Kokie kibernetinio saugumo iššūkiai šalies laukia, Lietuvai rengiantis pirmininkauti ES Tarybai? Pranešimo autorius – Gintaras Čiurlionis. Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktorius (Lietuva). Pranešimas skaitytas konferencijoje – INFORMACINIŲ SISTEMŲ SAUGUMAS, vykusioje 2013 m. balandžio 11d., skirtoje valstybės institucijų ir valstybinės reikšmės organizacijoms.

1. Kibernetinės erdvės iššūkiai Lietuvoje –
teisiniai, instituciniai, administraciniai
aspektai ir jų perspektyvos.
Tarptautinis bendradarbiavimas
kibernetinio saugumo klausimais.
Gintaras Čiurlionis
Informatikos ir ryšių departamentas
prie Lietuvos Respublikos vidaus reikalų ministerijos
gintaras.ciurlionis@vrm.lt
 Vilnius
 2013 04 11
1

2. Informatikos ir ryšių departamentas
 Informacijos elektroninėje erdvėje sauga
 Informacinių išteklių valdymo įstatymas (valstybės informacinių
išteklių sauga)
 Nacionalinė SPT
 IT ir ryšių sistemų kūrimas ir priežiūra
 IS (informacinės sistemos, duomenų bazės, programos)
 Ryšiai (tinklai)
2

3. Įvadas
Kibernetinės erdvės iššūkiai Lietuvoje:
 Kibernetinio saugumo teisinio reguliavimo raida ir būsena
 Institucijos, veikiančios kibernetinio saugumo stiprinimo srityje, jų
bendradarbiavimas, kompetencijos
 Kibernetinės saugos koordinavimo teisinė sistema ir praktiniai
aspektai
 Tarptautinis atstovavimas kibernetinio saugumo klausimais
 Lietuvos pirmininkavimas Europos Tarybai –
kibernetinio saugumo iššūkiai
3

4. e-iššūkiai, e-grėsmės
 e-paštas
 e-verslas (e-bankas, e-pinigai,...)
 e- vartotojas (e-tapatybė, e-parašas, e-biometrija, e-sveikata, …)
 e-vyriausybė (e-paslaugos, e-rinkimai, e-mokesčiai, …)
 e-nusikaltimai (e-policija, e-byla, e-kalinys, ...)
 e-atakos (e-ginklai, e-karai, …)
Kibernetinės atakos – kaip paslaugos!
Malware as a Service
4

5. Kibernetinės erdvės iššūkiai Lietuvoje
Nuo “IT problemų” iki iššūkių nacionaliniam
saugumui:
 Kibernetinis nusikalstamumas
 “Cyber Crime”
 Kibernetinė gynyba
 “Cyber Defence”
 Kritinės infrastruktūros atakos
 hakerių ar kriminalinių grupių veikla
 vis dažniau centralizuotai valdoma
 valstybinių agentūrų veikla
5

6. Kibernetinės atakos Lietuvoje
DDoS (Distributed Denial of Service) atakos prieš Lietuvos Banko
IT infrastruktūrą
2012 m. sausio 27 – vasario 02 dienomis
6

7. Kibernetiniai ginklai?
Energetikoje
R&D
?
… jie yra pigesni ir lengviau panaudojami, negu fizinės atakos 7

8. Kibernetinio saugumo teisinio
reguliavimo raida ir būsena Lietuvoje
 1997: Bendrieji elektroninės informacijos saugos valsybės institucijų ir
įstaigų informacinėse sistemose reikalavimai
Esminiai reikalavimai informacinės sistemos valdytojui
 2000: Valstybės informacinės infrastruktūros situacijos įvertinimas
Informacijos saugos suvokimo lygis, šios srities politika, vyriausybinių įstaigų apsaugos
laipsnis
 2001: Informacijos technologijų saugos valstybinė strategija
Pirmą kartą nurodyta valstybinio sektoriaus informacijos technologijų saugos svarba
 2006: Elektroninės informacijos saugos valstybės institucijų
informacinėse sistemose strategija (iki 2008 metų)
 nustatyti pagrindiniai elektroninės informacijos saugos užtikrinimo principai, tikslai,
uždaviniai, jų įgyvendinimas
 nuo 2008 metų nėra galiojančios elektroninės informacijos saugos valstybės
informacinėse sistemose strategijos
 2011: Nacionalinė elektroninės informacijos saugos (kibernetinio
saugumo) plėtros 2011–2019 programa
8
 2011: Valstybės informacinių išteklių valdymo įstatymas

