Europos Sąjungai siekiant didinti valstybių atsparumą kibernetinėms grėsmėms, Lietuvoje dar praėjusių metų rudenį įsigaliojo ESTinklųir informacinių sistemų saugumo direktyva (NIS2, liet. TIS2). Visgi „Sorainen“ ekspertai beda pirštu į opią problemą mūsų šalyje – didelė dalisprivataus sektoriaus iki šiol nesupranta kibernetinio saugumo svarbos ir nelaiko to prioritetu.
Panašu, kad situacija artimiausiu metu turėtų keistis, mat Nacionalinis kibernetinio saugumo centras iki balandžio 17 d. baigs registruoti organizacijas į Kibernetinio saugumo subjektų registrą, kas reikš, kad nuo to momento į registrą įtrauktoms organizacijoms ims galioti visi reikalavimai.
Svarbu paminėti, kad už NIS2 direktyvos reikalavimų nesilaikymą verslui gresia milžiniškos, milijonus siekiančios baudos, o organizacijų vadovams numatyta net asmeninė atsakomybė – piniginės kelis tūkstančius siekiančios baudos ar net laikinas nušalinimas nuo pareigų (esminių subjektų atveju).
Verslas į kibernetinį saugumą žiūri atsainiai
Jau kuris laikas suprantama, kad virtualus pasaulis yra viliojantis taikinys priešiškoms ar destrukcinėms jėgoms. Juk dar 2016 m. NATO kibernetinę erdvę įvardijo kaip vieną iš operacijų erdvių.
„Šiuo metudidžiausias dėmesys turėtų būti skiriamas padėti verslui suprasti kibernetinės saugos svarbą ir kokius darbus jiems reikia šiuo klausimu kuo greičiau padaryti. Deja, tenka pripažinti, kad vienas veiksmingiausių būdų į tai atkreipti vadovų dėmesį – paaiškinant, kad jei kibernetinio saugumo reikalavimų nebus laikomasi, gresia didžiulės baudos“, – sako „Sorainen“ ekspertė Irma Kunickė.
Baudos – 10 milijonų ir didesnės
Lietuvoje yra apie kelitūkstančiai įmonių, kurios pateks į naujos direktyvos reguliavimo sritį, o balandžio mėnesį turėtų atsirasti registras su visomis šalies bendrovėmis, kurioms taikomas atnaujintas Kibernetinio saugumo įstatymas. NIS2 direktyva taikomadaugybei skirtingų verslo sektorių, įskaitant energetikos, gamybos (įskaitant maisto, elektronikos, cheminių medžiagų ir kt.), sveikatos priežiūros, transporto, atliekų tvarkymo, skaitmeninės infrastruktūros ir kt. sektorius. Reikšmingas tampa ir įmonės dydis. Suregistruotos įmonės bus suskirstytos į esmines bei svarbias.
Kibernetinio saugumo reikalavimų nesilaikymas įmonėms gali kainuoti milžiniškus pinigus. Esminiams subjektams gresia bauda iki 10 mln. eurų arba iki 2 procentų bendros pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė. Svarbiam subjektui galėtų būti taikoma bauda iki 7 mln. eurų arba 1,4 procentų nuo bendros pasaulinės metinės apyvartos.
„Sorainen“ ekspertė I. Kunickė dabartinę situaciją dėl kibernetinio saugumo nepaisymo lygina su tuo, kas Lietuvoje vyko prieš beveik dešimtmetį su sugriežtintais asmens duomenų apsaugos reikalavimais. Didžiojidalis verslo pro pirštus žiūrėjo į asmens duomenų apsaugą. Tačiau, pasak I. Kunickės, 2018-aisiais įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR) ir jame numatytosmilijoninės baudos (iki 20 milijonų eurų arba 4 % organizacijos metinės pasaulinės apyvartos) pakeitė privataus sektoriaus požiūrį. Kai kurioms įmonėms teko ir gerokai paploninti piniginę.
„Nubaustos gali būti ne tik įmonės, bet ir jų vadovai. Pastariesiems kyla asmeninės atsakomybės rizika dėl kibernetinio saugumo reikalavimų nesilaikymo, įskaitant asmenines baudas ir laikiną nušalinimą nuo pareigų. Vadovų civilinės atsakomybės draudimas galėtų tapti potencialiu sprendimu, galinčiu aprėpti ne tik vadovo gynybos išlaidas, bet ir kompensuoti priteistus nuostolius bei administracines baudas, ir net padengti reputacijos atkūrimo išlaidas“, – pataria I. Kunickė.
Gali nušalinti vadovus
„Sorainen“ ekspertė pabrėžia, kad kibernetinio saugumo reikalavimų nepaisymas gresia ir esminių įmonių vadovų nušalinimu.
„Su Kibernetinio saugumo įstatymo pakeitimais yra atsiradęs asmeninės vadovo atsakomybės institutas. Priežiūrą vykdantis Nacionalinis kibernetinio saugumo centras turi įgaliojimą laikinai nušalinti bendrovės, pripažintos esminiu kibernetinio saugumo subjektu, vadovą nuo pareigų, jeigu jis trukdo veiklai arba neužtikrina numatytų reikalavimų“, – pabrėžia I. Kunickė.
Be to, tokio pat dydžio milijoninės baudos gali būti skirtos ir, jei verslas nesilaikys pareigos pranešti apie įvykusį kibernetinį incidentą. Ar tai nesukurs terpės tyčiniams incidentų nuslėpimams? „Sorainen“ ekspertė mano, kad ne.
„Reikia suprasti, kad niekas nedalins baudų vien dėl to, kad buvo patirta kibernetinė ataka. Baudos skiriamos už reikalavimų nepaisymą. Įmonei patyrus ataką, pasekmės atsiranda iškart – gali būti nutekinti duomenys, sutrikdytas paslaugų teikimas, prašoma išpirkos. Pastebėti, kad kažkas ne taip, gali ir vartotojai. Šiais laikais nuslėpti įvykusį incidentą yra labai sudėtinga“, – pabrėžia ekspertė.
Įmonės yra įpareigotos per parą pranešti apie įvykusią ataką. Vėliau bendrovėje gali būti vykdomi neplaniniai patikrinimai, kurių metu aiškinamasi incidento detalės. Paaiškėjus, kad ataka įvykdyta dėl techninių spragų, organizacinių priemonių nebuvimo ar netinkamo įgyvendinimo, bendrovių lauktų atsakomybė. Kaip laikomasi kibernetinio saugumo reikalavimų, atsakingos institucijos tikrina ir planiniais patikrinimais.
