Nors neseniai ESET atliktame tyrime nustatyta, kad Lietuva yra antroji šalis Europoje pagal saugumą internete, tačiau Lietuvos kibernetinio saugumo ekspertai tikina, kad nereikia šia informacija pernelyg džiaugtis, nes vis dar daugelis viešojo sektoriaus organizacijų, nesiimdamos veiksmų, galinčių apsaugoti savo duomenis, sėdi tarsi ant tiksinčios bombos.
Dažniausiai duomenų apsauga susirūpinama tik po incidentų
Jokūbas Drazdas |
---|
Lietuvoje veikiančios dirbtinio intelekto taikyme ir kibernetiniame saugume besispecializuojančios informacinių technologijų įmonės UAB „Acrux cyber service“ direktorius Jokūbas Drazdas pastebi, kad kibernetiniu saugumu dažniausiai viešasis sektorius susirūpina tik po įsilaužimų ir duomenų vagysčių.
„Deja, matome tendenciją, kad po tokių įvykių, kaip „CityBee“ ar Užsienio reikalų ministerijos duomenų vagystės, daugėja besikreipiančių dėl įsilaužimų testavimo ar kitų kibernetinio saugumo paslaugų, tačiau iš visuomenės, žiniasklaidos akiračio dingus tokiems įvykiams, nurimsta ir organizacijos. Lietuvoje vis dar neskiriamas pakankamas dėmesys kibernetiniam saugumui. Saugumo spragų taisymas jau po įsilaužimų yra skaudžiausia pamoka. Spragas gali „užtaisyti“, tačiau žalos, kurią padarė įsilaužėliai, nebeatitaisyti“, – sakė Jokūbas Drazdas.
Valstybinės institucijos ne visada reaguoja į pastebėtas kibernetinio saugumo spragas
Pasak Jokūbo Drazdo, kibernetinio saugumo analitikai dažnai patys praneša Lietuvos valstybinėms institucijoms apie aptiktas saugumo spragas, tačiau į jų informaciją ne visada reaguojama operatyviai.
„Mūsų kibernetinio saugumo analitikai kai kurioms valstybinėms institucijoms yra ne vieną kartą geranoriškai pranešę dėl aptiktų saugumo spragų, kuriomis gali pasinaudoti kibernetiniai nusikaltėliai. Gaila, bet ne visada po perspėjimų institucijos imasi veiksmų. Šiuo metu daugelis institucijų sėdi tarsi ant tiksinčios bombos, tiesiog laukdamos, kada ji sprogs. Manau, tokiais neramiais laikais kiekvienas valstybinės organizacijos vadovas turėtų jausti atsakomybę dėl savo vadovaujamos organizacijos saugumo. Kibernetinis saugumas šiandien yra toks pats svarbus kaip ir fizinis saugumas“, – teigė kibernetinio saugumo įmonės vadovas.
Kibernetinio saugumo specialistas siūlo skirti didesni dėmesį naujų sistemų kūrimui ir nepamiršti senų
Jokūbas Drazdas mano, kad problemos, susijusios su informacijos apsauga, yra įsisenėjusios ir jas reikia spręsti iš pagrindų – kompleksiškai.
„Šiandien visos viešojo sektoriaus institucijos valdo įvairias IT sistemas. Kai kurios saugo itin jautrius duomenis. Neužtenka to, kad sukūrus naują sistemą, jos kūrėjai atlieka saugumo testavimą. Testavimas ne visada gali parodyti sistemos pažeidžiamumą, taip pat ne visi programuotojai yra kompetentingi užtikrinti pakankamą kuriamos sistemos saugumą. Technologijos itin sparčiai vystosi. Jei vakar sistema buvo saugi, rytoj dėl tobulėjančių įsilaužėlių ji gali tapti pažeidžiama. Reikia nepamiršti, kad viešajame sektoriuje labai daug senų sistemų, o naujos kuriamos be kibernetinio saugumo specialistų dalyvavimo. Valstybinės institucijos, dar planuodamos sistemų kūrimo viešuosius pirkimus, turėtų atlikti namų darbus, kad ateityje galėtų išvengti įsilaužimo atvejų. Pirmiausia, būtina numatyti, kad sistema būtų kuriama dalyvaujant kibernetinio saugumo specialistams. Taip pat būtina nepamiršti senų ir apleistų sistemų, kurios įsilaužėliams gali tapti vartais į organizacijos duomenų saugyklas“, – sakė Jokūbas Drazdas.
Jei situacija nesikeis, apie duomenų vagystes iš valstybinių institucijų – dar išgirsime
Jokūbas Drazdas mano, kad tinkama duomenų apsauga turėtų būti vienas iš valstybės prioritetų.
„Šiandien karai vyksta ne tik apsiginklavus tankais. Kibernetinės atakos yra ne mažiau pavojingos. Pagalvokime, ką gali padaryti kibernetiniai nusikaltėliai, nusitaikę į sveikatos priežiūros, energetikos sektorius. Dažnai mums nedraugiškose valstybėse įsilaužėlių grupuotės yra itin pažangios ir jos dažnai nusitaiko būtent į viešąjį sektorių: pavagiami duomenys, sustabdomos sistemos, dėl kurių neveikimo stoja ir institucijos darbas, skleidžiama melaginga, valstybei žalinga informacija ir kt. Kol kibernetinis saugumas valstybėje netaps prioritetu, apie įsilaužimus į valstybines institucijas dar tikrai išgirsime“, – teigė UAB „Acrux cyber service“ direktorius.