Kibernetinės atakos – nauja šių dienų kasdienybė
2022 m. rugsėjo 8 d. Portugalijos vietinė naujienų organizacija „Diario de Noticias" pranešė, kad Portugalijos vyriausybės gynybos departamentas tariamai pateko į kibernetinio saugumo duomenų pažeidimą, apimantį konfidencialių NATO dokumentų išfiltravimą. Gynybos departamentas apie kibernetinio saugumo duomenų pažeidimą sužinojo tik po to, kai apie tai pranešė JAV žvalgyba. Po atakos ištyrimo buvo nustatyta, kad įslaptintiems dokumentams siųsti ir gauti buvo naudojami nesaugūs kanalai. Kibernetinė ataka buvo sukonstruota taip, kad jos nebuvo galima aptikti, ir ji buvo paleista per robotų (angl. - bot network) tinklą, kuris pirmiausia buvo skirtas neskelbtiniems duomenims gauti. Pradinės tyrimo išvados parodė, kad gynybos departamentas pažeidė operatyvinio saugumo taisykles, todėl slapta informacija buvo atskleista, nutekinta ir parduota nesaugiais tinklais.
Kibernetinio saugumo incidentas Portugalijoje atskleidė kibernetinio saugumo protokolų, operatyvinio saugumo taisyklių nesilaikymo pasekmes. Pastaruoju metu vis dažniau tenka išgirsti apie kibernetinio saugumo atitiktį, t.y. įstatymų, taisyklių, politikų ar standartų kibernetinio saugumo srityje laikymasi. Vis dėlto, nepaisant vis didėjančių pastangų užtikrinti kibernetinį saugumą, jo brandos lygis atskirose šalyse labai skiriasi. Europos Sąjungoje 2016 m. įsigaliojo Tinklų ir informacinių sistemų saugumo direktyva - TIS (ES 2016/1148). Ši direktyva tapo jau istorija 2022 m. pabaigoje priėmus naująją Tinklų ir informacinių sistemų saugumo direktyvą - TIS 2 (ES) 2022/2555. Ir nors abiejų Direktyvų nuostatos yra priimtos bei įgyvendinamos, tačiau Europos Sąjungos valstybėse narėse yra daug skirtingumų bei fragmentacijos, susijusios su praktiniu šių teisės normų įgyvendinimu. O kibernetinių atakų skaičius nemažėja, o tam tikrais atvejais net ir pastebimas ženklus kibernetinių nusikaltimų augimas. Pagrindinė problema –kibernetinio saugumo reikalavimų formalus įgyvendinimas, kuris neužtikrina realaus kibernetinio saugumo srities priežiūros įgyvendinimo.
Kibernetinio saugumo reguliavimo trūkumai
Tinklų ir informacinių sistemų saugumo direktyva - TIS (ES 2016/1148) buvo istorinis žingsnis į priekį kibernetinio saugumo teisiniame reguliavime, tuo pačiu metu tam tikrose valstybėse kilo daug diskusijų dėl šios direktyvos įgyvendinimo aspektų.
Pirma, TIS (ES 2016/1148) direktyva yra taikoma ne visiems sektoriams. Akivaizdu, kad pirmosios TIS (ES 2016/1148) direktyvos pagrindinis dėmesys buvo skiriamas kritinės infrastruktūros reikalavimams bei viešojo sektoriaus reguliavimui. Įmonės, kurioms netaikoma TIS (ES 2016/1148) direktyva, galėjo būti nesuinteresuotos investuoti reikiamų lėšų į savo kibernetinį saugumą, nors šių įmonių saugumas gali būti toks pat svarbus kaip ir tų, kurioms direktyva yra taikoma.
Antra, TIS (ES 2016/1148) direktyvoje yra neaiškių reikalavimų, dėl kurių Europos Sąjungos valstybių narių reguliavimo politika skiriasi. Pavyzdžiui, Prancūzija, Kroatija ir Rumunija kibernetinio saugumo priemones padarė privalomomis, o kitos šalys, pavyzdžiui, Vokietija ir Italija, paskelbė tik kibernetinio saugumo priemonių gaires. Kiekviena Europos Sąjungos valstybė narė gali labai skirtingai interpretuoti TIS (ES 2016/1148) direktyvos nuostatas. Tokiu būdu vienose šalyse kibernetinio saugumo reikalavimai yra daug išsamesni nei kitose.
