ShutterstockValstybės, jos įstaigų ir privačių bendrovių bei asmenų valdomos informacinės sistemos priešiškos šalies taikiniu gali tapti net nepradėjus konvencinių agresijos veiksmų. Kibernetinės atakos jau dabar yra gana dažnas reiškinys, tačiau daugelis jų kol kas apsiriboja valstybės institucijų, bankų, žiniasklaidos priemonių veiklos trikdymu.
Plataus masto kibernetinis karas, kuris galėtų būti ir fizinės agresijos palydovas, keltų grėsmę ištisoms itin svarbioms duomenų bazėms ar kėsintųsi į asmens „skaitmeninę gyvybę“.
Kokių rizikų kyla? Ar Lietuva pasirengusi jas atremti?
Karo metu valstybė, esant poreikiui, gali perimti privatų asmens turtą, tačiau tai turi būti daroma įstatymu nustatyta tvarka ir atlyginant patirtus nuostolius. Kyla klausimų, kaip ir kur tokie turto perėmimo atvejai karo metu turėtų būti registruojami, kad informacija būtų apsaugota nuo sunaikinimo?
Advokatų kontoros „Sync“ advokatas Tomas Lileikis teigė, kad nėra bendros sistemos, kurioje būtų registruojamas toks nuosavybės paėmimas: „Praktikoje apskaita vykdoma decentralizuotai – pagal Vyriausybės patvirtintas dokumentų formas, kurias pildo savivaldybės ir karinių vienetų atstovai. Vyriausybės nutarime Nr. 1295 patikslinta laikinojo turto paėmimo ir rekvizicijos tvarka. Iš jos turinio matyti, kad tiek poreikio formos, tiek priėmimo ir perdavimo aktai, tiek apskaita yra orientuoti į konvencinį – popierinį – sudarymą ir pasirašymą ranka.“
Anot teisininko, šie duomenys saugomi popieriniuose aktuose ir, jei savivaldybės ar institucijos priimtų tokį sprendimą, gali būti saugomi vidinėse informacinėse sistemose, pavyzdžiui, savivaldybės turto apskaitos sistemoje. Jis pabrėžė, kad minėtas Vyriausybės nutarimas nenumato, jog privaloma įkelti į Nekilnojamojo turto registrą ar kitą valstybės informacinę sistemą, taip pat nėra numatyta integracija su Registrų centru.
Nors T. Lileikis pripažino, kad paskelbus karo padėtį tokio pobūdžio sistema galėtų padidinti skaidrumą ir sukurti didesnę kontrolę, visgi jis įžvelgia ir papildomų iššūkių dėl duomenų apsaugos ir praktinio įgyvendinimo.
„Skaitmeninės mirties“ atvejai
Šiuo metu mūsų teisinė sistema neturi specialios informacinių technologijų (IT) sistemos, kurioje karo atveju būtų registruojamas numatyta tvarka paimtas asmens turtas, reikalingas naudoti valstybės reikmėms, tačiau ar tokia sistema iš viso reikalinga, kai karo metu smarkiai išauga kibernetinių atakų skaičius ir atakuotojai bando nulaužti bei patekti į svarbias valstybines duomenų bazes?
Valstybė ir organizacijos investuoja į „nesunaikinamos skaitmeninės Lietuvos“ koncepciją: geografinį duomenų dubliavimą, debesijos sprendimus, izoliuotas atsargines kopijas.
Advokatų kontoros „Sorainen“ advokatas Stasys Drazdauskas sutinka, kad yra galimybė visiškai ištrinti asmens pėdsakus, tačiau mano, kad reali tikimybė labai maža: „Reikia nepamiršti, kad asmens skaitmeninis pėdsakas lieka ne tik valstybės registruose ir valstybės institucijų sistemose, kurių yra ganėtinai daug, bet ir kitose privačiose sistemose, kurių taip pat labai daug, ką ir kalbėti apie asmens naudojimąsi įvairiomis paslaugomis internetu. Tad ištrinti visus asmens skaitmeninius pėdsakus būtų labai sunku ir vien valstybės registrų paveikti neužtektų.“
Anot S. Drazdausko, labiau įmanomas, tačiau mažai tikėtinas variantas, kai atakuotojai sąmoningai klastoja įrašus apie asmenų mirtį, nors jie gyvi.
