Kaip atsakas į kibernetinius nusikaltimus Europos Komisijos priimta Tinklų ir informacinių sistemų saugumo direktyva (Network and Information Security, NIS2) bus taikoma kur kas didesniam ratui įmonių ir valstybinių organizacijų, ji numato daugiau įsipareigojimų ir griežtesnę atsakomybę – už saugumo spragas gali grėsti milijoninės baudos.
Šiuo metu ruošiami Valstybės informacinių išteklių valdymo ir Kibernetinio saugumo įstatymų pakeitimai, kurie turėtų perkelti direktyvos nuostatas į nacionalinę teisę. Europos Sąjungos (ES) valstybės narės tai turi padaryti vėliausiai iki 2024 metų spalio 18-osios.
Lietuvos skaitmeninių technologijų asociacijos „Infobalt“ vadovas Virgilijus Dirma teigia, kad griežtesni reikalavimai yra sveikintini, bet abejoja, ar visos įmonės bus pajėgios juos įgyvendinti.
Krašto apsaugos ministerijos (KAM) atstovas Antanas Aleknavičius sako, kad kibernetinei saugai reikėtų planuoti maždaug penktadaliu daugiau išlaidų nei iki šiol, be to, kai kurias organizacijas ketinama vertinti dar iki direktyvos įsigaliojimo.
Kai kurios įmonės reikalavimų nelaukia ir jau dabar diegia naujausius ir pažangiausius saugumo sprendimus.
Nauja direktyva galios daugiau įmonių ir organizacijų
Palyginti su ankstesne direktyva, naujasis reguliavimas smarkiai praplečia organizacijų, kurioms ji bus taikoma, sąrašą – reikalavimai galios svarbiausių valstybės sektorių – sveikatos, energetikos, transporto, bankų, skaitmeninė infrastruktūros, informacinių technologijų – įmonėms ir valstybės įstaigoms.
Direktyvos reikalavimais turėtų domėtis su asmens duomenimis dirbančios įmonės – kurjerių tarnybos, įvairūs gamintojai, maisto tiekimo grandinės dalyviai, įmonės, kurių metinė apyvarta viršija 10 mln. eurų.
KAM Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas A. Aleknavičius sako, kad tokių įmonių bus labai daug.
„Įmonių ratas bus milžiniškas. Jeigu šiandien kibernetinio saugumo subjektus galime įvardinti pakankamai siaurai ir didžiąja dalimi jie yra iš viešojo sektoriaus, tai su naująja direktyva viskas apsiverčia ir didžiąja dalimi bus taikoma privačiam sektoriui (...) Reikalavimai bus visiems identiški“, – BNS sakė A. Aleknavičius.
Lietuvos skaitmeninių technologijų asociacijos „Infobalt“ direktorius Virgilijus Dirma mano, kad organizacijų, kurioms galios naujas reguliavimas, skaičius gali padidėti 10 ir daugiau kartų.
„Perkėlimo kelias, kuris laukia, nebus paprastas, nes direktyva gali padidinti reguliuojamų organizacijų skaičių dešimt ir netgi daugiau kartų“, – BNS sakė V. Dirma.
KAM viceministrė Greta Monika Tučkutė anksčiau teigė, kad bus reguliuojamos visos vidutinės įmonės.
„Jau dirbame su kitomis ministerijomis – norime sudaryti preliminarų esminių ir svarbių subjektų sąrašą, kuriems bus taikomi nauji reikalavimai. Matome, kad šių subjektų skaičius didėja kartais, taip pat yra įtraukiami nauji sektoriai, įvedama dydžio ribos taisyklė, pagal kurią į reguliuojamų subjektų sąrašą pateks visos vidutinio dydžio įmonės“, – pranešime sakė viceministrė.
Asociacija sveikina direktyvą
Anot V. Dirmos, naujas reguliavimas bus naudingas visai Europai, nes bus pakeltas bazinis kibernetinio saugumo lygis, o vartotojai ir įmonės bus apsaugoti nuo įvairių grėsmių kibernetinėje erdvėje.
„Mes sveikiname tas pastangas pakelti bazinį kibernetinio saugumo lygį visame regione. Turime pripažinti, kad tai svarbus žingsnis įgyvendinant Europos strategiją, kuria siekiama apsaugoti vartotojus, administracijas ir įmones nuo tokių grėsmių, kaip išpirkos reikalavimas arba pramoninis šnipinėjimas“, – BNS aiškino V. Dirma.
Kaip pavyzdį jis įvardijo įsilaužimą į privačios medicinos klinikos pacientų duomenų bazę arba neįvardintos finansinių technologijų (fintech) įmonės incidentą, lėmusį didelius finansinius praradimus.
„Visi girdėjome apie įsilaužimą į privačią medicinos įstaigą ir jautrių duomenų paviešinimą, vienas iš mūsų klientų – fintech paslaugas teikianti įmonė – turėjo didelį incidentą, aišku, kad apie tai niekas viešinti nenori, bet ten buvo įsilaužta, kalbama apie dideles finansines netektis, galimybių teikti paslaugą apribojimą, pavyzdžiui, pavedimų negalima daryti“, – kalbėjo V. Dirma.
