Kaip pasiruošti netrukus įsigaliosiančiam Kibernetinio saugumo įstatymui?

Kibernetinio saugumo įstatymas – dar vienos gynybos linijos sustiprinimas
„Kibernetinio saugumo įstatymas yra Lietuvos visuomenės ir institucijų tarpusavio susitarimas, kad kibernetinis saugumas yra mūsų bendra atsakomybė“, – teigia Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės (KAM KSITPG) vadovė Inga Sūnelaitienė.
Pasak pranešime cituojamos I. Sūnelaitienės, kiekviena organizacija turi suvokti du svarbius dalykus. Pirma – turtas, kuris yra skaitmeninėje erdvėje, turi būti saugomas taip pat, kaip ir fizinis turtas, kurį mes matome ar apčiuopiame. Antra – organizacijų kibernetinis saugumas yra šalies gynybos sistemos dalis.
„Be to, ką matome Ukrainoje – tankų, raketų ir visos kitos matomos agresijos, taip pat vyksta ir kibernetinis karas, kurio paprasta akis ne visada mato. Todėl mes norime būti tikri, kad Lietuva yra ir bus atspari kibernetinėje erdvėje. Naujasis įstatymas turėtų pakelti visos Lietuvos kibernetinio saugumo brandą į tą lygmenį, kad vieną dieną mes galėtume nesukti sau galvos dėl to, jog viena iš mūsų gynybinių linijų – kibernetinio saugumo linija – yra skylėta“, – sako pašnekovė.

Įmonės „Telia“ teisės ekspertas, Mykolo Romerio universiteto teisės profesorius Paulius Pakutinskas pastebi, kad atitikti Kibernetinio saugumo įstatyme numatytus reikalavimus kai kurioms įmonėms yra nemažas iššūkis. Vienoms organizacijoms naujasis reguliavimas bus tik šiek tiek sudėtingesnis už esamą, o kitoms – visiškai naujas. Įmonės, kurioms reikalavimai yra visiškai nauji, bene labiausiai nerimauja dėl resursų.
„Tenka pripažinti – naujojo reguliavimo reikalavimų užtikrinimas yra brangus pokytis, reikalaujantis tiek finansinių, tiek žmogiškųjų resursų. Kai kurios įmonės galimai net neturės tinkamų žmonių, kurie galėtų profesionaliai šiuos klausimus spręsti. Kai kur net gali prireikti keisti turimus technologinius resursus, nes galimai kai kuri įranga paprasčiausiai yra pasenusi. Taigi, gali tekti ne tik atnaujinti turimas kibernetinio saugumo ar saugos incidentų valdymo politikas, bet ir imtis radikalių sprendimų keičiant turimas technologijas, nes jos yra nepatikimos“, – komentuoja „Telia“ atstovas.

Saugumas – kiekvieno mūsų rankose
Teisės profesorius visoms Lietuvos organizacijoms ir įmonėms, o ypač kibernetinio saugumo subjektams, turi patarimą – keisti suvokimą ir suprasti, kad kibernetinis saugumas yra prioritetas.„Vienas esminių naujojo reguliavimo reikalavimų – įdiegti įmonėje kibernetinio saugumo kultūrą, kad kiekvienas dirbantis organizacijoje suprastų kibernetinių atakų poveikį ir jaustųsi atsakingas už kibernetinio saugumo užtikrinimą. Kaip mes kadaise supratome duomenų apsaugos svarbą bei sugebėjome įgyvendinti su tuo susijusius reikalavimus, analogiškas suvokimas turi atsirasti ir kibernetinio saugumo užtikrinimui. Kiekviena įmonė turi suprasti, kad kibernetinis saugumas yra prioritetas todėl, kad tai generuoja tiek reputacinę, tiek finansinę vertę bei apsaugo mūsų klientus. Įmonės privalo TIS 2 direktyvos įgyvendinimo klausimą spręsti kaip prioritetinį bei ieškoti resursų jam įgyvendinti.“
I. Sūnelaitienė priduria, kad suvokimo keitimas turės prasidėti nuo viršūnių – didelė atsakomybė kris ant organizacijų ir įmonių vadovų pečių.
