Spalio 20 d. Nacionalinės debesijos platformos TELECENTRAS CLOUD operatorius Telecentras organizavo konferenciją „Saugūs valstybės duomenys‘22“. Renginyje dalyvavo virš 100 dalyvių, daugumą sudarė Saugiojo tinklo vartotojų atstovai iš Lietuvos savivaldybių ir kitų viešojo sektoriaus organizacijų. Renginio dalyviai klausėsi šalies ir užsienio ekspertų pranešimų, taip pat atsakinėjo į auditorijai užduodamus klausimus.
Įsigali hibridinis modelis
„Nors konferencijos dalyvių apklausa ir nepretenduoja į reprezentatyvumą, vis tik jos rezultatus galima laikyti simptomiškais, adekvačiais realiai situacijai viešajame sektoriuje, kuri gerai žinoma specialistams“, – teigia Telecentro Veiklos vystymo departamento direktorius Arnas Zuikis.
Jo žodžiais, atsakymai rodo, kad valstybinės organizacijos didžia dalimi tebevaldo duomenis namudiniais pagrindais, nors tendencija pasitelkti profesionalias specializuotų kompanijų paslaugas stiprėja. „Visumoje organizacijų IT ūkio valdyme, reikia pripažinti, po truputį įsigali hibridinis modelis“ – sako Telecentro atstovas.
Antai į klausimą „Ar esate patikėję savo IT ūkio priežiūrą trečiajai šaliai?“ teigiamai atsakė tik 5 proc. dalyvių Didžioji dalis – 51 proc. – atsakė, kad IT ūkio klausimus dalinai yra patikėję išorinei kompanijai. 6 proc. atsakė ateityje planuojantys pasitelkti išorinę IT priežiūros kompaniją, o net 38 proc. atsakė besitvarkantys savo jėgomis ir neplanuojantys pasitelkti paslaugų iš išorės.
Į klausimą „Kur Jūsų organizacija laiko informacinius išteklius?“ 30 proc. apklausos dalyvių atsakė, kad laiko juos savo patalpose esančiuose serveriuose, 17 proc. – kad laiko specializuotame duomenų centre ir 53 proc. teigė, kad taiko hibridinį sprendimą, kuomet pagrindinė duomenų kopija laikoma nuosavoje įrangoje, o rezervinė kopija – nutolusiame duomenų centre.
Konferencijoje pranešimą apie duomenų valdymo modelius Vilniaus savivaldybėje skaičiusi Vilniaus skaitmeninės strategijos autorė ir IT vadovų klubo prezidentė Eglė Radvilė teigė, kad klasikinė dilema, kur saugoti duomenis – savo infrastruktūroje, ar naudotis IT debesijos paslaugomis, Vilniuje jau seniai išspręsta: sostinė vienareikšmiškai naudojasi debesijos paslaugomis. Savo pranešime ji daugiau dėmesio skyrė didžiulių duomenų masyvų, kuriuos valdo Vilniaus miesto įstaigos integravimo temai, taip pat kaip svarbu savivaldos duomenis atverti potencialiems naudotojams, taip sukuriant papildomus produktus ir vertes.
Atsisakyti „serverinių“
Pagrindinė konferencijos tema – saugumas – renginyje buvo plačiai analizuojama duomenų valdysenos procesų, įrangos patikimumo, kibernetinės saugos bei kitais aspektais.
Konferencijoje pranešimą skaitęs UAB „Adwisery“ direktorius Ernestas Lipnickas viešojo sektoriaus IT sistemų ir duomenų būklę apibūdino kaip nepatenkinamą saugumo požiūriu. Jo vadovaujamoje kompanijoje dirbantys ekspertai yra sukaupę didelę patirtį audituojant ir konsultuojant organizacijas IT sistemų saugumo, rizikų valdymo, informacinio ir kibernetinio saugumo klausimais, tad pranešėjas rėmėsi gausia faktine medžiaga. Taip pat ir nuotraukomis iš įvairių kabinetų ir patalpų, kuriose būna laikomi serveriai ir kurios daugiau negu akivaizdžiai rodo, kokioje netinkamoje aplinkoje neretai yra eksploatuojama ITT įranga, kas liudija apie procesų vadybos, finansinių išteklių trūkumą personalo motyvacijos trūkumą.
Lipnicko nuomone, tokių vidinių „serverinių” turi būti kuo skubiau atsisakyta, o patalpoms, kuriose laikomos visų kategorijų valstybės informacinės sistemos ir jų duomenys, turi būti nustatyti vienodi reikalavimai. Taip pat svarbu pasidomėti, ar privatūs duomenų centrai, kurių paslaugomis organizacijos naudojasi arba ruošiasi naudotis, atitinka tokiems centrams taikomus tarptautinius TIER standartus. „Adwisery“ patirtis rodo, kad privatūs DC ne visuomet atitinka reikiamą duomenų pateikiamumo, saugumo lygį ir kitus reikalavimus. E. Lipnickas ragino nedelsti su duomenų migravimu į valstybinius duomenų centrus, kurie užtikrintų reikiamą duomenų saugumą.
Valstybinių duomenų centrų temą konferencijoje pratęsė Latvijos radijo ir televizijos centro valdybos narys Evijs Taube, pasidalinęs kaimyninės šalies patirtimi informacinių išteklių konsolidavimo, kertinių telekomunikacinių tinklų ir kitų svarbių valstybinių ITT projektų vykdymo srityje. Ši valstybės valdoma bendrovė Latvijoje valdo tinklą duomenų centrų, kuriuose įrengta virš 700 serverių spintų ir kurių suminė galia yra 2,5MW, atlieka daugybę funkcijų ir paslaugų, kurių tikslas užtikrinti Latvijos valstybės duomenų bei informacinių sistemų saugumą.
