Birželio 29 d. Vyriausybė priėmė pirmąją Nacionalinę Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 m. programą. Programoje pateikiamos pagrindinės strateginės kryptys ir gairės, kaip šalyje turėtų būti stiprinamas kibernetinis saugumas.
Kaip teigiama Vyriausybės pranešime, pagrindinis programos tikslas – sudaryti prielaidas kibernetinio saugumo plėtojimui Lietuvoje 2011–2019 metais. Už kibernetinio saugumo plėtrą atsakingoms institucijoms iškelta apie 60 konkrečių uždavinių, tarp kurių – suformuoti grėsmių ir pažeidžiamumų kibernetinėje erdvėje valdymo sistemą, sukurti elektroninės informacijos saugos sistemą, stiprinti teisinę bazę, reikalingą efektyviam reagavimui į saugumo incidentus elektroninių ryšių tinkluose, dalyvauti NATO kibernetinės gynybos tobulinimo centro veikloje, tarptautinėse kibernetinės gynybos pratybose, tobulinti kovos su nusikalstamomis veikomis kibernetinėje erdvėje sistemą.
Pačioje programoje nurodomi pakankamai konkretūs ir ambicingi tikslai, kurie turėtų būti pasiekti iki 2019 metų: teisės aktų nustatytus kibernetinio saugumo reikalavimus atitinkančių valstybės informacinių išteklių dalis pasiektų 98 proc. visų valstybės informacinių išteklių; vidutinis ypatingos svarbos informacinės infrastruktūros incidentų likvidavimo laikas sumažėtų iki 30 min., o saugiai besijaučiančių kibernetinėje erdvėje Lietuvos gyventojų dalis pasiektų 60 procentų.
Programoje pažymima, kad iki šiol Lietuvoje trūko dėmesio informacinių išteklių saugumui užtikrinti. Šiuo metu šalyje nėra elektroninės informacijos saugos valdymo koordinavimo sistemos, trūksta viešojo ir privataus sektoriaus bendradarbiavimo, iki šiol nesukurta teisinė bazė, leidžianti efektyviai kovoti su incidentais viešuosiuose elektroninių ryšių tinkluose, o taip pat nereglamentuotas tapatybės nustatymo priemonių naudojimas.
Saugumui dėmesį skirs prevenciškai
Vis dėlto galima teigti, kad programoje nurodyti daugelis indikatorių, turinčių liudyti apie padidėjusį kibernetinį saugumą, kol kas atrodo gana atsitiktiniai. Daugelio indikatorių vertinimo iki šiol apskritai nebuvo daroma, todėl nėra net žinoma, kokia dabartinė kibernetinio saugumo būklė šalyje. Tad, pavyzdžiui, nurodyti uždaviniai, kad iki 2015 m. saugią valstybės infrastruktūrą naudojančių informacinių išteklių dalis pasieks 70 proc., o 2019 m. – 100 proc., atrodo, kaip itin ambicingas, bet nežinia kiek realus tikslas. Kita vertus, galima pasidžiaugti, kad pagaliau bus žinomi bent jau preliminarūs siekiai, kiek lėšų, lyginant su visomis išlaidomis elektroninėms ir informacinėms sistemoms, turėtų būti skiriama informacinių sistemų saugai. Numatoma, kad 2015 m. kibernetinio saugumo poreikiams užtikrinti bus skiriama 10 proc., o 2019 m. – 15 proc. visų lėšų, planuojamų skirti informacinių sistemų plėtrai ir palaikymui (t.y. įsigijimams, aptarnavimui ir panašiai).
Kaip portalui iq.lt teigė informacinio saugumo paslaugas teikiančios bendrovė „Critical Security“ vadovas Miroslavas Lučinskis, gerai yra tai, kad apskritai yra laikomasi principo, jog informacinės saugos poreikius būtina planuoti iš anksto. „Dažniausiai net ir privačios kompanijos iki šiol yra linkusios vadovautis tik „gaisrų gesinimo“ principu – skirti lėšas ir pastangas tuomet, kai įvyksta kokie nors incidentai. Todėl požiūris, kad jau diegiant informacines sistemas būtina numatyti tam tikrą dalį pastangų ir išlaidų jų saugumo užtikrinimui ir prevencijai – geras žingsnis į priekį“, – teigė M. Lučinskis. Vis dėlto ekspertas negalėjo pateikti įvertinimo, kokia išlaidų dalis privalomai turėtų būti skirta informacinių sistemų apsaugai. Anot jo, kartais labai sunku numatyti, kiek gali kainuoti saugumo priemonių diegimas ir palaikymas, tad tikslių procentinių išraiškų nustatymas gali vesti ir prie tam tikro neadekvataus lėšų naudojimo, kuomet bus stengiamasi išleisti pinigus ne pačioms svarbiausioms priemonėms, o vien tik tam, kad būtų „įvykdytas planas“.
Būti ar jaustis saugiam?
Bene daugiausia abejonių kelia programoje numatytas tikslas, kad saugiai besijaučiančių kibernetinėje erdvėje Lietuvos gyventojų dalis 2015 m. siektų 40 proc., o 2019 m. – jau 60 procentų. Pagal programą, suvokiančių kibernetinio saugumo principus Lietuvos gyventojų dalis 2015 m. turėtų siekti 60 proc., o 2019 m. – net 80 procentų. Šie kriterijai gali būti bene sunkiausiai įvertinami ir pasiekiami. „Saugumo pojūtį“ galima įvertinti, tarkime, gyventojų apklausomis, tačiau jų rezultatai mažai ką sakys apie tikrąjį gyventojų saugumą naudojantis informacinėmis technologijomis. Panašiai ir tikrinimas, kaip gyventojai suvokia kibernetinio saugumo principus, gali būti gana utopinis – šiuo metų Lietuvos gyventojų kibernetinio raštingumo ir atsargumo lygio niekas net nėra tiksliai įvertinęs. Be to, nuolat didėjant incidentų internetinėje erdvėje skaičiui ir vis dažniau susiduriant su šio tipo grėsmėmis, neįmanoma, kad interneto vartotojai jaustųsi vis saugiau. Kuo daugiau apie tai bus kalbama – tuo neišvengiamai didės nesaugumo jausmas.
Keista, kad programoje, kurioje dėmesio skirta ir visuomenės švietimui informacinio saugumo srityje, nieko nekalbama apie konkretesnes žalos vertinimo galimybes (tarkime, tyrimus, kokią ekonominę žalą patiria vartotojai, verslo ar valstybės subjektai dėl informacijos praradimo, tapatybių vagysčių ir pan.) bei ignoruojama vis dar rimta nelegalios programinės įrangos naudojimo problema.
Pagal įvairius vertinimus, Lietuvoje apie pusę privačių vartotojų naudojasi nelegalia programine įranga ir dėl to yra žymiai pažeidžiamesni galimiems incidentams informacinėje erdvėje. Bendrovės „Synopticom“ 2010 lapkričio 3–8 dienomis Lietuvoje atlikto interneto vartotojų tyrimo duomenimis, net 55 proc. apklaustųjų pripažino, jog per praėjusius metus dėl kompiuterių virusų ar kitų kenkėjiškų atakų buvo sulėtėjęs kompiuterio darbas. 49 proc. tvirtino, kad ši problema kartojosi. Daugiau nei trečdalis apklaustųjų (35 proc.) teigė, jog dėl operacinės sistemos klaidos ar „lūžimo“ prarado dokumentus ir nuotraukas. Net 7 proc. Lietuvos gyventojų per praėjusius metus pastebėjo praradę slaptažodžius ar kitus asmeninius duomenis.