Kibernetinio saugumo įstatymo įgyvendinimas – galimybė ir paskata sustiprinti savo organizacijos kibernetinį saugumą
Organizacijų atitiktis reikalavimams yra investicijų į kibernetinį saugumą variklis, tačiau nauda daug platesnė, nei vien formali atitiktis. Atitiktis teisinėms normoms stiprina ir kitus kibernetinio saugumo aspektus organizacijose, tokius kaip rizikos valdymas, efektyvesnis incidentų aptikimas ir reagavimas. Žvelgdamos į teisinį reguliavimą organizacijos turės daugiau dėmesio skirti įrankių atnaujinimui, veiklos atkūrimo procesų tobulinimui, vidinių saugumo įgūdžių ugdymui. Reguliavimu grindžiamos investicijos, ypač pagal TIS2 direktyvos ir susijusių kitų teisės aktų (pavyzdžiui, kaip Kibernetinio atsparumo aktas) reikalavimus, padeda padidinti organizacijų bazinius kibernetinio saugumo standartus.
Atnaujintas KSĮ ne tik sustiprino kibernetinio saugumo reikalavimus, bet ir praplėtė reguliuojamų sektorių skaičių. Be jau anksčiau privalomus reikalavimus vykdžiusių energetikos, finansų, transporto sektorių kaip valstybei svarbūs buvo identifikuotos nuotekų ir atliekų tvarkymo, pašto, mokslinių tyrimų, viešojo administravimo ir kitų sektorių organizacijos.
KSĮ ir jo poįstatyminiuose teisės aktuose nustatytų reikalavimų įgyvendinimui yra numatytas pereinamasis laikotarpis, kuris sudaro sąlygas organizacijoms tinkamai pasiruošti. Pavyzdžiui, registruoti subjektai privalo paskirti kibernetinio saugumo vadovą ir saugos įgaliotinį, užtikrinti veikiančio kibernetinio saugumo operacijų centro (SOC) funkcionavimą, nuolat kelti darbuotojų kibernetinio saugumo kompetencijas bei laiku teikti informaciją NKSC apie visus nustatytus kibernetinius incidentus.
Kuo reikšminga brandi kibernetinio saugumo kultūra
Sigita Laurinčiukaitė, Krašto apsaugos ministerijos (KAM) Kibernetinio saugumo ir informacinių technologijų politikos grupės patarėja, atkreipia dėmesį, kad nors teisės aktai tiesiogiai neįpareigoja organizacijos kurti kibernetinio saugumo kultūrą, bet ji yra vienas iš svarbiausių veiksnių, didinančių organizacijos kibernetinio saugumo brandą. Organizacija gali įgyvendinti teisės aktuose nustatytus reikalavimus ir neturėdama brandžios kibernetinio saugumo kultūros, bet tai pareikalaus didesnės darbuotojų veiksmų kontrolės, nuolatinės stebėsenos ir rizikų vertinimo, elgesio korekcijų ir panašiai. Pasak jos, turimos technologijos nekompensuos valdymo ar kultūros stokos, nes tinkamos organizacinės priemonės ir brandi kibernetinio saugumo kultūra pašalina daugelį kibernetinio saugumo grėsmių.
„Organizacijos kultūra atsispindi organizacijos darbuotojų požiūryje, elgesyje, veikimo būduose, kurie daro įtaką tam, kaip bus atliktas darbas. Būtent darbuotojai organizacijoje kuria vertę, nuo jų kasdienės veiklos priklauso organizacijos sėkmė ir gebėjimas išlikti, todėl brandi kibernetinio saugumo kultūra, kurią nėra lengva sukurti, yra pagrindas, kuris visas organizacijos tvarkas „popieriuje“ paverčia realiai veikiančiais kasdieniais veiksmais“, – tvirtina S. Laurinčiukaitė.
