Krašto apsaugos ministerijai toliau siekiant įtvirtinti monopolį šalies informacinių išteklių paslaugų rinkoje, asociacija INFOBALT, vienijanti daugiau kaip 170 Lietuvos informacinių ir ryšių technologijų (IRT) įmonių, mokslo bei studijų institucijų, rimtai svarsto kreiptis į Europos Komisiją, jeigu toks įstatymas būtų priimtas.
Krašto apsaugos ministerijai (KAM) toliau siekiant įtvirtinti monopolį šalies informacinių išteklių paslaugų rinkoje, asociacija INFOBALT, vienijanti daugiau kaip 170 Lietuvos informacinių ir ryšių technologijų (IRT) įmonių, mokslo bei studijų institucijų, rimtai svarsto kreiptis į Europos Komisiją, jeigu toks įstatymas būtų priimtas.
Naujausiame Valstybės informacinių išteklių valdymo įstatymo projekte KAM dar labiau išplėtė anksčiau nubrėžtas pirmines valstybinio monopolio ribas. Taip Lietuva rizikuoja pažeisti tiek Europos Sąjungos teisę, tiek ir sukelti grėsmių kibernetiniam saugumui bei efektyviam valstybės lėšų panaudojimui. Nepaisant to, KAM parengtam įstatymo projektui vakar buvo pritarta Tarpinstituciniame pasitarime, kitas žingsnis – šio projekto svarstymas Vyriausybėje.
„Visapusiškai palaikome valstybės siekį užtikrinti didesnį informacinių išteklių saugumą ir esame pasiruošę dalintis tam būtinomis kompetencijomis – dar prieš kurį laiką pateikėme ministerijai rinkos ekspertų paruoštus pasiūlymus ir rekomendacijas. Vis dėlto, analizuojant įregistruoto įstatymo projekto nuostatas akivaizdžiai matyti, kad juo siūloma suteikti KAM teisę teikti praktiškai bet kokias informacinių ryšių ir technologijų paslaugas bet kurioms jos nurodytoms valstybės įstaigoms bei įmonėms. Kokioms tiksliai institucijoms, kokios paslaugos ir kokia apimtimi bus teikiamos priklausys tik nuo ministerijos – pačios institucijos galimybės spręsti, ar šių paslaugų joms iš tiesų reikia, neturės“, – sako Paulius Vertelka, asociacijos INFOBALT direktorius.
Pasak jo, toks įstatymo projekte numatomas reguliavimas nesukurtų pridėtinės vertės siekiant užtikrinti valstybės informacinių išteklių saugumą. Be to, monopolinėmis sąlygomis veikianti biudžetinė įstaiga, kuriai numatoma patikėti šią atsakomybę, nulemtų didesnes valstybės išlaidas ir mažesnį kibernetinį saugumą. Tam įtakos turėtų ir vadinamojo keturių akių principo nebuvimas, kuomet viena institucija pati nustato kylančias grėsmes, diegia nuo jų apsaugančius sprendimus ir tikrina jų kokybę. Todėl IRT rinkos dalyviai dėl KAM veiksmų laikosi vieningos pozicijos – šiuo metu atlieka išsamią teisinę analizę ir, jeigu toks įstatymas būtų priimtas, labai rimtai svarsto kreiptis į Europos Komisiją dėl rinkos monopolizavimo.
Grėsmės: monopolis, kompetencijų ir kontrolės stoka
KAM naujai parengtame įstatymo projekte numatoma, kad Saugiojo tinklo paslaugos privalomai bus teikiamos ne tik institucijoms, bet ir valstybės įmonėms bei viešosioms įtaigoms. Tokia ambicija kelia pagrįstų abejonių, ar ministerija iš tiesų sugebės pasirūpinti paslaugomis, atitinkančiomis tokius skirtingus poreikius. Pavyzdžiui, strateginės valstybės įmonės jau dabar yra investavusios į aukšto lygio kibernetinės saugos priemonių diegimą. Tačiau susidariusi situacija leidžia daryti prielaidą, kad šių priemonių joms teks atsisakyti tam, kad KAM kontroliuojama biudžetinė įstaiga galėtų teikti savo.