Advokatas T. Lileikis tvirtino, kad Lietuvoje yra tiek techninių, tiek teisinių priemonių, kurios mažina „skaitmeninės mirties“ riziką: „Pagrindą sudaro Kibernetinio saugumo įstatymas ir NIS2 direktyvos įgyvendinimas – šie teisės aktai užtikrina atsarginių kopijų, incidentų valdymo ir duomenų atkūrimo reikalavimus. Valstybės informacinių išteklių valdymo įstatymas numato duomenų saugojimo, dubliavimo ir atkūrimo mechanizmus. Registrų centro politika – kritiniai registrai saugomi valstybės duomenų centruose, daromos atsarginės kopijos, taikoma geografinė duomenų dubliacija. Bendrasis duomenų apsaugos reglamentas užtikrina duomenų vientisumą ir konfidencialumą, ir tai netiesiogiai prisideda prie jų apsaugos.“
Asmeninis archyvasTačiau teisininkas pabrėžė, kad net ir įvykus incidentui duomenis sunaikinti be pėdsakų yra labai mažai tikėtina, nes daromos atsarginės kopijos, yra archyvai ir teisinė pareiga juos atkurti: „Teiginys „labai mažai tikėtinas“ yra teisingas, bet neabsoliutus – ekstremalių sąlygų atveju tokia situacija gali susidaryti, todėl valstybė ir organizacijos investuoja į „nesunaikinamos skaitmeninės Lietuvos“ koncepciją: geografinį duomenų dubliavimą, debesijos sprendimus, izoliuotas atsargines kopijas („air gap“), incidentų valdymo planus.
IQ redakcijos kalbintas su anonimiškumo sąlyga kalbėjęs IT specialistas, komentuodamas duomenų klastojimo ar visiško sunaikinimo atvejus, tvirtino, kad kur kas paprasčiau yra palaužti sistemos veikimą. Jo teigimu, prieiti prie pačių duomenų yra kur kas sudėtingiau, nes dažniausiai tiek valstybiniame, tiek privačiuose sektoriuose saugomi duomenys yra šifruojami.
Anot eksperto, be tam tikrų šifravimo raktų įsilaužėliai negalės duomenų modifikuoti, tad kur kas paprasčiau juos būtų sunaikinti: „Bent jau privačiame sektoriuje visi duomenys yra šifruojami, ir jeigu atakuotojas ir turėtų prieigą prie duomenų, jų pakeisti taip paprastai neįmanoma. Įprastai įmonės turi savo audito logus, kur kiekvienas pakeitimas registruojamas ir turėtų būti žinoma, kas būtent ir kada pakeitė duomenis. Proaktyviai gal nėra tikrinama, tačiau, jeigu yra praktika kas kažkiek laiko pasitikrinti būtent tą duomenų integralumą, būtų įmanoma atsekti, kas ir kada buvo pakeista.“
IT specialistas taip pat sutinka, kad duomenis atkurti įmanoma, nes dažniausiai duomenys dubliuojami: „Tarkime, kas mėnesį ar kas savaitę, priklauso nuo sistemos dizaino, bet tada galima, išsisaugojus kur nors atskirai būtent nuo to momento, atkurti duomenis. Jie nebus patys naujausi, bet didžioji dalis duomenų gali būti atkurta. Tačiau tokia praktika nėra naudojama visada, tai priklauso nuo to, ar organizacijoje yra numatytas ir įgyvendintas toks sprendimas.“
Bankų IT sistemų vaidmuo
Lietuvoje didelė dalis valstybinių elektroninių paslaugų remiasi bankų tapatybės nustatymo sistema, tačiau, jei karo atveju kibernetiniams įsilaužėliams pavyktų užgrobti kurio nors šalies banko sistemas, advokatas S. Drazdauskas ramina, kad tokiu atveju autentifikaciją galima atlikti ne tik per bankus, bet ir naudojant tapatybės kortelę ar mobilųjį parašą.