Jis logišku vadina kriterijų, pagal kurį direktyva galiotų įmonėms, kurių metinė apyvarta viršija 10 mln. eurų: „Reikalavimas logiškas, bet tai papildoma našta, gal ji ir būtų naudinga, jeigu padės užkardyti būsimus nusikaltimus iš trečiųjų šalių“.
„Infobalt“ duomenimis, Europos įmonės per mėnesį praranda apie 10 terabaitų duomenų ir tai joms kainuoja 180-300 mlrd. eurų. Šie nuostoliai skaičiuojami pagal nesuteiktų paslaugų ir nepagamintos produkcijos vertę bei prašomų išpirkų dydį.
Papildomos įmonių investicijos – apie 10 proc. metinės apyvartos
Neabejojama, kad naujos direktyvos pritaikymas verslui papildomai kainuos. A. Aleknavičiaus manymu, išlaidos kibernetiniam saugumui gali didėti maždaug penktadaliu.
„Bent pagal Europos Komisijos paskaičiavimus šios naujosios direktyvos įgyvendinimui reikėtų bent apie 20 procentų daugiau lėšų nei buvo skiriama iki šiol kibernetiniam saugumui. Kas liečia atskirus subjektus – kiekvienas atvejis yra individualus: kam trūksta mažiau, kam – daugiau“, – BNS sakė Krašto apsaugos ministerijos atstovas.
Kibernetinio saugumo specialistų manymu, apsaugai nuo grėsmių virtualioje erdvėje reikėtų skirti sumą, prilygstančią 10 proc. įmonės apyvartos, sako „Infobalt“ vadovas V. Dirma.
„Dėl pačių įsigijimų finansinių srautų papildomų gal nenorėčiau kelti susirūpinimo verslams, nes, man atrodo, tarp kibernetinio saugumo specialistų sakoma, kad reikėtų skirti maždaug 10 procentų savo pajamų būtent kibernetinio saugumo incidentų valdymui“, – teigė V. Dirma.
Jo manymu, aukštesni kibernetinio saugumo standartai nesukels didesnių problemų didžiausiems debesijos paslaugų teikėjams – „Google“ ir „Microsoft“, tačiau gali tapti rimtu iššūkiu smulkiam ir vidutiniam verslui.
„Daugeliui Europos įmonių, kurias vienija tie didieji tiekėjai amerikietiški, tai joms gali prireikti naujų investicijų į saugumo priemones ir procesus, kad būtų pasiektas aukštesnis bendras saugumo pagrindas. Tai irgi iššūkis vidutinio dydžio organizacijoms, kurios turi ribotus išteklius. Tie didieji turi resursus ir galimybes susitvarkyti, o smulkiajam ir vidutiniam verslui turbūt ne visada paprasta skirti daugiau dėmesio stiprinimui“, – teigė V. Dirma.
Jo manymu, didieji debesijos paslaugų savo klientams gali teikti paramą, kad organizacijos atitiktų standartus.
KAM atstovas A. Aleknavičius sako, kad įmonės, kurioms gali būti taikomi nauji reikalavimai, ateityje gali gauti finansinę paramą.
„Jau dabar kviesčiau tuos, kurie save identifikuoja pagal direktyvos kriterijus, pasižiūrėti į kvietimus finansavimui, nes EK duoda lėšas, kad būtų galima pagerinti savo kibernetinį saugumą. Tolimesnėje perspektyvoje ir iš valstybės pusės pasižiūrėsime, kaip galima pakelti, turėsime nedidelių projektų, skirtų mažoms ir vidutinėms įmonėms, nedidelės apimties finansavimo, įmonėms bus galima padėti“, – BNS sakė A. Aleknavičius.
V. Dirma sako, kad ne tik papildomos išlaidos, bet ir kibernetinio saugumo specialistų trūkumas gali sutrukdyti įmonėms pasiekti direktyvos reikalavimus.
„Iššūkis dar vienas – labai trūksta kibernetinio sektoriaus darbuotojų, neseniai skaičiuota, kad Europoje jau trūksta 100 tūkstančių darbuotojų šioje srityje. Tai yra didelis trūkumas ir jeigu įmonėms bus keliami nerealūs atitikties reikalavimai, tai ne tik nebus įvykdyti, bet ir gali būti prieš pastangas didinti kibernetinį saugumą“, – BNS teigė V. Dirma.
Perkėlus direktyvą bus aiškiau – KAM atstovas
Šiemet įsigaliojusi NIS2 direktyva į Lietuvos įstatymus turi būti perkelta iki 2024-ųjų lapkričio, o kol kas visi nacionalinės teisės reikalavimai nėra aiškūs.
A. Aleknavičiaus teigimu, direktyva nėra paini, priešingai – reguliavimas bus kur kas aiškesnis ir konkretesnis nei dabar.
„Direktyva, mano galva, yra labai aiški ir skirta užtikrinti bendram saugumo lygiui visoje Europos Sąjungoje. Su pirmąją direktyva ne visai gerai buvo tai, kad ją kiekvienoje valstybėje įgyvendino kas kaip suprato, ši direktyva yra kur kas konkretesnė“, – BNS teigė A. Aleknavičius.
