Lietuvoje dar kartą buvo tikrinama, kaip svarbios šalies įstaigos, infrastruktūros įmonės yra pasiruošusios kibernetinėms atakoms. Viena to priežasčių – vis dažnesnės kibernetinės atakos.
Krašto apsaugos viceministras Edvinas Kerza pranešė, kad visą pirmąjį šių metų pusmetį buvo atakuojamos krašto apsaugos sistemos. Nors slapta informacija nenutekėjo, jis sako, kad tai – dar viena priežastis didinti Lietuvos įstaigų ir įmonių kibernetinį saugumą.
Taip pat buvo nuspręsta imtis dar vieno eksperimento, kurio metu buvo tikrinamas darbuotojų budrumas. Pernai buvo pasirinktas būdas platinti laiškus, neva darbuotojams atėjo siuntinys, kurį jie turi atsiimti Lietuvos pašte.
DELFI skelbė, kad tuo metu buvo atliktos pratybos „Siunta“, kai buvo sukurtas netikras įmonės tinklalapis ir iš jo išsiųstas laiškas, kuriame teigta, kad žmonės gali ateiti atsiimti siuntos. Vis tik didžioji dalis netikro laiško gavėjų – apie 70 proc. – grėsmę atpažino, dar 2 proc. pranešė apie ją, tačiau beveik 10 proc. pateikė savo asmeninius duomenis galimiems nusikaltėliams.
„Buvo ir tokių, kurie ne tik užsiregistravo, bet ir nuėjo į Lietuvos paštą, kantriai laukė eilėje siuntos ir buvo labai nepatenkinti, kad jos negavo“, – kovą sakė E. Kerza. Pasak jo, tai rodo, kad dar trūksta žinių, kaip atpažinti ir reaguoti į galimus nusikaltėlius.
Šiemet birželį atliktas kiek kitoks testas. Buvo imtasi socialinės inžinerijos eksperimento, kai krašto apsaugos sistemos darbuotojams siunčiamas laiškas su informacija, kad keičiasi Darbo kodeksas, kai kuriems darbuotojams didėja atlyginimai, todėl jie turėtų atsidaryti specialią bylą, kurioje buvo užkrėstas priedas.
Šį kartą 83 proc. darbuotojų priedo neatidarė ir apie tai įspėjo kitus. Darbuotojai galėjo pastebėti, kad laiško siuntėjo adresas ar kontaktai yra įtartini. Pasak E. Kerzos, džiugina tai, kad didesnė dalis darbuotojų atpažino įtartiną laišką ir apie tai įspėjo kolegas. „Matydami, kad nors situacija ir keičiasi, bet nepakankamai greitai, pasiūlėme priemonių, kad tai vyktų sparčiau“, – sakė jis.
Be to, 2016 m. buvo ištirta 600 valstybinių svetainių, kaip jos yra saugomos, tačiau šio tyrimo rezultatais Krašto apsaugos ministerija nėra patenkinta, nes kibertnetinio saugumo grėsmių daugėja. Tai – ministerijos ir joms pavaldžios įstaigos, ligoninės, registrai ir t.t. Iš šių 600 svetainių sunku įsilaužti buvo į 48 proc., lengva – į 34 proc., o į likusias 18 proc. – labai lengva.
Šiemet pirmą pusmetį buvo patikrinta dar 1000 svetainių. Sunku įsilaužtu buvo į 36 proc., lengva – į 51 proc., o labai lengva į 13 proc. Pernai keliamus reikalavimus įgyvendino 2 proc., o šiemet – 4 proc. institucijų. Dėl to siūloma, kad institucijų vadovams tektų papildoma atsakomybė, jei šių reikalavimų nesilaikoma. Be to, pastebima, kad įstaigos, kurios turi teikti informaciją apie tai, kaip rūpinasi kibernetiniu saugumu, tai daro vangiai.
Taip pat yra patvirtintas ypatingų sistemų sąrašas, kurias kibernetinės atakos metu reikia saugoti pirmiausia. Jų yra apie 100, kai tokių sistemų valdytojų – perpus mažiau.
„Tai – tiek privataus, tiek valstybinio sektoriaus įmonės, kurios galbūt tiekia vandenį, galbūt elektrą ar interneto ryšį. Dabar jau pusė jų atitinka numatytus reikalavimus“, – sakė E. Kerza.
Pasak jo, pastaruoju metu ne viena sistema jau yra patyrusi atakų, krašto apsaugos sistema buvo atakuojama, tačiau ataka buvo užkardyta.
Kartu imamasi ir pertvarkos kibernetinio saugumo srityje.
Galiausiai turėtų likti dvi įstaigos: Nacionalinis kibernetinio saugumo centras (NKSC) ir Informacinių technologijų tarnyba, kurios dirbs šioje srityje.
Pirmasis pertvarkos etapas prasidėtų sausio 1 d., dabar peržiūrimi poįstatyminiai aktai, kurie turėtų būti keičiami.
Planuojami vykdomos pertvarkos etapai: valstybės institucijų apjungimas į valstybinį duomenų perdavimo tinklą, Kibernetinio saugumo ir elektroninės saugos konsolidavimas, NKSC (pavaldus Krašto apsaugos ministerijai) ir CERT-LT (pavaldumus Ryšio reguliavimo tarnybai) funkcijų ir pajėgumų apjungimas. Galiausiai planuojamas atsakomybės ir priemonių, už nustatytų kibernetinio saugumo reikalavimų nesilaikymą, nustatymas ir numatytas teisinėje bazėje.