įdomus reiškinys – kol nėra jokių incidentų, tol atrodo, kad visos investicijos nereikalingos. O kai jau įvyksta incidentai, matome, kad atgaline data nelabai ką galime išspręsti. Ilgainiui pasaulyje mes galime stebėti kibernetinių incidentų drastišką augimą. Ypač dabartinės geopolitinės situacijos atveju, kuomet į šiuos „žaidimus“ įsijungia tokios jėgos, turinčios neribotus resursus ir galinčios vykdyti didžiules kibernetines atakas. Esant tokiai situacijai turime kažko imtis“, – pasakoja P. Pakutinskas.
„Telia“ atstovas pabrėžia, kad „kažko imtis“ šiuo metu labai padeda valstybinės institucijos – Krašto apsaugos ministerija ir Nacionalinis kibernetinio saugumo centras.
„Anksčiau organizacijų pasiteisinimas galėjo būti „nieko nežinau, nebuvo jokių gairių, dariau kaip maniau, kad geriausia, bet nepavyko“. Dabar yra aiškios gairės, o esant šioms gairėms, jei bus dideli incidentai, nuo kurių kentės partneriai ir klientai, jau nebebus galimybės ieškoti kaltų kitur. Tikrai nemaža dalis incidentų įvyksta būtent dėl to, kad įmonėse nėra kibernetinio saugumo higienos, neinvestuojama į priemones apsisaugoti nuo kibernetinių incidentų. Todėl, prieš įsigaliojant naujajam reguliavimui, nors jis ir kompleksiškas numatantis dideles baudos, įmonėms reikėtų orientuotis ne į šias baudas ar kažkokį jų išvengimą, o vertinti reguliavimą kaip didelę valstybės pagalbą bei vieningą susitarimą, kaip turi būti saugomasi nuo kibernetinių grėsmių.“
Pasak P. Pakutinsko, pagrindinė priežastis, kodėl visos Lietuvos įmonės iki šiol neatitinka aukščiausių kibernetinio saugumo standartų, yra taupymas. Taupymą saugumo sąskaita teisininkas vadina gyvenimu su neužrakintomis durimis, todėl organizacijoms jis rekomenduoja geranoriškai ieškoti kibernetinio saugumo sprendimų, nes jie sukuria vertę tiek pačiai organizacijai, tiek jos klientams ir partneriams.
„Visi nori taupyti, kas yra visiškai suprantama, kad tokiu būdu yra didinamas organizacijų konkurencingumas ir lankstumas. Tačiau tai yra tas pats kaip taupyti neužrakinant savo namų durų – mes galime tai daryti ir dažnu atveju gali nieko nenutikti, bet jei kažkas nutiks, mes labai gailėsimės ir į praeitį sugrįžti nebegalėsime. Lygiai tas pats galioja „gudriam“ taupymui kibernetinio saugumo sąskaita. Kai nutiks incidentas, į praeitį „užrakinti durų“ nebesugrįšime“, – sako P. Pakutinskas.