Trečia, daugiau interpretavimo skirtumų atsiranda dėl to, kad TIS (ES 2016/1148) direktyva neapibrėžia aiškių kriterijų, kaip apibrėžti pačią kibernetinio saugumo incidento sąvoką. Tokiu būdu kiekviena valstybė narė, įgyvendindama direktyvą gali interpretuoti šį apibrėžimą savaip. Atitinkamai, 2018 m. Lietuva parengė 10 000 pranešimų apie incidentus, o Vengrija – tik 900 (Europos Komisija, 2021 m.).
Ketvirta, klausimų kilo ir dėl kitų susijusių dokumentų, tokių kaip Bendrasis duomenų apsaugos reglamentas ((ES) 2016/679) (BDAR) suderinamumo su TIS (ES 2016/1148) direktyvos nuostatomis. Pavyzdžiui pranešimų dėl saugumo ir privatumo incidentų teikimo terminai trečiosioms šalims pagal TIS (ES 2016/1148) direktyvą ir BDAR nuostatas iš esmės skiriasi.
Galiausiai, keitimasis informacija tarp valstybių narių yra ribotas, nors tai yra svarbi TIS (ES 2016/1148) direktyvos dalis. Pagal direktyvos nuostatas įsteigta Bendradarbiavimo grupė ir reagavimo į kompiuterinius saugumo incidentus tarnybos (CSIRT) buvo ypač sukurtos siekiant skatinti tarpvalstybinį keitimąsi informacija ir incidentų tvarkymą. Tačiau Bendradarbiavimo grupės ir CSIRT bendradarbiavimas praktikoje buvo menkas, o informacija apie tarpvalstybinius incidentus valstybės narės retai dalijosi. Tai aiškiai matyti iš 2019 m. metinės Bendradarbiavmo grupės ataskaitos (Annual Report NIS Directive Incidents 2019, NIS Cooperation Group 2020), paskelbtos 2020 m. pabaigoje, kurioje apžvelgta, kaip ES valstybės narės pateikė ataskaitas pagal TIS direktyvą.
Galima daryti išvadą, kad TIS (ES 2016/1148) direktyva akivaizdžiai sukūrė naują aukšto lygio taisyklių rinkinį Europos kibernetinio saugumo reguliavimo srityje. Šios taisyklės sudarė svarbų reguliavimo pagrindą praktiniam kibernetinio saugumo atitikties kriterijų įgyvendinimui visose valstybėse narėse. Tačiau reikia pabrėžti, kad TIS (ES 2016/1148) direktyva turi daug trūkumų, susijusių su praktiniu jos įgyvendinimu. Pagrindinis trūkumas - dideli interpretavimo skirtumai tarp valstybių narių, susijusių su TIS (ES 2016/1148) direktyvos reikalavimų supratimu, aiškinimu ir vykdymu. Antras svarbus dalykas, dėl kurio TIS (ES 2016/1148) direktyva nebuvo veiksmingai įgyvendinta visose valstybėse narėse, yra sklandaus bendradarbiavimo ir komunikacijos pagal TIS (ES 2016/1148) direktyvoje sukurtus mechanizmus trūkumas.
Be to, pažymėtina, kad iki šiol labai mažai dėmesio buvo skirta TIS (ES 2016/1148) direktyvos teisės normų įgyvendinimo praktikoje stebėsenai. Atskirose valstybėse praktiškai nėra mechanizmų, leidžiančių sekti statistinius duomenis apie nacionalinių teisės normų įgyvendinimą kibernetinio saugumo srityje. Atitinkamai, valstybės nežino tikrosios situacijos – pavyzdžiui, kiek procentų ypatingos svarbos infrastruktūros objektų įmonių yra įgyvendinusios vieną ar kitą saugumo priemonę (įgyvendinimas turimas galvoje ne dokumentine, o praktine/faktine prasme). Tokiu būdu netgi pati valstybė narė gali turėti klaidingą įsitikinimą apie tikrąją savo šalies kibernetinio saugumo (ir atsparumo) būklę.
