ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Gintaras ?iurlionis. Kibernetin?s erdv?s i??¨±kiai Lietuvoje ¨C teisiniai, instituciniai, administraciniai aspektai.

?
?
TEO LT, AB
TEO LT, AB

Kokie kibernetinio saugumo i??¨±kiai ?alies laukia, Lietuvai rengiantis pirmininkauti ES Tarybai? Prane?imo autorius ¨C Gintaras ?iurlionis. Informatikos ir ry?i? departamento prie Lietuvos Respublikos vidaus reikal? ministerijos direktorius (Lietuva). Prane?imas skaitytas konferencijoje ¨C INFORMACINI? SISTEM? SAUGUMAS, vykusioje 2013 m. baland?io 11d., skirtoje valstyb?s institucij? ir valstybin?s reik?m?s organizacijoms.

1 of 41
Kibernetin?s erdv?s i??¨±kiai Lietuvoje ¨C teisiniai, instituciniai, administraciniai aspektai ir j? perspektyvos. Tarptautinis bendradarbiavimas kibernetinio saugumo klausimais. Gintaras ?iurlionis Informatikos ir ry?i? departamentas prie Lietuvos Respublikos vidaus reikal? ministerijos gintaras.ciurlionis@vrm.lt ? Vilnius ? 2013 04 11 1
Informatikos ir ry?i? departamentas ? Informacijos elektronin?je erdv?je sauga ? Informacini? i?tekli? valdymo ?statymas (valstyb?s informacini? i?tekli? sauga) ? Nacionalin? SPT ? IT ir ry?i? sistem? k¨±rimas ir prie?i¨±ra ? IS (informacin?s sistemos, duomen? baz?s, programos) ? Ry?iai (tinklai) 2
?vadas Kibernetin?s erdv?s i??¨±kiai Lietuvoje: ? Kibernetinio saugumo teisinio reguliavimo raida ir b¨±sena ? Institucijos, veikian?ios kibernetinio saugumo stiprinimo srityje, j? bendradarbiavimas, kompetencijos ? Kibernetin?s saugos koordinavimo teisin? sistema ir praktiniai aspektai ? Tarptautinis atstovavimas kibernetinio saugumo klausimais ? Lietuvos pirmininkavimas Europos Tarybai ¨C kibernetinio saugumo i??¨±kiai 3
e-i??¨±kiai, e-gr?sm?s ? e-pa?tas ? e-verslas (e-bankas, e-pinigai,...) ? e- vartotojas (e-tapatyb?, e-para?as, e-biometrija, e-sveikata, ¡­) ? e-vyriausyb? (e-paslaugos, e-rinkimai, e-mokes?iai, ¡­) ? e-nusikaltimai (e-policija, e-byla, e-kalinys, ...) ? e-atakos (e-ginklai, e-karai, ¡­) Kibernetin?s atakos ¨C kaip paslaugos! Malware as a Service 4
Kibernetin?s erdv?s i??¨±kiai Lietuvoje Nuo ¡°IT problem?¡± iki i??¨±ki? nacionaliniam saugumui: ? Kibernetinis nusikalstamumas ? ¡°Cyber Crime¡± ? Kibernetin? gynyba ? ¡°Cyber Defence¡± ? Kritin?s infrastrukt¨±ros atakos ? hakeri? ar kriminalini? grupi? veikla ? vis da?niau centralizuotai valdoma ? valstybini? agent¨±r? veikla 5
Kibernetin?s atakos Lietuvoje DDoS (Distributed Denial of Service) atakos prie? Lietuvos Banko IT infrastrukt¨±r? 2012 m. sausio 27 ¨C vasario 02 dienomis 6
Kibernetiniai ginklai? Energetikoje R&D ? ¡­ jie yra pigesni ir lengviau panaudojami, negu fizin?s atakos 7
Kibernetinio saugumo teisinio reguliavimo raida ir b¨±sena Lietuvoje ? 1997: Bendrieji elektronin?s informacijos saugos valsyb?s institucij? ir ?staig? informacin?se sistemose reikalavimai Esminiai reikalavimai informacin?s sistemos valdytojui ? 2000: Valstyb?s informacin?s infrastrukt¨±ros situacijos ?vertinimas Informacijos saugos suvokimo lygis, ?ios srities politika, vyriausybini? ?staig? apsaugos laipsnis ? 2001: Informacijos technologij? saugos valstybin? strategija Pirm? kart? nurodyta valstybinio sektoriaus informacijos technologij? saugos svarba ? 2006: Elektronin?s informacijos saugos valstyb?s institucij? informacin?se sistemose strategija (iki 2008 met?) ? nustatyti pagrindiniai elektronin?s informacijos saugos u?tikrinimo principai, tikslai, u?daviniai, j? ?gyvendinimas ? nuo 2008 met? n?ra galiojan?ios elektronin?s informacijos saugos valstyb?s informacin?se sistemose strategijos ? 2011: Nacionalin? elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros 2011¨C2019 programa 8 ? 2011: Valstyb?s informacini? i?tekli? valdymo ?statymas
2011 iniciatyvos Kibernetin?s gr?sm?s Konfidencialumas Kibernetin? sauga Vientisumas Prieinamumas 9
Elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros 2011- 2019 metais programa * Programos strateginis tikslas ¨C pl?toti elektronin?s informacijos saug? Lietuvoje, u?tikrinti kibernetin? saugum? ir pasiekti, kad b¨±t? u?tikrintas: ? valstyb?s informacini? i?tekli? saugumas ? ypatingos svarbos informacin?s infrastrukt¨±ros efektyvus funkcionavimas ? Lietuvos gyventoj? ir asmen?, esan?i? Lietuvoje, saugumas kibernetin?je erdv?je Valstyb? Gyventojai Kritin? infrsatrukt¨±ra *) Patvirtinta LRV 2011 m. bir?elio 29 d. nutarimu Nr. 796 10
