Dar vienas galvos skausmas?
Galbūt valstybės informacinių išteklių valdytojams numatomi teisės aktų pakeitimai ir nurodinėjimas, ką pirkti ir ko ne, yra dar vienas galvos skausmas, tačiau į viską reikėtų žvelgti globaliau. 2018 m. dauguma organizacijų toliau prisidės prie šalies nacionalinio kibernetinio saugumo politikos stiprinimo. Svarbiausias šių metų iššūkis bus sklandžiai pasiruošti 2018 m. gegužės 25 d. įsigaliosiančiam Europos Sąjungos Bendrajam duomenų apsaugos reglamentui.
Akivaizdu, kad visame šiame kontekste ne tik naudojamai įrangai, bet ir jos tiekėjams nuo šiol turi būti keliami dar aukštesni reikalavimai. Be to, į situaciją dėmesį turėtų atkreipti ir verslo atstovai.
Terminai įtempti
Saugumo programinės įrangos tiekėjų patikimumas nacionaliniam saugumui visada buvo svarbus, tačiau tai pirmas toks atvejis, kai, išnagrinėjus informaciją apie kibernetines grėsmes, aukščiausi šalies pareigūnai vieną iš tiekėjų pripažino nepatikimu, priėmė sprendimą nurodyti jį pakeisti.
Ypatingos svarbos informacinę infrastruktūrą valdančioms valstybės institucijoms – energetikos, finansų sistemos, transporto ir kitų sektorių valdytojams – nustatytas 90 dienų terminas, per kurį jos privalo konkrečią saugumo programinę įrangą iš savo sistemos tinklų pašalinti ir įdiegti alternatyvią. Tuo tarpu kitoms valstybinėms institucijoms nustatytas 30 dienų terminas keliamos rizikos įvertinimui ir, atsižvelgiant į gautus rezultatus, nurodyta su Nacionalinio kibernetinio saugumo centru (NKSC) suderinti ir nustatyti terminą, per kurį ši programinė įranga turi būti pakeista.
Taigi, kritinę informacinę infrastruktūrą valdančioms įmonėms privalu pokyčius įgyvendinti iki kovo mėnesio pabaigos, o kitoms – su NKSC nustatytais terminais. Taigi, nustatyti terminai pokyčių įgyvendinimui yra pakankamai įtempti.
Tikslus skaičius nežinomas
Pokyčius dėl priimto sprendimo netruko pajusti kibernetinio saugumo programinės įrangos tiekėjai. ESET antivirusines programas ir saugumo sprendimus Lietuvoje naudoja 243 000 fizinių ir juridinių asmenų. Prasidėjus 2018 m. pastebėjome, kad aktyviau domėtis kibernetinės saugos priemonėmis pradėjo būtent valdytojai, tačiau artimiausiu metu ši tendencija turėtų dar labiau ryškėti.
Remiantis Registrų ir informacinių sistemų registre pateikiama informacija, Lietuvoje yra 348 registro objektai, iš kurių 94 yra valstybiniai registrai ir 254 valstybinės informacinės sistemos. Šiuos registro objektus valdo 134 skirtingi valdytojai, būtent jie ir turėtų kuo greičiau imtis veiksmų, kad užtikrintų ypatingos svarbos informacinės infrastruktūros ir valstybinių informacinių išteklių kibernetinę saugą programine įranga, kuri nekelia grėsmės šalies nacionaliniam saugumui.
Tiesa, kiek mums žinoma, šiuo metu dar nėra suskaičiuota, kiek tiksliai valdytojų naudojasi „Kaspersky Lab“ programine įranga, tačiau nusprendėme ją keičiantiems klientams visas būtinas konsultacijas ir mokymus suteikti nemokamai.
Aukštesnių kriterijų kėlimas
Šiuo metu Viešųjų pirkimų ir Viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymai neišskiria kibernetinio saugumo programinės įrangos pirkimo bei leidžia perkančiajai organizacijai pačiai nusistatyti atrankos kriterijus.
Viešojoje erdvėje buvo informacijos, kad numatomi teisės aktų papildymai ir pakeitimai, reglamentuosiantys kibernetinio saugumo programinės įrangos pirkimą, kurie leistų pašalinti nepatikimus tiekėjus iš viešųjų konkursų. Teisės aktų papildymai ir pakeitimai dažniausiai užtrunka, todėl mažai tikėtina, kad jie atsiras per 90 dienų. Tačiau akivaizdu, kad, ruošiantis naujovėms, jau dabar reikėtų pradėti taikyti aukštesnius kriterijus programinės įrangos tiekėjams.
Taigi, rengiant viešųjų pirkimų dokumentus, tiekėjus reikėtų rinktis ne tik pagal mažiausią kainą, o kibernetinio saugumo programinės įrangos pirkimui taikyti ekonomiškai naudingiausio pasiūlymo vertinimo kriterijų – šalia kainos vertinimo, įvesti kokybės, aptarnavimo kriterijus.
Rengiant techninę specifikaciją, svarbu įtraukti ne tik bazinius apsaugos vertinimo kriterijus kaip apsaugą nuo virusų, elektroninių šiukšlių, bet ir tai, kad antivirusinė programa galėtų apsaugoti kompiuterines darbo vietas, tarnybines stotis, mobiliuosius bei planšetinius įrenginius ir nuo sukčiavimo „Anti-Phishing“, šnipinėjimo programų, turėtų dvipusę ugniasienę, tinklo kontrolę, pašto filtrą, apsaugą nuo „botnet“ atakų bei visi įrenginiai būtų centralizuotai valdomi iš vienos administravimo konsolės. Ne ką mažiau svarbu, kad antivirusinės programos klientinė versija bei techninės pagalbos teikimas būtų lietuvių kalba. Taip pat reikšminga, kad gamintojas galėtų suteikti pagalbą išdiegiant buvusius sprendimus, apmokyti IT personalą naudotis įsigyta įranga ir ją pritaikyti konkretiems poreikiams, teikti tolimesnę pagalbą naudojantis įranga, ją atnaujinant.
Turėtų susirūpinti ir verslas
Vyriausybės sprendimas keisti nepatikimą programinę įrangą yra skirtas tik valstybiniam sektoriui, tačiau akivaizdu, kad tai rimtas signalas ir privataus sektoriaus atstovams, kurie turi patys įsivertinti galimas programinės įrangos naudojimo rizikas.
Įmonių vadovai turėtų nedelsti ir bent jau kartą per savaitę į savo kabinetą kviesti už įstaigos kompiuterinio tinklo saugumą atsakingus asmenis, išsiaiškinti, kokia situacija yra su tinklo kibernetine sauga, kokia naudojama antivirusinė programa, kas jau yra padaryta ir ko trūksta, norint iki minimumo sumažinti kibernetines rizikas. Jei šie žingsniai stringa ar IT kolektyvui trūksta kompetencijos žinių, reikėtų kreiptis į kibernetinės saugos ekspertus.