Įsivaizduokime: bankas, ligoninė ar kuri nors savivaldybė tampa programišių taikiniu, o jautri gyventojų informacija ar net fizinis saugumas atsiduria pavojuje. Kad tokie scenarijai neišsipildytų, Lietuva imasi priemonių. Įsigaliojus naujiems Kibernetinio saugumo įstatymo pakeitimams, beveik 1500 šalies organizacijų turi peržiūrėti savo IT gynybos planus – kai kurioms tai šansas sustiprėti, kitoms – nemenkas iššūkis. Ką tai reiškia verslui, viešajam sektoriui ir kiekvienam iš mūsų?
Ne taip seniai Nacionalinis kibernetinio saugumo centras (NKSC) sudarė naują Kibernetinio saugumo subjektų registrą, kuriame šiuo metu yra 1443 organizacijos iš 18 svarbių sektorių. Visos jos, pagal atnaujintą Kibernetinio saugumo įstatymą (KSĮ), privalės laikytis griežtesnių reikalavimų. Ši įstatymo redakcija įsigaliojo siekiant sustiprinti Lietuvos atsparumą kibernetinėms grėsmėms ir įgyvendina Europos Sąjungos TIS2 direktyvą (angl. Directive on Security of Network and Information Systems), kuri suvienodina saugumo standartus visoje ES.
Direktyva ne tik išplečia, kam taikomi saugumo reikalavimai, bet ir nustato aukštesnius standartus visoms įtrauktoms organizacijoms. Tačiau, pasak „Baltimax“ kibernetinio saugumo inžinieriaus ir ESET eksperto Luko Apynio, tikroji sauga neapsiriboja vien formaliu reikalavimų įgyvendinimu.
„Siekiant ne tik atitikti teisės aktų reikalavimus, bet ir rimtai pasiruošti realioms grėsmėms, būtinos ne tik praktinės žinios, bet ir aiški strategija, tinkami įrankiai bei nuolatinis darbuotojų įsitraukimas, – teigia jis. – Kiekviena organizacija, nesvarbu, ar priklauso ypatingos svarbos sektoriui, ar ne, dabar turi apsvarstyti savo IT saugumo strategiją ir pasiruošimą realioms grėsmėms.”
IT sprendimus siūlančios įmonės ekspertų komanda pastebi, kad dalis organizacijų iš anksto pasirengusios pokyčiams ir į tai žiūri kaip į galimybę tobulėti, tačiau kitoms šis procesas tampa rimtu išbandymu dėl ribotų resursų, kompetencijų trūkumo ar neaiškių prioritetų.
Organizacijas pagal pasiruošimo lygį galima suskirstyti į tris grupes – pirmūnus; darbščius, bet pasimetusius; ir bandančius praslysti. Šis skirstymas leidžia geriau suprasti, su kokiais iššūkiais susiduria įvairios organizacijos ir kaip joms galima padėti.
3 pasiruošimo lygiai: kuriame – jūsų organizacija?
1. Pirmūnai – organizacijos, kurios jau turi kompetencijų, teisininkus ir aiškų veiksmų planą. Šios įmonės žino, kad KSĮ reikalavimai iš esmės remiasi ISO 27001 pagrindu (LST EN ISO/IEC 27001:2023 standartas – tarptautinis standartas, nustatantis reikalavimus informacijos saugumo valdymo sistemai, kad organizacija galėtų įvertinti rizikas ir įdiegti tinkamas kontrolės priemones informacijos konfidencialumui, vientisumui ir prieinamumui užtikrinti) standartu, ir aktyviai diegia pažangias priemones, tokias kaip privilegijuotos prieigos valdymas (PAM) ar rizikų analizės įrankiai.
2. Pasimetę darbštuoliai – IT vadovai šiose įmonėse dažnai vieni neša atsakomybę už saugumo sprendimus. Jie konsultuojasi, planuoja ir ieško išorinių partnerių. Dažniausiai trūksta įrankių, tokių kaip dviejų veiksnių autentifikacija ar pažeidžiamumų skanavimas. Tokiu atveju padeda aiškus planas, ekspertų konsultacijos ir išorinė pagalba.
3. Bandantys praslysti – įmonės, kurios vis dar viliasi, kad įstatymas jų nepalies. Tokiose organizacijose dažnai vyrauja minimali IT priežiūra, žema saugumo branda ir reakcijos į incidentus stoka. Tačiau net ir jos privalės keistis – už saugumą atsakingi vadovai jau dabar turėtų įsivertinti rizikas ir pradėti veikti.
Nuo ko pradėti?
Prieš diegiant konkrečias kibernetinio saugumo priemones, organizacijoms svarbu aiškiai įsivertinti esamą situaciją – kokie įrankiai jau veikia, kokios rizikos aktualiausios ir ko labiausiai trūksta. Toks vertinimas leidžia nusistatyti prioritetus: nuo esminių techninių sprendimų (pvz., prieigos kontrolė, duomenų šifravimas) iki organizacinių veiksmų, kaip atsakomybės pasiskirstymas ar darbuotojų mokymai. Jei veiksmų dar nesiimta, pirmasis žingsnis turėtų būti informacijos rinkimas – galima remtis NKSC gairėmis ar pasitelkti išorės ekspertus.
Pavyzdžiui, išorinis saugumo operacijų centras, yra ekonomiška alternatyva vietoje to, kad būtų samdoma vidinė IT saugumo komanda. Išorinis saugumo operacijų centras nuotoliniu būdu stebi IT infrastruktūrą, aptinka grėsmes, valdo incidentus ir naudoja pažangias technologijas, tokias kaip XDR (išplėstinis grėsmių aptikimas ir reagavimas) ir SIEM (saugumo informacijos ir įvykių valdymas).
„Sprendimą, ar formuoti vidinę komandą, ar pasitelkti išorinį saugumo operacijų centrą, dažniausiai lemia įmonės dydis, saugumo brandos lygis ir turimi ištekliai. Vidinė komanda gali būti efektyvi, jei įmonė turi reikiamų kompetencijų ir gebėjimų, tačiau tai brangu ir reikalauja specialistų paieškos, – teigia L. Apynis. – Tuo tarpu išorinis saugumo operacijų centras yra greitesnis būdas užtikrinti incidentų analizę, stebėseną ir reagavimą, ypač kai įmonė neturi galimybių samdyti ir išlaikyti visos saugumo komandos. Be to, išorinis saugumo operacijų centras leidžia greitai pasiekti specializuotą patirtį ir sumažina infrastruktūros bei personalo išlaikymo kaštus.“
TIS2 direktyva numato griežtus reikalavimus ypatingos svarbos sektorių organizacijoms – jos turi ne tik užtikrinti IT sistemų saugumą, bet ir valdyti žmogiškųjų išteklių riziką, saugoti tiekimo grandinę, taikyti aiškią incidentų valdymo tvarką bei vykdyti turto apskaitą. Direktyvos tikslas – suvienodinti kibernetinio saugumo lygį visoje Europos Sąjungoje, sumažinti skirtumus tarp šalių ir sektorių bei stiprinti bendrą atsparumą grėsmėms.
Reikalavimai taikomi ne tik tokiems sektoriams kaip energetika, transportas, sveikatos apsauga, bankininkystė ar skaitmeninė infrastruktūra, bet ir viešajam administravimui, vandentvarkai, IRT paslaugoms, paštui, maisto gamybai, moksliniams tyrimams bei kitoms svarbioms sritims. Visoms šioms organizacijoms svarbu ne tik formaliai atitikti direktyvą, bet ir realiai stiprinti savo atsparumą bei pasirengimą reaguoti į grėsmes.