„Kiekvienas vadovas turėtų įsirašyti kibernetinio saugumo įstatymą į savo darbotvarkę, nes būtent vadovas privalės užtikrinti, kad jo organizacija laikytųsi nustatytų kibernetinio saugumo reikalavimų. Ne IT specialistas, ne teisininkas ar dar kažkas. Pirmiausia atsakomybė yra keliama į vadovo lygį, nes už reikalavimų nesilaikymą bus taikomos atitinkamos poveikio priemonės, tame tarpe ir baudos. Vadovas turi pavesti savo komandai įvertinti, kokius kritinius informacinius išteklius jo organizacija valdo, kaip atrodo visas jo organizacijos skaitmenizacijos sprendimas, peržiūrėti savo IT paslaugų tiekėjus ir įvertinti kibernetinio saugumo rizikas. Vadovas taip pat turi suprasti, jog jis privalo ne tik pasirūpinti tuo, kad jo organizacija įgyvendintų tinkamą rizikos valdymo sistemą, bet ir pasodinti kibernetinio saugumo kultūros daigą, jeigu jo dar nėra organizacijoje. Tai reiškia, kad jis turės skirti kibernetinio saugumo vadovą ir pasirūpinti savo ir savo darbuotojų kibernetinio saugumo mokymais“, – pasakoja KAM atstovė.
Kalbėdami apie naujoves I. Sūnelaitienė ir P. Pakutinskas akcentuoja ir tai, kad Kibernetinio saugumo įstatymas didelį dėmesį skiria tiekimo grandinėms. Tiekimo grandinėse atsiveriančios skylės šiuo metu kelia dideles grėsmes, todėl tai bus sureguliuota – nauji reikalavimai bus skiriami ir tiekėjams.
„Neužtenka, kad pats subjektas būtų saugus ir patikimas, nes kiekvienas subjektas yra vienaip ar kitaip priklausomas nuo savo partnerio-tiekėjo. Tai yra svarbi kibernetinio saugumo dedamoji dalis, nes jei aparatinė ar programinė įranga bus nupirkta nepatikima, didelio saugumo mes nepasieksime arba egzistuos didelės atitikties spragos“, – teigia P. Pakutinskas.
Krašto apsaugos ministerijos nuotr.
Ką keičiantis reguliavimui reikia žinoti organizacijoms ir jų vadovams?Pirmasis darbas, kurį Krašto apsaugos ministerija rekomenduoja atlikti organizacijoms, siekiant suprasti ar joms bus taikomas Kibernetinio saugumo įstatymas, yra įsivertinti, ar organizacija veikia viename iš direktyvos nurodytų sektorių ir atitinka kitus įstatyme nustatytus kriterijus.
Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos su sritį kuruojančiomis atitinkamomis ministerijomis jau pradeda sudaryti kibernetinio saugumo subjektų sąrašą, kurie galimai pateks į kuriamą Kibernetinio saugumo subjektų registrą. Šis procesas gali užtrukti iki 2025 m. balandžio 17 d., o nuo to momento visos organizacijos, patekusios į šį registrą, aiškiai žinos, kokius kibernetinio saugumo reikalavimus, pvz., rizikos valdymą, incidentų ataskaitų teikimą ar kibernetinio saugumo priemonių įdiegimą jos turės atitikti.
„Šiuo metu vyksta intensyvus darbas: valstybėje jau esamų registrų pagrindu vertiname įmones pagal sektorius, pajamų dydį, darbuotojų skaičių ir atitikimą kitiems įstatymo kriterijams. Sudarę šį registrą mes informuosime visus subjektus žinute „Jūs patekote į registrą“, o nuo to momento jiems prasidės pareiga atitikti Kibernetinio saugumo įstatyme nustatytus reikalavimus“, – teigia I. Sūnelaitienė.
Nacionalinio kibernetinio saugumo centro nuotr.
