Darius Didžgalvis, VĮ „Infostruktūra“ direktorius |
---|
Po nesėkmingo Vyriausiosios rinkimų komisijos (VRK) balsavimo sistemos starto, kai rinkėjų duomenys kurį laiką buvo viešai prieinami, pasipylė kritika VRK, tačiau ar galėjo būti kitaip?
Viešajame sektoriuje veikia apie 6 tūkst. valstybinių ar savivaldybių įstaigų, kurių veikla susijusi su labai svarbiais gyventojų asmens, finansiniais, ekonominiais ar sveikatos duomenimis. Visa tai yra dalis svarbių valstybės duomenų. Kiekvieną dieną šios institucijos keičiasi turima informacija, vyksta nenutrūkstantis informacijos ir svarbių duomenų perdavimo ciklas. Duomenų saugumas turi būti valstybės prioritetas, tačiau kaip užtikrinti tokio institucijų kiekio tolygias IT kompetencijas? Kas būtų, jei, tarkime, po kibernetinės duomenų perdavimo tinklų atakos būtų paviešinti dar svarbesni valstybės duomenys?
Kompetencijų stoka atsilieps saugumui
Kaip ir bet kur kitur, taip ir technologiniuose sprendimuose egzistuoja įvairūs kokybės lygiai, tinkamai juos pasirinkti gali tik specialistai. Kompetencijos lemia pirkinio kokybę, tinkamumą konkrečiam vartotojui ir, žinoma, ekonominį efektą. Telekomunikacijoms kompetencijų klausimas yra ypač aštrus – solidžių žinių turintys žmonės jau turi darbus ir nėra linkę jų keisti. Universalūs specialistai neturi galimybės aprėpti visų sričių, kažkuri vis tiek nukentės, tai ypač būdinga nedidelių organizacijų IT personalui. Tad galima daryti išvadą, kad pirmiausia nukentės saugumas. Institucijoms aktualiausia – informacinių sistemų ir registrų pasiekiamumas.
Valstybės duomenys – valstybės vidaus reikalas, deramam jų saugumo užtikrinimui turi būti perkami sprendimai iš vienų rankų – ne atskiri elementai, ne dėžutės ar linijos, o visas sprendimas. Tačiau šiandien susiduriama su problema, kad kiekvienas duomenų valdytojas pats turi galimybę spręsti, kaip skirstyti gaunamą biudžetą veiklai vykdyti - institucija savarankiškai sprendžia, kokius paslaugų tiekėjus rinktis. Dažnai susiduriama su problema, kad ne visi telekomunikacijų ar technologijų pirkimo sprendimus priimantys tarnautojai turi reikiamą kompetenciją nustatyti, ar pirkinys turės pakankamą kokybės, saugumo užtikrinimo lygį. Būtinoji sąlyga - kad pakankamai kompetencijų turėtų ir pirkėjas, ir sprendimų įgyvendintojas.
Blogiausi scenarijai
Tarkime, medicinos įstaiga kaupia ir naudojasi labai svarbiais žmogaus sveikatos duomenimis, kurie registruojami elektroninėje sistemoje, tačiau įstaiga nėra prisijungusi prie saugaus tinklo. Atakos atveju, sistema veiks, tačiau jei ryšys su vartotoju eina per viešąjį internetą, sistema bus nepasiekiama. Įsivaizduokite gydytoją, turintį priimti skubų sprendimą dėl paciento ir visiškai nežinantį jo ligos istorijos. Blogiau turbūt - tik atsidurti tokio paciento vietoje.
Kitas scenarijus – kibernetinės atakos metu užkirsta galimybė prieiti prie valstybinių duomenų, tai apima e. paslaugas, ryšį tarp valstybės informacinių išteklių ir paslaugas teikiančių institucijų – čia sutrikimai būtų kritiški (muitinė, medicinos įstaigos ir kt.), šių funkcijų pasigestų ir valstybė, ir jos piliečiai. Na, o blogiausia kas galėtų nutikti – nutraukta ypatingai svarbių objektų, paslaugų, strateginių objektų, tokių kaip energetika, vandens tiekimas, veikla, tai turėtų neigiamos įtakos valstybės funkcionavimui, gyvenimo kokybei.
Įsivaizduojant tokius scenarijus kyla klausimas apie standartizacijos poreikį. Tiesa tokia, kad Lietuvoje vieningas duomenų saugumo standartas kol kas neegzistuoja. Institucijos pačios šiuos reikalavimus kuria, traktuoja ir taiko pagal savo žinias bei kaip joms atrodo tinkama, priimtina ir patogu.
Taupyti valstybės pinigus padėtų racionalūs sprendimai
Kaip visa tai išspręsti? Idealiausia – valstybė pati valdo savo išteklius, ryšiai užtikrinami ne viešaisiais tinklais. Tai būtų efektyvu ir optimalu, institucijų vartotojai bet kada pasiektų reikiamas sistemas. Efektyviausias sprendimas valstybei – turėti vieną ryšius organizuojančią instituciją, tada valstybė akivaizdžiai pamatytų ir kokybės efektą, ir optimaliai leistų savo pinigus. Šiandien įvairių institucijų telefonijos įsigijimų kainos skiriasi iki 5 kartų. Jei vertinti visų valstybės įstaigų įsigijimus, kainų skirtumai bei išleidžiami pinigų srautai šokteltų dar kelis kartus. Toks neatsakingas požiūris veda prie nuolatinio ir bereikalingo pinigų švaistymo. Geriausias pavyzdys – verslo organizacijos, kurios savo tinklų nedalina į dalis. Tikėtina, jog kompetencijos trūkumas vystant projektą lėmė Vyriausiosios rinkimų komisijos (VRK) balsavimo sistemos darbo kokybę, kurio pasekmes pajuto ir įvertino Lietuvos rinkėjai.
Centralizuotas duomenų perdavimas yra būtinas. Tokią praktiką taiko komercinės organizacijos, kitos valstybės. Kodėl ginkluotosios pajėgos turi vieną vadą? Nes sprendimams reikia koordinavimo. Centralizacija nereiškia, kad tas pats tiekėjas ir griovius kas, ir siūlys debesų kompiuterijos sprendimus. Tai reiškia išteklių valdymą, koordinuotus sprendimus informacinių sistemų ir elektroninių ryšių kontekste. Idealios duomenų saugos nėra ir nebus, bet svarbu saugos lygio kartelę kelti į reikiamą aukštį, atsižvelgiant į duomenų svarbą, nepamiršti, kad sauga – ne tik technologijos, bet ir personalo edukacija, žmogiškasis faktorius. Visą sistemą geriau patikėti profesionaliai besirūpinančiai institucijai. Galbūt ateityje tai turėtų sulaukti dar kompleksiškenio požiūrio – būtų įsigyjama ne tik duomenų perdavimo paslauga, o informacinių sistemų sprendimai iki pat darbo vietos įrengimo ir priežiūros.
Lietuva neturi informacinių technologijų valdymo svorio centro – atsakomybės paskirstytos kelioms ministerijoms. Visos jos dalyvauja šioje veikloje sau priimtiniausiu būdu. Tačiau reikia pažymėti, kad kibernetinė sauga nėra karybos terminas. Tai ne karas, o kasdienybė. Tai tarsi virusas, kurį organizmas nešiojasi, kad išvengti blogiausių jo pasekmių, reikia nuolat išlikti budriam ir stiprinti imunitetą.