Penktadienio (kibernetinė) pasakėčia. Lietuvoje siekiama sudaryti teisines sąlygas veikti „etiškiesiems įsilaužėliams“

Krašto apsaugos ministerija, siekdama koordinuoto ir teisiškai reglamentuoto kibernetinio saugumo bendruomenės įtraukimo į šalies kibernetinio saugumo brandos kėlimą, parengė Lietuvos Respublikos kibernetinio saugumo įstatymo pakeitimo projektą. Juo numatoma įteisinti atsakingo ryšių ir informacinių sistemų (RIS) pažeidžiamumų, dėl kurių gali kilti kibernetinis incidentas, atskleidimo procesą.

Kibernetinio saugumo įstatymo projekte nustatytos sąlygos, į kurias atsižvelgiant būtų galima teisėtai ieškoti RIS pažeidžiamumų. Juos aptikę ir pagal įstatyme nustatytas sąlygas pranešę asmenys galės jaustis ne tik prisidėję prie atitinkamo privataus ir (ar) viešojo sektorių atstovų didesnio kibernetinio saugumo užtikrinimo, bet ir būti ramūs dėl savo teisinės padėties.

Ministerija, siekdama įtraukti suinteresuotas institucijas, tokias kaip teisėsauga, į diskusiją apie siūlomą naują teisinį reglamentavimą, rugsėjo 30 d. organizuoja diskusiją-forumą „Atsakingo kibernetinio saugumo pažeidžiamumų atskleidimo reglamentavimas Lietuvoje“.

Šį renginį Krašto apsaugos ministerija organizuoja bendradarbiaudama su įmone NRD Cyber Security.

Diskusijoje-forume dalyviai bus supažindinti su naujuoju reglamentavimu, ketinama nagrinėti galimus teisinius šios praktikos taikymo iššūkius, išgirsti dalyvių nuomonę. Tokiu būdu, bus galima numatyti, kur gali kilti neaiškumų ar interpretacijų.

Kaip veikia atsakingas pažeidžiamumų atskleidimas?

Reikia pripažinti, kad visos asmenų naudojamos RIS turi didesnių ar mažesnių „skylių“, klaidų programoje (angl., bugs) ir kitų trūkumų, kurių dažnai ieško piktavaliai. Tačiau gera žinia yra ta, kad ne tik piktavaliai, bet ir kiti informacinių ir ryšių technologijų (kibernetinio saugumo) specialistai, mokslininkai kiti IRT entuziastai taip pat domisi ir ieško tokių RIS pažeidžiamumų. Pastarieji asmenys, kurie neretai visuomenėje vadinami „baltaisiais“ arba “etiškaisiais” įsilaužėliais (angl., „white hats“, „ethical hackers“) siekia, taip vadinamų, „etiškų“ tikslų – sumažinti RIS kibernetinio saugumo riziką. Todėl atsakingo RIS pažeidžiamumų atskleidimo praktikos reglamentavimas ir taikymas valstybėse tampa vis labiau populiarėjančia priemone, pasitelkiant kibernetinio saugumo bendruomenę, atsakingai ieškoti ir pranešti apie atrastus pažeidžiamumus. RIS pažeidžiamumų atskleidimas yra laikomas atsakingu tik tuomet, kai informacija apie aptiktus pažeidžiamumus yra, visų pirma, pateikiama pačiai organizacijai, kurios RIS ar kitame IRT produkte jie buvo aptikti ir/ar atsakingai, pažeidžiamumų atskleidimo procesą koordinuojančiai, institucijai.

Savo veikloje taikydama nustatytą ir viešai paskelbtą atsakingo pažeidžiamumų atskleidimo tvarką, organizacija pateikia aiškias RIS pažeidžiamumų ieškojimo ir atskleidimo principus ir sąlygas, nustato procese dalyvaujančiųjų teises ir pareigas, apibrėžia priemones ir metodus, kuriais vadovaujantis pažeidžiamumų atskleidimas nebus laikomas kenkėjiška veikla. Taip pat nurodomas laikotarpis per kurį turi būti neviešinama informacija apie atrastus pažeidžiamumus, nes tuo metu turėtų būti siekiama pažeidžiamumus pašalinti ar surasti kitą pažeidžiamumo valdymo būdą.

Iki šiol Lietuvoje atsakingas RIS pažeidžiamumų atskleidimas valstybiniu mastu nebuvo reglamentuojamas, tačiau tai nebuvo kliūtis kai kurioms organizacijoms pačioms inicijuoti, sukomplektuoti ir taikyti atsakingo pažeidžiamumų atskleidimo politiką, Vilniaus m. savivaldybė yra puikus to pavyzdys. Šių metų pradžioje ši institucija pakvietė kibernetinio saugumo ekspertus ir entuziastus dalyvauti atsakingo pažeidžiamumų atskleidimo programoje „Hack me if you can“ (liet. „Surask spragas, jei gali“).

