Kibernetinė sauga Lietuvoje: iki nelaimės netoli
Vieša paslaptis, kad valstybės įstaigose trūksta įrangos, finansavimo ir specialistų. Tie, kurie yra, neturi aiškių nurodymų, žinių nei patirties, kaip elgtis vienokio ar kitokio incidento atveju, todėl dirba, kaip išmano. Maža to, Lietuvoje nėra patvirtinti net minimalūs, pradinį kibernetinio saugumo lygį padėsiantys suvienodinti, techniniai kibernetinio saugumo reikalavimai viešojo sektoriaus įstaigoms ir įmonėms. O skaitmeninės erdvės sargams trūksta įgaliojimų.
Viešasis sektorius dirba paprastai: kai nėra dokumento, nėra ir priežasčių ką nors daryti. Trūksta ir pajėgumų – su dabartiniais žmogiškaisiais resursais Nacionalinis kibernetinio saugumo centras (NKSC) visų viešojo sektoriaus įstaigų patikrinti nespės. Patikrinti, t. y. sužiūrėti, ar įstaiga turi bent minimalią įrangą (antivirusines programas), tinkamos kompetencijos žmonių (ar jie žino, ką ir kaip daryti atakos atveju), ar normaliai funkcionuoja vidinis įstaigos tinklas ir pan. Pasak Artūro Paulausko, Seimo Nacionalinio saugumo ir gynybos komiteto pirmininko, trūksta ir komunikacijos tarp įstaigų bei bendradarbiavimo su interneto paslaugų teikėjais.
Įrodymų nėra, atsakymų – irgi
VŽ primena, kad balandžio 9–12 d. programišiai atakavo Seimo ir Užsienio reikalų ministerijos tinklalapius. Kibernetinio saugumo centras pranešė situaciją suvaldęs ir pritaikęs apsaugos priemones, tačiau išpuoliai tęsėsi.
Balandžio 12 d. Seime vyko pasaulinis Krymo totorių susitikimas, jis buvo transliuojamas internetu. Dėl atakų kurį laiką buvo sutrikusi Seimo tinklalapio veikla, tad tiesioginės renginio transliacijos iš užsienio nebuvo galima stebėti.
Vėliau transliacija buvo pasiekiama kitu interneto adresu. Spėjama, kad atakos priežastis galėjo būti griežta totorių bei Lietuvos retorika Krymo aneksijos klausimu. Tačiau įrodymų nėra. Atsakymų į klausimus, kas ir kodėl bandė sutrikdyti šalies įstaigų veiklą, veikiausiai nesužinosime. Bet patirtis rodo, kad atakos nesiliaus, tad rengtis joms reikia.
„Gerai, kad Vyriausybė jau buvo patvirtinusi Nacionalinį kibernetinių incidentų valdymo planą, suteikiantį teisę Ryšių reguliavimo tarnybai (RRT) arba mums kritiniais atvejais imtis valdyti situaciją. Būtent šis dokumentas leido mums nedelsiant reaguoti“, – VŽ sako Rimtautas Černiauskas, NKSC vadovas.
Anot jo, kibernetinio saugumo įstatymas, įsigaliojęs 2015 m. sausio 1 d., sukūrė pagrindą reaguoti į incidentus, tačiau dar nėra patvirtintas tipinis incidentų valdymo planas, minimalūs techniniai kibernetinio saugumo reikalavimai įstaigoms, ypatingos svarbos infrastruktūros identifikavimo metodika ir pats tokių objektų sąrašas.
Užteko ir mažos atakos
Ponas Černiauskas nesiima atsakyti į klausimą, ar esame pasirengę atremti rimtesnes atakas, pavyzdžiui, prieš kritinės infrastruktūros objektus, tokius kaip dujų, vandens ar elektros tinklai.
Viena tokių atakų įvykdyta pernai gruodį Ukrainoje. Tada piktavaliai programišiai ant menčių paguldė Ivano Frankivsko regiono elektros tinklus. Dėl jos 700.000 žmonių – pusė Ivano Frankivsko regiono namų ūkių – keletą valandų buvo likę be elektros.
