.jpg)
2024 metų spalį įsigaliojęs atnaujintas Kibernetinio saugumo įstatymas (KSĮ) pažymi naują etapą Lietuvos organizacijų atsakomybėje už skaitmeninį atsparumą. Į nacionalinę teisę perkėlus Europos Sąjungos Tinklų ir informacinių sistemų direktyvą (TIS 2), iš esmės išplėsta organizacijų pareiga pasirūpinti savo kibernetiniu saugumu – nuo žmonių ir procesų iki technologijų valdymo.
Nacionalinis kibernetinio saugumo centras jau pradėjo organizacijų įtraukimą į kibernetinio saugumo subjektų registrą ir jų informavimą. Nors oficialūs patikrinimai, ar naujai įtrauktos organizacijos laikosi KSĮ ir lydimųjų teisės aktų nuostatų, prasidės tik praėjus 12 mėnesių nuo registracijos, organizacijos kviečiamos nedelsti. Laiku pradėtas pasiruošimas padeda optimizuoti sąnaudas, išvengti skubos sprendimų ir pritraukti reikiamus specialistus.
„Atnaujintas Kibernetinio saugumo įstatymas skatina organizacijas į kibernetinį saugumą pažvelgti kompleksiškai: pasirūpinti kompetentingais specialistais, ugdyti vadovų ir darbuotojų sąmoningumą, nustatyti ir vadovautis aiškiais procesais ir atsakingai rinktis technologinius sprendimus. Tik sujungus visus šiuos elementus galima pasiekti tikrą atsparumą kibernetinėms grėsmėms ir užtikrinti tai, kas svarbu ne tik organizacijai, bet ir visai šaliai – apsaugoti mūsų skaitmeninį turtą ir apginti valstybės kibernetinę erdvę“, – sako krašto apsaugos viceministras Tomas Godliauskas.
Tačiau ką reiškia „kompleksiškas požiūris“ ir nuo ko pradėti? Krašto apsaugos ministerija išskiria tris esminius kibernetinio saugumo elementus: žmonės, procesai ir technologijos.
Žmonės – daugiau nei pareigybė
Įstatymas aiškiai apibrėžia, kad organizacijoje turi būti paskirtas kibernetinio saugumo vadovas. Tai ne formalus reikalavimas – šio specialisto atsakomybė apima saugumo būklės vertinimą, spragų identifikavimą, reikiamų priemonių parinkimą bei reagavimo koordinavimą ir organizavimą. Priklausomai nuo organizacijos dydžio ar veiklos pobūdžio, gali būti pasitelkiami ir papildomi saugumo specialistai: nuo saugos įgaliotinių iki kibernetinio saugumo auditorių ar rizikos valdytojų.
Net ir profesionaliausia komanda negalės užtikrinti apsaugos, jei kibernetinis saugumas bus suvokiamas tik kaip atskiro specialisto atsakomybė. Tvarus atsparumas gali būti pasiektas tik tuomet, kai saugumo klausimai tampa visos organizacijos kultūros dalimi – nuo vadovybės iki kiekvieno darbuotojo. Tai ypač svarbu žinant, kad viena dažniausių grėsmių priežasčių – žmogiškos klaidos: neatsargiai paspausta nuoroda ar silpnas slaptažodis. Todėl organizacijos kviečiamos investuoti į periodinius darbuotojų mokymus ir sąmoningumo ugdymą.
Procesai – aiškumas kasdienybėje
Kibernetinis saugumas nėra tik reagavimas į pavojų – tai nuosekliai veikianti sistema, paremta aiškiais veiksmais ir sprendimais. Įstatyme nurodytos pagrindinės procedūros turi būti ne tik užrašytos, bet ir taikomos praktikoje.
Organizacijos turi gebėti įvertinti tinklų ir informacinių sistemų rizikas bei jas valdyti, užtikrinti sklandų ir greitą incidentų valdymą, pasirūpinti tiekimo grandinės saugumu, o taip pat garantuoti, kad tinklų ir informacinių sistemų įsigijimas, plėtra ir priežiūra būtų saugi. Visa tai padeda ne tik efektyviai veikti kasdien, bet ir įrodyti atitiktį teisės aktams, kai to pareikalaus priežiūros institucija.
Po šių procedūrų įgyvendinimo turi sekti jų veiksmingumo vertinimas, mokymų organizavimas, žmogiškųjų išteklių saugumo užtikrinimas bei kitų papildomų reikalavimų vykdymas. Tai gali būti integruota į kitus organizacijos veiklos procesus, tačiau visais atvejais būtina aiški struktūra, kada ir kokius sprendimus turi priimti atsakingi darbuotojai.
Vėliau būtina užtikrinti ir priemonių veiksmingumo vertinimą, reguliarius mokymus, personalo saugumą. Nors šios procedūros gali būti integruotos į kitus organizacijos procesus, svarbiausia – aiški tvarka ir sprendimų priėmimo logika.
Racionalus technologijų pasirinkimas
Trečiasis elementas – technologijos. Jos išlieka kertiniu įrankiu, tačiau jų pasirinkimas turi būti pagrįstas realiais poreikiais. Ne visos saugumo priemonės yra brangios ar sudėtingos – dažnai jos jau būna integruotos į naudojamas sistemas, tik reikia jas tinkamai sukonfigūruoti.
Sėkminga technologinė apsauga prasideda nuo paprasto klausimo: ką labiausiai norime apsaugoti? Tik išsigryninus prioritetus galima tikslingai paskirstyti išteklius.
„Organizacijos pirmiausia turėtų atlikti vidaus įsivertinimą – ar turimos procedūros atitinka Kibernetinio saugumo reikalavimų aprašą, ar aiškiai paskirstytos atsakomybės, ar efektyviai išnaudojamos specialistų žinios. Šis žingsnis natūraliai atskleidžia trūkumus ir padeda formuoti tolesnį veiksmų planą“, – sako KAM Kibernetinio saugumo ir IT politikos grupės vadovė Inga Sūnelaitienė.
Kibernetinis saugumas nėra vien technologinis klausimas. Tai organizacijos atsakomybės, pasirengimo ir ilgalaikės kultūros rezultatas.
Daugiau informacijos apie kibernetinio saugumo įstatymą rasite čia: https://kam.lt/kibernetinio-saugumo-istatymas/