Programos strukt¨±ra 3 Tikslai 10 Priemoni? 59 Vertinimo kriterijai U? kriterij? ?gyvendinim? atsakingos institucijos ?gyvendinimo sistema Programa n?ra priemoni? planas ! 11
Atsakingos institucijos ? Atsako u?: ? programos tiksl? ir u?davini? ?gyvendinim? ? vertinimo kriterij? rodikli? pasiekim? ? Numato: ? rezultato pasiekimo reik?m? planuojamu laikotarpiu, atsi?velgdamos ? Programoje numatytus u?davinius ir siekiamus rezultatus ? Pasirenka ir suplanuoja: ? l??as ? ?traukia: ? priemones ? strateginius veiklos planus ir metinius veiklos planus ? Pateikia: ? informacij? VRM apie pra?jusiais metais vykdytas priemones ir pasiektus rezultatus 12
Institucijos, dalyvaujan?ios ?gyvendinime Ministro Pirmininko Vidaus reikal? Kra?to apsaugos tarnyba ministerija ministerija Policijos departamentas prie Vidaus Valstyb?s reikal? sugumo ministerijos departamentas Kibernetinio Finans? ministerija Susisiekimo ministerija saugumo Ry?i? reguliavimo tarnyba Programa ?kio ministerija Valstybin? duomen? Energetikos apsaugos Vie?ojo ministerija inspekcija administravimo institucijos, teikian?ios Lietuvos mokslo ir ?vietimo ir paslaugas studij? institucij? mokslo ministerija kibernetin?je kompiuterinio erdv?je tinklas LITNET 13
Numatomos kibernetinio saugumo pl?tros programos teigiamos pasekm?s ? l??? panaudojimas saugos priemon?ms taps optimalus ? padid?s pasitik?jimas kibernetine erdve ? bus pagerintos s?lygos pl?toti ir teikti IRT pagalba teikiamas paslaugas, padid?s ?i? paslaug? prieinamumas visuomenei ? bus sudarytos s?lygos ma?inti socialin? atskirt? ir socialin? diferenciacij?, didinti socialin? apr?pt? Preliminarus programos ?gyvendinimui l??? poreikis iki 2019 met? yra apie 92 mln. Lt, i? j? pirmaisiais programos ?gyvendinimo metais (2011 - 2012) l??? poreikis buvo apie 17 mln. Lt 14
2012-2014 m. VRM strateginis veiklos planas Suformuota nauja strateginio veiklos plano programa ¡°Elektronin?s informacijos saugos (kibernetinio saugumo) politikos ?gyvendinimas ir vidaus reikal? sistemos infrastrukt¨±ros pl?tra¡± ?gyvendina Informatikos ir ry?i? departamentas prie Vidaus reikal? ministerijos 15
2013 m. veiklos plano priemon?s ? ?diegti Valstyb?s informacini? i?tekli? atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?senos sistem? ? Atlikti Vidaus reikal? informacin?s sistemos (VRIS), Lietuvos nacionalin?s ?engeno informacin?s sistemos (N.SIS) ir Lietuvos nacionalin?s viz? informacin?s sistemos (N.VIS) informacini? technologij? saugos reikalavim? atitikties vertinim? ? Atlikti Vidaus reikal? informacin?s sistemos (VRIS), Lietuvos nacionalin?s ?engeno informacin?s sistemos (N.SIS) ir Lietuvos nacionalin?s viz? informacin?s sistemos (N.VIS) gr?smi? ir pa?eid?iamum? vertinim? 16
Investicinis projektas ¡°Valstyb?s informacini? i?tekli? atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?senos sistemos ?diegimas¡± ? ?gyvendina Elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros programos vertinimo kriterij? Nr.6. ? Projekto tikslas ¨C vykdyti nuolatin?, i?sami?, visaapiman?i? ir efektyvi? valstyb?s informacini? sistem? (ateityje ¨C registr?, ypatingos svarbos informacin?s infrastrukt¨±ros objekt?) atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?sen?, kad b¨±t? sudarytos s?lygos koordinuoti elektronin?s informacijos saug? (kibernetin? saugum?), u?tikrinti valstyb?s informacini? i?tekli? saugum?. ? Terminas ¨C 2013-2014 m. ? Vertinimo kriterijaus reik?m?s ¨C Atitikties steb?senos sistema stebim? valstyb?s informacini? sistem? dalis, procentais: ? 2014 m. ¨C 30 proc., 2015 m. ¨C 60 proc., 2019 m. ¨C 100 proc. 17
Koordinacija ? Vidaus reikal? ministerija, kaip Programos ?gyvendinimo koordinator? ? Pri?i¨±ri, kaip ?gyvendinami: ? Programos strateginis tikslas ? kiti tikslai ? u?daviniai ? atlieka tarpin? Programoje numatyt? u?davini? ir j? vertinimo kriterij? reik?mi? poky?i? per?i¨±r? ? prireikus inicijuoja Programos atnaujinim? ? Teikia informacij? apie Programos ?gyvendinim? ir rezultatus VRM metin?je veiklos ataskaitoje Vyriausybei ? Yra pagrindin? 26-i? Programos priemoni? vykdytoja ? Prisideda prie kit? Programos priemoni? ?gyvendinimo 18
