Apskritas stalas
„Veido“ redakcija pakvietė padiskutuoti valstybės tarnautojus ir privataus sektoriaus atstovus, gerai išmanančius informacines technologijas. Tema – kibernetinis saugumas. Tomis dienomis programišiai lyg tyčia atakavo bent keliolika šalies institucijų.
Kibernetinių atakų patyrė Seimas, Žemės ūkio ministerija, Finansų ministerija, Krašto apsaugos ministerija, Vidaus reikalų ministerija, Kultūros ministerija, Sveikatos apsaugos ministerija. Vykdyti veiksmai prieš Valstybinę mokesčių inspekciją, Žemės ūkio informacijos ir kaimo verslo centrą, Vaikų išlaikymo fondą, Centrinę projektų valdymo agentūrą. Trukdžiai truko apie pusvalandį.
Anksčiau tą savaitę buvo užpultos Seimo, Prezidentūros, Užsienio reikalų ir Teisingumo ministerijų informacinės sistemos.
Dažniausiai tai būna vadinamosios DDoS atakos – vienu metu iš daugybės kompiuterių visame pasaulyje siunčiamos užklausos, taip siekiant „nulaužti“ sistemą. Kompiuterių savininkai ir vartotojai dažniausiai nežino, kad jų įrenginiai užkrėsti programomis, galinčiomis vykdyti tokius veiksmus. Pirminiais duomenimis, programišių išpuoliai prieš Lietuvos institucijas buvo vykdomi iš užsienio.
A.BRAZAUSKAS: Kokia mūsų kibernetinės erdvės būklė, kas šiuo metu mums gresia, kokie plyšiai egzistuoja?
V.BUČINSKAS: Šalies kibernetinio saugumo srityje dirbu daugiau kaip aštuonerius metus. Prasidėjo pirmosios atakos ir nesklandumai, bet buvo jaunatviškas nusiteikimas, kad sprendimus žinau, tereikia suvienyti pajėgas. Deja, greitų sprendimų nepavyko priimti, viskas vystėsi kita linkme. Atsirado Kibernetinio saugumo įstatymas ir institucijos, su kuriomis yra apie ką kalbėti. Bet jokių gynybinių priemonių šalis neįsigijo iki šiol. Per tą laiką patys nusipirkome savo tinklui ir klientams reikalingų priemonių ir saugome juos. Yra visokių niuansų, susijusių su pagalba valstybei – biurokratijos, kurią įveikti sunku, net siūlant būtinus dalykus.
A.BRAZAUSKAS: Ar tikrai mūsų valstybė yra nesaugi ir neįsigijusi reikiamų priemonių? Būtų įdomu įvertinti šią situaciją.
R.ČERNIAUSKAS: Valstybė atkreipė dėmesį į pribrendusią problemą – yra priimtas Kibernetinio saugumo įstatymas, kuris nustato arba naujai sureguliuoja atsakomybę, daugiau teisių suteikta įvairioms institucijoms.
Visų pirma reikia užtikrinti saugumą valstybės institucijų vidiniuose tinkluose.
Kai kalbama apie įsigijimus, reikėtų suprasti, kaip Krašto apsaugos ministerija vertina kibernetinį saugumą. Visų pirma reikia užtikrinti saugumą valstybės institucijų vidiniuose tinkluose. Ir tai yra sritis, apie kurią galima daugmaž sakyti, kad iki šiol nebuvo institucijos, kuri jaustųsi už tai atsakinga.
Kokia situacija valstybėje? Aš jos nevadinčiau nei bloga, nei gera. Esmė ta, kad sprendimai priimti. Dirbsime. Kažką jau nuveikėme. Įrangos esame įsigiję, tik ji skirta ne turinio filtravimui ir ne interneto kontrolei.
K.ANDRIJAUSKAS: Dėl valstybės infrastruktūros iš tikrųjų padaryti labai rimti žingsniai. Yra priimtas nutarimas dėl jos konsolidavimo. Tai reiškia, kad visa infrastruktūra nebus labai koncentruota aiškiuose fiziniuose taškuose ir bus daug paprasčiau realizuoti visas atsparumo priemones.
A.BRAZAUSKAS: Pone Bučinskai, jūs aprėpę labai daug duomenų perdavimo. Ar galima sakyti, kad jūs esate ir taikinys?