9. 2011 iniciatyvos
Kibernetinės
grėsmės
Konfidencialumas
Kibernetinė
sauga
Vientisumas Prieinamumas
9

10. Elektroninės informacijos saugos
(kibernetinio saugumo) plėtros 2011-
2019 metais programa *
Programos strateginis tikslas – plėtoti elektroninės
informacijos saugą Lietuvoje, užtikrinti kibernetinį saugumą ir
pasiekti, kad būtų užtikrintas:
 valstybės informacinių išteklių saugumas
 ypatingos svarbos informacinės infrastruktūros efektyvus funkcionavimas
 Lietuvos gyventojų ir asmenų, esančių Lietuvoje, saugumas kibernetinėje
erdvėje
Valstybė Gyventojai
Kritinė
infrsatruktūra
*) Patvirtinta LRV 2011 m. birželio 29 d. nutarimu Nr. 796
10

11. Programos struktūra
3 Tikslai
10 Priemonių
59 Vertinimo kriterijai
Už kriterijų įgyvendinimą
atsakingos institucijos
Įgyvendinimo sistema
Programa nėra priemonių planas !
11

12. Atsakingos institucijos
 Atsako už:
 programos tikslų ir uždavinių įgyvendinimą
 vertinimo kriterijų rodiklių pasiekimą
 Numato:
 rezultato pasiekimo reikšmę planuojamu laikotarpiu,
atsižvelgdamos į Programoje numatytus uždavinius ir
siekiamus rezultatus
 Pasirenka ir suplanuoja:
 lėšas
 Įtraukia:
 priemones į strateginius veiklos planus ir metinius
veiklos planus
 Pateikia:
 informaciją VRM apie praėjusiais metais vykdytas
priemones ir pasiektus rezultatus 12

13. Institucijos, dalyvaujančios
įgyvendinime
Ministro
Pirmininko Vidaus reikalų
Krašto apsaugos tarnyba ministerija
ministerija
Policijos
departamentas
prie Vidaus
Valstybės reikalų
sugumo ministerijos
departamentas
Kibernetinio
Finansų
ministerija
Susisiekimo
ministerija
saugumo
Ryšių reguliavimo
tarnyba
Programa Ūkio ministerija
Valstybinė
duomenų Energetikos
apsaugos Viešojo ministerija
inspekcija administravimo
institucijos,
teikiančios Lietuvos mokslo ir Švietimo ir
paslaugas studijų institucijų mokslo ministerija
kibernetinėje kompiuterinio
erdvėje tinklas LITNET
13

14. Numatomos kibernetinio saugumo
plėtros programos teigiamos pasekmės
 lėšų panaudojimas saugos priemonėms taps
optimalus
 padidės pasitikėjimas kibernetine erdve
 bus pagerintos sąlygos plėtoti ir teikti IRT
pagalba teikiamas paslaugas, padidės šių
paslaugų prieinamumas visuomenei
 bus sudarytos sąlygos mažinti socialinę atskirtį
ir socialinę diferenciaciją, didinti socialinę
aprėptį
Preliminarus programos įgyvendinimui lėšų poreikis iki 2019 metų yra
apie 92 mln. Lt, iš jų pirmaisiais programos įgyvendinimo metais (2011 - 2012) lėšų
poreikis buvo apie 17 mln. Lt
14

15. 2012-2014 m. VRM strateginis veiklos planas
Suformuota nauja strateginio veiklos plano programa
“Elektroninės informacijos saugos (kibernetinio
saugumo) politikos įgyvendinimas ir vidaus reikalų
sistemos infrastruktūros plėtra”
Įgyvendina Informatikos ir ryšių departamentas prie
Vidaus reikalų ministerijos
15