Elektronin?s informacijos saugos (kibernetinio saugumo) koordinavimo komisija * ? Vidaus reikal? viceministras (Komisijos pirmininkas) ? Informatikos ir ry?i? departamento prie VRM direktorius (Komisijos pirmininko pavaduotojas) ? Kra?to apsaugos ministerijos atstovas ? Ry?i? ir informacini? sistem? tarnybos prie KAM atstovas ? Vyriausybini? ry?i? centro prie VSD atstovas ? U?sienio reikal? ministerijos atstovas ? Lietuvos Respublikos Ministro Pirmininko tarnybos atstovas ? Teisingumo ministerijos atstovas ? Ry?i? reguliavimo tarnybos atstovas ? Policijos departamento atstovas ? Susisiekimo ministerijos atstovas ? Valstybin?s duomen? apsaugos inspekcijos atstovas *) 2012 04 25 LRV nutarimas Nr. 468 19
Tarptautinis bendradarbiavimas ? Baltijos regiono vektorius ? NB8 ? LT-LV-EE kibernetinio saugumo koordinatori? susitikimai ? atstovo delegavimas ? CCD COE (Cooperative Cyber Defence Centre of Excellence) ? CERT koordinatori? susitikimai ? Tarptautiniai ry?iai ? Dvi?aliai ? ES, ESBO, NATO ? Tarptautiniai susitikimai ? Pratybos 20
Bendros s?sajos su NATO ir ES ? Nacionalinis saugumas ir kova su terorizmu ? Europos Tarybos kovos su terorizmu programa "Prevention, Preparedness and Consequence Management of Terrorism and other Security Risks¡° 2007-2013, € 140 milijon? ? Kibernetin?s saugos paj?gum? vystymas ? Kibernetinio saugumo (tyrim?, prevencijos) centrai ? I?ankstinio ?sp?jimo platformos ir reagavimo komandos ? CERTs, CSIRT, Watch and Warning center's ? supervisory control systems and networks ? Pratybos ir mokymai ? Patikimumas, Standartai, Atsparumas ? Programin?s ?rangos ir informacijos patikimumo priemon?s ? Traptautiniai standartai ir gerosios praktikos ? Krizi? valdymas ir prevencija 21
Lietuvos atstovavimas ES iniciatyvose ? Stokholmo programa 2010-2014 m. ? 4.4.4. Elektroniniai nusikaltimai ? Europos skaitmenin? darbotvark? ? Septyni tikslai ? didesnis pasitik?jimas internetu ir jo saugumas ? Ypatingos svarbos infrastrukt¨±ros objekt? apsaugos veiksm? planas ? Action Plan on Critical Information Infrastructure Protection (CIIP) ? THE EUROPEAN FORUM FOR MEMBER STATES (EFMS) ? 13- tas EFMS forumas Briuselyje 2013 04 19 ? ES kovos su elektroniniu nusikalstamumu centras ? Nuo 2013 m. veikia Europol¡®e 22
ES teisin? ir politin? aplinka ? 2001 Budape?to KONVENCIJA d?l elektronini? nusikaltim?, ?statymu ratifikuota Lietuvoje ? ET PAMATINIS SPRENDIMAS d?l atak? prie? informacines sistemas, 2005/222/TVR, 2005 02 24 ? Tarybos I?VADOS d?l elektronini? nusikaltim? 13893/2/08, 2007 11 8-9 ? EK KOMUNIKATAS (Europos Parlamentui, Tarybai ir Europos Region? Komitetui) bendrosios politikos, skirtos kovai su elektroniniais nusikaltimais, linkme, COM(2007) 267, 2007 05 22 ? EK PASI?LYMAS d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti Direktyvos, 2013 02 07 ?EK KOMUNIKATAS Europos Parlamentui, Tarybai ir Europos Region? Komitetui ES - kibernetin?s erdv?s saugos STRATEGIJA, 2013 02 07 23
ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) ? ?ia direktyva ? nustatomi ?pareigojimai visoms valstyb?ms nar?ms, susij? su tinkl? ir informacin?ms sistemoms poveikio turin?ios rizikos ir incident? prevencija, valdymu ir atsakomaisiais veiksmais ? sukuriamas valstybi? nari? bendradarbiavimo mechanizmas, skirtas u?tikrinti vienod? ?ios direktyvos taikym? visoje S?jungoje ir, kai reikia, koordinuot? ir efektyv? tinkl? ir informacin?ms sistemoms poveikio turin?i? rizikos ir incident? valdym? ir atsakomuosius veiksmus ? nustatomi saugumo reikalavimai rinkos dalyviams ir vie?ojo administravimo institucijoms 24
ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Nacionalin?s tinkl? ir informacijos saugumo (TIS) sistemos: ? Nacionalin? TIS strategija ir minimal¨±s reikalavimai jai: ? Tikslai ir prioritetai, nustatyti remiantis rizikos ir incident? analize ? Valdymo sistema, apimanti vaidmen? ir atsakomybi? nustatym? ? Bendr?j? parengties, atsakom?j? veiksm? ir atk¨±rimo priemoni? nustatymas ? ?vietimo, informuotumo didinimo ir mokymo program? nurodymas ? Mokslini? tyrim? bei pl?tros planai ir susiejimas su prioritetais ? Nacionalinis TIS bendradarbiavimo planas ir minimal¨±s reikalavimai jam: ? rizikos ?vertinimo planas, skirtas rizikai nustatyti ir galim? incident? poveikiui ?vertinti ? plano ?gyvendinime dalyvaujan?i? subjekt? vaidmen? ir atsakomyb?s nustatymas ? bendradarbiavimo ir komunikavimo proces?, u?tikrinan?i? incident? prevencij?, nustatym?, atsakomuosius veiksmus, remont? bei veiklos atk¨±rim? ir sumoduliuot? pagal pavojaus lyg?, nustatymas ? TIS pratyb? ir mokymo gair?s planui sustiprinti, patvirtinti ir i?bandyti. ?gyta patirtis 25 registruojama ir ?traukiama ? atnaujint? plan?
ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Nacionalin?s tinkl? ir informacijos saugumo (TIS) sistemos ? Nacionalin? TIS kompetentinga institucija ir minimal¨±s reikalavimai jai ? Stebi ?ios direktyvos taikym? nacionaliniu lygmeniu ir padeda nuosekliai j? taikyti visoje S?jungoje ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos tur?t? pakankamai technini?, finansini? ir ?mogi?k?j? i?tekli?, kad gal?t? efektyviai ir veiksmingai vykdyti joms pavestas funkcijas ? Valstyb?s nar?s u?tikrina efektyv?, veiksming? ir saug? kompetenting? institucij? bendradarbiavim? tam sukurtame tinkle ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos gaut? prane?imus apie incidentus i? vie?ojo administravimo institucij? ir rinkos dalyvi? ir kad joms b¨±t? suteikti ?gyvendinimo ir vykdymo u?tikrinimo ?galiojimai ? Kompiuterini? incident? tyrimo tarnyba (CERT) ir reikalavimai jai (joms) ? Atsakinga (-os) u? incident? ir rizikos valdym? taikant tiksliai nustatyt? proces?, kuris atitinka Direktyvoje nustatytus reikalavimus ? Valstyb?s nar?s u?tikrina, kad CERT tur?t? pakankamai technini?, finansini? ir ?mogi?k?j? i?tekli?, kad gal?t? efektyviai vykdyti u?duotis ? Valstyb?s nar?s u?tikrina, kad nacionaliniu lygmeniu CERT remt?si saugia ir atsparia ry?i? ir informacine 26 infrastrukt¨±ra ir b¨±t? su ja s?veiki
ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) TIS kompetenting? institucij? ir Komisijos bendradarbiavimas ? Bendradarbiavimo tinklas, kuriame: ? Skelbiami i?ankstiniai persp?jimai apie rizikas ir incidentus ? U?tikrinami koordinuoti atsakomieji veiksmai ? Aptariamos ir vertinamos nacionalin?s TIS strategijos ir nacionaliniai TIS bendradarbiavimo planai ? Rengiamos TIS pratybos ES lygmeniu, aptariamas ir ?vertinamas CERT efektyvumas ? Rengiamas geb?jim? ir pasirengimo tarpusavio vertinimas ? Bendradarbiaujama, kei?iamasi informacija ir patirtimi su Komisija, EC3 ir kitomis institucijomis ? Saugi dalijimosi informacija sistema, skirta keistis slapta ir konfidencialia informacija ? ?pareigojimas teikti i?ankstinius persp?jimus apie rizikas ir incidentus, kai j? mastas spar?iai auga ar gali augti, kai nepakanka ar gali nepakakti nacionalini? paj?gum?, kai paveikiama ar gali b¨±ti paveikta daugiau nei viena valstyb? nar? ? ES TIS bendradarbiavimo planas ir koordinuoti atsakomieji veiksmai ? Tarptautinis bendradarbiavimas 27
ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Vie?ojo administravimo institucij? ir rinkos dalyvi? (subjekt?) TIS ? Rinkos dalyviai ? informacin?s visuomen?s paslaug? (e. prekyba, interneto mok?jimai, socialiniai tinklai, paie?kos sistemos, ?debes?¡° kompiuterija, priegloba, taikom?j? program? parduotuv?s) teik?jai; ? ypatingos svarbos infrastrukt¨±ros (energetika, transportas, bankininkyst?, finans? rink? infrastrukt¨±ra, sveikatos sektorius) operatoriai ? netaikoma labai ma?oms ?mon?ms, ma?osioms arba vidutin?ms ?mon?ms (pagal Komisijos rekomendacij?) ? Valstyb?s nar?s u?tikrina, kad ?ie subjektai imt?si reikiam? technini? ir organizacini? priemoni?, kad gal?t? valdyti rizik?, kylan?i? tinkl? ir informacini? sistem?, kurias jie kontroliuoja ir kuriomis naudojasi savo veikloje, saugumui ? Valstyb?s nar?s u?tikrina, kad subjektai prane?t? kompetentingoms institucijoms apie incidentus, kurie turi didel? poveik? pagrindini? j? teikiam? paslaug? saugumui ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos tur?t? ?galiojimus: ? Nagrin?jant atvejus kai subjektai nesilaiko ?pareigojim? ? Reikalaujant subjektams pateikti b¨±tin? informacij? norint ?vertinti j? TIS ? Reikalaujant sutikti atlikti saugumo audit? ir pateikti rezultatus ? Teikti privalomus nurodymus subjektams 28
ES kibernetinio saugumo strategija ES Komisijos pateiktoje Strategijoje i?d?stoma ES kibernetinio saugumo vizija ?Atvira, saugi ir patikima kibernetin? erdvdv?¡° ir nurodomi penki prioritetai: ? Pasiekti kibernetin? atsparum? ? Radikaliai suma?inti elektronini? nusikaltim? skai?i? ? Sukurti kibernetin?s gynybos politik? ir paj?gumus, susijusius su bendra saugumo ir gynybos politika (BSGP) ? Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Sukurti nuosekli? tarptautin? Europos S?jungos kibernetin?s erdv?s politik? ir remti pagrindines ES vertybes *) 2013 m. vasario 7 d. JOIN(2O13) 1 final. Bendras Komunikatas Europos Parlamentui, Tarybai, Europos Ekonomikos ir socialini? reikal? komitetui ir Region? komitetui 29