Asmeninis archyvas„Kita vertus, bankų sistemos yra vienos iš labiausiai apsaugotų, nes bankai turi tiek komercinį interesą būti patikimi tiekėjai savo klientams, tiek jiems taikomi įstatymų reikalavimai dėl skaitmeninio atsparumo užtikrinimo yra vieni griežčiausių. Skaitmeninių paslaugų ir sistemų veiklos tęstinumas, sistemų atkūrimas nelaimių ar krizių atvejais yra vienas kertinių kibernetinio saugumo reikalavimų, todėl tiek bankai, tiek valstybės įstaigos turi planus, ką daryti tokiais atvejais“, – pabrėžė S. Drazdauskas.
T. Lileikis pritarė S. Drazdauskui sakydamas, kad kibernetinės atakos prieš finansų sektorių laikinai apsunkintų prieigą prie valstybės paslaugų, tačiau numatomos alternatyvos turėtų veikti, nes jos nepriklauso nuo bankų sistemų: „Manytina, kad vykdomi rezerviniai scenarijai – NIS2 direktyvos įgyvendinimas ir NKSC koordinuojamos pratybos – apima tiekimo grandinės saugumą, įskaitant finansų sektorių, todėl numatomi veiklos tęstinumo planai.“
Bankų sistemos yra vienos iš labiausiai apsaugotų, nes bankai turi tiek komercinį interesą būti patikimi tiekėjai savo klientams, tiek jiems taikomi įstatymų reikalavimai dėl skaitmeninio atsparumo užtikrinimo yra vieni griežčiausių.
IT specialistas sutinka, jog tokio pobūdžio kibernetinės atakos karo atveju tikrai galimos, tačiau akcentavo, kad įsilaužėlių prioritetai būtų nutaikyti kiek kitur nei bankų sistemos: „Karo atveju apskritai būtų bandoma pažeisti interneto kabelius, kurie yra Baltijos jūroje, juos nukirtus mes netenkame interneto ryšio su kitomis valstybėmis. Vienu pagrindinių kibernetinių atakų taikinių būtų energetikos įmonės, pavyzdžiui, „Ignitis“, priešlėktuvinės gynybos sistemos, taip pat jūrų ir oro uostai. Pavyzdžiui, kažkokiu būdu sutrikdžius skrydžių valdymą, lėktuvai nebegalėtų nei kilti, nei tūpti tame oro uoste. Tuomet žmonės nebegali evakuotis laivais ir lėktuvais, NATO sąjungininkų pajėgos negali nusileisti mums padėti, nes oro uostas neveikia.“
Juodasis scenarijus
Ar Lietuvoje yra numatyti konkretūs teisiniai veiklos scenarijai, jei priešiškos valstybės jėgos perimtų kritinių registrų veikimą ar duomenų valdymą?
Advokatas T. Lileikis, kalbėdamas apie konkrečius teisinius scenarijus, rėmėsi Registrų centro praktika: „Iš viešos informacijos matome ambicingą Registrų centro numatomą įgyvendinti viziją – „nesunaikinamos skaitmeninės Lietuvos“ koncepciją. Darau prielaidą, kad visu tuo yra pagrindo tikėti, nes Lietuvoje numatyti tiek teisiniai, tiek praktiniai mechanizmai, skirti apsaugoti ypatingos svarbos informacinei infrastruktūrai, įskaitant kritinius registrus.