Kas pasikeis atsiradus atsakingo pažeidžiamumų atskleidimo reglamentavimui?

Tikimasi, kad padėjus teisinius atsakingo RIS pažeidžiamumų atskleidimo pagrindus, atsiras aiškumas dėl atsakomybių paskirstymo bei pranešimo apie pažeidžiamumus sąlygų. Koordinuoto proceso metu pašalinus šiuos pažeidžiamumus, bus gerinama kibernetinio saugumo situacija Lietuvoje.

„Kiekviena organizacija siekia stiprinti savo kibernetinį atsparumą, tam naudodama įvairius programinės ir techninės įrangos sprendimus ir kitus būdus, vienas kurių – atsakingo RIS pažeidžiamumų atskleidimo proceso reglamentavimas ir taikymas“, – sako Jonas Skardinskas, Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas.

Kibernetinio saugumo bendruomenė bus aktyviau įtraukiama į šalies kibernetinės erdvės stiprinimą – visi norintys ir turintys įgūdžių bei žinių, pastebėję RIS pažeidžiamumus, galės nesibaimindami baudžiamojo persekiojimo apie tai pranešti. Teisės aktas galios visiems kibernetinio saugumo subjektams, tokiems kaip valstybės institucijos, privataus sektoriaus atstovai, kurie teikia ypatingos svarbos paslaugas valstybėje (pvz., elektros, vandens tiekimas, sveikatos, finansinės paslaugos ir kt.), interneto ryšio, debesijos paslaugų tiekėjai bei asmenys, vykdantys elektroninę prekybą didesniu mastu.

Siekiama, kad kibernetinio saugumo subjektai būtų labiau motyvuoti iš anksto susitvarkyti savo RIS, užlopyti žinomus pažeidžiamumus. Tačiau teisės aktuose sudarius galimybę etiškiems įsilaužėliams ieškoti RIS pažeidžiamumų ir siekiant išvengti nesusipratimų, ieškoti jų galima bus tik laikantis įstatyme nustatytų apribojimų. Taip pat, tikėtina, kad padidės dėmesys atsakingam pažeidžiamumų atskleidimui – kils daugiau diskusijų tiek visuomenėje, tiek kibernetinio saugumo bendruomenėje, ilgainiui susiformuos teigiama pažeidžiamumų atskleidimo praktika.

„Natūralu, kad verdant gyvenimui, mūsų aplinkoje atsiranda skylių, lūžusių lentų, suskilusių šaligatvio plytelių ir pan. Dažniausiai turime galimybę apie tai pranešti miesto savivaldai. Tačiau kibernetinėje erdvėje iki šiol dar daug nežinomųjų - t.y. nėra aišku, ar pranešus apie aptiktą pažeidžiamumą, nepatrauks baudžiamojon atsakomybėn, o gal iš viso niekas neatkreips dėmesio? Įvedus atsakingo RIS pažeidžiamumų atskleidimo reglamentavimą, bus mažiau neaiškumų, aiškesnės rolės, atsakomybės ir jų ribos. Taip pat, toks reglamentavimas – brandos požymis, todėl tokios pastangos tik sustiprins Lietuvos įvaizdį tarptautinėje kibernetinio saugumo bendruomenėje bei įvairiuose reitinguose“, – sako Vilius Benetis, NRD Cyber Security vadovas.

Geroji atsakingo RIS pažeidžiamumų atskleidimo praktika teigia, kad svarbu nustatyti ir atitinkamai institucijai pavesti aiškiai apibrėžtas, su pažeidžiamumų atskleidimo koordinavimu susijusias, funkcijas. Tokį vaidmenį atsakingo pažeidžiamumų atskleidimo reglamentavimo procese planuojama paskirti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.

„Nacionalinis kibernetinio saugumo centras skatina atsakingo atskleidimo principų taikymą kibernetinio saugumo srityje, todėl neskelbkime RIS aptiktų saugumo pažeidžiamumų viešai, o praneškite apie jas sistemų valdytojui, suteikdami jam galimybę ištaisyti klaidas. Ankstyvas pažeidžiamumo atskleidimas gali būti piktavalio išnaudotas kibernetinėms atakoms atlikti. Esant tarpininkavimo poreikiui, galite apie pažeidžiamumą informuoti užpildę pranešimo formą NKSC interneto svetainėje www.nksc.lt. NKSC yra pasiruošusi įvertinti situaciją ir imsis veiksmų, siekdama apie atrastą RIS pažeidžiamumą informuoti sistemos valdytoją, pažymėdama, kad apie pažeidžiamumą buvo pranešta naudojant atsakingo atskleidimo praktiką. Įsigaliojus įstatymo nuostatoms, pažeidžiamumų atskleidimo valdymo procesas ir NKSC vaidmuo jame taps dar aiškesnis“, – teigė dr. Rytis Rainys, Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos direktorius.

Šaltinis: KAM