Visai Europos Sąjungai garsiai diskutuojant apie kibernetinį saugumą ir jo svarbą, gerųjų pavyzdžių, iš ko galime pasimokyti, toli ieškoti nereikia. Mūsų Baltijos sesuo Estija šiandieną yra kibernetinio saugumo lyderė Europoje ir užima solidžią penktą vietą pasaulyje (pagal Kibernetinio saugumo indeksą, kurį matuoja Tarptautinė telekomunikacijų sąjunga). Kaip estams tai pavyko?
Taip jau yra, bet suvokimas apie investicijų į kibernetinį saugumą svarbą atsiranda tuomet, kai savo kailiu patiriama reikšminga – verslo ar valstybės mastu – kibernetinė ataka. Estijai puolimų virtualioje erdvėje netrūko.
Vienas reikšmingiausių įvykių, lėmusių tai, kad šiandien Estija yra puikiai pasiruošusi atremti kibernetines atakas, įvyko prieš dešimtmetį, kai 2007-aisiais buvo nuspręsta iškelti Bronzinį karį iš Talino centro. Tą kartą Estija priešiškai nusiteikusių programišių buvo atakuojama net kelias dienas.
Buvo atakuojamos Estijos valstybinės institucijos, bankai, žiniasklaidai, verslas. Tikslas buvo vienas – paralyžiuoti jų sklandžią veiklą, įvesti sumaišties. Skaičiuojama, kad šiose atakose dalyvavo šimtai tūkstančių kompiuterių.
Atrėmę atakas estai susiėmė, o kibernetinis saugumas tapo svarbiausiu ir atskirų bendrovių bei institucijų, ir visos valstybės prioritetu. Didelę įtaką tam turėjo visuomenės palaikymas ir atsiradusi politinė vienybė, lėmusi valdymo struktūros pokyčius valstybės kibernetinio saugumo klausimais.
Valstybės mastu Estija įsteigė NATO kibernetinės gynybos centrą, kuriame kasmet vyksta pratybos, stiprinama specialistų kvalifikacija, ugdomi atskirų sričių ekspertai. Įdomu ir tai, kad Estija be įprastų šauktinių turi „kibernetinius karius“ – savanorius, pasiruošusius ir apmokytus ginti šalį skaitmeniniame fronte.
Šiandien Estijoje įsikūrusiam privačiam verslui keliami specialūs saugumo reikalavimai: įmonės turi imtis visų priemonių, užtikrinančių aukštą saugumo lygį, investuoti į personalo ugdymą, periodiškai vykdyti praktinius mokymus ir treniruotis. Svarbiausios Estijos institucijos ir verslas dabar yra pasiruošę teikti paslaugas net visoje šalyje dingus interneto ryšiui.
O Lietuvoje kalbos apie kibernetinį saugumą dar tik įsisiūbuoja. Tam daug įtakos padarė pastarųjų metų pasaulinės hakerių atakos, kurios neaplenkė ir mūsų šalies. Tačiau, kol jų mastas ir poveikis nėra tokio dydžio, kaip kad nutiko Estijoje, rimto postūmio nematyti.
Kibernetinio saugumo įstatymas Lietuvoje priimtas prieš trejus metus, tačiau jį dar reikia tobulinti ir užtikrinti jo įgyvendinimą. Įsteigėme Nacionalinį kibernetinio saugumo centrą, tačiau jo veikla dar neįgavo pagreičio. Taigi, nors jau esame padarę teisingų žingsnių, rodos, sustojome pusiaukelėje.
Kodėl? Todėl, kad pagrindinis mūsų visų iššūkis, pirmiausia, yra suvokimo trūkumas. Pavyzdžiui, Lietuvoje vis dar gajus mitas, kad už saugą virtualioje erdvėje yra atsakingi tik informacinių technologijų žmonės. Vis dar tikima, kad pakanka įdiegti antivirusines programas, ir įmonės informacinis turtas ar veikla yra saugūs, o investicijos į personalo ugdymą yra pinigų išmetimas į balą.
Tačiau naujausias audito ir mokesčių konsultacijų bendrovės „PricewaterhouseCoopers" (PWC) Pasaulis informacijos saugumo būklės tyrimas rodo, kad 95 proc. visų saugumo incidentų įvyksta dėl žmogiškosios klaidos. Taigi vadybininko, finansininko ar kito ne IT žmogaus atidarytas įtartinas laiškas gali užkrėsti visą įmonės ar institucijos tinklą, blokuoti svarbią informaciją, sunaikinti kritinius duomenis, pažeisti sistemas.
PWC atliktas tyrimas taip pat rodo, kad pasaulyje tik apie 53 proc. (Lietuvoje gerokai mažiau) įmonių investuoja į darbuotojų mokymus kibernetinio saugumo klausimais, nors išlaidos saugumui dėl to gali sumažėti net iki dviejų trečdalių.
Taigi ar tikrai turime ir norime sulaukti įvykių, panašių į Estijos, tam, kad imtumėmės veiksmų?
Statistika rodo, kad pernai Lietuva patyrė daugiau nei 50 tūkstančių kibernetinių atakų, o visoje ES buvo fiksuojama apie 4 tūkstančius kibernetinių incidentų kasdien.