Vis dėlto KAM KSITPG vadovė ragina organizacijas nelaukti minėtos datos ir pradėti domėtis naujais reikalavimais bei ruoštis juos atitikti jau dabar. Ne viena organizacija savo iniciatyva jau konsultuojasi su Krašto apsaugos ministerija arba pagal ministerijos tinklalapyje KAM.lt pateiktą informaciją vertina savo atitikimą įstatymo kriterijams.P. Pakutinskas dalinasi „Telia“ patirtimi bei taip pat akcentuoja prioritetų nusistatymą ir ankstyvą pasiruošimą. Teisės profesorius pasakoja, kad ši įmonė naujam reguliavimui pradėjo ruoštis iškart, kai tik Europos Sąjunga priėmė TIS 2 direktyvą. Atlikus norminių aktų analizę bei įvertinus direktyvos įsigaliojimo terminus, telekomunikacijų bendrovė dar praėjusių metų rugsėjo mėnesį subūrė ekspertų TIS 2 projekto grupę.
Freepik nuotr.
„Pagrindinį dėmesį skyrėme TIS 2 direktyvos reikalavimams, kurie atrodė pakankamai aptakūs, todėl TIS 2 atitikčiai užtikrinti buvo pasirinktas ISO/IEC 27001 saugumo atitikties standartas, kuris paaiškina, kaip turi atrodyti tinkamas organizacijų elgesys kibernetinio saugumo bei rizikų valdymo srityse. Rizikų valdymo kultūra mums nėra naujiena – visi „Telia“ darbuotojai dirba su tuo savo srityse. Be to, jau turėjome patirties dirbdami pagal ISO/IEC27001, todėl nusprendėme taikyti šio saugumo standarto reikalavimus plačiau. Galiausiai mums padėjo atsiradę nauji reguliavimo perkėlimo į nacionalinę teisę dokumentai. Mums džiugu, kad mūsų valstybė dėjo pakankamai pastangų kibernetinio saugumo užtikrinimui ir supranta šio klausimo svarbą“, – paaiška pašnekovas.
Geroji patirtis – ankstyvas pasiruošimas
P. Pakutinskas įvardija ir tolesnius „Telia“ atliktus veiksmus, kurie yra svarbūs kibernetinio saugumo subjektams siekiant užtikrinant direktyvos reikalavimus – kibernetinio saugumo politikos peržiūra, techninių apsaugos priemonių, fizinės infrastruktūros apsaugos ir reagavimo į incidentus stiprinimas. Taip pat ir visi kiti reikalavimai, kurie nurodyti TIS 2 direktyvoje bei detalizuoti Kibernetinio saugumo įstatyme – tai ir darbuotojų mokymai, ir tiekėjų patikimumo-saugumo vertinimas.
Pasak teisininko, „Ankstyvas pasiruošimas reguliaciniam reikalavimui visuomet leidžia sutaupyti. Jeigu atidėliosime ir stengsimės TIS 2 atitiktį užtikrinti prieš pat jai įsigaliojant, mokėsime keliskart brangiau, o ir rezultatas nebus toks kokybiškas, kaip kad ruošiantis iš anksto. Atsakingas verslas, pradėsiantis planuoti iš anksto, gaus pigesnius resursus ir geresnius specialistus, nepermokės už tam tikras priemones ar technologijas dėl palankesnių terminų juos įsigyti, bus laiko įsivertinti, kas atlikta, koreguoti klaidas“.
P. Pakutinskas priduria, kad kiekviena įmonė, net ir nesanti kibernetinio saugumo subjektu, turėtų atitikti visus naujuosius TIS 2 direktyvos reikalavimus. Teisės ekspertas atkreipia dėmesį į tai, kad, net jei įmonei reguliavimas nebus taikomas tiesiogiai, yra didelė tikimybė, kad jai bus taikomas reguliavimas kaip tiekėjui ar rangovui, todėl, norėdama teikti paslaugas, tokia įmonė neišvengiamai turės atitikti direktyvos reikalavimus.„Kibernetinio saugumo įstatymas tiesiog pateikia tam tikras kibernetinio saugumo higienos taisykles. Didžioji dalis numatomų įpareigojimų paprasčiausiai jau ir taip turėtų būti organizacijose, be jokio papildomo reguliavimo. Atsakingos organizacijos turėtų jau dabar atlikti visus būtinuosius kibernetinio saugumo žingsnius ir nelaukti, kol kažkas už jas tai sureguliuos, sutikrins ir įvertins.“