Nori pritraukti investicijų
Kaip rugpjūčio 4 d. skelbė naujienų agentūra „Elta“, Seimo nariai Andrius Kupčinskas ir Lukas Savickas Seime registravo Valstybės informacinių išteklių valdymo įstatymo pataisas, kurios leistų svarbiausius valstybės duomenis laikyti ne tik valstybės duomenų centruose, kaip numato dabar galiojantis įstatymas, bet ir privačių bendrovių valdomuose centruose.
„Šie pokyčiai sudarytų galimybę institucijoms, įrašytoms į Saugiojo tinklo naudotojų sąrašą, duomenų centrų paslaugas įsigyti palankiausiomis sąlygomis, neapsiribojant vien tik valstybinių duomenų centrų teikiamomis paslaugomis. Pataisų iniciatoriai parlamentarai L. Savickas ir A. Kupčinskas teigia, kad toks sprendimas paskatintų užsienio kapitalo įmones steigti duomenų centrus Lietuvoje ir taip pritraukti investicijas.
Šiuo metu galiojančiame įstatyme įtvirtinta, kad valstybės duomenys gali būti saugomi tik valstybiniuose duomenų centruose, o Saugiojo tinklo naudotojų sąrašą ir techninius reikalavimus, taikomus valstybiniams duomenų centrams, tvirtina Vyriausybė.
Įstatymo pataisų iniciatoriai siūlo atsisakyti šios nuostatos ir valstybės duomenis leisti laikyti ne tik valstybiniame duomenų centre, bet ir privataus kapitalo“, - rašė „Elta“.
Ir čia pat pateikiami Seimo narių argumentai.
„Pradėti sisteminai darbai siekiant didinti valstybės duomenų saugojimo efektyvumą ir patikimumą turi būti tęsiami. Tačiau tai turi būti daroma neapsiribojant vien valstybės institucijų fiziniu duomenų centrų kūrimu ir operavimu, tačiau taip pat pasitelkiant geriausias praktikas ir tarptautines kompetencijas privačiame sektoriuje. Ne veltui tokios Europos Sąjungos valstybės kaip Vokietija ar Lenkija jau pasuko šiuo keliu, t. y. sudarė galimybes duomenų centrų paslaugas teikti ir privatiems teikėjams, tenkinantiems nustatytus duomenų saugumo ir kitus reikalavimus“, – publikacijoje cituojamas L. Savickas.
A. Kupčinskas aiškino, kad naujojoje įstatymo redakcijoje yra įrašyti ir galimi saugikliai, leisiantys užtikrinti duomenų saugumą: valstybės informacinių išteklių valdymą koordinuoti galėtų tik tie paslaugų tiekėjai, kurie atitiks Vyriausybės ar jos įgaliotos institucijos patvirtintus techninius kibernetinio saugumo reikalavimus, nacionalinio saugumo interesus.
„Svarbu pabrėžti, kad saugomų duomenų bent viena kopija turės būti saugoma Lietuvos teritorijoje įrengtame duomenų centre (DC), siekiant užtikrinti nacionalinio saugumo interesus, o kitos kopijos galės ir privačiuose DC, tačiau tik esančiuose Lietuvoje, NATO ar ES narėse. Valstybinių registrų ir kitų informacinių sistemų duomenis turėtų būti galima laikyti ne tik Lietuvos, bet ir kitų saugių šalių infrastruktūrose ir saugiai naudotis jų debesijos paslaugomis. Galėtume pasekti Suomijos ir Švedijos pavyzdžiais ir suformuoti valstybės užsakymą privačiam sektoriui bei pritraukti didžiuosius duomenų centrų valdytojus į Lietuvą. Kol kas ši sritis pritraukiant tiesiogines užsienio investicijas menkai išnaudota, nors reikalinga infrastruktūra Lietuvoje būtų palanki“, – yra teigęs A. Kupčinskas.
Valstybės įmonė pradėjo darbus
Šioje vietoje svarbu pabrėžti, kad siūloma keisti įstatymą, nors šiuo metu jau pradėti kurti valstybės duomenų centrai ir į tai valstybės valdoma įmonė investuoja savo pinigus.