„Brandi kibernetinio saugumo kultūra remiasi darbuotojais, kurie, atlikdami jiems pavestas funkcijas suvokia, kad tai, ką jie daro, užtikrina organizacijos kibernetinį saugumą, kokios yra kibernetinio saugumo grėsmės, kaip į jas reaguoti. Pozityvūs kibernetinio saugumo kultūros indikatoriai yra už kibernetinį saugumą atsakingų žmonių įtraukimas į veiklas reikiamu metu, darbuotojų žinojimas, kaip atpažinti incidentą ir kam pranešti apie jį, kibernetinio saugumo įtraukimas į kasdienes veiklas“, – prideda KAM ekspertė.
Anot jos, organizacijos kultūros kūrimas ar keitimas yra ilgalaikis procesas, kuris turi prasidėti nuo vadovo, komunikacijos plano, dėmesio skyrimo kiekvienam organizacijos darbuotojui. Kiek darbuotojai suvoks kibernetinio saugumo vertę, tiek saugi ir atspari bus organizacija.
Kibernetinis saugumas – ne vienkartinis procesas
S. Laurinčiukaitė atkreipia dėmesį, kad kibernetinio saugumo sustiprinimas organizacijoje nėra vienkartinis procesas, jei organizacija nori ne tik išlikti konkurencingoje aplinkoje, bet ir būti atspari bei siekti nusistatytų tikslų. Svarbų vaidmenį šioje situacijoje vaidina kibernetinio saugumo vadovas.
„Nors kibernetinį saugumą organizacijoje kuria visi darbuotojai, kibernetinio saugumo vadovas padeda išlaikyti dėmesį ties kibernetiniu saugumu, įsitraukia kritiniais momentais, kai svarbu įvertinti organizacijos saugumui kylančias rizikas, ir gali geriausiai parinkti kibernetinio saugumo kryptį, kuri atitiktų bendrą organizacijos veiklos kryptį, – pastebi KAM kibernetinio saugumo ekspertė. – Bet kuriuo atveju, kibernetinis saugumas organizacijoje turi prasidėti nuo išankstinio pasirengimo, kurio metu suplanuojama, kaip jis bus įgyvendinamas.“
Ji akcentuoja, kad organizacijos kibernetinio saugumo būklė turi būti nuolat stebima, kaip stebima ir aplinka, kurioje ji veikia. Visos rizikos turi būti vertinamos, atitinkamai koreguojant ar parenkant tinkamas jų valdymo priemones. Jei organizacija tinkamai prioretizuoja savo veiklą, iš anksto pasirengia, kaip užtikrins jos atsparumą, ją testuoja periodiškai, skiria pakankamus finansinius išteklius, šios investicijos užtikrina, kad organizacija atsiduria geroje startinėje pozicijoje, sukuria pagrindą kibernetiniam saugumui, kurio palaikymas ir tobulinimas reikalaus mažiau resursų.
Didžiausi iššūkiai
Audrius Jankus, NKSC Kibernetinio atsparumo vystymo departamento direktorius, pasakoja, kad bendraudami su kibernetinio saugumo subjektais (KSS) dažnai išgirsta, jog pagrindinės problemos siekiant įgyvendinti KSĮ yra finansinių ir žmogiškųjų išteklių bei kompetencijos trūkumas.
Daug organizacijų neturi pakankamai žinių apie kibernetinį saugumą ir jo reikalavimų taikymą. Šios problemos ypač pastebimos mažesnėse organizacijose, kurioms dažnai patraukliausias sprendimas atrodo įsigyti kibernetinio saugumo užtikrinimo paslaugas. Tačiau ne paslaptis, kad kibernetinis saugumas kainuoja. Brangios kibernetinio saugumo vadovo paslaugos, didelės išlaidos ir paslaugų kainos gali riboti galimybes pasitelkti reikiamos kompetencijos specialistus ir laiku užtikrinti atitiktį naujiems reikalavimams. Šiame kontekste dažnai kalbama apie poreikį vadovybei suprasti kibernetinio saugumo svarbą, kuris pirmiausia prasideda nuo organizacijos vadovo.