16. 2013 m. veiklos plano priemonės
 Įdiegti Valstybės informacinių išteklių atitikties
elektroninės informacijos saugos
(kibernetinio saugumo) reikalavimams
stebėsenos sistemą
 Atlikti Vidaus reikalų informacinės sistemos (VRIS), Lietuvos
nacionalinės Šengeno informacinės sistemos (N.SIS) ir Lietuvos
nacionalinės vizų informacinės sistemos (N.VIS) informacinių
technologijų saugos reikalavimų atitikties vertinimą
 Atlikti Vidaus reikalų informacinės sistemos (VRIS), Lietuvos
nacionalinės Šengeno informacinės sistemos (N.SIS) ir Lietuvos
nacionalinės vizų informacinės sistemos (N.VIS) grėsmių ir
pažeidžiamumų vertinimą
16

17. Investicinis projektas “Valstybės informacinių išteklių
atitikties elektroninės informacijos saugos
(kibernetinio saugumo) reikalavimams stebėsenos
sistemos įdiegimas”
 Įgyvendina Elektroninės informacijos saugos (kibernetinio
saugumo) plėtros programos vertinimo kriterijų Nr.6.
 Projekto tikslas – vykdyti nuolatinę, išsamią, visaapimančią ir
efektyvią valstybės informacinių sistemų (ateityje – registrų, ypatingos
svarbos informacinės infrastruktūros objektų) atitikties elektroninės
informacijos saugos (kibernetinio saugumo) reikalavimams stebėseną,
kad būtų sudarytos sąlygos koordinuoti elektroninės informacijos
saugą (kibernetinį saugumą), užtikrinti valstybės informacinių išteklių
saugumą.
 Terminas – 2013-2014 m.
 Vertinimo kriterijaus reikšmės – Atitikties stebėsenos sistema
stebimų valstybės informacinių sistemų dalis, procentais:
 2014 m. – 30 proc., 2015 m. – 60 proc., 2019 m. – 100 proc.
17

18. Koordinacija
 Vidaus reikalų ministerija, kaip Programos įgyvendinimo
koordinatorė
 Prižiūri, kaip įgyvendinami:
 Programos strateginis tikslas
 kiti tikslai
 uždaviniai
 atlieka tarpinę Programoje numatytų uždavinių ir jų vertinimo
kriterijų reikšmių pokyčių peržiūrą
 prireikus inicijuoja Programos atnaujinimą
 Teikia informaciją apie Programos įgyvendinimą ir rezultatus
VRM metinėje veiklos ataskaitoje Vyriausybei
 Yra pagrindinė 26-ių Programos priemonių vykdytoja
 Prisideda prie kitų Programos priemonių įgyvendinimo
18

19. Elektroninės informacijos saugos
(kibernetinio saugumo) koordinavimo
komisija *
 Vidaus reikalų viceministras (Komisijos pirmininkas)
 Informatikos ir ryšių departamento prie VRM direktorius (Komisijos
pirmininko pavaduotojas)
 Krašto apsaugos ministerijos atstovas
 Ryšių ir informacinių sistemų tarnybos prie KAM atstovas
 Vyriausybinių ryšių centro prie VSD atstovas
 Užsienio reikalų ministerijos atstovas
 Lietuvos Respublikos Ministro Pirmininko tarnybos atstovas
 Teisingumo ministerijos atstovas
 Ryšių reguliavimo tarnybos atstovas
 Policijos departamento atstovas
 Susisiekimo ministerijos atstovas
 Valstybinės duomenų apsaugos inspekcijos atstovas
*) 2012 04 25 LRV nutarimas Nr. 468 19

20. Tarptautinis bendradarbiavimas
 Baltijos regiono vektorius
 NB8
 LT-LV-EE kibernetinio saugumo koordinatorių
susitikimai
 atstovo delegavimas į CCD COE
(Cooperative Cyber Defence Centre of Excellence)
 CERT koordinatorių susitikimai
 Tarptautiniai ryšiai
 Dvišaliai
 ES, ESBO, NATO
 Tarptautiniai susitikimai
 Pratybos 20

21. Bendros sąsajos su NATO ir ES
 Nacionalinis saugumas ir kova su terorizmu
 Europos Tarybos kovos su terorizmu programa "Prevention,
Preparedness and Consequence Management of Terrorism
and other Security Risks“ 2007-2013, € 140 milijonų
 Kibernetinės saugos pajėgumų vystymas
 Kibernetinio saugumo (tyrimų, prevencijos) centrai
 Išankstinio įspėjimo platformos ir reagavimo komandos
 CERTs, CSIRT, Watch and Warning center's
 supervisory control systems and networks
 Pratybos ir mokymai
 Patikimumas, Standartai, Atsparumas
 Programinės įrangos ir informacijos patikimumo priemonės
 Traptautiniai standartai ir gerosios praktikos
 Krizių valdymas ir prevencija
21