V.BUČINSKAS: Labai geras klausimas. Ką kolegos pasakė – nėra dėl ko prieštarauti, tiesiog mes turime visai kitokį požiūrį. Penkerius metus kalbame apie šias atakas, kurios ir šiandien yra pagrindinė tema. Jau tada rodėme, kad yra paprastų „vaistų“, tačiau jų nenaudoja ir turime tai, ką turime.
Statistika žiauri ir kartais atrodo, kad nieko nėra saugaus ir net nebeaišku, ko tikėtis toliau.
Mūsų požiūris toks: galima išspręsti, kas yra skaudžiausia, tai, kas gali didžiąją dalį šalies ūkio išvesti iš rikiuotės, kas gali sutrikdyti centralizuotai laikomas svetaines. Geriausia apsauga, kada prieiga yra išskirstyta. Kuo daugiau visko, tuo sunkiau atakuoti. Kita taisyklė – būti ten, kur yra didžiausi srautai. Didelius srautus sunkiausia atakuoti ir sutrikdyti. Galima išspręsti tą atakų ir sutrikdymo klausimą ir eiti prie kitų problemų. Jų yra aibė: prisijungimas, teisių valdymas, virusai, pažeidžiamumai, spragos. Išvardyti net neįmanoma. Ir kasdien kas nors pasikeičia.
Per dvejus metus iki dabar buvo pažeista beveik viskas. Jei mes tikėjome, kad kas nors gyvenime yra labai patikima, tai pasirodo, kad yra pažeidžiama jau ne vienerius metus ir leidžia perimti kontrolę. Statistika žiauri ir kartais atrodo, kad nieko nėra saugaus ir net nebeaišku, ko tikėtis toliau.
A.BRAZAUSKAS: Tačiau jūsų „Teo“ bendrovė jaučiasi saugi?
V.BUČINSKAS: Taip, mes įsigijome saugos priemonių, kad apsaugotume savo klientus. Man sunku suvokti, kai kalbama – pirmiausia apsaugosime valstybinį sektorių, kad, sakykime, veiktų jo svetainės. Bet kad jų negalės pasiekti nė vienas šalies pilietis, tai nelabai svarbu.
Lietuvoje tų „zombių“ galbūt nėra tiek daug, kiek kitose šalyse, bet jų yra.
D.PARŠONIS: Negaliu kalbėti apie valstybines struktūras ir jų technologijas, bet mintis yra labai teisinga – pradėti nuo žmonių, nes didelei daliai atakų naudojami patys žmonės ir jų kompiuteriai. Lietuvoje tų „zombių“ galbūt nėra tiek daug, kiek kitose šalyse, bet jų yra. Taip pat ir „užkastų“ kompiuterių, kurie be vartotojų žinios naudojami tose atakose, ir ne vien tik ten tai galima daryti.
Būtų naudingas ir pats duomenų surinkimas: kiek Lietuvoje yra pažeistų maršrutizatorių, iš kokių galimų kompiuterių driekiasi atakos vektoriai. Išrauti juos lauk, padaryti svetainę, kurioje galėtum bent pasitikrinti, ar tavo kompiuteris yra rizikos zonoje. Paprasčiausiai padaryti masinę akciją, kaip kažkada buvo lipdukas „Aš balsavau už Europos Sąjungą“. Vartotojas turėtų kažkokį ženkliuką, rodantį, kad jo kompiuteris švarus. Tada mes žinosime, kad šalies viduje yra tokia padėtis, ir galėsime geriau organizuoti saugos priemones iš išorės, nes tada žinosime, kad jei puola, tai veikiausiai tai daro iš išorės.