„Šiandien susiduriama su keliais didžiausiais iššūkiais: tiekimo grandinės saugumo užtikrinimas ir KSS brandos kėlimas. Turime nepamiršti esminio aspekto – kibernetinio saugumo atsakomybės neįmanoma „perduoti“ tiekėjams. TIS2 direktyva, kuri buvo perkelta į KSĮ, aiškiai parodo, kad tiekimo grandinė yra viena silpniausių, bet kartu – svarbiausių mūsų saugumo ekosistemos dalių. Tačiau už bendrą saugumą pirmiausia atsakingas pats kibernetinio saugumo vadovas. Kalbant apie kibernetinio saugumo brandą pastebiu, kad dauguma galvoja apie technologijas – sistemas, įrankius, procesus. Bet vis dažniau matome, kad didžiausi iššūkiai slypi ne technologijose, o žmonėse. Todėl mokymai tampa kertiniu brandos akmeniu. Brandžią organizaciją apibrėžia ne įranga, o darbuotojai, kurie supranta savo vaidmenį saugumo grandinėje“, – akcentuoja NKSC Kibernetinio atsparumo vystymo departamento direktorius.
Pasak A. Jankaus, svarbu pasiekti tokį brandos lygį, kad kibernetinis saugumas nebūtų laikomas IT klausimu, o taptų organizacijos kultūros dalimi. NKSC ir KAM kalbinti pašnekovai vieningai sutaria, kad kibernetinės brandos didinimas nėra vienkartinis projektas – tai tęstinis procesas.
„Tad mokymai yra geriausia investicija į „minkštąją galią“ – žmones, jų sąmoningumą ir gebėjimą atpažinti grėsmes. Nes jokios technologijos neapsaugos, jei žmogus nežinos, kaip jomis naudotis“, – pastebi NKSC Kibernetinio atsparumo vystymo departamento direktorius.
NKSC patarimai kibernetinio saugumo subjektams
A. Jankus įmonėms ir organizacijoms, įtrauktoms į KSS registrą, pirmiausia primena, kad KSS turi užsiregistruoti kibernetinio saugumo informacinėje sistemoje (KSIS). Pasak jo, tapimas esminiu ar svarbiu subjektu ir įtraukimas į registrą yra ir privilegija, kuri suteikia visas galimybes naudotis NKSC teikiamais įrankiais ir naudomis, skirtomis tik KSS. Įtrauktas į registrą kibernetinio saugumo subjektas turi per vienerius metus įgyvendinti organizacinius reikalavimus, pvz., paskirti atsakingus asmenis, identifikuoti valdomus ir tvarkomus tinklus bei informacines sistemas, atlikti rizikos vertinimą, parengti ir patvirtinti kibernetinio saugumo politikas ir tvarkas, pasirengti tiekimo grandinės saugumo valdymo tvarką. Antras etapas – per dvejus metus nuo įtraukimo į registrą įgyvendinti kibernetinio saugumo techninius reikalavimus. Ir paskutinis etapas – atlikti nepriklausomą auditą, kuris privalomas kas trejus metus.
„NKSC kibernetinio saugumo subjektams teikia įvairią pagalbą. NKSC siūlo nemokamus kursus patogioje ir interaktyvioje mokymosi platformoje https://mokymai.nksc.lt/ kibernetinio ir informacijos saugumo vadovams, kibernetinės higienos mokymus darbuotojams, saugumo operacijų centro (SOC) analitikams. Taip pat NKSC periodiškai rengia rekomendacijas, kurios gelbsti įgyvendinant kibernetinio saugumo reikalavimus. Reikėtų paminėti ir įvairias metodikas, kurios labai naudingos siekiant tinkamai įgyvendinti kibernetinio saugumo reikalavimus. Stengiamės padėti ir incidentų valdyme. NKSC periodiškai rengia įvairias kibernetinio saugumo pratybas, skirtas ugdyti darbuotojų budrumą ir tobulinti reagavimo į kibernetinius incidentus gebėjimus. Vienas iš pagrindinių renginių yra pratybos „Kibernetinis skydas PhishEx“, kurios skirtos ugdyti darbuotojų atsparumą suklastotoms elektroninio pašto žinutėms (phishing). Taip pat kviečiu subjektus tapti kibernetinio saugumo kompetencijos bendruomenės dalimi ir išsamiai susipažinti su siūlomomis naudomis“, – sako NKSC atstovas.
