Valstybės įstaigų kibernetinis saugumas yra svarbi nacionalinio saugumo sudedamoji dalis. Tačiau apie tai daugiau kalbama, nei daroma.
Spalio viduryje imituojant Užsienio reikalų ministerijos (URM) elektroninį paštą žiniasklaidai buvo išplatinta melaginga žinutė ir netikra naujiena akimirksniu atsidūrė portaluose. Tai tapo dar viena proga susirūpinti viešojo sektoriaus kibernetiniu saugumu.
Atakų yra patyrusi Seimo interneto svetainė, buvo prieš krašto apsaugos ministrą nukreiptų dezinformacijos kampanijų, trikdytas naujienų portalų darbas. Specialistai įsitikinę – priešiškai nusiteikusios šalys tikrina mūsų pajėgumus ir išvengti atakų tiesiog neįmanoma.
Prieš keletą metų kovoti su kibernetinėmis atakomis prie Krašto apsaugos ministerijos (KAM) įsteigtas Nacionalinio kibernetinio saugumo centras (NKSC). Jo specialistai sparčiai tobulėja ir yra pasirengę atremti daugumą puolimų. Tačiau analitikai perspėja: silpniausia kibernetinio saugumo grandimi vis dar išlieka neišprusę vartotojai ir aukšto lygio specialistų trūkumas daugumoje valdžios įstaigų.
Valstybės saugumo departamento 2018 m. „Grėsmių nacionaliniam saugumui vertinime“ Rusijos informacinės bei kibernetinės atakos prieš Lietuvą vadinamos „tikėtinomis“. NKSC pernai užfiksavo du kartus daugiau elektroninės žvalgybos atvejų svarbios infrastruktūros tinkluose. Labiausiai skenuojami energetikos, valstybės valdymo ir krašto apsaugos sektoriai. Taip renkama informacija apie organizacijų prie interneto prijungtus įrenginius, jų tipus, paslaugas, pažeidžiamumą ar saugumo spragas. Surinkus duomenis planuojamos tolesnės kibernetinės atakos arba, pasinaudojus viešai prieinama informacija ir įrankiais, bandoma įsilaužti į organizacijų infrastruktūrą. Aktyviausios šalys žvalgytojos – Rusija ir Kinija.
NSKC direktorius Rytis Rainys teigė, kad tokiems žvalgybos veiksmams visiškai užkirsti kelią neįmanoma, tačiau iš jų galima pasimokyti geriau suprasti puolimo metodus: „Tai nėra nelegalus veiksmas, daugelis įrenginių tarpusavyje komunikuoja. Tos komandos ir šiaip egzistuoja įrenginiams internete bendrauti, bet, įsilaužėlių sistemingai panaudotos, jos veda prie žvalgybinių veiksmų. Dar svarbiau yra pastebėti tą žvalgybinę veiklą, tam irgi turime priemonių ir galimybių. Kai pastebi ir matai, kas daroma, gali apsisaugoti ar taikyti veiksmus, blokuoti IP adresus, kurie skenuoja, trukdyti jiems, o dar svarbiau – savo vidines sistemas paruošti taip, kad įsilaužėliai nematytų silpnųjų vietų, jei tokių yra.“
Politologas Nerijus Maliukevičius įsitikinęs, kad tokios prieš ministerijas ar atskirus politikus nukreiptos atakos – gerai apgalvotas pasiruošimas pulti. „Tai yra visų pirma mūsų gynybinių galimybių testavimas. Oponentui labai svarbu žinoti, kaip veikia mūsų gynyba, kaip pasirengę mūsų specialistai. Visa tai daroma dėl to, kad surengus tikrą ataką būtų išnaudotos visos silpnosios vietos“, – įspėjo specialistas.
Politologo nuomone, kibernetines grėsmes nacionaliniam saugumui reikėtų tinkamai suvokti, o esamas pajėgas – nuolat stiprinti. „Mes kibernetinėje erdvėje esame realioje karštojoje konflikto zonoje, kur prieš mus taikomos agresyvios priemonės, ir paprasčiausiai turime stiprinti savo gynybą“, – tvirtino N. Maliukevičius.
Pirmaujame, bet nepirmaujame?
2018 m. paskelbtoje NKSC ataskaitoje rašoma, kad iš tirtų Lietuvos viešojo sektoriaus interneto svetainių kas trečia (32 proc.) yra pažeidžiama, į kas penktą (21 proc.) galima lengvai įsilaužti net neturint ypatingų programavimo įgūdžių.
Tačiau metų pradžioje skelbtame Jungtinių Tautų Globaliame kibernetinio saugumo indekse Lietuva užima ketvirtą vietą. Tai aukščiausias šalies pasiekimas šiame tarptautiniame vertinime. Užpernai Lietuva buvo tik 57.
R. Rainys kalbėjo, kad žmonės ir organizacijos smarkiai klysta manydamos, kad svetainės yra tai, ką galima tiesiog sukurti ir saugiai palikti. Būtent jos dažnai tampa tramplynu įsiskverbti į vidines sistemas. NKSC ištyrus didžiąją daugumą Lietuvoje veikiančių svetainių su turinio valdymo sistemomis paaiškėjo, kad net 52 proc. jų turi žinomų pažeidžiamumų, iš jų net 20 proc. yra labai lengvai „nulaužiamos“. „Spėjome, kad situacija prasta, bet tai, ką radome – pribloškė“, – pripažino R. Rainys.