V.BUČINSKAS: Tai yra iš esmės padaryta kartu su RRT. Iki šiol tai yra svarbi tema. Sugalvojome keturias privalomas priemones, kurias įdiegus šią problemą išsprendžiame. Tą ir padarėme. Dabar tų užgrobtų kompiuterių yra, bet jų mažiau. Jei jie pradėtų atakuoti ar kažkokius kitus dalykus blogus daryti, mes juos pamatytume ir galėtume išjungti. Yra RRT svetainė, kurioje kiekvienas gali pasitikrinti, ar jo kompiuteris nėra užkrėstas, ar nedalyvauja nusikalstamoje veikloje. Daugumą kanalų, per kuriuos kišamas brukalas, vyksta užgrobimai ir kitkas, irgi uždraudėme. Toliau tęsiame šią veiklą kiek leidžia galimybės. Turėtume daugiau galimybių ginti, jei valstybė priimtų poįstatyminį aktą, pavyzdžiui, reikalaujantį blokuoti grėsmių šaltinius. Kitu atveju eitume prieš savo klientus.
G.MEŠKAUSKAS: Kalbame apie du dalykus. Viena yra užgrobti kompiuteriai – „zombiai“. Kita – kai įranga, esanti pas klientą, turi spragų. Tai nėra užgrobimas, bet tos spragos gali būti išnaudojamos. Yra daugiau gynybos variantų, kurių galima būtų imtis, bet, deja, internetas neturi standarto. Nėra jokio „popieriaus“, kurį galėtume traktuoti kaip dokumentą, nusakantį, kad tik taip jis turi veikti.
Ženkliukas piliečiui, kad jo kompiuteris saugus ir tvarkingas, – gana optimistinis požiūris.
Higieną darome ir darysime, atsižvelgdami į tai, kas keisis interneto blogybių pasaulyje. Atitinkamai žiūrėsime, kiek iš tikrųjų galima padaryti. Negalima priversti klientų susitvarkyti tų spragų, atsinaujinti programinės įrangos, užsidaryti serverio nuo išorės ir t.t. Todėl darome taip, kad tų spragų „blogiečiai“ negalėtų išnaudoti atakoms.
R.ČERNIAUSKAS: Ženkliukas piliečiui, kad jo kompiuteris saugus ir tvarkingas, – gana optimistinis požiūris. Tačiau jei jis piliečiui nebuvo suteiktas, tai rodo, kad kompiuteryje gali būti dalykų, apie kuriuos mes nežinome arba sužinosime vėliau.
O „Teo“ pagirsiu, nes jie, filtruodami adresus, Nacionalinio kibernetinio saugumo centro požiūriu, yra pasirengę valdyti netikėtai aptiktas saugumo spragas ir kilusią riziką. Uždarydami savo tinklą ir paslėpdami tam tikrus dalykus nuo užsienio, jie padirbėjo, kad tos spragos nebūtų išnaudojamos prieš mus.
A.BRAZAUSKAS: Kas Lietuvoje turėtų būti išjungta, kad mes netektume ryšio šalies viduje? Ar galima iš išorės atjungti bankinį sektorių? Kokie atakos tinklai galėtų būti?
V.BUČINSKAS: Daug metų diskutuojame, kaip padaryti taip, kad Lietuvą būtų galima uždaryti. Kad didžiausios krizės atveju tinklas veiktų tik šalies viduje, bet per tą laiką, kol diskutuojame, daugelis Lietuvoje veikiančių stambių įmonių išsikėlė ir toliau kelia savo IT ūkius į užsienį. Taigi, išjungus tarptautinį internetą būtų tiek bėdos, kad mažai nepasirodytų.
Nereikėtų pamiršti, kad kai kada puolama nebūtinai tai, kas svarbiausia, o tai, ką galima užpulti lengviausiai.
G.MEŠKAUSKAS: Kuo didesnė kompanija, tuo daugiau investuojama į saugumą, kuo mažesnė – tuo labiau mėgstama klausti: o kam mes įdomūs? Kas čia mus puls, nieko neturime ir t.t. Bet tų mažųjų suma krizės atveju sudarytų kur kas didesnį tinklo plotą, nei imant tik didžiąsias. Mintis tokia: kam atjunginėti, tarkime, „Vilniaus vandenis“ – atjunkime geriau pusę Lietuvos, ir bus kur kas efektingesnė krizė, nes „Vilniaus vandenys“ greičiausiai turi daugiau saugos įrangos.
A.BRAZAUSKAS: Kokios privačios įmonės galėtų būti išjungtos diversijos būdu?