„Trečiųjų šalių pasirengimo negaliu vertinti. Galiu tik pasakyti, kad dirbame su potencialiais tokių atakų taikiniais ir laukiame, kada bus oficialiai įvardytos Lietuvai svarbiausios informacinės sistemos ir patvirtintas vadinamasis ypatingos svarbos infrastruktūros sąrašas“, – atsidūsta NKSC vadovas.
Giedriaus Meškausko, „Teo“ ir „Omnitel“ specialiųjų paslaugų vadovo, nuomonė apie Lietuvos kibernetinės saugos būklę gerokai griežtesnė, nors ir jis pripažįsta, kad su turimais ištekliais ir įgaliojimais tarnybos ir IT specialistai minėtąsias atakas suvaldė neblogai.
„Tos atakos – nieko ypatingo, nors pagal OSI tai buvo 7 lygio (angl. Layer 7) puolimas (kai nebandoma užkimšti interneto kanalą, o puolama taikomoji programa (angl. aplication), veikianti serveryje – VŽ). Vidutiniškai kas mėnesį savo tinkluose fiksuojame apie 2.000–3.000 „DDoS“ atakų (visai neseniai „DDoS“ ataką patyrė serveriai, kuriuose yra sistema manodienynas.lt – VŽ), ir kai kurios jų būna gerokai didesnės. Pavyzdžiui, didieji naujienų portalai tokiomis atakomis valosi tarpudančius po pusryčių. Nenustebčiau, jei tokių atakų, kuri atkirto Seimo ir URM svetaines, didžiųjų naujienų portalų administratoriai nė nepastebėtų. Piktavalių siunčiamos užklausos tiesiog paskęstų tarp tikrų vartotojų“, – sako p. Meškauskas.
Per „Teo“ tinklus pereina apie 75% viso interneto srauto Lietuvoje. Tokia imtis yra pakankama, kad būtų galima apibendrinti visos šalies mastu. Pašnekovas įsitikinęs, kad minėtosioms atakoms buvo gerai pasirengta, o jų taikiniai buvo kaitaliojami ir stebimi. Daug pinigų tam nebuvo švaistoma, nes kompiuterių zombių arba vadinamasis botnet tinklas buvo nedidelis.
NKSC duomenimis, botnet tinklą, panaudotą Seimo ir URM sistemoms atkirsti, sudarė apie 10.000 kompiuterių, kurie siuntė maždaug po 250.000 užklausų per sekundę.
„Matėme kur kas didesnių atakų“, – išgirdęs skaičius, replikuoja p. Meškauskas. Anot jo, viena didžiausių „DDoS“ atakų Lietuvoje 2014 m. buvo vykdoma prieš portalą „Delfi“.
90% Lietuvos – pažeidžiama
„Kodėl „Delfi“ tada atsilaikė, o Seimas ir URM dabar krito nuo gerokai mažesnės atakos? Nes didelių e. prekybos svetainių ir naujienų portalų vartotojų srautas yra tiesiogiai susijęs su jų pajamomis, tad jų IT ūkio pajėgumas yra milžiniškas. Ten – tokie lankytojų ir duomenų srautai, kad administratoriai rankomis laiko ūžiančius serverius, kad spintos negriūtų. Tie srautai yra skirstomi, balansuojami, – šmaikščiai padėtį privačiame versle apibūdina p. Meškauskas. – O valstybinėms įstaigoms svetainės – tik vizitinės kortelės.“
Anot pašnekovo, Seimo ir URM portalai turi kiek daugiau vartotojų, bet dauguma jų yra vidiniai, kurie, pavyzdžiui, ieškant dokumentų, paprastai nukreipiami į kitus serverius. Kokios nors rajono savivaldybės svetainę žmonės aplanko gerokai rečiau. Kadangi lankomumas tokiose svetainėse mažas, niekas nenori mokėti už didesnį serverių pajėgumą.
Apie pasirengimą rimtesnėms atakoms p. Meškauskas irgi kalba skeptiškai. Esą didžiųjų miestų – Vilniaus, Kauno, Klaipėdos, Panevėžio – infrastruktūra, vandentiekio, dujų, elektros tinklai, laivas „Independance“, „Sodra“, e. parašo valdytojai ir kai kurie kiti objektai įdėjus pastangų galbūt dar galėtų atlaikyti rimtą puolimą arba bent jau gana greitai atkurtų sistemas. Bet rajonų savivaldybės ir jų valdomos įmonės – t. y. likę 90% Lietuvos – visiškai bejėgės.