ES kibernetinio saugumo strategija Pasiekti kibernetin? atsparum? ? Bus t?siama Jungtinio tyrim? centro vykdom? veikla, siekiant nustatyti TIS pa?eid?iamum? itin svarbioje Europos infrastrukt¨±roje ir paskatinti atspari? sistem? k¨±rim? ? Bus inicijuotas ES finansuojamas bandomasis projektas d?l kovos su kenksmingu programiniu kodu apkr?st? kompiuteri? tinklais ir kenkimo programine ?ranga ? ENISA pad?s valstyb?ms nar?ms stiprinti nacionalinius kibernetinio atsparumo paj?gumus ? Pramon?s kontrol?s sistemoms (SCADA) skirtos reagavimo ? kompiuterinius saugumo incidentus tarnybos ? Reguliarios visos Europos kibernetini? incident? pratybos ? Pasi¨±lymas d?l direktyvos d?l bendro auk?to lygio tinkl? ir informacijos saugumo visoje S?jungoje ? Raginimas pramonei siekti lyderyst?s investuojant ? auk?to lygio kibernetin? saugum?, formuoti geriausi? patirt? ir dalytis informacija sektoriniu lygmeniu ir su vie?ojo sektoriaus institucijomis 30
ES kibernetinio saugumo strategija Informuotumo didinimas ? planas d?l vartotoj? ra?tingumo tinkl? ir informacijos saugumo srityje ¨C savanori?kos sertifikavimo programos ? 2014 m. su ENISA parama bus organizuotas kibernetinio saugumo ?empionatas ? nuo 2013 m. kasmet rengti ?kibernetinio saugumo m?nes?¡°; nuo 2014 m. ES ir JAV bus tuo pa?iu metu rengiamas ?kibernetinio saugumo m?nuo¡° ? padidinti nacionalines pastangas vykdyti ?vietim? ir profesin? mokym? TIS klausimais ? ?vietim? TIS klausimais mokyklose iki 2014 m. ? TIS, saugios programin?s ?rangos pl?tros ir asmens duomen? apsaugos mokym? kompiuterijos studentams ? bazin? mokym? TIS klausimais vie?ojo administravimo ?staig? darbuotojams ? Raginimas pramonei siekti didinti suvokim? apie kibernetin? saugum? visais lygmenimis: ir verslo procesuose, ir bendraujant su klientais; pavesti didesn? atskaitomyb? generaliniams direktoriams ir valdyboms u? kibernetinio saugumo u?tikrinim? 31
ES kibernetinio saugumo strategija Radikaliai suma?inti elektronini? nusikaltim? skai?i? ? Grie?ti ir veiksmingi teis?s aktai ? Spartus direktyv? d?l elektronini? nusikaltim? perk?limas ir ?gyvendinimas ? Budape?to konvencijos d?l elektronini? nusikaltim? ?gyvendinimas ? Veiklos paj?gum? kovai su elektroniniais nusikaltimais didinimas ? finansavimo programomis valstyb?ms nar?ms bus padedama nustatyti spragas ir sustiprinti elektronini? nusikaltim? tyrimo ir kovos su jais paj?gumus ? bus koordinuojamos pastangos nustatyti kovos su elektroniniais nusikaltimais geriausi? praktik? ir geriausias turimas technologijas ? Bus glaud?iai bendradarbiaujama su Europos kovos su elektroniniu nusikalstamumu centru (EC3) ir su Eurojustu siekiant tokius politikos modelius suderinti su geriausia operatyvine patirtimi ? ES lygmens koordinavimo gerinimas ? EC3 bus remiamas kaip Europos kovos su elektroniniais nusikaltimais ry?i? centras ? Bus remiamos pastangos padidinti domen? vard? registratori? atskaitomyb? ir u?tikrinti informacijos apie svetain?s savinink? tikslum? ? bus stiprinamos ES pastangos kovoti su seksualine prievarta prie? vaikus internete 32
ES kibernetinio saugumo strategija Sukurti kibernetin?s gynybos politik? ir paj?gumus, susijusius su bendra saugumo ir gynybos politika ? Bus ?vertinti operatyviniai ES kibernetin?s gynybos reikalavimai ir skatinama ES kibernetin?s gynybos paj?gum? ir technologin? pl?tra atsi?velgiant ? visus paj?gum? pl?tros aspektus ? Bus pl?tojama ES kibernetin?s gynybos politikos sistema (?skaitant dinamin? rizikos valdym?, patobulint? gr?smi? analiz? ir dalijim?si informacija). Bus pagerintos kibernetin?s gynybos mokymo ir pratyb? galimyb?s kari?kiams europiniu ir tarptautiniu mastu ? Bus skatinamas dialogas ir koordinavimas tarp civilini? ir karini? subjekt? Europos S?jungoje ? Bus u?tikrinamas dialogas su tarptautiniais partneriais, ?skaitant NATO, kitas tarptautines organizacijas ir daugia?alius kompetencijos centrus 33
ES kibernetinio saugumo strategija Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Kibernetinio saugumo preki? bendrosios rinkos skatinimas ? Bus sukurta vie??j? ir privat?j? sektorius jungianti TIS sprendim? platforma ? Remiantis platformos darbo rezultatais bus pasi¨±lytos rekomendacijos, pagal kurias kibernetinis saugumas b¨±t? u?tikrintas visoje IRT vert?s grandin?je ? Bus siekiama, kad did?iausi IRT technin?s ir programin?s ?rangos tiek?jai gal?t? informuoti nacionalines kompetentingas institucijas apie nustatyt? ?didel?¡° pa?eid?iamum? ? ENISA parengs tinkl? ir informacijos saugumo standart? ir geriausios patirties diegimo vie?ajame ir priva?iajame sektoriuose technines gaires ir rekomendacijas ? Bus skatinami IRT preki? ir paslaug? teik?jai, kad jie kurt? ir diegt? saugumo standartus, technines normas, saugumo principus, pagal kuriuos nuo pat prad?i? atsi?velgiama ? saugum? ir privatum?; naujos kartos ?ranga tur?t? b¨±ti su stipresn?mis, ?terptomis ir patogiomis saugumo priemon?mis ? Bus siekiama informuoti vartotojus sukuriant produkt? saugumo ?enklinim? 34