Pagrindą sudaro Kibernetinio saugumo įstatymas, kuris 2024 m. spalį buvo iš esmės atnaujintas, perkeliant NIS2 direktyvos nuostatas. Šis įstatymas ir jo įgyvendinamieji dokumentai, pavyzdžiui, Nacionalinis kibernetinių incidentų valdymo planas, ypatingos svarbos informacinės infrastruktūros identifikavimo metodika, nustato incidentų valdymo scenarijus.“
Teisininko teigimu, incidentų valdymo scenarijus numato prievolę turėti kibernetinių incidentų valdymo planus, veikiančius saugumo operacijų centrus, o didelių incidentų atveju – nedelsiant informuoti Nacionalinį kibernetinio saugumo centrą (NKSC) ir koordinuoti veiksmus nacionaliniu lygmeniu.
T. Lileikis akcentavo ir Kibernetinio saugumo subjektų registrą: „NKSC sudarė registrą, kuriame identifikuoti visi ypatingos svarbos subjektai, apie 1400 organizacijų iš 18 sektorių, jiems taikomi griežti organizaciniai ir techniniai reikalavimai, įskaitant tiekimo grandinės saugumą.“
Jis taip pat pabrėžė, kad įvardytuose dokumentuose nurodyta turėti atsargines kopijas ir galimybę atkurti duomenis: „Institucijos, įskaitant ir Registrų centrą, privalo užtikrinti duomenų prieinamumą ir nenutrūkstamą paslaugų veikimą, įskaitant migraciją į valstybės duomenų centrus bei valstybinės debesijos resurso kūrimą.“
Iš tiesų Lietuva jau turi valstybinių duomenų centrų, o nuo 2024 m. pradėta kurti ir valstybinė debesija, kurioje bus laikomi valstybės institucijų duomenys, tačiau jų replikos vis tiek turės būti saugomos ir kitų valstybių debesijoje.
Kaip įvardijo IT specialistas, pagrindinis debesijos pranašumas, palyginti su fiziniais duomenų centrais, dar kitaip vadinamais serverinėmis, yra tai, kad patalpintos sistemos ir duomenys yra kažkur kitoje šalyje: „Bet yra kita medalio pusė – dažniausiai valstybinės įmonės savo duomenis turi laikyti savo valstybėje. Tad neišvengiamai kažkokia dalis duomenų turi likti mūsų valstybėje.“
Kaip aiškino IT specialistas, debesija suteikia didesnį atsparumą prieš atakas, nes įsilaužėlis nežino, kuriame duomenų centre saugomi duomenys: „Duomenys gali būti labai lengvai replikuojami per skirtingus regionus, jie tuo pat metu gali būti ir Europoje, ir Amerikoje, tačiau vis tiek bus pasiekiami, net jeigu karas šalyje vyktų. Turint serverius pas save, juos nebent galima susirinkti, susidėti į automobilius ir važiuoti, kad viską apsaugotume.“
„Manau, kad bendras saugumo lygis geresnis yra duomenų centruose. Vienas dalykas, jie yra didesni, ir reglamentuota daug stipriau, ta apsauga tiek fizinė, tiek kibernetinė būtų aukštesnio lygio, negu mes įsirengtume serverinę kur nors rūsyje“, – aiškino jis.
Duomenų šifravimas yra itin svarbus, tačiau jis vis dar traktuojamas kaip geroji praktika, nereguliuojant jo svarbos teisiškai.
Kibernetinis skydas
Ar atėjus dienai X Lietuvos IT sistemos būtų pasiruošusios atremti galinčias kilti atakas?
Teisininkas S. Drazdauskas įsitikinęs, kad mūsų valstybės įstaigos turi aiškius planus ir ruošiasi galimoms krizinėms situacijoms. Tačiau, jo vertinimu, aukščiausia šalies vadovybė yra nepakankamai įsitraukusi į kibernetinio saugumo klausimus tiek valstybės įstaigose, tiek privačiame sektoriuje.