Jo teigimu, vienu metu į kelis rajonus nukreipta ataka būtų labai pavojinga, nes kiekviena savivaldybė turi savo vandentiekį, dujotiekį, šilumos tinklus. O šie objektai – savo tinklą ir serverines įrengimų darbui valdyti.
„Pateiksiu realų pavyzdį: yra tokių Lietuvos miestų vandentiekių, kurių pagrindinių maršrutizatorių nustatymai pasiekiami tiesiog per internetą. O priėjimą prie maršrutizatoriaus nustatymų saugantis slaptažodis yra toks silpnas, kad tai gali būti ir to miesto pavadinimas mažosiomis raidėmis. Negana to, nesilaikoma net elementarios saugumo higienos reikalavimų, kad reikia atskirti saugomą tinklą nuo interneto. Bet kas, turintis bent truputį žinių, per minėtą maršrutizatorių gali sutrikdyti SCADA sistemą, kuri siunčia nurodymus įrengimams. Pavyzdžiui, pumpuoti vandenį, sustoti, palaikyti slėgį sistemoje ar pan. Ir viskas, gyventojai lieka be vandens. Tai padaryti labai lengva, nes SCADA įrenginiai itin jautrūs ir niekada nebuvo kuriami tam, kad būtų pasiekiami iš interneto. Viena neteisinga užklausa ir viskas griūva. Neįsivaizduoju, ką darytų budėtojas, gavęs signalą, kad sugedo absoliučiai viskas“, – apie viešųjų įstaigų pažeidžiamumą kalba „Teo“ ir „Omnitel“ atstovas.
Beje, išpuolių prieš komunalinių paslaugų bendrovės jau būta. „Lietuvos žinių“ duomenimis, išpirkos reikalaujantys virusai pastaraisiais mėnesiais apniko mažesnių miestų vandens tiekėjus ir kai kurias privačias bendroves. Antai bendrovėje „Radviliškio vandenys“ dėl išpirkos prašančių virusų (angl. ransomware) darbas buvo sutrikęs kelias savaites, įmonė „Kupiškio vandenys“ panašią ataką patyrė prieš mėnesį. Abiejose bendrovėse kurį laiką buvo neprieinami kelių dešimčių tūkstančių jų abonentų duomenys.
Trūksta žinių, pinigų, plano
VERSLO TRIBŪNA
RĖMIMAS
MTEP išlaidos Lietuvoje pernai augo 6,5 proc.: svarbiausią šuolį užtikrino valstybė ir aukštasis mokslas
Moksliniams tyrimams ir eksperimentinei plėtrai (MTEP) skirtos išlaidos Lietuvoje pernai augo 6,5 proc. Didžiausią indėlį į šį augimą įnešė valdžios sektoriaus ir aukštojo mokslo investicijos – jos užtikrino stabilų rezultatą ir sustiprino ilgalaikį pagrindą šalies verslo inovacijoms bei tarptautinei plėtrai. Inovacijų agentūros ekspertai įžvelgia, kad įmonės MTEP pradeda matyti kaip ilgalaikę investiciją, o ne laikinus valstybės ar Europos finansuojamus projektus, tačiau siekiant transformuoti ekonomiką būtinos reikšmingesnės investicijos.
„Spiečiamės’25“ – rekordinis regioninių verslų skaičius ir naujų mąstymo būdų paieškos
Jau 5 kartą organizuotas „Spiečiaus“ verslo bendruomenės renginys „Spiečiamės“ šiemet subūrė rekordinį dalyvių skaičių. Rugsėjo 26 d. vykusiame susitikime iš viso dalyvavo daugiau nei 500 Inovacijų agentūros įkurtų aktyvaus verslo erdvių „Spiečius“ narių ir alumnų iš visos Lietuvos bei daugiau nei 30 nacionalinio verslo lyderių, mentorių ir ekspertų.