Vyriausybė 2020 m. rugpjūčio 26 d. nusprendė „pritarti, kad akcinės bendrovės Lietuvos radijo ir televizijos centro lėšomis būtų įrengti valstybės duomenų centrai (...)“.
Telecentro valdyba ir akcininkas Susisiekimo ministerija patvirtino Telecentro parengtą Valstybės duomenų centrų plėtros investicinį projektą. Pritarta, kad akcinė bendrovė Lietuvos radijo ir televizijos centras 2021-2026 m. įgyvendintų valstybės duomenų centrų projektą, kurio vertė – 11 mln. eurų be pridėtinės vertės mokesčio.
Šiuo metu vykdomi pirmojo (VDC-3) projektavimo ir statybos darbai Sausio 13-osios g. 10. Jau yra baigta projekto viešinimo procedūra, skelbiamas rangos darbų konkursas. Taip pat pradėti parengiamieji antrojo VDC (VDC-4) projektavimo ir statybos darbai (15 km nuo VDC3, Vilniuje), VDC-5 ir VDC-6, Kaune.
Ankstesnė Vyriausybė 2020 metais apsisprendė, kad siekiant užtikrinti valstybės valdomų informacinių išteklių infrastruktūros saugumą, turi būti įrengti aukščiausius saugumo ir patikimo standartus atitinkantys valstybės duomenų centrai. Lietuvos radijo ir televizijos centras nieko nelaukdamas pradėjo įgyvendinti jam pavestą užduotį.
Tačiau dabar Seime kylančios iniciatyvos, Ekonomikos ir inovacijų ministerijos laikysena leidžia abejoti, ar šis sprendimas kurti valstybės duomenų centrus nebus pakeistas.
L. Kasčiūnas ragino paskubėti
Seimo Nacionalinio saugumo ir gynybos komiteto pirmininkas Laurynas Kasčiūnas Delfi teigė abejojantis, ar pasiūlymas keisti įstatymą yra tai, ko šiuo metu iš tiesų reikia Lietuvai.
Jis teigė nesantis kategoriškai prieš įstatymo pakeitimus, tačiau abejoja, ar ilgos diskusijos nesutrukdys laiku įgyvendinti strategiškai svarbius projektus. Jis taip pat negailėjo kritikos Ekonomikos ir inovacijų ministerijai, kuri delsia su sprendimais.
„Aš neturiu principinės pozicijos, diskutuočiau. Tačiau aš manau, kad duomenų centrai yra strateginės reikšmės dalykas. Valstybė privalo dalyvauti. Tai yra valstybės saugumo pareiga. Tai turi būti saugu ir valstybė tai gali geriausiai užtikrinti. Bet jeigu mes randame formulę dėl kažkokio hibridinio varianto, kad gali derėti valstybiniai duomenų centrai su privačiais, tikrai svarstyčiau ir žiūrėčiau į tai kaip į dėmesio vertą diskusijos objektą. Bet dabar įstatymas priimtas ir kai kas nedaro namų darbų. Mintyje turiu Ekonomikos ir inovacijų ministeriją. Namų darbai turi būti daromi, nes įstatymą reikia įgyvendinti. Aiškaus valstybės duomenų centrų plėtros plano iki šiol, mano požiūriu, nėra. Centrai turėtų atsirasti iki 2022 m. liepos 1 d. Neatrodo, kad suspėsime, norėtųsi, kad tas darbas vyktų intensyviau. Liko mažiau nei metai. Šitoje vietoje atsiliekame. Sutinku, kad diskusija dėl hibridinio varianto gali būti. Bet reikia kuo greičiau sprendimo. Delsti negalime“, - aiškino L. Kasčiūnas.
Ekspertas: negalime lengvabūdiškai to svarstyti, kai mūsų pasienyje rengiamos provokacijos
Kibernetinio saugumo ekspertas Edvinas Kerza teigė esantis visiškai nesužavėtas Seime kilusia iniciatyva valstybės duomenis kaupti ir privačių įmonių saugyklose.