Kibernetinis saugumas – organizacijos kultūros dalis
„Vilniaus vandenys“ sistemingai stiprina kibernetinį saugumą, diegdami informacijos saugumo valdymo sistemą pagal ISO/IEC 27001 standartą ir aktyviai bendradarbiaudami su NKSC bei sektoriaus partneriais.
„Organizacijos vadovybė kibernetinį saugumą vertina kaip verslo tęstinumo investiciją, o darbuotojai – ne silpnoji grandis, bet pirmoji gynybos linija. Kibernetinis saugumas mūsų įmonėje nėra tik technologijų klausimas – tai dalis organizacijos kultūros. Į kibernetinį atsparumą žiūrime kaip į bendrą atsakomybę: nuo valdybos sprendimų iki kiekvieno darbuotojo kasdienio elgesio“, – teigia Julius Lisauskas, UAB „Vilniaus vandenys“ Veiklos atsparumo skyriaus kibernetinio saugumo vadovas.
VERSLO TRIBŪNA
Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos pavasarį sudarė naują Kibernetinio saugumo subjektų registrą. Registre esančių organizacijų skaičius išaugo beveik penkis kartus – jame daugiau kaip 1.400 organizacijų iš 11 ypatingos svarbos ir 7 itin svarbių sektorių. Pagal atnaujintą Kibernetinio saugumo įstatymą (KSĮ) šios organizacijos privalo užtikrinti ir laikytis aukštesnių kibernetinio saugumo standartų. Didesnė dalis naujai įtrauktų organizacijų priklauso privačiam sektoriui.
Kibernetinės atakos paliečia ne vien technologijas, jos taikosi į verslo procesus, tiekimo grandinę ir žmones, todėl tai nebėra tik IT skyriaus problema. Pasak tarptautinės įmonės, kuriančios saugumo ir privatumo produktus, „Surfshark“ rizikos valdymo vadovo P. Dauknio, griežtėjantys reguliavimai privers aukščiausius vadovus prisiimti atsakomybę už saugumo trūkumus, todėl ši sritis įmonėje turi būti valdoma taip pat nuosekliai, kaip finansai ar kokybės kontrolė.
Dirbtinis intelektas (DI) jau tapo kasdieniu mūsų pagalbininku. Viešojoje erdvėje dažniausiai minimos populiarios DI platformos, tačiau DI sąvoka apima kur kas daugiau technologijų. Šią sritį jau reglamentuoja Europos Sąjungos (ES) teisė, o Lietuvai tenka svarbus uždavinys – nacionaliniu lygmeniu įgyvendinti ES reikalavimus, taip pat užtikrinti, kad DI modeliais būtų naudojamasi etiškai ir saugiai.
2026 m. kovo 26–28 d. VDU Žemės ūkio akademijoje vyks jubiliejinė, 30-oji tarptautinė žemės ūkio paroda „Ką pasėsi...“, žyminti reikšmingą Lietuvos agroverslo istorijos etapą. Startavusi kaip gana nedidelė ekspozicija, per tris dešimtmečius įsitvirtino kaip didžiausia Baltijos šalių žemės ūkio inovacijų ir aktualijų platforma, neužleidžianti savo pozicijų ir šiandien. Kasmet parodoje susitinka svarbiausi agrosektoriaus žaidėjai, o pasirengimas renginiui jau dabar vyksta labai intensyviai, vietų parodos ekspozicijose sparčiai mažėja.
