Nepaisant to, kad 2019–2021 m. užregistruota virš 11 tūkst. kibernetinių incidentų, daugiau nei trečdalis valstybinių organizacijų vis dar neatlieka kibernetinės saugos lygio vertinimo, daugiau nei trečdalis informacinių išteklių valdytojų vis dar nedalyvauja kibernetinio saugumo pratybose. Šios ir daugelis kitų sisteminių spragų konstatuojama spalį Valstybės kontrolės paskelbtoje valstybės informacinių išteklių kibernetinio saugumo užtikrinimo audito ataskaitoje. Svarbu, kad lygiagrečiai su Valstybės kontrolės rekomendacijomis dėl bendrųjų sistemos tobulinimo priemonių neatidėliotinai būtų pradėti diegti ir konkretūs sprendimai, didinantys IT sistemų ir duomenų saugumą, akcentuoja Telecentro kibernetinės saugos ekspertai.
Neseniai paskelbtoje Valstybės kontrolės ataskaitoje atskleidžiamas prieštaringas kibernetinį valstybės duomenų saugumą turinčios užtikrinti sistemos vaizdas:
- 2019–2021 m. buvo užregistruoti 11 659 kibernetiniai incidentai;
- net 35 proc. iš 212 apklaustų valstybės informacinių išteklių valdytojų ir tvarkytojų, ypatingos svarbos informacinės infrastruktūros valdytojų tris pastaruosius metus nė karto nedalyvavo nacionalinėse kibernetinio saugumo pratybose;
- pernai net 81 proc. (iš 403 valstybės informacinių išteklių) nepateikė informacinių technologijų saugos atitikties vertinimo ataskaitų;
Vykdant Valstybės kontrolės ataskaitoje išsakytas rekomendacijas ne mažiau svarbu, kad valstybės informacinių išteklių valdytojai, kurių Lietuvoje yra keli šimtai, taip pat imtųsi neatidėliotinų priemonių kibernetinei saugai sustiprinti, teigia nacionalinę debesijos platformą diegiančio Telecentro Veiklos vystymo departamento vadovas Arnas Zuikis.
Didesnio saugumo link
Stiprinant duomenų saugą ir IT sistemų atsparumą kibernetinėms atakoms pirmasis klausimas, į kurį turėtų atsakyti organizacija, ar duomenis toliau saugoti nuosavoje IT įrangoje, ar pasitelkti profesionalias debesijos ir duomenų centro paslaugas, ar naudoti tarpinį variantą. „Mūsų atliktos apklausos ir praktika rodo, kad tendencija pasitelkti profesionalias specializuotų duomenų centrų paslaugas stiprėja“, – sako A. Zuikis. – „Nors dar daugelis tevaldo duomenis nuosavoje infrastruktūroje, apskritai valstybės organizacijų IT ūkio valdyme po truputį įsigali hibridinis modelis.“
Kita vertus, Telecentro atstovas įsitikinęs, kad duomenų perkėlimas į valstybinių duomenų centrų (VDC) pagrindu sukurtas debesijos platformas iškart padidintų duomenų saugumą. Jau vien dėl to, kad duomenys būtų atskirti nuo organizacijos kompiuterinio tinklo ir tuo būdu sumažėtų galimybė įsiskverbti į tinklą per darbuotojus ir jų darbinius kompiuterius. Taip pat ir dėl to, kad čia kur kas labiau stengiamasi laikytis kibernetinės saugos taisyklių, taikomos atitinkamos duomenų saugos priemonės, tokios kaip duomenų šifravimas, daugiapakopis vartotojų identifikavimas, jų rolių ir lokacijų valdymas, įvairūs rizikų ir incidentų valdymo modeliai.
„Logai“ visur, kur įmanoma
Kibernetinės saugos ekspertas Grigorij Strelec taip pat ragina valstybines įstaigas drąsiau kopijuoti ir savo praktikoje taikyti debesijos paslaugose taikomus kibernetinio saugumo principus bei taisykles.
„Viena iš tokių bazinių taisyklių yra tokia: visur, kur įmanoma, įjunkite žurnalinius įrašus vadinamuosius „logus““, – teigia ekspertas. – „Žurnaliniai įrašai yra pamatas, ant kurio statoma kibernetinės saugos sistema, todėl jiems turėtų būti skiriamas ypatingas dėmesys.“ Vis tik problema slypi detalėse: svarbu ne tik tai, kokie žurnalinių įrašų duomenys yra kaupiami, bet ir tai, kaip jie saugomi, kas prie jų turi prieigą, kiek efektyvūs yra pasitelkti įrašų analizės ir filtravimo instrumentai.
„Žurnaliniai įrašai turėtų būti kaupiami atskirame depozitoriume su labai ribota prieiga. „Logų“ nustatymuose gali būti įjungtas tik skaitymo (read-only) režimas, tačiau kaip tą sukontroliuosi, jeigu visas IT skyrius turi prieigą prie šių bazinių duomenų?“, – retoriškai teiraujasi G. Strelec. –„Pridurčiau, kad kadangi „logų“ įrašų apimtys paprastai būna didžiulės, ypač didesnėse IT sistemose, ne mažiau svarbu įdiegti tinkamą automatizuotos analizės programinę įrangą, sukurti atitinkamas duomenų rūšiavimo ir analizės taisykles. Bet pasiklauskime, kiek valstybės įstaigų tokią specializuotą įrangą ir taisykles turi?“
Dėl šių ir kitų aplinkybių žurnalinių įrašų iškėlimas į „debesį“ leidžia iš esmės sumažinti personalo prieigą prie šių svarbių duomenų, taip pat jų ištrynimo ar koregavimo galimybes. Kartu vartotojai įgyja galimybę iškilus poreikiui efektyviai naudotis duomenų analizės ir statistikos instrumentais. Pavyzdžiui, Telecentro valstybiniame duomenų centre veikianti sisteminių įvykių analizės sistema „Dashboard“ leidžia pačiam vartotojui laiku pastebėti anomalijas jo IT infrastruktūroje ir imtis veiksmų prieš joms virstant incidentais.
Saugos principai – projektavimo stadijoje
Šalia žurnalinių įrašų kaupimo organizacijos taip pat turėtų atkreipti dėmesį į kitas kibernetinį saugumą didinančias priemones bei sprendimus. „Sumažinkite vartotojų kiekį su administratoriaus teisėmis ir apskritai, laikykitės „least privillege” principo, t.y. nedalinkite prieigos teisių vartotojams be būtino reikalo”, – rekomenduoja G. Strelec. – „Reguliariai keiskite visus slaptažodžius, reguliariai naudokite duomenų šifravimą, kontroliuokite, iš kurių pasaulio vietų jūsų sistemos ir duomenys gali būti pasiekiami. Jeigu keičiatės duomenimis tik su šalyje esančiais rezidentais, apribokite galimybę pasiekti jūsų tinklą ir duomenis iš užsienio.”
Saugiausios ir patikimiausiai veikia tos IT sistemos, į kurias esminiai kibernetinės saugos principai yra „įsiuvami” dar jų projektavimo ir diegimo stadijoje, todėl būtina nuolat investuoti į žinias, gilinti kompetenciją, nuolat atnaujinant turimą informaciją apie naujausius kibernetinės saugos sprendimus, teigia Telecentro ekspertai.