„Prieš teikiant tokias įstatymo pataisas reiktų išdiskutuoti kelis aspektus. Galime užduoti klausimą: kaip su jurisdikcija? Jeigu norėsime pasitikrinti, kur tie mūsų duomenys yra, ar tuose duomenų centruose yra laikomasi kibernetinio saugumo reikalavimų, mūsų Nacionalinis kibernetinio saugumo centras turėtų nuvykti į tokį centrą. Ir jeigu jis yra, pavyzdžiui, kur nors Airijoje. Mes pasibelsime į tas duris ir kas mums jas atidarys? Na, niekas. Jau nekalbu, jeigu įvyks kibernetinis incidentas, kurio metu, tarkime, prarasime kai kuriuos duomenis. Tai kaip tokiu atveju mes padarysime tyrimą? Kaip mūsų kriminalinė policija kartu su Nacionalinio kibernetinio saugumo centru vykdys tyrimą? Kas mokės už keliones? Tokių klausimų yra daug“, - klausimus kėlė ekspertas.
Tačiau, jo teigimu, dar didesnė grėsmė kiltų krizės atveju. Anot jo, tokiu atveju Lietuva galėtų atsidurti nepavydėtinoje padėtyje.
„Mano supratimu, dar svarbesnis klausimas: ką darysime krizės, nelaimės ar karinio veiksmo atveju? Valstybiniai duomenų centrai skirti patiems jautriausiems duomenims. Ne mūsų viešiems laiškams, ne viešiems dokumentams, o tam, kas yra labai labai svarbu. Visų pirma, registrai. Ta informacija, be kurios negalėtų būti teikiamos paslaugos, pavyzdžiui, sveikatos duomenys. Tarkime E.sveikata iškelta į kažkurią užsienio valstybę, nutraukiamas šviesolaidžio kabelis, kuris eina per Baltijos jūrą, ir ligoninėje, Santariškėse, jums reikia atlikti operaciją. Priėjimo prie duomenų nėra. Ką daktarui daryti?
Galiausiai jis pabrėžė, kad dabar galiojantis įstatymas jau yra tam tikras kompromisas su verslu. Įmonėms leista saugoti tam tikrus duomenis. O valstybė įsipareigojo saugoti tik pačius svarbiausius ir strategiškai jautriausius.
„Kompromisas ir buvo pasiektas su tuo pačiu verslu. Yra patvirtina metodika ir tikrai ne visų institucijų duomenys, o tik tie, kurie yra gyvybiškai svarbūs Lietuvai, jos piliečiams, saugomi valstybės duomenų centruose. Kodėl reikia sutartą kompromisinį variantą vėl atidarinėti? Kokią tai duos pridėtinę vertę? Tiesą pasakius, nelabai suprantu. Kad papildomų rizikų atsiras, kad bus dar daugiau neaiškumo, tai taip. Čia nėra tik politinis sprendimas, čia yra pirmiausia nacionalinio saugumo sprendimas. Negalime lengvabūdiškai to svarstyti, kai mūsų pasienyje rengiamos provokacijos. Jeigu mūsų pasienis neturės prieigos prie duomenų, jeigu kilus riaušėms iš įkalinimo įstaigų pabėgs žmonės, o mes nežinosime, ką mes jose laikėme, kaip mes žadame užtikrinti saugumą? O jeigu priešiškos šalys nepavogs, bet sufalsifikuos duomenis? Ir mano namas staiga ims priklausyti jums. Jūsų automobilis – jūsų kolegai. Kaip mes šitą painiavą atrinksime, kai net nežinosime, kurios valstybės duomenų centre yra tie mūsų duomenys.
Turėk mūsų valstybės pačius jautriausius duomenis ir mus paguldysi ant menčių. Kam žvalgybai reikia siųsti fizinius agentus? Tada nereikia. Gali sėdėti patogiai, dirbti nuotoliniu būdu ir analizuoti Lietuvos gyventojų duomenis, identifikuoti tikslines auditorijas, pradėti taikyti psichologinio spaudimo atakas“, - teigė E. Kerza.
A. Kupčinskas: valstybės institucijos nėra absoliutus garantas
Vienas iš pataisų iniciatorių A. Kupčinskas Delfi teigė, kad tokią pataisą teikė tikrai ne dėl lobistų įtakos. Anot jo, taip norėta padėti regionams.