Kibernetinio saugumo stiprinimą „Vilniaus vandenys“ vykdo sistemiškai ir nuosekliai. 2024 m. patvirtino vidinį projektą su aiškiai numatytais veiksmais, atsakomybėmis ir terminais. Šiuo metu diegia Informacijos saugumo valdymo sistemą (ISVS) pagal ISO/IEC 27001 standarto reikalavimus ir metų pabaigoje sieks tarptautiniu mastu pripažįstamo sertifikavimo. Įgyvendindami ISVS ir KSĮ reikalavimus atnaujino vidaus dokumentus, atliko rizikos bei atitikties vertinimus, daug dėmesio skyrė techniniams sprendimams. Viena iš prioritetinių krypčių – tiekimo grandinės saugumas.
„Atliekame tiekėjų rizikos vertinimus, sudarome kritinių tiekėjų sąrašus, vykdome personalo bei rangovų patikimumo ir sankcijų patikras. Aktyviai bendradarbiaujame su NKSC ir asociacija „Vandens jėga“, prisidedame prie sektorinio Saugumo operacijų centro (SOC) kūrimo. Kartu su Vilniaus miesto savivaldybe ir jos pavaldžiomis įmonėmis dalijamės patirtimi, siekdami stiprinti miesto kibernetinį atsparumą, daug laiko ir pastangų skiriame žinių dalijimuisi – dalyvaujame konferencijose, pristatome gerąsias praktikas ir skatiname sektoriaus brandą“, – pasakoja „Vilniaus vandenų“ kibernetinio saugumo vadovas.
Tai investicija į verslo tęstinumą, patikimumą ir reputaciją
Pasak J. Lisausko, šiandien ir vadovų komanda, ir valdyba kibernetinį saugumą mato kaip investiciją į verslo tęstinumą, patikimumą ir reputaciją.
„Iki tokio požiūrio atėjome palaipsniui – per abipusį pasitikėjimą, atvirą dialogą ir nuoseklų vadovybės įsitraukimą. Kai Audito, rizikų ir tvarumo komiteto darbotvarkėje atsirado kibernetinio saugumo klausimai, tai tapo ženklu, kad tema įgavo strateginį svorį, – pasakoja J. Lisauskas. – Vadovus aktyviai įtraukiame į procesus – jie dalyvauja mokymuose, testavimuose, gauna informaciją apie rizikas ir jų mažinimo priemones. Tik įsigaliojus atnaujintam KSĮ surengėme specialų renginį su KAM ir NKSC atstovais, kurie pristatė naujus reikalavimus ir TIS2 direktyvos nuostatas.“
Jo teigimu, tokiu būdu pavyko pasiekti, kad kibernetinis saugumas tapo ne atskiru IT klausimu, o organizacijos kultūros dalimi. Vadovybė šiuo klausimu yra sąjungininkas – dalyvauja diskusijose, analizuoja testų rezultatus ir prisideda prie sprendimų.
„Todėl ir mūsų darbuotojai šiuo klausimu – ne silpnoji grandis, o pirmoji gynybos linija. Visiškai sutinku su NKSC direktoriaus Antano Aleknavičiaus pristatyta taip vadinama 360 laipsnių kibernetinio saugumo koncepcija, grindžiama pasitikėjimu ir žmonių įtrauktimi, – tvirtina „Vilniaus vandenų“ kibernetinio saugumo vadovas. – Lengviausia būtų pasikliauti tik technologijomis, bet realybėje žmonės atlieka lemiamą vaidmenį. Todėl daug dirbame su kolegomis: rengiame mokymus, testavimus, praktinius užsiėmimus, kurie stiprina atsparumą realioms kibernetinėms grėsmėms. Skatiname naudotis NKSC e. mokymų platforma, o testavimų rezultatus pristatome visiems – nuo vadovų iki specialistų. Norime, kad kibernetinis saugumas būtų suvokiamas ne kaip papildoma pareiga, o kaip natūrali kasdienės darbo kultūros dalis – ir biure, ir už jo ribų.“