G.MEŠKAUSKAS: Nematau tikslo vardyti šių įmonių, nes „blogiečiai“ ne visada žino, ką būtent jie atakuoja. Įprastai mėgstama atakuoti per senąją spragą (jau žinant, kaip ji pažeidžiama). Laimėti galime nukreipę jėgas ten, kur sauga būtina, tačiau nereikėtų pamiršti, kad kai kada puolama nebūtinai tai, kas svarbiausia, o tai, ką galima užpulti lengviausiai.
A.BRAZAUSKAS: Pone Martišiau, kaip reikia organizuoti visuomenės švietimą, kad galėtume atsispirti priešui? Pavyzdžiui, Krašto apsaugos ministerija karo atvejui išleido brošiūrą su paveiksliukais. Manęs keletas žmonių prašė šios knygutės vien dėl piešinių. Aš abejoju, ar tai tinkamas būdas rengti visuomenę krizei ar kariniams veiksmas. Kokie mūsų žingsniai prasidėjus krizei būtų efektyvūs?
M.MARTIŠIUS: Švietimas svarbus. Jei visuomenė kažko nežino, tai yra blogai, geriau turėti ją savo pusėje. Tačiau vien to neužtenka. Aš irgi galiu pasakyti – švieskime visuomenę, kad ji sveikai gyventų, tada nereikės ligoninių, uždarysime visas. Deja, taip niekada nebus. Jei prasidės karas, bus įvesta nepaprastoji karinė padėtis, apribota žodžio laisvė, filtruojama informacija iš užsienio, kad nebūtų propagandos.
Ką daryti su lietuvišku tinklalapiu, kuris spausdina valstybei priešišką informaciją?
Pavyzdžiui, Tauragėje, Pagėgiuose važiuoja tikri tankai su tikrais kariais. Tada susirenka Valstybės gynimo taryba. Nežinau, koks būtų priimtas formalus nutarimas. Greičiausiai būtų pasakyta, kad oficialiai viešai kalbėti galės tik viena institucija ir tik ji turės tą kanalą. Internetas, taip pat ir feisbukas bei kiti informacijos kanalai būtų išjungti ir Lietuva taptų intranetu – vadinkime taip nuo pasaulio atjungtą internetą, nors intranetas turi ir kitų reikšmių. Tačiau šie veiksmai, kaip tai numatyta įstatymais, bus tik ginkluoto konflikto atveju.
Kur kas sunkiau nuspręsti, kaip filtruoti informaciją, kai yra tik propagandinis, bet ne karinis puolimas. Pavyzdžiui, ką daryti su lietuvišku tinklalapiu, kuris spausdina valstybei priešišką informaciją?
V.BUČINSKAS: Jei yra teisinis pagrindas, labai paprasta jį išjungti.
M.MARTIŠIUS: Pagrindinė problema tokiu atveju ta, kad žiūrint iš valstybės saugumo pozicijų reikia išjungti, tačiau pagal galiojančią teisę pirma reikia įrodyti, jog ši svetainė pažeidžia Lietuvos Respublikos įstatymus ir jos veiklą galima teisėtai nutraukti. Atsiranda problema, nes greitai to padaryti galimybių nėra.
R.ČERNIAUSKAS: Lietuvą atkirsti nuo pasaulinio interneto ne taip paprasta. Per mūsų teritoriją eina daugiau kaip dešimt ryšio linijų – kabelių, kurie įvairiomis kryptimis kerta mūsų sieną. Kai kurie kabeliai yra tranzitiniai. Mūsų priešas, jei norės mus palikti be prieigos prie pasaulinio interneto ryšio, gali tą ryšį netyčia nutraukti ir sau, nors to visai nepageidautų.
Nepamirškime, kad pasaulis globalus, ir sunaikinus vieną strateginį objektą tai gali skaudžiai atsiliepti visai netikėtoje vietoje.
Mūsų energetikai ne vakar gimę ir puikiai supranta, ką reiškia, jei bus perimtas tinklo valdymas. Manau, kad net jei dings internetas, elektros tiekimas bus. Be to, nepamirškime, kad mūsų elektros tinklai nuo sovietmečio sujungti su Rusija. Mes vis dar esame integruoti, ir išjungus lietuvišką tinklą skaudžios pasekmės būtų ir pačiai Rusijai bei Karaliaučiaus sričiai, kuri gauna elektrą per Lietuvą. Mes esame vienintelis kelias, nebent jie turi kokį kabelį per jūrą pakloję. Nepamirškime, kad pasaulis globalus, ir sunaikinus vieną strateginį objektą tai gali skaudžiai atsiliepti visai netikėtoje vietoje.