„Su lobistais tikrai nebuvau susitikęs. Jeigu tokie susitikimai būtų vykę, tikrai būčiau deklaravęs. Tuo duomenų centru labai suinteresuoti ir Kaišiadorys, ir Kruonis. Mūsų pakomitečio posėdyje dalyvavo ir Kaišiadorių rajono meras. Ta iniciatyva kyla daugiau iš tokio noro pritraukti stambias investicijas į regionus. Panašiai kaip padarė lenkai: „Amazon“ pritraukė, „Google“, - nurodė A. Kupčinskas.
Taip pat jis pabrėžė, kad įstatymo pakeitimas paliestų tik duomenų kopijas. „Pabrėžiu, kalbame tik apie galimybę tokiuose duomenų centruose laikyti valstybės institucijų duomenų kopijas. Tokiu būdu tai - ir rizikos išskaidymas, nes Registrų centro pavyzdys parodė, kad valstybės institucijos taip pat nėra absoliutus garantas, kuris apsaugo jautrius duomenis“, - teigė A. Kupčinskas.
L. Savickas rizikų nemato
Seimo narys L. Savickas taip pat paaiškino savo pateikto pasiūlymo keisti įstatymą motyvus. Anot jo, projektas pateiktas siekiant sudaryti konkurencingas sąlygas duomenų centrų paslaugų rinkoje.
Taip pat paklausėme, kaip, Seimo nario nuomone, būtų užtikrintas saugumas, jei įstatymo pakeitimo projektui būtų pritarta.
„Projektu siūlomi saugikliai, padėsiantys apsisaugoti nuo kibernetinių atakų ar kitų grėsmių, - duomenys galės būti laikomi duomenų centruose, esančiuose Lietuvoje, NATO, ES valstybėse narėse ar EEE valstybėse narėse. Tokie duomenų centrai turės atitikti Vyriausybės patvirtintus techninius kibernetinio saugumo reikalavimus, nacionalinio saugumo interesus. O svarbiausia, kad saugomų duomenų bent viena kopija turės būti saugoma Lietuvos Respublikoje įrengtame duomenų centre“, - dėstė L. Savickas.
Be to, jis pridėjo, kad Seimo Ekonomikos komiteto Aukštųjų technologijų, inovacijų ir skaitmeninės ekonomikos pakomitetis birželio 7 d. posėdyje diskutavo apie duomenų centrus. Anot L. Savicko, bendru sutarimu buvo sutarta įvertinti Valstybės informacinių išteklių valdymo įstatymo nuostatas dėl valstybinių duomenų centrų steigimo ir naudojimo ir imtis iniciatyvos teikiant siūlymus įstatymų nuostatų keitimui. „Šį projektą parengiau kartu su kitu Seimo nariu A. Kupčinsku. Nesu gavęs jokių verslo atstovų prašymų ar pastebėjimų“, - teigė L. Savickas.
Ministerija planuoja pokyčius
Tuo metu Ekonomikos ir inovacijų ministerija nurodė, kad šiuo metu duomenų centrų paslaugos finansuojamos panaudojant ES struktūrinių fondų lėšas, iki 2023 m. šiam tikslui numatyta 526 tūkst. eurų. Tolesniems etapams iki 2026 metų iš RRF fondų duomenų centrų paslaugų įsigijimui suplanuota skirti 2,76 mln. eurų.
Pasidomėjus, ar valstybės duomenų centrus bus spėta pabaigti įrengti iki numatytų terminų, ministerijos atstovai pabrėžė, kad net įrengus šiuos centrus nėra garantijų, kad jie bus imti naudoti kaip valstybiniai.
„Norime atkreipti dėmesį, kad Lietuvos radijo ir televizijos centras pats pasisiūlė savo lėšomis pastatyti trūkstamus duomenų centrus ir juos valdyti, o tokiam pasiūlymui protokoliniu sprendimu pritarė praėjusi Vyriausybė. Jei šie duomenų centrai bus tinkamai įrengti, po tam tikrų procedūrų juos būtų galima deklaruoti ir naudoti kaip valstybinius. Tačiau tai yra galimybė, bet ne konkretus valstybės įsipareigojimas“, - teigiama ministerijos atsiųstame komentare.