Nustatant reikalavimus V. Dirma ragina institucijų nepamiršti naujausių technologijų ir skatinti jų naudojimą.
„Imantis užduoties perkelti direktyvą į nacionalinę teisę labai svarbu nepamiršti, kad skaitmeninė transformacija ir kibernetinis saugumas eina koja kojon, tai turbūt reikėtų paraginti įstatymų leidėjus skatinti inovacijas ir atsparumo priemones modernesnes, kurios apsaugo piliečių duomenis ir diegiant saugią programinę įrangą, nulinio pasitikėjimo architektūrą, klientų valdomas šifravimo priemones“, – BNS sakė V. Dirma.
KAM atstovas A. Aleknavičius sako, kad reikalavimai kibernetiniam saugumui neturėtų būti didelė naujiena.
„Mano manymu, kibernetinis saugumas yra šiek tiek mistifikuotas. Iš esmės, jeigu tu laikaisi standartų, gerųjų praktikų, tai aš manau, kad nebus pernelyg sudėtinga persiorientuoti ir susitvarkyti. Pripažinkime – kibernetinis saugumas nėra naujas dalykas, apie jo grėsmes kalbame gerus dešimt metų“, – sako jis.
Pasak A. Aleknavičiaus, jau dabar Lietuvoje situacija nėra prasta: „Sakykime, kad mums visiems yra kur pasitempti, nes lig šiol mūsų atsakomybė, bent jau formali, buvo sukoncentruota ties pakankamai nedideliu subjektų ratu, ir jiems yra kur pasitempti. Kiek neoficialiai yra žinoma, yra tokių, kurios labai gerai laikosi, bet bent persižiūrėti – ką turi ir ko neturi – savo rizikų valdymo planus būtų visai pravartu“.
Konkrečios būtinos kibernetinio saugumo priemonės bus aiškios, kai NIS2 direktyvos nuostatos kitąmet bus perkeltos į Lietuvos įstatymus, tačiau bendrovė „Vilniaus vandenys“ jau dabar tam rengiasi, sako įmonės Veiklos administravimo ir atitikties tarnybos vadovas Egidijus Anulis.
„Kol kas visi dėl šios direktyvos įgyvendinimo reikalingi atlikti pokyčiai nėra iki galo aiškūs (...) Šiuo metu direktyvoje numatytas saugumo priemones bendrovė proaktyviai jau įgyvendina arba rengiasi įgyvendinti“, – komentare BNS teigia E. Anulis.
Anot jo, „Vilniaus vandenys“ bendradarbiauja su Nacionaliniu kibernetinio saugumo centru (NKSC), saugumui skiria personalo ir finansų.
„Vilniaus vandenys“ jau dabar skiria itin didelį dėmesį bei žmogiškuosius ir finansinius resursus tobulinant bendrovės naudojamas sistemas, profesionaliai valdant galimas kibernetinio saugumo rizikas, turi ir nuolat testuoja IT veiklos tęstinumo planus“, – teigia E. Anulis.
Direktyva įmones įpareigos po reikšmingų kibernetinio saugumo incidentų per 24 valandas pateikti pirmines, per tris paras – išsamias, o per mėnesį – galutines ataskaitas.
Atsakomybė – ir vadovams, baudos gali siekti 10 mln. eurų
Direktyva numato, kad už reikalavimų nesilaikymą atsakomybė grėstų ne tik įmonėms, bet ir jų vadovams. Pavyzdžiui, esminių paslaugų tiekėjus siūloma bausti 10 mln. eurų arba 2 proc. metų apyvartos bauda. Svarbių subjektų sąrašui priskiriamoms įmonėms ar įstaigoms grėstų 7 mln. eurų ar 1,4 proc. apyvartos bauda.
V. Dirma teigia, kad kontrolė gali būti sudėtinga užduotis valstybei: „Dėl tokio išplėtimo dydžio organizacijos gali kilti naujų atitikties ir tikrinimo iššūkių, o nacionalinėms kibernetinio saugumo institucijoms, kurioms bus pavesta vykdyti priežiūrą, gali tekti papildoma našta, nes jos susiduria su tam tikrai iššūkiais, trūksta žmonių“.
A. Aleknavičius sutinka, kad NKSC tokia užduotis būtų nepakeliama, todėl galvojama apie atskirų sektorių kontrolės institucijas.
„Centras plyštų, jeigu jam būtų pavesta visa kontrolė, tai mūsų noras yra turėti sektoriuose kompetentingas institucijas, kurios geriausiai pažinotų savo klientus, su kuriais galėtų dirbti ir užtikrinti kibernetinio saugumo brandą, o NKSC rūpintųsi bendrąja situacija“, – sakė A. Aleknavičius.
Jo teigimu, kontrolė kai kur galima dar prieš įsigaliojant direktyvai: „Kai kuriuos įvertinsime ir reguliuosime iš anksto, o kitus kontroliuosime tik po to, kai jie kažko nepadarys“.