R.ČERNIAUSKAS: Mes negalime rodyti visų savo pasiekimų, tačiau per atakas prieš valstybės institucijas parodėme, kad galime veikti žaibiškai. Per dvi valandas sukvietėme visus reikalingus specialistus.
V.BUČINSKAS: Mes savo klientų neskirstome į valstybinius ar privačius. Visiems taikome tas pačias sąlygas. Norėtume to paties ir iš valstybės, kad nebūtume traktuojami kaip privatūs, kurie žiūri tik į pelną. Turime žinių, pajėgumų ir noro padėti savo šaliai.
A.BRAZAUSKAS: Galbūt mes turėtume filtruoti interneto duomenų srautą? Kokį turinį mums patiems reikėtų skleisti?
M.MARTIŠIUS: Tą turinį, kuris yra kriminalinio pobūdžio, išimti galima paprastai, tačiau yra vadinamoji pilkoji zona. Ir čia daug galimybių apsisaugoti, sakant, kad negalime pažeisti žodžio laisvės, turime leisti kitokią nuomonę ir pan.
D.PARŠONIS: Daug metų tyrinėju elektroninę komunikaciją, pats esu daug laiko praleidęs šioje srityje, tinklaraščius rašęs ir dabar dažniausiai patarinėju strateginės komunikacijos internete srityje. Mano požiūris, sveika logika ir skaičiai sako, kad tikrai nepavyks įvesti policijos internete arba teks jį visiškai atskirti, tikrai nepavyks kiekvienam nurodyti, ką rašyti ir ko nerašyti, ir tikrai kažkas prasprūs. Jei 10 tūkst. žmonių Kinijoje užsiima cenzūravimu ir vis tiek kai ką pražiūri, tai aš nežinau, kiek Lietuvoje mes šiam garbingam darbui galime skirti. Nes reikia įvertinti, kiek yra jungčių ir duomenų internete. Jeigu tą gelmę bandytume įsivaizduoti, tai „Google“ paieška aprėpia nepilnus 10 proc. viso interneto, o tai yra didžiausia paieškos sistema.
Jei kalbame apie vadinamąjį kibernetinį karą, ten irgi savi pabūklai šaudo, vadinasi, reikia ir apie apsaugą galvoti.
R.ČERNIAUSKAS: Kontroliuoti turinį – labai slidus reikalas, tai pilkoji zona. Saugos požiūriu kaip ir reikėtų, bet kyla daug klausimų: o ką dar galima daryti, jei mes turime teisę filtruoti? Požiūrio klausimas. Kas nors iš atsakingų pareigūnų sakytų, kad esant tam tikroms situacijoms reikia, nes tai kartais virsta nacionalinio saugumo klausimu. Jei kalbame apie vadinamąjį kibernetinį karą, ten irgi savi pabūklai šaudo, vadinasi, reikia ir apie apsaugą galvoti.
K.ANDRIJAUSKAS: Aišku, kalbėti apie turinio filtravimą valstybiniame sektoriuje nereikėtų, nes iš esmės nėra tokio dalyko. Antra, svetainių atžvilgiu yra realizuotas projektas dėl žalingo poveikio, komitetas aktyviai dalyvavo. Apie 10 institucijų jau sukelta – visos institucijos sukeliamos į bendrą platformą ir centrinę struktūrą. Tai irgi sudaro galimybes didinti atsparumą mėginimams vienaip ar kitaip paveikti turinį ar darbingumą.
E.SERBENTA: Nesame turtinga šalis, todėl ginkime tai, kas mums svarbiausia. O grįžtant prie turinio akivaizdu, kad vien švietimas kibernetinio saugumo problemos neišspręs. Gyventojams būtinas supratimas apie saugumą. Valstybė daug laimėtų jungdamasi su privačiu sektoriumi. Techniniai interneto rodikliai Europoje itin geri: prieinamumas didelis, tačiau kol nesuvoksime, kokie pavojai jame slypi ir kaip turėtume elgtis su turiniu, saugūs nebūsime.