Kibernetinės grėsmės: tai daugiau negu rimta
Duomenų perkėlimas į valstybinių DC pagrindu sukurtas debesijos platformas padidintų duomenų saugumą ir kibernetinės saugos požiūriu, teigė kibernetinės saugos ekspertas Grigorij Strelec. Jau vien dėl to, kad duomenys būtų atskirti nuo organizacijos kompiuterinio tinklo. Mat piktavaliai dažniausiai organizuoja „pfishing“ ir kitokias atakas per darbuotojus ir jų darbinius kompiuterius.
Kita vertus, akcentavo pranešėjas, būtina atkreipti ir į tai, kaip debesijos paslaugų tiekėjai dorojasi su kibernetinio saugumo iššūkiais. „Tiriant skandalingąjį „Citybee“ atvejį, kurio metu nutekėjo per 110 tūkst. klientų duomenys paaiškėjo, kad jie buvo paviešinti dėl būtent netinkamo debesijos paslaugų administravimo“, – teigė G. Strelec. Jis rekomendavo prieš pasirašant sutartį su tiekėju, pasidomėti, kokie atitikties reikalavimai keliami klientams, ar taikomas kelių veiksnių autentifikavimas ((MFA), geolokacijos ribojimai, ar naudojamas duomenų šifravimas, kaip kliento duomenys atskirti nuo kitų klientų duomenų, taip pat ar klientams suteikiama teisė atlikti skenavimus, įsibrovimo į sistemą testus.
Renginio dalyviai taip pat atsakė į klausimą, ar turi numatę atskirą IT biudžeto eilutę kibernetinėms grėsmėms atremti. Tik penktadalis atsakė tokią biudžeto eilutę turintys.
Konferencijoje kalbėjęs Regioninio kibernetinio saugumo centro vadovas plk. Romualdas Petkevičius ragino viešojo sektoriaus organizacijas įgyvendinti teisės aktų reikalavimus ir akcentavo, kad į kibernetines grėsmės būtina žiūrėti daugiau negu rimtai. „Ukrainos pavyzdys rodo, kad geriau jau įkalti vinį į kietą diską, negu leisti, kad duomenys atitektų priešo hakeriams“, – sakė kariškis.
Atitinka keliamus reikalavimus
Telecentro atstovas Arnas Zuikis pristatė Telecentro vykdomą valstybinių duomenų centrų plėtros projektą ir jo poveikį visai Lietuvos valstybės informacinių išteklių ekosistemai.
Lietuvoje įsteigtiems bei šiuo metu statomiems valstybiniams duomenų centrams yra keliami aukščiausi technologiniai, organizaciniai ir saugumo reikalavimai, teigė pranešėjas. Saugumo požiūriu ypač svarbu, kad Telecentro valdomi valstybės duomenų centrai yra prijungti daugiau kaip viena tiesiogine jungtimi su saugiuoju valstybiniu duomenų perdavimo tinklu, kas užtikrina institucijoms bei įstaigoms saugią prieigą prie valdomų duomenų ir informacinių išteklių nesinaudojant išoriniais elektroninių ryšių tinklais, kurie ekstremalių situacijų metų būtų sutrikdyti.
Papildomai Telecentras yra įdiegęs ir sertifikavęs vidines sistemas bei procesus (ISO 270001 “Informacijos saugos valdymo sistemos”), o statomi VDC bus sertifikuojami pagal aukščiausius tarptautinius standartus, atitinkančius Tier III reikalavimus (jų projektai jau sertifikuoti pagal šiuos reikalavimus), kurie užtikrins ne mažesnį kaip 99,982% veikimo laiką per metus.
Energija iš saulės
Informacinių išteklių perkėlimas į dedikuotus valstybinius duomenų centrus ne tik leis padidinti duomenų bei informacinių išteklių valdytojų saugumą, bet ir sąlygos reikšmingus finansų bei energijos sutaupymus, teigė A. Zuikis.
Didžiausius IT kaštus generuoja sąnaudos elektros energijai, metinės valstybės išlaidos neefektyvaus IT ūkio išlaikymui vien dėl išaugusių elektros kainų gali siekti 100 mln. eurų ir daugiau. Valstybinio sektoriaus energetinis efektyvumas esamose institucijų serverinėse yra iki keliasdešimt kartų(!) žemesnis negu aukštam energiniam efektyvumui pritaikytuose duomenų centruose, sakė A. Zuikis. Yra paskaičiuota, kad 66 proc. energijos „suryja“ mažos serverinės, kurios suteikia tik 7 proc. nuo bendrų kompiuterijos resursų.
Kalbėdamas apie sąnaudas energijai, pranešėjas akcentavo, kad pradėjęs projektuoti valstybinius duomenų centrus Telecentras lygiagrečiai pradėjo įgyvendinti saulės elektrinių vystymo projektą. Šiuo metu statomo ir etapais pradedamo naudoti Telecentro saulės elektrinių parko pajėgumas sieks 19 000 MWh per metus. Nuosavose jėgainėse pagaminta energija bus naudojama valstybiniuose duomenų centruose, kas leis mažinti jų eksploatacijos kaštus bei paslaugų viešajam sektoriui kainas.