Vieno žmogaus vienaragis: kaip dirbtinis intelektas perrašo solo verslininkų sėkmės taisykles
Sparčiai besivystančiame technologijų ir inovacijų pasaulyje jau esame įpratę girdėti apie vienaragius – startuolius, kurių vertė įkainojama daugiau nei 1 mlrd. JAV dolerių. Dažniausiai už šių sėkmės istorijų slypi vizionieriai, didžiulės talentų komandos ir ilgi darbo metai. Tačiau pasaulyje pradedama kalbėti apie naują fenomeną – vieno žmogaus įkurtą ir valdomą vienaragį. Nors ši vizija kelia dviprasmiškų minčių, tai – labai tikėtina ateitis, kurią realybe pavers žmogaus kūrybiškumas ir dirbtinio intelekto galia, sako Inovacijų agentūros „AI Hub“ vadovas Romanas Zontovičius.
1
Metiniai pokalbiai, kurie keičia žaidimo taisykles
Ilgą laiką darbuotojų metiniai pokalbiai buvo matomi kaip privaloma kasmetinė užduotis vadovams ir darbuotojams, o ne galimybė atviram pokalbiui ir ilgalaikiams susitarimams, tačiau šiandien jų vaidmuo vertinamas iš naujo. Nuotolinis ir hibridinis darbo modeliai, skirtingų kartų lūkesčiai ir technologijų plėtra leidžia metinius pokalbius matyti visai kitoje šviesoje – kaip instrumentą, padedantį išlaikyti ryšį, jausti organizacijos pulsą ir net formuoti naujas darbo kultūros taisykles.
VERSLO TRIBŪNA
Moksliniams tyrimams ir eksperimentinei plėtrai (MTEP) skirtos išlaidos Lietuvoje pernai augo 6,5 proc. Didžiausią indėlį į šį augimą įnešė valdžios sektoriaus ir aukštojo mokslo investicijos – jos užtikrino stabilų rezultatą ir sustiprino ilgalaikį pagrindą šalies verslo inovacijoms bei tarptautinei plėtrai. Inovacijų agentūros ekspertai įžvelgia, kad įmonės MTEP pradeda matyti kaip ilgalaikę investiciją, o ne laikinus valstybės ar Europos finansuojamus projektus, tačiau siekiant transformuoti ekonomiką būtinos reikšmingesnės investicijos.
Jau 5 kartą organizuotas „Spiečiaus“ verslo bendruomenės renginys „Spiečiamės“ šiemet subūrė rekordinį dalyvių skaičių. Rugsėjo 26 d. vykusiame susitikime iš viso dalyvavo daugiau nei 500 Inovacijų agentūros įkurtų aktyvaus verslo erdvių „Spiečius“ narių ir alumnų iš visos Lietuvos bei daugiau nei 30 nacionalinio verslo lyderių, mentorių ir ekspertų.
Sparčiai besivystančiame technologijų ir inovacijų pasaulyje jau esame įpratę girdėti apie vienaragius – startuolius, kurių vertė įkainojama daugiau nei 1 mlrd. JAV dolerių. Dažniausiai už šių sėkmės istorijų slypi vizionieriai, didžiulės talentų komandos ir ilgi darbo metai. Tačiau pasaulyje pradedama kalbėti apie naują fenomeną – vieno žmogaus įkurtą ir valdomą vienaragį. Nors ši vizija kelia dviprasmiškų minčių, tai – labai tikėtina ateitis, kurią realybe pavers žmogaus kūrybiškumas ir dirbtinio intelekto galia, sako Inovacijų agentūros „AI Hub“ vadovas Romanas Zontovičius.
Ilgą laiką darbuotojų metiniai pokalbiai buvo matomi kaip privaloma kasmetinė užduotis vadovams ir darbuotojams, o ne galimybė atviram pokalbiui ir ilgalaikiams susitarimams, tačiau šiandien jų vaidmuo vertinamas iš naujo. Nuotolinis ir hibridinis darbo modeliai, skirtingų kartų lūkesčiai ir technologijų plėtra leidžia metinius pokalbius matyti visai kitoje šviesoje – kaip instrumentą, padedantį išlaikyti ryšį, jausti organizacijos pulsą ir net formuoti naujas darbo kultūros taisykles.
Ponas Meškauskas priduria, kad didelė problema yra ir viešojo sektoriaus IT specialistų kompetencijos bei atlyginimai, ypač regionuose. Anot jo, kibernetinės saugos mokymai viešojo sektoriaus IT specialistams šalies mastu nėra rengiami, o patyrę vieną kitą ataką savo kailiu daug neišmoks.