Jis turi atsakymą, kaip šalis, kurioje net pusė svetainių yra pažeidžiamos, sugebėjo taip aukštai pakilti reitinguose: „Tas indeksas matuoja šalies pasirengimą ir sistemas, reagavimą į incidentus. Yra įstatymas ar nėra, šalis dirba su kritine infrastruktūra ar ne. Už tai, kad skenuojame ir pamatome spragas, gauname pliusą, nes daugelis šalių išvis neužsiima tuo skenavimu.“
Kiek moka, tiek turi
Pasak informacinių technologijų eksperto Mariaus Pareščiaus, tinkamai pasirūpinti kibernetiniu saugumu valdžios įstaigose trūksta ir specialistų, ir investicijų, o iškilusios problemos dažniausiai sprendžiamos į pagalbą pasitelkiant verslo teikiamas paslaugas.
„Valstybės įstaigose, ministerijose, savivaldybėse tokių specialistų iš viso nėra. Ten dirbantys tinklų administratoriai, IT specialistai turi labai mažai žinių apie kibernetinį saugumą, jie moka sutvarkyti pagrindinius dalykus ir jiems to pakanka. Jei reikia kokių nors specifinių žinių ir specifinių darbų, perkamos verslo paslaugos“, – kalbėjo M. Pareščius.
Jo įsitikinimu, viešajam sektoriui koją kiša ne tik rinkos lygio nesiekiantys IT specialistų atlyginimai, bet ir ribotos galimybės juos išlaikyti, investicijų į paruošimą trūkumas. „Darbuotojų kvalifikacijai kelti pinigų neskiriama. Vienam specialistui parengti reikia investuoti dešimtis tūkstančių eurų“, – teigė ekspertas. Viešajame sektoriuje taip pat atrandama talentų, bet juos netrukus pervilioja didesnes perspektyvas siūlančios privačios bendrovės.
Atakoms ieškoma progų
Baltijos šalyse pirmą kartą kibernetinės atakos užfiksuotos 2007 m. Estijoje. Dėl bronzinio sovietų kario skulptūros nukėlimo buvo pakurstyti neramumai, o per kibernetinę ataką sutrikdytas įvairių šalies valdžios įstaigų, bankų, žiniasklaidos ir net Bendrojo pagalbos centro darbas.
2008 m. jau Lietuvoje Seimui kriminalizavus sovietinių simbolių naudojimą, buvo įsilaužta į daugiau nei 300 daugiausia privačių tinklalapių.
2015 m. per Baltijos šalyse ir Lenkijoje vykusias karines pratybas „Kardo kirtis“ programišiai įsilaužė į Lietuvos kariuomenės Jungtinio štabo interneto svetainę ir įkėlė melagingą informaciją, neva Pentagonas kartu su JAV strateginio planavimo institutais parengė planą, kaip įvykdyti Kaliningrado srities aneksiją. Su klaidomis parašytame tekste buvo teigiama, kad tai yra vienas karinių pratybų tikslų.
2016 m. net kelias savaites vykusios nenutrūkstamos kibernetinės atakos prasidėjo Seimo tinklalapio puolimu. Tą kartą nukentėjo svarbiausios šalies institucijos: Seimas, prezidentūra, Užsienio reikalų, Teisingumo, Finansų, Žemės ūkio ministerijų informacinės sistemos, Valstybinė mokesčių inspekcija, Žemės ūkio informacijos ir kaimo verslo centras, Vaikų išlaikymo fondas, Centrinė projektų valdymo agentūra.
2018 m. vasarą nuo kibernetinių atakų nukentėjo dauguma didžiausių Lietuvos naujienų portalų, įskaitant ir nacionalinį transliuotoją. Tąkart žiniasklaidos priemonės viena po kitos ėmė susidurti su svetainės darbą trikdančiais netikrų vartotojų srautais. Tų pačių metų lapkričio 1 d. programišiai nusitaikė į Seimo narius, per koordinuotą ataką nukentėjo Lino Linkevičiaus, Arvydo Anušausko, Gabrieliaus Landsbergio, Rasos Juknevičienės, Lauryno Kasčiūno, Andriaus Kubiliaus, Kęstučio Masiulio, Aušrinės Armonaitės ir Manto Adomėno pašto dėžutės.
2019 m. balandį, suklastojus siuntėjo adresą ir prisistačius Krašto apsaugos ministerijos darbuotoju, buvo išplatintas melagingo turinio el. laiškas su įterpta nuoroda tikslinei auditorijai: valstybės įstaigų atstovams, politikams. Ataka paveikė interneto naujienų portalus „Kas vyksta Kaune“ ir „The Baltic Times“, pateikiant dezinformaciją apie teisėsaugos institucijų neva atliekamą tyrimą. Melagingos naujienos išsiplėtė ir į socialinius tinklus bei interneto tinklalapius.
2018 m. įsilaužus į naujienų portalą tv3.lt buvo paskleista melaginga žinutė apie krašto apsaugos ministrą Raimundą Karoblį. Tyrimo metu nustatyta, kad įsilaužėlio kompiuterio IP adreso vieta – Rusijos miestas Sankt Peterburgas.