ES kibernetinio saugumo strategija Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Mokslini? tyrim? ir technologij? pl?tros (MTTP) investicij? ir inovacij? palaikymas ? Numatoma naudoti Horizon 2020 finansin? priemon?, siekiant spr?sti ?vairius IRT privatumo ir saugumo klausimus visuose etapuose, pl?tojant priemones ir ?rankius kovai su nusikalstama ir teroristine veikla, kuri nukreipta ? kibernetin? aplink? ? Numatoma sukurti geresnius ES institucij? ir valstybi? nari? mokslini? tyrim? darbotvarki? koordinavimo mechanizmus ir suteikti paskat? valstyb?ms nar?ms daugiau investuoti ? MTTP ? Siekiama sukaupti ir panaudoti geriausi? patirt?, kaip panaudoti vie?ojo administravimo ?staig? perkam?j? gali? skatinant saugumo funkcij? pl?tr? ir diegim? IRT prek?se ir paslaugose ? Numatoma skatinti ankstyv? pramon?s ir akademini? sluoksni? ?sitraukim? pl?tojant ir koordinuojant sprendimus ? Numatoma nustatyti ry?k?jan?ias tendencijas ir poreikius atsi?velgiant ? elektronini? nusikaltim? raid? ir kibernetinio saugumo modelius, kad b¨±t? sukurtos tinkamos teismin?s skaitmenin?s priemon?s ir technologijos ? Bendradarbiaujant su draudimo sektoriumi numatoma sukurti suderintus rizikos pried? apskai?iavimo parametrus, kurie sudaryt? s?lygas ? saugum? investavusioms bendrov?ms mok?ti ma?esnius rizikos priedus 35
ES kibernetinio saugumo strategija Sukurti nuosekli? tarptautin? Europos S?jungos kibernetin?s erdv?s politik? ir remti pagrindines ES vertybes ? Kibernetin?s erdv?s klausim? susiejimas su ES i?or?s santykiais ir bendra i?or?s ir saugumo politika ? Bus siekiama suformuoti nuosekli? ES tarptautin? kibernetin?s erdv?s politik? ? Bus remiamas elgesio norm? formavimas ir pasitik?jimo stiprinimo priemon?s kibernetinio saugumo klausimais ? Bus remiamos pagrindini? teis?s, ?skaitant prieigos prie informacijos ir ?od?io laisv?s, palaikymas ir apsauga ? Kartu su tarptautiniais partneriais ir organizacijomis, priva?iuoju sektoriumi ir pilietine visuomene ?sipareigojama remti bendr? paj?gum? stiprinim? tre?iosiose ?alyse, kad pager?t? prieiga prie informacijos ir prie atviro interneto; taip pat kad b¨±t? i?vengta kibernetini? gr?smi? ir jos b¨±t? ?veiktos; pl?tojamas donor? koordinavimas ? Bus naudojamos skirtingos ES pagalbos priemon?s kibernetinio saugumo paj?gumams stiprinti, ?skaitant teis?saugos, teism? ir technini? darbuotoj? apmokym? kovai su kibernetin?mis gr?sm?mis ? Bus stiprinami politikos koordinavimas ir keitimasis informacija per ypatingos svarbos informacin?s infrastrukt¨±ros apsaugos bendradarbiavimo tinklus 36
ES kibernetinio saugumo koordinavimo schema Tinkl? ir informacinis Teis?sauga Gynyba saugumas ??Komisija ir ENISA ? CERT-EU ? EC3 (Europolas) ? EEAS ? Kompetenting? ? CEPOL ? ES gynybos ES agent¨±ra institucij? tinklas ? Eurojustas ? EP3R Pramon? Akademin? bendruomen? NACIONA- ? Nacionalin?s LINIS LYG- kompiuterini? incident? ??Nacionaliniaikovos ??Nacionalin?s tyrimo tarnybos(CERT) su elektroniniais gynybos ir saugumo MUO ? TIS kompetentingos nusikaltimais institucijos? institucijos padaliniai 37
ES kibernetinio saugumo strategija ? 2012 m. pabaigoje ?kurta ES Friends of Presidency on Cyber Issues (FoP Cyber) patariamoji darbo grup? Kibernetin?s erdv?s ir Strategijos klausimamas spr?sti ? Strategija aptariama ma?iausiai 15-je ES Tarybos darbo grupi?: ? Political and Security Committee (PSC) ? .. ? Politico-Military Group ? Dabar teikiamos pozicijos ir pasi¨±lymai Strategijai ? FoP Cyber darbo grup? apibendrins ir parengs ES Tarybos i?vadas d?l ?ios Strategijos (Airijos pirmininkavimas) ? Strategijos t?stinumo klausimai Lietuvos pirmininkavimo metu 38
Lietuvos i??¨±kiai rengiantis pirmininkauti ES Tarybai ? Lietuvos IT infrastrukt¨±ros sauga ? Pos?d?i? patalpos ? Vie?bu?iai (vir? 30.000 sve?i?) ? Vie?ai prieinami interneto prieigos ta?kai ? ..? ? Lietuvos institucij? veikla kibernetinio saugumo srityje pirmininkavimo metu ? Pozicij? darbo grup?se rengimas ir derinimas ? ES e-vald?ios konferencija (2013 11 14-15) ? ES ¡°ICT 2013¡± forumas (2013 11 6-8) ? ES ir Ryt? partneryst?s ?ali? vadov? susitikimas ir verslo forumas (2013 11 28-29) 39 ? ..?
