Geopolitinių neramumų bei karinių ir teritorinių konfliktų krečiamame pasaulyje valstybės vis daugiau investuoja į savo sienų ir suvereniteto apsaugą. Jau ne vienerius metus pasaulio lyderiai pabrėžia, kad saugumas svarbus ne tik fizinėje, bet ir virtualioje erdvėje.
Vis tobulėjančios kibernetinės atakos, nukreiptos į viešąjį sektorių ir kritinę infrastruktūrą, gali pridaryti ne mažiau žalos nei ginklai. Vis dėlto ekspertai pabrėžia, kad kibernetinio saugumo stiprinimas būtinas ir verslui, nes privataus sektoriaus atsparumas glaudžiai susijęs su bendru valstybės saugumu.
Tačiau net ir įsigaliojus naujiems kibernetinio saugumo reikalavimams, ne visi verslai skuba jų laikytis, o kai kurie apie tai net nežino. „Sorainen“ teisininkai įspėja – už taisyklių nepaisymą gali grėsti milžiniškos baudos.
Kibernetinės atakos – subtilesnės ir efektyvesnės
„Reikia suprasti, kad kibernetinis saugumas padeda ne tik apsaugoti duomenis, bet ir verslo reputaciją, taip pat užtikrina veiklos tęstinumą ir finansinį stabilumą. Kibernetinio saugumo strategija yra investicija į ilgalaikę bet kurio verslo sėkmę ir tvarumą“, – pabrėžia „Sorainen“ ekspertė Irma Kunickė.
Pernai beveik kiekvienas mėnuo pasižymėjo didžiulėmis tarptautinio masto kibernetinėmis atakomis – kentėjo ir sveikatos priežiūros technologijų gigantė „Change Healthcare“, ir debesijos paslaugas siūlanti W. Buffetto giriama „Snowflake“ kompanija, ir net tokie rinkos žaidėjai kaip „Microsoft“. Beje, pastaroji paskaičiavo, kad jos klientai kasdien susiduria su 600 mln. atakų iš kibernetinių nusikaltėlių. Tokie išpuoliai, kai pažeidžiamas duomenų saugumas, kainuoja itin brangiai. Pernai vidutinė duomenų saugumo pažeidimo kaina pasaulyje siekė apie 5 milijonus dolerių.
Kibernetiniams išpuoliams vis tobulėjant, Lietuvos verslas taip pat neatsigina programišių atakų. Per pastaruosius kelerius metus buvome priversti stebėti ne vieną duomenų nutekinimo skandalą. Dar 2017 m. rezonansą sukėlė programišių nutekinti „Grožio chirurgijos“ duomenys – klientų vardai, pavardės, asmens kodai, net intymios prieš plastines operacijas darytos nuotraukos.
2021-aisiais Lietuvą drebino „Citybee“ skandalas, kai į viešumą nutekėjo virš 100 tūkst. kompanijos klientų duomenys. O viena šviežesnių didelių kibernetinių atakų – praėjusių metų vasarį prokremlinės grupuotės nutekinti apie 20 tūkst. „Ignitis ON“ klientų duomenys.
Nacionalinis kibernetinio saugumo centras (NKSC) dar tik rengia ataskaitą už 2024-uosius metus, kur bus apžvelgta praėjusių metų atakų statistika. Tačiau ankstesnių metų duomenys taip pat leidžia matyti daryti tam tikras išvadas. 2023-iaisiais mūsų šalyje fiksuotos 2378 kibernetinės atakos. Nors tai yra 30 proc. mažiau nei 2022-aisiais, tačiau 12 proc. išaugo pavojingesnių atakų skaičius. O dėl kibernetinių incidentų įvykę asmens duomenų saugumo pažeidimai paveikė pusę subjektų. Pasak NKSC, tai rodo, kad atakos tampa subtilesnės ir efektyvesnės.
NIS2 direktyva – kas tai?
Siekiant užtikrinti, kad kibernetinės erdvės apsauga būtų efektyvesnė, nuo praėjusių metų rudens Lietuvoje įsigaliojo Europos Komisijos Tinklo ir informacinių sistemų saugumo NIS2 (liet. TIS2) direktyva. Į mūsų šalies teisinę bazę ji perkelta priėmus kibernetinio saugumo įstatymo pakeitimus.
„Pagrindinis direktyvos tikslas – didinti ypatingos svarbos sektorių atsparumą didėjančioms kibernetinėms grėsmėms ir užtikrinti geresnį pasirengimą valdyti sutrikimus ar pažeidimus. Siekiama apsaugoti Europos Sąjungos skaitmeninę ekonomiką, viešąsias paslaugas nuo kibernetinių išpuolių ir taip gerinti visos Bendrijos kibernetinio saugumo poziciją“, – aiškina „Sorainen“ ekspertė I. Kunickė.
Pasak I. Kunickės, dažnai klaidingai galvojama, kad kibernetinis saugumas ir nauji reikalavimai galioja tik didelėms įmonėms arba tik tokiems sektoriams kaip finansų, energetikos ar sveikatos.