22. Lietuvos atstovavimas ES iniciatyvose
 Stokholmo programa 2010-2014 m.
 4.4.4. Elektroniniai nusikaltimai
 Europos skaitmeninė darbotvarkė
 Septyni tikslai
 didesnis pasitikėjimas internetu ir jo saugumas
 Ypatingos svarbos infrastruktūros objektų apsaugos
veiksmų planas
 Action Plan on Critical Information Infrastructure Protection (CIIP)
 THE EUROPEAN FORUM FOR MEMBER STATES (EFMS)
 13- tas EFMS forumas Briuselyje 2013 04 19
 ES kovos su elektroniniu nusikalstamumu centras
 Nuo 2013 m. veikia Europol‘e
22

23. ES teisinė ir politinė aplinka
 2001 Budapešto KONVENCIJA dėl elektroninių nusikaltimų, įstatymu
ratifikuota Lietuvoje
 ET PAMATINIS SPRENDIMAS dėl atakų prieš informacines sistemas,
2005/222/TVR, 2005 02 24
 Tarybos IŠVADOS dėl elektroninių nusikaltimų 13893/2/08, 2007 11 8-9
 EK KOMUNIKATAS (Europos Parlamentui, Tarybai ir Europos Regionų
Komitetui) bendrosios politikos, skirtos kovai su elektroniniais
nusikaltimais, linkme, COM(2007) 267, 2007 05 22
 EK PASIŪLYMAS dėl priemonių aukštam bendram tinklų ir informacinių
sistemų saugumo lygiui visoje Sąjungoje užtikrinti Direktyvos, 2013 02 07
EK KOMUNIKATAS Europos Parlamentui, Tarybai ir Europos Regionų
Komitetui ES - kibernetinės erdvės saugos STRATEGIJA, 2013 02 07
23

24. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
• Šia direktyva
• nustatomi įpareigojimai visoms valstybėms narėms, susiję su tinklų ir
informacinėms sistemoms poveikio turinčios rizikos ir incidentų prevencija,
valdymu ir atsakomaisiais veiksmais
• sukuriamas valstybių narių bendradarbiavimo mechanizmas, skirtas
užtikrinti vienodą šios direktyvos taikymą visoje Sąjungoje ir, kai reikia,
koordinuotą ir efektyvų tinklų ir informacinėms sistemoms poveikio turinčių
rizikos ir incidentų valdymą ir atsakomuosius veiksmus
• nustatomi saugumo reikalavimai rinkos dalyviams ir viešojo
administravimo institucijoms
24

25. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Nacionalinės tinklų ir informacijos saugumo (TIS) sistemos:
• Nacionalinė TIS strategija ir minimalūs reikalavimai jai:
• Tikslai ir prioritetai, nustatyti remiantis rizikos ir incidentų analize
• Valdymo sistema, apimanti vaidmenų ir atsakomybių nustatymą
• Bendrųjų parengties, atsakomųjų veiksmų ir atkūrimo priemonių nustatymas
• Švietimo, informuotumo didinimo ir mokymo programų nurodymas
• Mokslinių tyrimų bei plėtros planai ir susiejimas su prioritetais
• Nacionalinis TIS bendradarbiavimo planas ir minimalūs reikalavimai jam:
• rizikos įvertinimo planas, skirtas rizikai nustatyti ir galimų incidentų poveikiui įvertinti
• plano įgyvendinime dalyvaujančių subjektų vaidmenų ir atsakomybės nustatymas
• bendradarbiavimo ir komunikavimo procesų, užtikrinančių incidentų prevenciją, nustatymą,
atsakomuosius veiksmus, remontą bei veiklos atkūrimą ir sumoduliuotų pagal pavojaus lygį,
nustatymas
• TIS pratybų ir mokymo gairės planui sustiprinti, patvirtinti ir išbandyti. Įgyta patirtis 25
registruojama ir įtraukiama į atnaujintą planą

26. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Nacionalinės tinklų ir informacijos saugumo (TIS) sistemos
• Nacionalinė TIS kompetentinga institucija ir minimalūs reikalavimai jai
• Stebi šios direktyvos taikymą nacionaliniu lygmeniu ir padeda nuosekliai ją taikyti visoje Sąjungoje
• Valstybės narės užtikrina, kad kompetentingos institucijos turėtų pakankamai techninių, finansinių ir
žmogiškųjų išteklių, kad galėtų efektyviai ir veiksmingai vykdyti joms pavestas funkcijas
• Valstybės narės užtikrina efektyvų, veiksmingą ir saugų kompetentingų institucijų bendradarbiavimą tam
sukurtame tinkle
• Valstybės narės užtikrina, kad kompetentingos institucijos gautų pranešimus apie incidentus iš viešojo
administravimo institucijų ir rinkos dalyvių ir kad joms būtų suteikti įgyvendinimo ir vykdymo užtikrinimo
įgaliojimai
• Kompiuterinių incidentų tyrimo tarnyba (CERT) ir reikalavimai jai (joms)
• Atsakinga (-os) už incidentų ir rizikos valdymą taikant tiksliai nustatytą procesą, kuris atitinka Direktyvoje
nustatytus reikalavimus
• Valstybės narės užtikrina, kad CERT turėtų pakankamai techninių, finansinių ir žmogiškųjų išteklių, kad
galėtų efektyviai vykdyti užduotis
• Valstybės narės užtikrina, kad nacionaliniu lygmeniu CERT remtųsi saugia ir atsparia ryšių ir informacine
26
infrastruktūra ir būtų su ja sąveiki

27. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
TIS kompetentingų institucijų ir Komisijos bendradarbiavimas
• Bendradarbiavimo tinklas, kuriame:
• Skelbiami išankstiniai perspėjimai apie rizikas ir incidentus
• Užtikrinami koordinuoti atsakomieji veiksmai
• Aptariamos ir vertinamos nacionalinės TIS strategijos ir nacionaliniai TIS bendradarbiavimo planai
• Rengiamos TIS pratybos ES lygmeniu, aptariamas ir įvertinamas CERT efektyvumas
• Rengiamas gebėjimų ir pasirengimo tarpusavio vertinimas
• Bendradarbiaujama, keičiamasi informacija ir patirtimi su Komisija, EC3 ir kitomis institucijomis
• Saugi dalijimosi informacija sistema, skirta keistis slapta ir konfidencialia informacija
• Įpareigojimas teikti išankstinius perspėjimus apie rizikas ir incidentus, kai jų mastas
sparčiai auga ar gali augti, kai nepakanka ar gali nepakakti nacionalinių pajėgumų, kai
paveikiama ar gali būti paveikta daugiau nei viena valstybė narė
• ES TIS bendradarbiavimo planas ir koordinuoti atsakomieji veiksmai
• Tarptautinis bendradarbiavimas 27

28. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Viešojo administravimo institucijų ir rinkos dalyvių (subjektų) TIS
• Rinkos dalyviai
• informacinės visuomenės paslaugų (e. prekyba, interneto mokėjimai, socialiniai tinklai, paieškos
sistemos, „debesų“ kompiuterija, priegloba, taikomųjų programų parduotuvės) teikėjai;
• ypatingos svarbos infrastruktūros (energetika, transportas, bankininkystė, finansų rinkų infrastruktūra,
sveikatos sektorius) operatoriai
• netaikoma labai mažoms įmonėms, mažosioms arba vidutinėms įmonėms (pagal Komisijos
rekomendaciją)
• Valstybės narės užtikrina, kad šie subjektai imtųsi reikiamų techninių ir organizacinių
priemonių, kad galėtų valdyti riziką, kylančią tinklų ir informacinių sistemų, kurias jie
kontroliuoja ir kuriomis naudojasi savo veikloje, saugumui
• Valstybės narės užtikrina, kad subjektai praneštų kompetentingoms institucijoms apie
incidentus, kurie turi didelį poveikį pagrindinių jų teikiamų paslaugų saugumui
• Valstybės narės užtikrina, kad kompetentingos institucijos turėtų įgaliojimus:
• Nagrinėjant atvejus kai subjektai nesilaiko įpareigojimų
• Reikalaujant subjektams pateikti būtiną informaciją norint įvertinti jų TIS
• Reikalaujant sutikti atlikti saugumo auditą ir pateikti rezultatus
• Teikti privalomus nurodymus subjektams
28