Du keliai 40
D?kojame D?KOJAME U? u? d?mes? D?MES? gintaras.ciurlionis@vrm.lt Vilnius 2013 04 11 41

More Related Content

Gintaras ?iurlionis. Kibernetin?s erdv?s i??¨±kiai Lietuvoje ¨C teisiniai, instituciniai, administraciniai aspektai.

  • 1. Kibernetin?s erdv?s i??¨±kiai Lietuvoje ¨C teisiniai, instituciniai, administraciniai aspektai ir j? perspektyvos. Tarptautinis bendradarbiavimas kibernetinio saugumo klausimais. Gintaras ?iurlionis Informatikos ir ry?i? departamentas prie Lietuvos Respublikos vidaus reikal? ministerijos gintaras.ciurlionis@vrm.lt ? Vilnius ? 2013 04 11 1
  • 2. Informatikos ir ry?i? departamentas ? Informacijos elektronin?je erdv?je sauga ? Informacini? i?tekli? valdymo ?statymas (valstyb?s informacini? i?tekli? sauga) ? Nacionalin? SPT ? IT ir ry?i? sistem? k¨±rimas ir prie?i¨±ra ? IS (informacin?s sistemos, duomen? baz?s, programos) ? Ry?iai (tinklai) 2
  • 3. ?vadas Kibernetin?s erdv?s i??¨±kiai Lietuvoje: ? Kibernetinio saugumo teisinio reguliavimo raida ir b¨±sena ? Institucijos, veikian?ios kibernetinio saugumo stiprinimo srityje, j? bendradarbiavimas, kompetencijos ? Kibernetin?s saugos koordinavimo teisin? sistema ir praktiniai aspektai ? Tarptautinis atstovavimas kibernetinio saugumo klausimais ? Lietuvos pirmininkavimas Europos Tarybai ¨C kibernetinio saugumo i??¨±kiai 3
  • 4. e-i??¨±kiai, e-gr?sm?s ? e-pa?tas ? e-verslas (e-bankas, e-pinigai,...) ? e- vartotojas (e-tapatyb?, e-para?as, e-biometrija, e-sveikata, ¡­) ? e-vyriausyb? (e-paslaugos, e-rinkimai, e-mokes?iai, ¡­) ? e-nusikaltimai (e-policija, e-byla, e-kalinys, ...) ? e-atakos (e-ginklai, e-karai, ¡­) Kibernetin?s atakos ¨C kaip paslaugos! Malware as a Service 4
  • 5. Kibernetin?s erdv?s i??¨±kiai Lietuvoje Nuo ¡°IT problem?¡± iki i??¨±ki? nacionaliniam saugumui: ? Kibernetinis nusikalstamumas ? ¡°Cyber Crime¡± ? Kibernetin? gynyba ? ¡°Cyber Defence¡± ? Kritin?s infrastrukt¨±ros atakos ? hakeri? ar kriminalini? grupi? veikla ? vis da?niau centralizuotai valdoma ? valstybini? agent¨±r? veikla 5
  • 6. Kibernetin?s atakos Lietuvoje DDoS (Distributed Denial of Service) atakos prie? Lietuvos Banko IT infrastrukt¨±r? 2012 m. sausio 27 ¨C vasario 02 dienomis 6
  • 7. Kibernetiniai ginklai? Energetikoje R&D ? ¡­ jie yra pigesni ir lengviau panaudojami, negu fizin?s atakos 7
  • 8. Kibernetinio saugumo teisinio reguliavimo raida ir b¨±sena Lietuvoje ? 1997: Bendrieji elektronin?s informacijos saugos valsyb?s institucij? ir ?staig? informacin?se sistemose reikalavimai Esminiai reikalavimai informacin?s sistemos valdytojui ? 2000: Valstyb?s informacin?s infrastrukt¨±ros situacijos ?vertinimas Informacijos saugos suvokimo lygis, ?ios srities politika, vyriausybini? ?staig? apsaugos laipsnis ? 2001: Informacijos technologij? saugos valstybin? strategija Pirm? kart? nurodyta valstybinio sektoriaus informacijos technologij? saugos svarba ? 2006: Elektronin?s informacijos saugos valstyb?s institucij? informacin?se sistemose strategija (iki 2008 met?) ? nustatyti pagrindiniai elektronin?s informacijos saugos u?tikrinimo principai, tikslai, u?daviniai, j? ?gyvendinimas ? nuo 2008 met? n?ra galiojan?ios elektronin?s informacijos saugos valstyb?s informacin?se sistemose strategijos ? 2011: Nacionalin? elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros 2011¨C2019 programa 8 ? 2011: Valstyb?s informacini? i?tekli? valdymo ?statymas
  • 9. 2011 iniciatyvos Kibernetin?s gr?sm?s Konfidencialumas Kibernetin? sauga Vientisumas Prieinamumas 9
  • 10. Elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros 2011- 2019 metais programa * Programos strateginis tikslas ¨C pl?toti elektronin?s informacijos saug? Lietuvoje, u?tikrinti kibernetin? saugum? ir pasiekti, kad b¨±t? u?tikrintas: ? valstyb?s informacini? i?tekli? saugumas ? ypatingos svarbos informacin?s infrastrukt¨±ros efektyvus funkcionavimas ? Lietuvos gyventoj? ir asmen?, esan?i? Lietuvoje, saugumas kibernetin?je erdv?je Valstyb? Gyventojai Kritin? infrsatrukt¨±ra *) Patvirtinta LRV 2011 m. bir?elio 29 d. nutarimu Nr. 796 10
  • 11. Programos strukt¨±ra 3 Tikslai 10 Priemoni? 59 Vertinimo kriterijai U? kriterij? ?gyvendinim? atsakingos institucijos ?gyvendinimo sistema Programa n?ra priemoni? planas ! 11