„Iš tiesų, direktyva taikoma daugeliui sektorių, net ir tokiems kaip, pavyzdžiui, maisto gamyba ir perdirbimas, atliekų perdirbimas, cheminių medžiagų gamyba, moksliniai tyrimai ar pašto kurjerių paslaugos. Be to, svarbu ir tai, kad kibernetinio saugumo reikalavimai bus taikomi ir kituose sektoriuose veikiantiems paslaugų tiekėjams, net jei jiems tiesiogiai NIS2 direktyva negalioja, jei juos paslaugų teikimui pasitelks kibernetinio saugumo subjektai“, – pabrėžia ekspertė.
Be to, vis dar vyrauja stereotipas, kad kibernetinis saugumas yra tik įmonių IT specialistų reikalas. Pasak I. Kunickės, tokia pozicija – klaidinga.
„Pagal NIS2 direktyvą galima išskirti 4 svarbiausius aspektus, kurie privalo tapti prioritetu įmonėms kibernetinio saugumo klausimais: rizikų ir incidentų valdymas, atskaitomybė ir tiekimo grandinių saugumas. Bendrovės turi įgyvendinti konkrečias kibernetinio saugumo priemones, skirtas tinklų ir informacinių sistemų rizikai valdyti ir mažinti. Jos taip pat privalo per 24 valandas pranešti institucijoms apie kibernetinį incidentą, o per 72 valandas pateikti išsamesnę informaciją. Vadovybė turi užtikrinti, kad organizacijoje atsirastų kibernetinio saugumo vadovo pozicija ir saugos įgaliotinis, taip pat atliekami periodiniai darbuotojų mokymai. Įmonės taip pat privalo užtikrinti, kad jų pasitelkti paslaugų tiekėjai atitiktų kibernetinio saugumo reikalavimus, net jei jiems tiesiogiai NIS2 direktyva negalioja“, – pabrėžia „Sorainen“ ekspertė.
I. Kunickė aiškina, kad tai aiškiai rodo, jog norint atitikti visus šiuos reikalavimus, neužtenka tik IT specialistų įdirbio. Tam reikia, kad procese dalyvautų bendrovių vadovybės, taip pat būtinas teisinės, atitikties, operacijų vykdymo, kibernetinio saugumo ekspertų komandų įsitraukimas.
Ekspertė: „Yra didžiulis informacijos ir supratimo vakuumas“
Dar 2023-aisiais Krašto apsaugos ministerija skaičiavo, kad Lietuvoje yra apie 20 tūkstančių įmonių, kurios pateks į naujos direktyvos reguliavimo sritį. Nors reikalavimai mūsų šalyje įsigalioję jau kelis mėnesius, tikslus bendrovių skaičius dar nėra aiškus. NKSC šiuo metu tik kuria kibernetinio saugumo subjektų registrą, jame turėtų atsirasti visos Lietuvos įmonės, kurioms taikomas kibernetinio saugumo įstatymas. Visos bendrovės turėtų būti įregistruotos balandžio mėnesį ir paskirstytos į esmines bei svarbias.
I. Kunickė sako įžvelgianti nemalonias tendencijas – kai kuriems verslams kibernetinis saugumas nėra prioritetas, kitoms bendrovėms paprasčiausiai trūksta informacijos, kokių veiksmų jos turi imtis.
„Kai dar rudenį pradėjome kalbėtis su klientų vadovais, klausdami, kaip jiems sekasi su pasirengimu, reakcijos buvo dvejopos. Vieni teigė, kad ir be direktyvos įsigaliojimo jau buvo pasiruošę, tačiau buvo ir tokių, kurie teigė apie tai girdintys pirmą kartą. Vis tik didžioji dalis buvo tokių, kurie sakė, kad jų IT komandos berods kažką daro. Tad ypatingai vadovų tarpe yra didžiulis informacijos ir supratimo vakuumas. Visgi tikiu, kad kai atsiras kibernetinio saugumo subjektų registras, įvyks proveržis, nes tos įmonės bus įregistruotos ir joms apie tai bus pranešta“, – sako I. Kunickė.
Tiesa, ji pabrėžia, kad šiuo metu problemų kyla ir dėl to, kad pačioms įmonėms nėra lengva išsiaiškinti, ar joms taikomi nauji kibernetinio saugumo reikalavimai, ar ne: „Įmonėms sunku suprasti, kaip viskas veikia, nes teisės aktuose nėra pateiktas konkretus įmonių sąrašas. Yra nustatyti kriterijai, pagal kuriuos verslas gali aiškintis, ar patenka į tą reguliavimą. Tačiau tų kriterijų yra daugybė ir reikia atlikti nemažai žingsnių, kad suprastum, ar tau galioja reikalavimai. Tiesa, neseniai NKSC svetainėje atsirado įrankis, kur suvedus įmonės kodą, veiklos sektorių, darbuotojų skaičių, apyvartą, galima pasižiūrėti, ar konkreti įmonė potencialiai gali patekti į kibernetinio saugumo subjektų registrą.“
Gresia milžiniškos baudos
Kibernetinio saugumo reikalavimų nesilaikymas įmonėms gali skaudžiai atsiliepti. Bendrovės bus tikrinamos, o nustačius, kad reikalavimų nepaisoma, numatytos milžiniškos baudos ir net bendrovių vadovų nušalinimai. Esminiams verslo subjektams grėstų bauda iki 10 mln. eurų arba iki 2 procentų bendros pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė. Svarbiam subjektui galėtų būti taikoma bauda iki 7 mln. eurų arba 1,4 proc. nuo apyvartos.