Be to, pirminiame įstatymo projekte Saugiojo tinklo paslaugų teikimas buvo grindžiamas neva egzistuojančiu poreikiu vykdyti mobilizacines užduotis. Tačiau atnaujintame projekte siūloma numatyti galimybę papildomai išplėsti monopoliją iki visų institucijų, turinčių „gyvybiškai svarbias valstybės funkcijas“.
„Tiesa, gyvybiškai svarbių valstybės funkcijų sąrašas neegzistuoja, o tam tikra prasme bet kuri valstybės funkcija yra gyvybiškai svarbi. Vadinasi, toks monopolijos išplėtimas de facto reiškia, kad KAM gali nuspręsti teikti Saugiojo tinklo paslaugas bet kuriam subjektui, dėl kurio priims atitinkamą sprendimą. Įstatymo projekte nenumatytos jokios galimybės patikrinti, ar atskiros valstybės institucijos, įmonės, įstaigos pagrįstai įpareigotos naudotis Saugiojo tinklo paslaugomis, ar ne“, – sako P. Vertelka.
Atnaujintas įstatymo projektas taip pat sukuria ir prielaidų reikšmingai didinti valstybės išlaidas IRT paslaugoms įsigyti. Jame nenumatomi saugikliai, kurie būtų taikomi KAM kontroliuojamos biudžetinės įstaigos sąnaudoms ar paslaugų apimtims. Vienintelė institucija, kuri galėtų spręsti dėl Saugaus tinklo naudojamos įrangos pobūdžio ir kiekio, yra pati KAM kontroliuojama biudžetinė įstaiga.
Be to, kaip pastebi P. Vertelka, nerimą kelia ir tai, kad įtvirtinus įstatymo projekte numatomą modelį Finansų ministerija, Valstybės kontrolė ar bet kuri kita valstybės institucija negalės nieko pasakyti apie šios įstaigos patiriamų sąnaudų pagrįstumą. Tai įvertinti leidžiantys parametrai bus slapti ir nepalyginami su rinkoje prieinamomis alternatyvomis.
„Taigi dabartiniu atveju gresia tiesiog sukurti monopolio sąlygomis veikiančią ir daug biudžeto lėšų reikalaujančią organizaciją, kuri pati nustato kylančias grėsmes, diegia nuo jų apsaugančius sprendimus ir tikrina atliktų darbų kokybę. Toks modelis reikštų ir didelę riziką: specialistams vos akimirkai praradus budrumą, neturint kritiško žvilgsnio iš šalies galima tiesiog nepastebėti spragų savo pačių sukurtoje sistemoje“, – sako INFOBALT vadovas.
INFOBALT ekspertai dar šio mėnesio pradžioje KAM pateikė rekomendacijas dėl valstybės informacinių išteklių saugumo užtikrinimo:
Kompetencijų ir jų sklaidos centras. Rinkos dalyviai pritaria, kad norint įgyvendinti kibernetiniam saugumui keliamus tikslus reikalinga sukoncentruoti iniciatyvą vienose rankose, paverčiant jas kompetencijų centru, patikint joms atsakomybę už reikalingų procesų koordinavimą. Šis vaidmuo galėtų būti patikėtas KAM pavaldžiai valstybės įmonei „Infostruktūra“. Vis dėlto, labai svarbu, kad kompetencijų centras ne tik priimtų sprendimus dėl konkrečių priemonių, bet ir rūpintųsi saugumu bendrąja prasme, į vykdomus procesus įtrauktų ir susijusias šalis. Pavyzdžiui, padėtų tobulinti kompetencijas kitoms kibernetiniam saugumui įtakos turinčioms grandims, tarp kurių – ir svarbių institucijų bei įstaigų personalas.
Keturių akių principas. Šiuolaikinės ir modernios tinklo saugumą užtikrinančios sistemos užtikrina ir savaiminį saugos tobulėjimą, grįstą būtent vadinamuoju keturių akių principu, galinčiu pasireikšti pačiomis įvairiausiomis formomis. Pavyzdžiui, tobulėjimą galima užtikrinti keliems saugaus tinklo paslaugų teikėjams rotacijos būdu audituojant vienas kito darbą. Todėl rekomenduojama kertines funkcijas – įgyvendinimą ir kontrolę – padalinti tarp skirtingų, viena su kita nesusijusių, institucijų. Tai padėtų išvengti pavaldžios įstaigos ir jos steigėjo nesutarimų ar interesų konflikto.
