VU mokslininkas: informacijos saugumo klausimą reikia kelti jau šiandien (1)
Valstybinėse institucijose informacijos saugumas nėra valdomas – tokią išvadą daro Vilniaus universiteto Komunikacijos fakulteto mokslininkas dr. Saulius Jastiuginas, atlikęs informacijos saugumo valdymo tyrimą Lietuvos valstybės institucijose.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Lietuvoje susidurta su valstybės institucijų informacinių sistemų nepasiekiamumu, asmens duomenų nutekėjimu, įsilaužimais į institucijų svetaines, neteisinga informacija valstybės registruose ar nekorektiškai teikiamomis elektroninėmis paslaugomis – irtai tik pavieniai, garsiau nuskambėję atvejai.
Ko galime sulaukti saugumo grėsmėms įgijus labiau organizuotą formą, puikiai iliustravo Estijos pavyzdys. Perkėlus „bronzinio kario“ skulptūrą elektroninėje erdvėje įsisiūbavo protestai, visą šalį atkirtę nuo globalaus pasaulio, paralyžavę tiek valstybės ar verslo institucijų, tiek eilinių piliečių veiklą elektroninėje erdvėje. Lietuvos valstybės institucijos nuolat vykdo įvairius nacionalinėmis ir Europos Sąjungos lėšomis finansuojamus informacijos saugumo stiprinimo projektus. Tačiau galima pastebėti, kad didžioji dalis šių projektų yra orientuoti į programinių ar techninių spendimų įsigijimus, dažnai pamirštant esminius dalykus – procesų sutvarkymą ir kompetencijos kėlimą.
„Globalios tendencijos rodo, kad šiuolaikiniai įsilaužėliai, norėdami pakenkti ar pasipelnyti, vis dažniau takosi ne į pakankamai saugias technologijas, o į už jų esančią silpniausią saugumo grandį – šių technologijų naudotojus. Tam piktavaliai naudoja įvairius socialinės inžinerijos metodus: pasinaudodami žmonių patiklumu ar noru padėti, apgaule išvilioja svarbią informaciją ar kitaip paveikia žmonių elgesį, kad pasiektų savo tikslų,“ – pastebi dr. S. Jastiuginas. Tokios taktikos veiksmingumą puikiai iliustruoja ir bemaž kasdien gaunama informacija apie telefoninių sukčių „sėkmės istorijas“.
Žinių apie informacijos saugumo grėsmes trūkumas – viena pagrindinių informacijos saugumo incidentų priežasčių. Deja, atlikti tyrimai rodo, kad vos penktadalis Lietuvos valstybės institucijų vykdo periodinius mokymus tiek informacinių technologijų ar saugumo specialistams, tiek ir eiliniams vartotojams.
Lietuvoje nemenkai pažengta rengiant teisės aktus, formuojančius informacijos saugumo reikalavimus valstybės institucijoms. Pirmieji oficialūs informacijos saugumo reikalavimai įtvirtinti prieš penkiolika metų. Per šį laikotarpį parengta ir įgyvendinta ne viena strategija, daugiau nei metus galioja naujasis Valstybės informacinių išteklių valdymo įstatymas ir Elektroninės informacijos saugos (kibernetinio saugumo) programa.
„Nagrinėjant šių teisės aktų įgyvendinimą pastebėtas Valstybės informacinių išteklių valdymo įstatymui įgyvendinti būtinų teisės aktų trūkumas. Pavyzdžiui, įstatyme numatyti reikalavimai galioja trims iš keturių valstybės informacinių išteklių rūšių, tačiau vis dar nėra reikalavimų vidaus administravimo reikmėms skirtoms informacinėms sistemoms, kurios sudaro beveik pusę visų valstybės informacinių išteklių. Taip pat nereglamentuotas informacijos saugumo auditas. Minėta Elektroninės informacijos saugos (kibernetinio saugumo) programa numato pagrindines priemones ir jų įgyvendinimo vertinimo kriterijus 2015 ir 2019 metams, tačiau nėra detalių priemonių planų taip pat neaišku, ko atsakingos institucijos turi imtis jau šiandien,“ – informacijos saugumo spragas vardija dr. S. Jastiuginas.
Vertinant informacijos saugumo reikalavimų įgyvendinimą praktiniame lygmenyje, dr. S. Jastiuginas pastebi, kad kontrolės priemones – rizikos analizę ar auditą – nuolat taiko mažiau nei 10 proc. valstybės institucijų. Šie rezultatai atskleidžia, kad dauguma valstybės institucijų informacijos saugumo valdymo reikalavimus iš esmės taiko tik formaliai.
Atliktas tyrimas taip pat leidžia teigti, kad viešajame sektoriuje trūksta vadybinio požiūrio į informacijos saugumą. Daugumoje valstybės institucijų atsakomybė už informacijos saugumo valdymą paskirta informacinių technologijų personalui, institucijų vadovai įtraukiami tik įvykus rimtiems saugumo incidentams. Ši situacija prieštarauja vyraujančioms gerosioms praktikoms – atskirti kontrolės ir vykdymo funkcijas.
Pastebima, kad užtikrinant informacijos saugumą labiau pažengusios yra ministerijos ir kitos valstybės institucijos, pavaldžios Lietuvos Respublikos Vyriausybei, ir valdančios svarbiausius valstybės informacinius išteklius.
Gerinant informacijos saugumo valdymą Lietuvos valstybės institucijose, dr. S. Jastiugino siūlymu, turėtų būti sustiprinta koordinavimo ir kontrolės funkcija – aiškiai įvardinta viena už informacijos saugumo koordinavimą atsakinga institucija, turinti įgaliojimus ir resursus ne tik rengti ar vertinti teisės aktus, bet ir vykdyti realius informacijos saugumo auditus. Ši institucija turi būti kompetentinga kelti viso viešojo sektoriaus informacijos saugumo kultūrą, teikti metodinę pagalbą. Taip pat būtina praplėsti privalomą informacijos saugumo reikalavimų taikymą visiems valstybės informaciniams ištekliams.
Siekiant institucijų veiklos efektyvumo reikalinga užtikrinti, kad institucijų saugos įgaliotiniai būtų tiesiogiai pavaldūs institucijų vadovams, įsitvirtintų centralizuotas saugios informacinės infrastruktūros naudojimas, institucijos operatyviai gautų informaciją apie saugumo incidentus bei jų sprendimą. Informacijos saugumo valdymo problemų sprendimui taip pat siūloma pasitelkti viešojo, privataus ir mokslo sektorių bendradarbiavimą.
Vertinant, kaip sparčiai į elektroninę erdvę perkeliamos įvairios socialinės, sveikatos, viešųjų pirkimų ar kitos paslaugos, galime būti tikri, kad grėsmės tik didėja. Todėl jau šiandien būtina kelti informacijos saugumo klausimą.