Atsakydama į šį klausimą ministerija neišsakė pozicijos, kad nepritaria įstatymo keitimui. „Šiuolaikiniame pasaulyje apsiriboti tik lokaliais duomenų centrais jau yra nebeįmanoma: pavyzdžiui, pašto sistemos, nuotolinį darbą įgalinantys sprendimai, naujausios taikomosios programos vis plačiau pereina prie taip vadinamųjų debesijos sprendimų, kurie pagal prigimtį negali veikti lokaliai izoliuotame duomenų centre.
Ekonomikos ir inovacijų ministerijos nuomone, saugos priemonių taikymas turėtų būti siejamas su informacinių išteklių svarbos ir jautrumo klasifikavimu. Todėl galėtų būti taikomi tam tikri ribojimai arba papildomos techninės priemonės, kurios užtikrintų duomenų patikimumą ir jų pilną kontrolę“, - taip į klausimą atsakė ministerijos atstovai.
Galiausiai ministerija pripažino rengianti tam tikrus pokyčius, kurie leistų į valstybės duomenų saugojimą įsijungti ir naujiems žaidėjams.
„Ekonomikos ir inovacijų ministerija rengia teisės aktų pakeitimus, kurie duomenų centrų paslaugų srityje sudarytų sąlygas bent minimaliai konkurencijai, o tai leistų efektyvinti kaštus ir didinti kibernetinį saugumą. Ministerija ketina siūlyti taikyti hibridinį duomenų paslaugų teikimo modelį“, - nurodė ministerija.
Krašto apsaugos ministerija mano, kad įstatymo keisti nereikia
Tuo metu Krašto apsaugos ministerija laikėsi kitos pozicijos. Jos nuomone, šiuo metu galiojantis įstatymas yra tinkamas ir jo keisti nereikia.
„LR Krašto apsaugos ministerijos nuomone, siūlomas įstatymo pakeitimas kalba tik apie vieną aspektą, tuo tarpu įstatymu įtvirtinama visa valstybei svarbių duomenų apsaugos sistema – Saugiojo tinklo naudotojų sąrašas, Saugusis tinklas ir prievolė jame esančioms organizacijoms savo duomenis laikyti valstybiniuose duomenų centruose. KAM nuomone, ši šiuo metu įstatymu įtvirtinta nuostata yra tinkama ir jos keisti nereikia, tačiau galima būtų patikslinti įstatymą, nurodant, kad tam tikri valstybiniuose duomenų centruose esantys duomenys pagal sutartis su jų valdytojais gali būti naudojami ir debesijos sprendimais besiremiančiose aplikacijose. Tačiau valdytojai turi gebėti tinkamai vertinti riziką ir suprasti, kad jie lieka atsakingi už šių duomenų saugumą.
Krašto apsaugos ministerijos paprašėme pamodeliuoti tokią situaciją. Tarkime, prieš Lietuvą nedraugiška užsienio šalis ima taikyti plataus masto kibernetinę ataką arba ji rengiama kartu su karine agresija. Ir jei tam tikri valstybės duomenys laikomi privačių bendrovių saugykloje, ar galima tikėtis, kad tokiu atveju privačios bendrovės galėtų užtikrinti tokių duomenų saugumą ir reguliarų tiekimą? Tuo pačiu, ar duomenų saugojimo patikėjimas privačioms bendrovėms rimtos krizės atveju nesutrukdytų gyvybiškai svarbių valstybės poreikių tenkinimo?
Ministerija savo ruožtu pateikė štai tokį vertinimą: „Jūsų paminėtos situacijos metu, ypatingai karinės agresijos sąlygomis, privačios bendrovės greičiausiai neteiktų paslaugų, nes visose sutartyse numatoma sąlyga, kad tiekėjai neįpareigoti teikti paslaugų nenugalimos jėgos atveju.“
Vyriausybė dar nėra priėmusi sprendimo
Rengiant publikaciją, paklausėme, kokia yra Vyriausybės pozicija šiuo klausimu: ar reikia keisti įstatymą, kad būtų leidžiama valstybės duomenis laikyti ne tik valstybiniame duomenų centre, bet ir privačių bendrovių centruose?