29. ES kibernetinio saugumo strategija
ES Komisijos pateiktoje Strategijoje išdėstoma
ES kibernetinio saugumo vizija
„Atvira, saugi ir patikima kibernetinė erdvdvė“
ir nurodomi penki prioritetai:
 Pasiekti kibernetinį atsparumą
 Radikaliai sumažinti elektroninių nusikaltimų skaičių
 Sukurti kibernetinės gynybos politiką ir pajėgumus, susijusius su
bendra saugumo ir gynybos politika (BSGP)
 Plėtoti pramonės ir technologinius išteklius kibernetiniam
saugumui užtikrinti
 Sukurti nuoseklią tarptautinę Europos Sąjungos kibernetinės
erdvės politiką ir remti pagrindines ES vertybes
*) 2013 m. vasario 7 d. JOIN(2O13) 1 final. Bendras Komunikatas Europos Parlamentui,
Tarybai, Europos Ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui 29

30. ES kibernetinio saugumo strategija
Pasiekti kibernetinį atsparumą
• Bus tęsiama Jungtinio tyrimų centro vykdomą veikla, siekiant nustatyti TIS
pažeidžiamumą itin svarbioje Europos infrastruktūroje ir paskatinti atsparių
sistemų kūrimą
• Bus inicijuotas ES finansuojamas bandomasis projektas dėl kovos su kenksmingu
programiniu kodu apkrėstų kompiuterių tinklais ir kenkimo programine įranga
• ENISA padės valstybėms narėms stiprinti nacionalinius kibernetinio atsparumo
pajėgumus
• Pramonės kontrolės sistemoms (SCADA) skirtos reagavimo į kompiuterinius
saugumo incidentus tarnybos
• Reguliarios visos Europos kibernetinių incidentų pratybos
• Pasiūlymas dėl direktyvos dėl bendro aukšto lygio tinklų ir informacijos saugumo
visoje Sąjungoje
• Raginimas pramonei siekti lyderystės investuojant į aukšto lygio kibernetinį saugumą,
formuoti geriausią patirtį ir dalytis informacija sektoriniu lygmeniu ir su viešojo sektoriaus
institucijomis
30

31. ES kibernetinio saugumo strategija
Informuotumo didinimas
• planas dėl vartotojų raštingumo tinklų ir informacijos saugumo srityje – savanoriškos
sertifikavimo programos
• 2014 m. su ENISA parama bus organizuotas kibernetinio saugumo čempionatas
• nuo 2013 m. kasmet rengti „kibernetinio saugumo mėnesį“; nuo 2014 m. ES ir JAV
bus tuo pačiu metu rengiamas „kibernetinio saugumo mėnuo“
• padidinti nacionalines pastangas vykdyti švietimą ir profesinį mokymą TIS
klausimais
• švietimą TIS klausimais mokyklose iki 2014 m.
• TIS, saugios programinės įrangos plėtros ir asmens duomenų apsaugos mokymą
kompiuterijos studentams
• bazinį mokymą TIS klausimais viešojo administravimo įstaigų darbuotojams
• Raginimas pramonei siekti didinti suvokimą apie kibernetinį saugumą visais
lygmenimis: ir verslo procesuose, ir bendraujant su klientais; pavesti didesnę
atskaitomybę generaliniams direktoriams ir valdyboms už kibernetinio saugumo
užtikrinimą
31

32. ES kibernetinio saugumo strategija
Radikaliai sumažinti elektroninių nusikaltimų skaičių
• Griežti ir veiksmingi teisės aktai
• Spartus direktyvų dėl elektroninių nusikaltimų perkėlimas ir įgyvendinimas
• Budapešto konvencijos dėl elektroninių nusikaltimų įgyvendinimas
• Veiklos pajėgumų kovai su elektroniniais nusikaltimais didinimas
• finansavimo programomis valstybėms narėms bus padedama nustatyti spragas ir
sustiprinti elektroninių nusikaltimų tyrimo ir kovos su jais pajėgumus
• bus koordinuojamos pastangos nustatyti kovos su elektroniniais nusikaltimais geriausią
praktiką ir geriausias turimas technologijas
• Bus glaudžiai bendradarbiaujama su Europos kovos su elektroniniu nusikalstamumu
centru (EC3) ir su Eurojustu siekiant tokius politikos modelius suderinti su geriausia
operatyvine patirtimi
• ES lygmens koordinavimo gerinimas
• EC3 bus remiamas kaip Europos kovos su elektroniniais nusikaltimais ryšių centras
• Bus remiamos pastangos padidinti domenų vardų registratorių atskaitomybę ir
užtikrinti informacijos apie svetainės savininką tikslumą
• bus stiprinamos ES pastangos kovoti su seksualine prievarta prieš vaikus internete
32