Tiesa, pirmųjų žiburių čia jau randasi. Krašto apsaugos ministerija ir jai pavaldus NKSC rudenį organizuoja praktines kibernetinio saugumo pratybas valstybės įstaigoms pasirengti kovai su kibernetinėmis atakomis. Jų metu bus tikrinamos ir esamų norminių aktų nuostatos, procedūros, vidaus tvarka ir praktinis jų taikymas.
Blogiau dėl finansavimo ir juridinių reikalų.
„Net jei atsirastų rimtas specialistas, kuris sutiktų dirbti tinklų ar sistemų administratoriumi už labai nedidelį atlyginimą provincijos savivaldybėje ar jos įmonėje, vadovai jam neskirtų resursų atlikti darbą taip, kaip reikėtų. Vadovai, gavę prašymą nupirkti stebėjimo sistemą ar įrangą saugumo lygiui pakelti, tikriausiai pasakytų, kad praeityje niekas nelūžo ir atakų nebuvo, todėl nėra pagrindo skirti lėšų. Kita problema ta, kad už kibernetinį saugumą atsakingoms institucijoms trūksta įgaliojimų. Pas mus, Lietuvoje, viskas laikosi ant geranoriškumo, bet kartais jo gali neužtekti“, – dėsto p. Meškauskas.
Jam pritaria ir Sandra Gražytė, internetą valstybės įstaigoms tiekiančios ir jų svetaines bei sistemas globojančios valstybės įmonės „Infostruktūra“ Administravimo skyriaus ir komunikacijos vadovė. Ji pripažįsta, kad viešajame sektoriuje išties trūksta kompetencijų, technikos, pinigų ir teisės aktų, numatančių, kaip elgtis.
„Svarbiausia – aiškus susitarimas dėl taisyklių, t. y. teisinis reglamentavimas: kokie valstybės duomenys turi būti pasiekiami tik saugiu valstybiniu duomenų perdavimo tinklu. Kitas žingsnis – bendras valstybės ir verslo požiūris į tai, kad valstybės informacinių išteklių apsauga yra valstybės interesas, kurio užtikrinimas svarbesnis už tariamą konkurencijos puoselėjimą. Pagaliau, atakoms tobulėjant, būtinas nuolat augantis žinių lygis bei techninė bazė. Pavieniui institucijoms tai pasiekti labai sunku arba neįmanoma, tam kuriami kolektyvinės saugos sprendimai“, – sako p. Gražytė.
Anot jos, kas mėnesį prieš „Infostruktūros“ globojamas svetaines ir sistemas bandoma įvykdyti apie 100.000 kibernetinių atakų, įskaitant socialinę inžineriją, užkrėstus laiškus ir kitus metodus. Tačiau didžiąją šių atakų dalį įmonės specialistai pagauna ir sustabdo. Ji leidžia suprasti, kad tokiomis skaitmeninės saugos sąlygomis, kokios šalyje yra dabar, tai neįtikėtinai puikus rezultatas.
Vilius Benetis, specializuotos kibernetinės saugos bendrovės NRD CS direktorius, įspėja, kad kibernetinių incidentų skaičius ir jų daroma žala auga, todėl būtina ruoštis, diegti ir atnaujinti saugos priemones, numatyti alternatyvas ir saugoti, kas svarbu valstybei ir jos žmonėms.
„Niekas nėra apsaugotas nuo kibernetinių incidentų, tačiau jų poveikį įmonei ar institucijai galima suvaldyti. Tam tiesiog turi būti skiriamas vadovų dėmesys bei lėšos, ir geriau anksčiau nei vėliau. Pirmi žingsniai jau žengti. Pernai įsigaliojo kibernetinio saugumo įstatymas. Matome, kad intensyviai dirba NKSC. O Lietuvai nustačius savo kritinę informacinę infrastruktūrą ir įsigaliojus ES tinklų ir informacinių sistemų bendro saugumo lygio direktyvai, tikimės intensyvesnio privataus ir valstybinio sektoriaus bendradarbiavimo“, – problemines sritis švelniai įvardija p. Benetis.