„Ši Vyriausybė nėra apsvarsčiusi ir priėmusi sprendimo jūsų užduotu klausimu. Tačiau institucijose ir tarp institucijų vyksta diskusijos, kaip subalansuoti siekį pasinaudoti privačių duomenų centrų teikiamais lankstumo privalumais, debesų kompiuterijos inovatyviais sprendimais, ypač komunikacijų ir bendro darbo srityje, kartu nesukeliant nepriimtinų rizikų valstybės institucijų, jų informacinių sistemų veiklai ir svarbiausiems duomenims. Tačiau tai vis dar darbinės diskusijos.
Svarbu paminėti, kad svarstymai dėl naujo reguliavimo turi būti sietini su sisteminiais pokyčiais, ypatingai pereinant prie duomenų, o ne informacinių sistemų svarbos klasifikavimo ir atitinkamų saugos lygių pagal duomenų svarbą priskyrimo.
Kaip minėta, vyksta vidinės darbinės diskusijos, konsultacijos su rinka, kitų šalių patirties analizė. Todėl šiuo metu nėra priimti sprendimai dėl pokyčių“, - dėstė Vyriausybės kanceliarijos atstovai.
Praėjusi Vyriausybė pritarė, kad akcinė bendrovė Lietuvos radijo ir televizijos centras valstybės duomenų centrų projektą baigtų iki 2026 metų. Ar šis terminas ir šiandien lieka nepakitęs?
Vyriausybės kanceliarija negalėjo atsakyti į klausimą, ar numatytus darbus tikrai bus spėta atlikti.
„Lietuvos radijo ir televizijos centras duomenų centrų įrengimą vykdo savo lėšomis. Nors buvusi Vyriausybė ir pritarė protokoliniu sprendimu tokiam pasiūlymui, tačiau duomenų centro paslaugos iš Lietuvos radijo ir televizijos centro galėtų būti perkamos tik vadovaujantis teisės aktais ir vykdant viešuosius pirkimus.
Pritarimas duomenų centrų įrengimui nėra laikytinas įsipareigojimu naudoti tik Lietuvos radijo ir televizijos centro duomenų centrus.
Kadangi projektas vykdomas Lietuvos radijo ir televizijos centro lėšomis ir negali būti įsipareigota naudoti būtent šios AB valdomus duomenų centrus, todėl būtent Lietuvos radijo ir televizijos centras planuoja projekto eigą bei įgyvendinimo terminus“, - teigiama raštu pateiktame atsakyme.
Rinkos dalyviai nori pokyčių
Tuo metu informacijos, ryšių ir technologijų sektoriaus asociacijos INFOBALT vadovas Mindaugas Ubartas teigė palankiai žiūrintis į siūlomus įstatymo pakeitimus.
„Labai teigiamai vertinam šį pasiūlymą. Daug kartų akcentavom ir toliau akcentuojam, kad kibernetinis saugumas nepriklauso nuo grindų nuosavybės. Ydinga galvoti, kad jei DC stovi ant valstybei priklausančių grindų, tai yra saugiau. Taisyklės, procedūros, atsarginės kopijos, patekimo kontrolė, energijos tiekimo patikimumas, naudojama programinė įranga, serveriai, firewall, kodavimas, šifravimas ir pan. yra esmė, o ne grindys, sienos.
Jo paklausėme, ar privačios įmonės galėtų užtikrinti duomenų saugumą, jei juos būtų leista laikyti ne tik valstybės duomenų centruose.