33. ES kibernetinio saugumo strategija
Sukurti kibernetinės gynybos politiką ir pajėgumus, susijusius su
bendra saugumo ir gynybos politika
• Bus įvertinti operatyviniai ES kibernetinės gynybos reikalavimai ir
skatinama ES kibernetinės gynybos pajėgumų ir technologinę plėtra
atsižvelgiant į visus pajėgumų plėtros aspektus
• Bus plėtojama ES kibernetinės gynybos politikos sistema (įskaitant
dinaminį rizikos valdymą, patobulintą grėsmių analizę ir dalijimąsi
informacija). Bus pagerintos kibernetinės gynybos mokymo ir pratybų
galimybės kariškiams europiniu ir tarptautiniu mastu
• Bus skatinamas dialogas ir koordinavimas tarp civilinių ir karinių subjektų
Europos Sąjungoje
• Bus užtikrinamas dialogas su tarptautiniais partneriais, įskaitant NATO,
kitas tarptautines organizacijas ir daugiašalius kompetencijos centrus
33

34. ES kibernetinio saugumo strategija
Plėtoti pramonės ir technologinius išteklius kibernetiniam saugumui užtikrinti
• Kibernetinio saugumo prekių bendrosios rinkos skatinimas
• Bus sukurta viešąjį ir privatųjį sektorius jungianti TIS sprendimų platforma
• Remiantis platformos darbo rezultatais bus pasiūlytos rekomendacijos, pagal
kurias kibernetinis saugumas būtų užtikrintas visoje IRT vertės grandinėje
• Bus siekiama, kad didžiausi IRT techninės ir programinės įrangos tiekėjai galėtų
informuoti nacionalines kompetentingas institucijas apie nustatytą „didelį“
pažeidžiamumą
• ENISA parengs tinklų ir informacijos saugumo standartų ir geriausios
patirties diegimo viešajame ir privačiajame sektoriuose technines gaires ir
rekomendacijas
• Bus skatinami IRT prekių ir paslaugų teikėjai, kad jie kurtų ir diegtų saugumo
standartus, technines normas, saugumo principus, pagal kuriuos nuo pat
pradžių atsižvelgiama į saugumą ir privatumą; naujos kartos įranga turėtų būti
su stipresnėmis, įterptomis ir patogiomis saugumo priemonėmis
• Bus siekiama informuoti vartotojus sukuriant produktų saugumo ženklinimą
34

35. ES kibernetinio saugumo strategija
Plėtoti pramonės ir technologinius išteklius kibernetiniam saugumui
užtikrinti
• Mokslinių tyrimų ir technologijų plėtros (MTTP) investicijų ir inovacijų
palaikymas
• Numatoma naudoti Horizon 2020 finansinę priemonę, siekiant spręsti įvairius IRT privatumo ir
saugumo klausimus visuose etapuose, plėtojant priemones ir įrankius kovai su nusikalstama ir
teroristine veikla, kuri nukreipta į kibernetinę aplinką
• Numatoma sukurti geresnius ES institucijų ir valstybių narių mokslinių tyrimų darbotvarkių
koordinavimo mechanizmus ir suteikti paskatų valstybėms narėms daugiau investuoti į MTTP
• Siekiama sukaupti ir panaudoti geriausią patirtį, kaip panaudoti viešojo administravimo
įstaigų perkamąją galią skatinant saugumo funkcijų plėtrą ir diegimą IRT prekėse ir
paslaugose
• Numatoma skatinti ankstyvą pramonės ir akademinių sluoksnių įsitraukimą plėtojant ir
koordinuojant sprendimus
• Numatoma nustatyti ryškėjančias tendencijas ir poreikius atsižvelgiant į elektroninių
nusikaltimų raidą ir kibernetinio saugumo modelius, kad būtų sukurtos tinkamos teisminės
skaitmeninės priemonės ir technologijos
• Bendradarbiaujant su draudimo sektoriumi numatoma sukurti suderintus rizikos priedų
apskaičiavimo parametrus, kurie sudarytų sąlygas į saugumą investavusioms bendrovėms
mokėti mažesnius rizikos priedus 35