Ar naujasis reguliavimas išspręs galiojančią problematiką?
Europos Komisijos atliktas tyrimas, skirtas TIS (ES 2016/1148) direktyvos peržiūrai (2021 m.) taip pat atskleidė keletą su su šiuo teisės aktu susijusių problemų. Šis tyrimas nurodė plačią valstybių narių veiksmų laisvę apibrėžiant TIS (ES 2016/1148) direktyvos taikymo sritį, pernelyg plačią diskreciją nustatant konkrečius reikalavimus bei neaiškias vykdymo nuostatas. 2020 metų gruodį Europos Komisija priėmė naują ES kibernetinio saugumo strategiją, kurioje pristatomi nauji būsimo kibernetinio saugumo reguliavimo regione principai. Įgyvendindama naują ES kibernetinio saugumo strategiją, Europos Komisija taip pat paskelbė pasiūlymą pakeisti TIS (ES 2016/1148) direktyvą. TIS 2 (ES) 2022/2555 direktyvos pasiūlymas buvo priimtas 2022 m. gruodžio 17 d., o iki 2024 m. spalio 17 d. valstybės narės turi patvirtinti ir ir šios direktyvos įgyvendinimo priemones.
Pagrindiniai TIS 2 (ES) 2022/2555 direktyvos pakeitimai yra susiję su direktyvos taikymo sritimis, informacijos tarp valstybių narių mainais, saugumo reikalavimais ir baudų dydžiais už direktyvos nuostatų pažeidimus. TIS 2 (ES) 2022/2555 direktyvos nuostatomis toliau plėtojama TIS (ES 2016/1148) direktyva, apimdama daugiau įmonių esamuose sektoriuose, taip pat įtraukdama papildomus sektorius. Esminių paslaugų operatorių ir skaitmeninių paslaugų teikėjų kategorijos naująja direktyva pakeistos ypatingos svarbos (energetikos, transporto, bankininkystės, sveikatos apsaugos, kosmoso ir kt.) ir svarbiais (pašto ir kurjerių paslaugų, atliekų tvarkymo, mokslinių tyrimų it kt.) subjektais. Pridedami visiškai nauji sektoriai, pvz., nuotekų valymo, viešasis administravimas ir kosmosas. Tokiu būdu, (ES) 2022/2555 direktyva turėtų padėti padidinti kibernetinio saugumo lygį Europoje, įpareigodama daugiau subjektų ir sektorių imtis priemonių. Taip pat, palyginti su savo pirmtake, (ES) 2022/2555 direktyvoje saugumo reikalavimams taikomas daug detalesnis požiūris. Numatoma, kad už kibernetinio saugumo priemones ir už reikalavimų nevykdymą bus atsakingi įmonės vadovai. Pasikeitė ir priežiūros taisyklių bei baudų dydžių principai: pažeidimo atvejais skiriamos baudos yra panašios į BDAR numatytas baudas.
(ES) 2022/2555 direktyva siekiama išplėsti jau egzistuojančios TIS bendradarbiavimo grupės ir CSIRT tinklo užduotis, siekiant pagerinti nacionalinių institucijų bendradarbiavimą. Be to, toliau plėtojama Europos kibernetinių krizių ryšių organizacijų tinklo (EU-CyCLONE) veikla. EU-CyCLONE tikslas – įgyvendinti Europos Komisijos planą, skirtą greitam reagavimui į ekstremalias situacijas didelio masto tarpvalstybinio kibernetinio incidento ar krizės atvejais (ENISA 2020).
Pagal (ES) 2022/2555 direktyvą teikiami pranešimai apie kibernetinio saugumo incidentus apjungiamu į vieną teisės aktą, supaprastinami ataskaitų teikimo kriterijai ir padidinamas pranešimų teikimo dažnumas. Tikimasi, kad tai padės pašalinti valstybių narių ataskaitų teikimo trūkumus.