M. Ubartas pateikė teigiamą atsakymą: „Vienareikšmiškai taip! Ir geriau nei valstybės DC. Kodėl? Ogi todėl, kad turi daugiau patirties, yra matę daugiau kibernetinių atakų, įsilaužimų ir pan. Pentagonas perka paslaugas iš privačių bendrovių. Didieji pasauliniai žaidėjai turi informacinio saugumo padalinius, kurie tik tuo ir užsiima, kad stebi situaciją, mokosi, reaguoja, augina kompetencijas ir dalinasi su klientais bei valstybėmis.“
O kaip jeigu prieš Lietuvą nedraugiška šalis imtų taikyti plataus masto kibernetinę ataką arba netgi įvyktų karinė agresija? Ar tokiu atveju privačios įmonės galėtų užtikrinti valstybės duomenų apsaugą ir nenutrūkstamą tiekimą?
INFOBALT vadovas atsakė į šiuos klausimus: „Mes tai ir akcentuojame, kad senasis įstatymas yra taisytinas ne tik dėl „grindų nuosavybės" klausimo. Jame įtvirtinta, kad duomenys turi būti laikomi Lietuvos teritorijoje. Tai didina pažeidžiamumą. Mes privalome turėti duomenų kopijas už Lietuvos ribų, mes turėtume turėti duomenų kopijas Europos Sąjungos teritorijoje esančiame duomenų centre, o dar geriau būtų, kad turėtume 3 kopiją už Atlanto. Kopijos turi būti duomenų centruose, ne kažkokiam sandėliuke ambasadoj, apie ką dabar kalbama. Turim nustoti vaidinti, kad mes galim kompetencijomis aplenkti technologinius gigantus ir pasidaryti patys, reikia naudotis atveriamomis galimybėmis.
Man sunku suprasti, kaip galima manyti, kad serverinė kariniame padalinyje bus saugi jūsų minimu, kad ir mažai tikėtinu, karinės intervencijos atveju. Karinis dalinys bus pirmas taikinys, o ten esantis DC gali išlėkti į orą vien tik dėl „blogos" lokacijos. Lygiai taip pat nesuprantama kaip galima tokį DC, kuris yra žemiau Kauno HES užtvankos laikyti saugiu, nes karinio konflikto atveju neaišku ar ta užtvanka išliktų. Lygiai tas pats pasakytina apie Vyriausybės rūmų rūsį ar TV bokštą - tai pirmieji taikiniai, kuriuos būtų norima užimti, tam ir reikalingos kopijos, jos turi būti duomenų centruose.“
Mano, kad įstatymo keisti nereikia
Galiausiai, kaip vertina Seime registruotas įstatymo pataisas, paklausėme Lietuvos radijo ir televizijos centro. Telecentro komunikacijos vadovas Valdas Kaminskas teigė, kad valstybės įmonė jau pradėjo įgyvendinti numatytus darbus.
Nesame valstybės ITT strategijos ar politikos formuotojai, esame vykdančioji grandis, bet negalime nepastebėti, kad diskusijos apie būtinybę centralizuoti didžiulį skaičių pavienių valstybinių institucijų serverinių ir kaip tai padaryti, mūsų šalyje truko labai ilgą laiką. Pagaliau buvo nuspręsta pereiti nuo kalbų prie darbų: 2019 m. duomenų centrų konsolidacijos principinės nuostatos buvo užfiksuotos Valstybės informacinių išteklių valdymo įstatyme, jų esmė ta, kad valstybės institucijų duomenys gali būti laikomi tik biudžetinių įstaigų arba valstybės valdomų bei nacionaliniam saugumui užtikrinti svarbių įmonių patalpose (infrastruktūroje).
Remiantis šiomis nuostatomis, 2020 m. mūsų įmonė buvo nominuota kaip vienas iš VDC operatorių. Vyriausybei ir akcininkui pritarus, mes įsipareigojome nuosavomis lėšomis pastatyti keturis aukščiausio Tier 3 lygio duomenų centrus, į kuriuos pagal planą turėtų būti sukelti serveriai iš daugiau kaip 450 institucijų bei organizacijų. Darbai jau vyksta. Iki šio momento jau esame atlikę projektavimą bei dalį statybos parengiamųjų darbų. Tuo būdu siūlymas radikaliai keisti žaidimo taisykles mūsų įmonei, kuri jau pradėjo investicijas į VDC statybas, skamba mažų mažiausiai nenuosekliai, o kalbant iš principo, manome, kad valstybės duomenų sukėlimas į privačius DC valstybei ne tik nesukurtų naudos, bet ir padarytų žalos tiek valstybės duomenų saugumo, o taip pat ir ekonominiu požiūriu“, - teigė V. Kaminskas.