„Lietuvoje valstybės dėmesys kibernetiniam atsparumui, mano vertinimu, yra gana didelis, tačiau, be abejonės, išvengti visų kibernetinių atakų ar jas neutralizuoti be jokios žalos valstybei ir žmonėms, matyt, sunkiai įmanoma. Galima tik dėti pastangas mažinti žalos riziką ir žalos dydį“, – kalbėjo jis.
Advokatas T. Lileikis taip pat mano, kad Lietuva turi nemažą teisinį ir techninį pagrindą užtikrinti IT sistemų veikimą ekstremaliomis sąlygomis, tačiau tam tikrose srityse mato galimų kilti iššūkių: „Didžiausi iššūkiai būtų užtikrinti nenutrūkstamą paslaugų veikimą, kai sutrinka elektros tiekimas, ryšiai ar fizinė infrastruktūra.“
IQ kalbintas IT specialistas įvardijo, kad viena pagrindinių techninių problemų yra DDoS atakos, per kurias siunčiama daugybė užklausų į sistemas ir taip jos apkraunamos, kad galiausiai nulūžta, o joms nulūžus imamasi veiksmo.
ShutterstockAnot jo, kibernetinės atakos riziką sumažinti įmanoma, tačiau visiškai apsiginti neįmanoma: „Kuo labiau evoliucionuoja įsilaužėliai, tuo labiau mes turime rasti naujų būdų, kaip nuo tų naujų atakų apsiginti. Dažniausiai atakos būna gana išradingos, tad apsiginti 100 procentų tikriausiai nebūtų įmanoma.“
Pasak IT specialisto, geriausias bandymas užkirsti kelią rizikoms techniniu atžvilgiu – sistemas projektuoti taip, kad saugumas būtų pirmoje vietoje, ir užtikrinti, kad sistemos būtų saugios visais įmanomais vektoriais: „Tas pats duomenų replikavimas per skirtingus regionus gali padidinti saugumą. Visos gerosios praktikos, duomenų šifravimas, nelaikymas duomenų tiesiog paprastu tekstu gali padėti. Gali pagelbėti užkardos, kai visos sistemos galėtų būti pasiekiamos tik naudojant virtualų privatų tinklą (VPN).“
Anot IT specialisto, duomenų šifravimas yra itin svarbus, tačiau jis dar traktuojamas kaip geroji praktika, nereguliuojant jo svarbos teisiškai: „Tokio reguliavimo tikrai labai reikia, nes sistemas reikia kurti kaip svogūną, kad turėtų labai daug sluoksnių.
*****susije*****
Užpuolikas prasiskverbęs pro pirmą sluoksnį, tarkime, sužino prisijungimo duomenis ir gali prisijungti prie sistemos. Kuo daugiau sluoksnių, tuo sunkiau. Antras sluoksnis galėtų būti tas pats šifravimas, nes jeigu neturite šifravimo, duomenys užpuolikui po pirmo sluoksnio jau yra pasiekti. Jeigu turite šifravimą, tada užpuolikui reikia susirasti raktą, kad tuos duomenis iššifruotų. Tai yra papildomas sluoksnis.
Nesakau, kad tie sluoksniai yra nepralaužiami, bet kuo daugiau sluoksnių įmonės ir žmonės turi, tuo daugiau gauna laiko apsisaugoti ar tiesiog pastebėti, kad kažkas atakuoja. Nes jeigu bus vieno sluoksnio apsauga, iš karto bus prarasta visa kontrolė. Jei jūsų sistema yra sudaryta iš kokių penkių sluoksnių, gal jau kokiame antrame, trečiame sluoksnyje pastebėsite kažkokią veiklą ir turėsite nuo keleto valandų iki keleto dienų tai sustabdyti.“
IQ redakcija pateikė klausimus NKSC, specialistai pažadėjo į juos atsakyti, tačiau po dviejų savaičių pranešė, kad nuo komentarų susilaikys.