36. ES kibernetinio saugumo strategija
Sukurti nuoseklią tarptautinę Europos Sąjungos kibernetinės erdvės
politiką ir remti pagrindines ES vertybes
• Kibernetinės erdvės klausimų susiejimas su ES išorės santykiais ir bendra išorės ir
saugumo politika
• Bus siekiama suformuoti nuoseklią ES tarptautinę kibernetinės erdvės politiką
• Bus remiamas elgesio normų formavimas ir pasitikėjimo stiprinimo priemonės kibernetinio
saugumo klausimais
• Bus remiamos pagrindinių teisės, įskaitant prieigos prie informacijos ir žodžio laisvės, palaikymas
ir apsauga
• Kartu su tarptautiniais partneriais ir organizacijomis, privačiuoju sektoriumi ir pilietine visuomene
įsipareigojama remti bendrą pajėgumų stiprinimą trečiosiose šalyse, kad pagerėtų prieiga prie
informacijos ir prie atviro interneto; taip pat kad būtų išvengta kibernetinių grėsmių ir jos būtų
įveiktos; plėtojamas donorų koordinavimas
• Bus naudojamos skirtingos ES pagalbos priemonės kibernetinio saugumo pajėgumams stiprinti,
įskaitant teisėsaugos, teismų ir techninių darbuotojų apmokymą kovai su kibernetinėmis
grėsmėmis
• Bus stiprinami politikos koordinavimas ir keitimasis informacija per ypatingos svarbos
informacinės infrastruktūros apsaugos bendradarbiavimo tinklus
36

37. ES kibernetinio saugumo koordinavimo
schema
Tinklų ir
informacinis Teisėsauga Gynyba
saugumas
Komisija ir ENISA
 CERT-EU  EC3 (Europolas)  EEAS
 Kompetentingų  CEPOL  ES gynybos
ES agentūra
institucijų tinklas  Eurojustas
 EP3R Pramonė
Akademinė
bendruomenė
NACIONA-  Nacionalinės
LINIS LYG- kompiuterinių incidentų Nacionaliniaikovos Nacionalinės
tyrimo tarnybos(CERT) su elektroniniais gynybos ir saugumo
MUO
 TIS kompetentingos nusikaltimais institucijos
institucijos padaliniai
37

38. ES kibernetinio saugumo strategija
 2012 m. pabaigoje įkurta ES Friends of Presidency on
Cyber Issues (FoP Cyber) patariamoji darbo grupė
Kibernetinės erdvės ir Strategijos klausimamas spręsti
 Strategija aptariama mažiausiai 15-je ES Tarybos darbo
grupių:
 Political and Security Committee (PSC)
 ..
 Politico-Military Group
 Dabar teikiamos pozicijos ir pasiūlymai Strategijai
 FoP Cyber darbo grupė apibendrins ir parengs ES
Tarybos išvadas dėl šios Strategijos (Airijos pirmininkavimas)
 Strategijos tęstinumo klausimai Lietuvos pirmininkavimo
metu
38

39. Lietuvos iššūkiai rengiantis
pirmininkauti ES Tarybai
 Lietuvos IT infrastruktūros sauga
 Posėdžių patalpos
 Viešbučiai (virš 30.000 svečių)
 Viešai prieinami interneto prieigos taškai
 ..?
 Lietuvos institucijų veikla kibernetinio saugumo
srityje pirmininkavimo metu
 Pozicijų darbo grupėse rengimas ir derinimas
 ES e-valdžios konferencija (2013 11 14-15)
 ES “ICT 2013” forumas (2013 11 6-8)
 ES ir Rytų partnerystės šalių vadovų susitikimas ir verslo
forumas (2013 11 28-29)
39
 ..?

40. Du keliai
40

41. Dėkojame
DĖKOJAME UŽ
už dėmesį
DĖMESĮ
gintaras.ciurlionis@vrm.lt
Vilnius
2013 04 11
41