Taip pat jis paminėjo, kad jeigu įstatymo pataisai būtų pritarta, valstybei būtų sunkiau apsaugoti ypač jautrius duomenis nuo kibernetinių atakų, nutekėjimo ir panašių grėsmių.
„Kontroliuoti bei užtikrinti valstybės duomenų saugumą, valdyti rizikas bei operatyviai reaguoti į grėsmes yra kur kas paprasčiau, kai jie saugomi infrastruktūroje, esančioje valstybės nuosavybėje.
Akivaizdu, kad efektyviausias rizikų, kurios kyla iš verslo valdymo (akcininkų, nuosavybės struktūros, verslo strategijos, akcijų vertės pokyčiai ir pan.), kontrolės būdas yra išlaikyti kontrolinį akcijų paketą ir tiesioginę kontrolę valstybės rankose. Šiuo metu galiojantis modelis užtikrina valstybės keliamų saugumo reikalavimų įgyvendinimą duomenų centruose ir nesudėtingą valstybės duomenų saugojimo veiklos kontrolę ir priežiūrą, valstybė taip pat turi realias galimybes atsekti ir kontroliuoti prieigą prie valstybės duomenų.
Tuo tarpu siūlomame įstatymo projekte valstybė nebūtų pajėgi efektyviai kontroliuoti, ar įvyko duomenų nutekėjimas ar koks kitas incidentas. Neapdairiai siūlomas kelių sąvokų panaikinimas taip pat galėtų negrįžtamai sunaikinti metų metus kurtą valstybės saugaus kertinio tinklo infrastruktūrą, kuri yra itin tampriai susijusi su pradėtu vykdyti valstybės valdomų duomenų centrų konsolidacijos projektu. Be visa kita, Lietuvos teisės aktai, įskaitant patvirtintus valstybės duomenų centrų reikalavimus, nėra ir negali būti tiesiogiai taikomi kitų valstybių subjektams“, - dėstė V. Kaminskas.
Taip pat pasidomėjome, kokie šiuo metu darbai jau atlikti kuriant valstybės duomenų centrus.
„Suburta VDC plėtros specialistų komanda, sudarytos įgyvendinimo sutartys dėl projektavimo ir sertifikavimo darbų, parengti 2-jų pirmųjų VDC projektai (iš numatytų 4), tvarkomi dokumentai, susiję su statybos leidimų gavimu, įmonės veiklos sertifikuojamos pagal ISO saugumo ir paslaugų valdymo standartus, investuota į žemės sklypą vieno iš numatytų VDC statybai. Taip kad būtina paminėti, kad Telecentras šiuo metu jau teikia tam tikros apimties VDC paslaugas IVPK, dėl ko įmonei teko atlikti investicijas, kurių tikslas – atitikti VDC veiklai taikomus reikalavimus“, - paaiškino Telecentro atstovas.
Galiausiai jis teigė manantis, kad siūlomi pakeitimai ekonominės naudos neturėtų.
„Siūlomi pakeitimai neatneš ir laukiamos ekonominės naudos. Valstybė, apribodama, kad VDC valdytojas gali būti biudžetinė įstaiga ar nacionaliniam saugumui svarbi įmonė, iš esmės užsitikrina ne tik saugumo reikalavimus, bet ir tai, kad paslauga bus teikiama kaštų pagrindimo principu. Tuo tarpu paslaugą perkant iš verslo, sudėtinga užtikrinti kaštų kontrolę ir galimą piktnaudžiavimą kainomis, nes valdoma infrastruktūra nėra lengvai pernešama iš vieno duomenų centro į kitą. Be to, valstybė VDC valdytojo sugeneruotą veiklos pelną visuomet gali susigrąžinti į biudžetą dividendų pavidalu, tuo tarpu perkant paslaugas iš užsienio akcininkų valdomų kompanijų, dividendai iškeliauja svetur“, - teigė V. Kaminskas.