Birželį mėnesį pristatytas Pasaulinis kibernetinio saugumo indeksas parodė, kokio lygio yra Lietuvos kibernetinio saugumo situacija. Pagal šį indeksą Estija užėmė 5-ąją vietą pasaulyje ir pagal kibernetinio saugumą galėtų save vadinti saugiausia Europos valstybe. Latvija šiame sąraše atsidūrė 21-oje vietoje, o Lietuva… tik 57-oje. Kyla natūralus klausimas, kaip šalis, priėmusi Kibernetinio saugumo įstatymą, besididžiuojanti itin gerai išvystyta interneto infrastruktūra (esame vieni iš lyderių) į priekį praleido daugiau kaip pusšimtį pasaulio valstybių? Sudarant pasaulinį kibernetinio saugumo indeksą, buvo analizuojami tokie kriterijai kaip teisinės, techninės, organizacinės kibernetinio saugumo priemonės, taip pat šios srities ekspertų bendradarbiavimas ir jų gebėjimų stiprinimas. Paradoksas slypi tame, kad nors Lietuva lyginant su kitomis ES valstybėmis ir pirmauja pagal teisinę bazę ir organizacines priemones, pagal kitus kriterijus, tokius kaip techninės priemonės, bendradarbiavimas bei gebėjimų stiprinimas gerokai atsilieka nuo ES vidurkio. Šis indeksas tik dar sykį patvirtina, kad kibernetinio saugumo užtikrinimui vien tik teisinės bazės, organizacinių ir techninių priemonių nustatymo nepakanka. Nemažiau svarbios kompleksinės kibernetinio saugumo valdymo kompetencijos, padedančios ne tik adekvačiai, bet ir nenusižengiant teisinėms normoms sureaguoti į iškilusias kibernetines grėsmes. Žmogiškųjų gebėjimų stiprinimas yra vienas svarbiausių. Organizacija gali būti susitvarkiusi vidinius teisinius dokumentus, apsibrėžusi aiškiais taisykles, tačiau jei darbuotojai neturi gebėjimų ir įgūdžių, kaip reiktų praktiškai elgtis iškilus kibernetinei grėsmei, tvarkinga teisinė bazė duos mažai naudos. Taigi praktiniai darbuotojų vadybos gebėjimai kol kas yra Lietuvos kibernetinio saugumo „Achilo kulnas“. Lietuvoje jau priimtas kibernetinio saugumo įstatymas. Šiuo klausimu gerąja prasme išsiskiriame iš kitų Europos valstybių – tokį įstatymą yra priėmusios tik kelios valstybės, ir tai su tam tikrais niuansais. Pavyzdžiui, Vokietijoje įstatymas skirtas tik kritinės infrastruktūros apsaugai. Lietuvoje jau patvirtinti ir lydimieji teisės aktai. Tačiau ir kibernetinio saugumo įstatymas tiesiog neveiks, jei ir privačiame, ir viešajame sektoriuose nedirbs šį įstatymą išmanantys ir aukštas kibernetinio saugumo kompetencijas turintys vadybininkai, koordinuojantys tarpusavyje veiksmus, operatyviai pritaikantys konkrečias saugumo priemones įvykus kibernetiniam incidentui ir užtikrinantys atitinkamų vidinių dokumentų parengimą bei patvirtinimą. Lietuvoje veikia ir Ryšių reguliavimo tarnybos reagavimo į kibernetinius incidentus komanda (CERT), ir naujai įkurtas Nacionalinis kibernetinio saugumo centras. Šių organizacijų svarba užtikrinant valstybės kibernetinį saugumą milžiniška, tačiau to nepakanka. Tad ko gero pats svarbiausias klausimas – kada Lietuvoje bus patvirtinta šiuolaikinė kibernetinio saugumo strategija. Esame tarp tų vos trijų likusių ES ir NATO valstybių, kurios iki šiol nepatvirtino šio ypač svarbaus ir reikalingo dokumento. Nors 2011 metais ir buvo priimta Kibernetinio saugumo programa, tačiau ji toli gražu neprilygsta strategijai. Tik su visaapimančiu strateginio planavimo dokumentu galime bandyti gerinti kibernetinio saugumo valdymą valstybiniu mastu. Akivaizdu, kad Lietuvoje „šlubuoja“ ir kiti pasaulinis kibernetinio saugumo indekso elementai, ypač techniniai pajėgumai ir kibernetinio saugumo vadybos kompetencijos. 2016 metų NKSC ataskaita parodė, kad nemaža dalis Lietuvos viešojo sektoriaus nėra įgyvendinusios reikiamų techninių ir organizacinių kibernetinio saugumo priemonių. Atkreiptinas dėmesys, kad labai silpni darbuotojų gebėjimai atpažinti kibernetines grėsmes, vadinasi, operatyviai ir adekvačiai į jas reaguoti. Šis indeksas tik patvirtina, ką kibernetinio saugumo ekspertai žino jau senokai – Lietuvoje labai silpnai išvystytas tarpinstitucinis bendradarbiavimas ne tik tarp viešojo ir privataus sektorių, bet netgi tarp valstybinių institucijų.
Atlikti tyrimai rodo, kad institucijų darbuotojai nesupranta sudėtingų reguliavimo procesų, jiems trūksta teisinių ir vadybinių kibernetinio saugumo kompetencijų. Situaciją pagerintų ne tik kuo skubiau paruošta ir priimta šiuolaikinė kibernetinio saugumo strategija, apimanti visą kompleksą priemonių valstybės lygmeniu, bet ir specialias teisines ir vadybines kompetencijas įgiję kibernetinio saugumo specialistai, kurių šiuo metu tikrai trūksta. MRU mokslininkų grupė yra parengusi Lietuvos kibernetinio saugumo strategijos modelį, kuriame pateikta, kaip kompleksiškai spręsti visas išvardintas problemas, pradedant teisine baze ir baigiant darbuotojų profesinių gebėjimų stiprinimu. Tikimės, kad į kibernetinį saugumą Lietuvoje nebus pažiūrėta formaliai. Darius Štitilis yra Mykolo Romerio universiteto (MRU) profesorius, kibernetinio saugumo valdymo ekspertas.
Aut. teisės: https://www.15min.lt/naujiena/aktualu/nuomones/darius-stitilis-lietuvos-kibernetinio-saugumo-achilo-kulnas-18-825684