Vienas didžiausių (ES) 2022/2555 direktyvos pokyčių - sankcijos kibernetinio saugumo subjektams už direktyvos teisės normų neįgyvendinimą. Be to, (ES) 2022/2555 direktyva leidžia ES valstybėms narėms taikyti administracines baudas organizacijoms, kurios pažeidžia kibernetinio saugumo rizikos valdymo priemones ir (arba) įsipareigojimus pranešti apie kibernetinio saugumo incidentus. Šios baudos ypatingos svarbos subjektui sudaro ne mažiau kaip 10 mln. EUR arba iki 2 % visos pasaulinės apyvartos; arba ne mažiau kaip 7 mln. EUR arba iki 1,4 % visos pasaulinės apyvartos svarbiam subjektui praėjusiais finansiniais metais (atsižvelgiant į tai, kuri suma didesnė). BDAR atveju atsakomybė buvo vienas iš variklių, paskatinusių daug atsakingesnį rinkos dalyvių požiūrį į duomenų apsaugos teisės normų įgyvendinimą. Žinoma, kyla klausimas kokia institucija valstybėje narėje atliks (ES) 2022/2555 direktyvos kontrolę.
Europos kibernetinio saugumo teorinis reguliavimas nuosekliai vystosi ir tapo toks pat svarbus kaip ir kitos vieningos Europos rinkos sritys. Akivaizdu, kad siekiant didesnio kibernetinio atsparumo, reikia suderinto valstybių narių požiūrio į (ES) 2022/2555 direktyvos teisės normų praktinį įgyvendinimą. Tuo pačiu metu vis tiek kyla daug klausimų, susijusių su kibernetinio saugumo reguliavimo praktiniu įgyvendinimu. Ar direktyvos kontrolės mechanizmai bus veiksmingi, kokios konkrečiai institucijos atliks normų įgyvendinimą ir kaip valstybės narės stebės nustatytus naujus reikalavimus? Prisimenant direktyvos pirmtakės įgyvendinimą, tikėtina, kad ir (ES) 2022/2555 direktyvos įgyvendinimas taip pat bus sudėtingas.
Kas laukia ateityje?
Šiuo metu tikslinga būtų apsvarstyti visas galimybes, kurios galėtų padėti priimtoms kibernetinio saugumo teisės normoms tapti veiksmingesnėmis praktikoje. Galbūt tai galėtų būti tam tikri vieningi mechanizmai, kurie prisidėtų prie kibernetinio saugumo atitikties vertinimo praktikoje. Tokios priemonės galėtų padėti įvertinti kibernetinio saugumo brandą vykdant kibernetinio saugumo atitikties procesus. Tokių priemonių tikslas galėtų būti įvertinti arba patvirtinti prielaidą, kad yra laikomasi tam tikrų kibernetinio saugumo teisinių reikalavimų ir standartų (ISO ir kt.). Tokių atitikties priemonių naudingumas turėtų būti vertinamas tiek pačių organizacijų kontekste, tiek šalies lygmeniu, kad kiekviena šalis (t.y. jos atsakingos institucijos) galėtų realiu laiku stebėti atitikties situaciją, imtis atitinkamų veiksmų tam tikrų grėsmių prevencijai. Tokios priemonės galėtų padidinti bendrą kibernetinio saugumo teisės normų supratimą, sumažinti tokių normų įgyvendinimo fragmentaciją praktikoje ir ženkliai sumažinti kibernetinių incidentų skaičių valstybėse narėse.
Straipsnis yra mokslinio tyrimo "Formalios atitikties problemos ir galimi jų sprendimo būdai kibernetiniame saugume" finansuojamo pagal Europos socialinio fondo priemonę Nr. 09.3.3-LMT-K-712 „Mokslininkų, kitų tyrėjų ir studentų kompetencijų ugdymas per praktinę mokslinę veiklą" dalis.