  • 12. Atsakingos institucijos ? Atsako u?: ? programos tiksl? ir u?davini? ?gyvendinim? ? vertinimo kriterij? rodikli? pasiekim? ? Numato: ? rezultato pasiekimo reik?m? planuojamu laikotarpiu, atsi?velgdamos ? Programoje numatytus u?davinius ir siekiamus rezultatus ? Pasirenka ir suplanuoja: ? l??as ? ?traukia: ? priemones ? strateginius veiklos planus ir metinius veiklos planus ? Pateikia: ? informacij? VRM apie pra?jusiais metais vykdytas priemones ir pasiektus rezultatus 12
  • 13. Institucijos, dalyvaujan?ios ?gyvendinime Ministro Pirmininko Vidaus reikal? Kra?to apsaugos tarnyba ministerija ministerija Policijos departamentas prie Vidaus Valstyb?s reikal? sugumo ministerijos departamentas Kibernetinio Finans? ministerija Susisiekimo ministerija saugumo Ry?i? reguliavimo tarnyba Programa ?kio ministerija Valstybin? duomen? Energetikos apsaugos Vie?ojo ministerija inspekcija administravimo institucijos, teikian?ios Lietuvos mokslo ir ?vietimo ir paslaugas studij? institucij? mokslo ministerija kibernetin?je kompiuterinio erdv?je tinklas LITNET 13
  • 14. Numatomos kibernetinio saugumo pl?tros programos teigiamos pasekm?s ? l??? panaudojimas saugos priemon?ms taps optimalus ? padid?s pasitik?jimas kibernetine erdve ? bus pagerintos s?lygos pl?toti ir teikti IRT pagalba teikiamas paslaugas, padid?s ?i? paslaug? prieinamumas visuomenei ? bus sudarytos s?lygos ma?inti socialin? atskirt? ir socialin? diferenciacij?, didinti socialin? apr?pt? Preliminarus programos ?gyvendinimui l??? poreikis iki 2019 met? yra apie 92 mln. Lt, i? j? pirmaisiais programos ?gyvendinimo metais (2011 - 2012) l??? poreikis buvo apie 17 mln. Lt 14
  • 15. 2012-2014 m. VRM strateginis veiklos planas Suformuota nauja strateginio veiklos plano programa ¡°Elektronin?s informacijos saugos (kibernetinio saugumo) politikos ?gyvendinimas ir vidaus reikal? sistemos infrastrukt¨±ros pl?tra¡± ?gyvendina Informatikos ir ry?i? departamentas prie Vidaus reikal? ministerijos 15
  • 16. 2013 m. veiklos plano priemon?s ? ?diegti Valstyb?s informacini? i?tekli? atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?senos sistem? ? Atlikti Vidaus reikal? informacin?s sistemos (VRIS), Lietuvos nacionalin?s ?engeno informacin?s sistemos (N.SIS) ir Lietuvos nacionalin?s viz? informacin?s sistemos (N.VIS) informacini? technologij? saugos reikalavim? atitikties vertinim? ? Atlikti Vidaus reikal? informacin?s sistemos (VRIS), Lietuvos nacionalin?s ?engeno informacin?s sistemos (N.SIS) ir Lietuvos nacionalin?s viz? informacin?s sistemos (N.VIS) gr?smi? ir pa?eid?iamum? vertinim? 16
  • 17. Investicinis projektas ¡°Valstyb?s informacini? i?tekli? atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?senos sistemos ?diegimas¡± ? ?gyvendina Elektronin?s informacijos saugos (kibernetinio saugumo) pl?tros programos vertinimo kriterij? Nr.6. ? Projekto tikslas ¨C vykdyti nuolatin?, i?sami?, visaapiman?i? ir efektyvi? valstyb?s informacini? sistem? (ateityje ¨C registr?, ypatingos svarbos informacin?s infrastrukt¨±ros objekt?) atitikties elektronin?s informacijos saugos (kibernetinio saugumo) reikalavimams steb?sen?, kad b¨±t? sudarytos s?lygos koordinuoti elektronin?s informacijos saug? (kibernetin? saugum?), u?tikrinti valstyb?s informacini? i?tekli? saugum?. ? Terminas ¨C 2013-2014 m. ? Vertinimo kriterijaus reik?m?s ¨C Atitikties steb?senos sistema stebim? valstyb?s informacini? sistem? dalis, procentais: ? 2014 m. ¨C 30 proc., 2015 m. ¨C 60 proc., 2019 m. ¨C 100 proc. 17
  • 18. Koordinacija ? Vidaus reikal? ministerija, kaip Programos ?gyvendinimo koordinator? ? Pri?i¨±ri, kaip ?gyvendinami: ? Programos strateginis tikslas ? kiti tikslai ? u?daviniai ? atlieka tarpin? Programoje numatyt? u?davini? ir j? vertinimo kriterij? reik?mi? poky?i? per?i¨±r? ? prireikus inicijuoja Programos atnaujinim? ? Teikia informacij? apie Programos ?gyvendinim? ir rezultatus VRM metin?je veiklos ataskaitoje Vyriausybei ? Yra pagrindin? 26-i? Programos priemoni? vykdytoja ? Prisideda prie kit? Programos priemoni? ?gyvendinimo 18
  • 19. Elektronin?s informacijos saugos (kibernetinio saugumo) koordinavimo komisija * ? Vidaus reikal? viceministras (Komisijos pirmininkas) ? Informatikos ir ry?i? departamento prie VRM direktorius (Komisijos pirmininko pavaduotojas) ? Kra?to apsaugos ministerijos atstovas ? Ry?i? ir informacini? sistem? tarnybos prie KAM atstovas ? Vyriausybini? ry?i? centro prie VSD atstovas ? U?sienio reikal? ministerijos atstovas ? Lietuvos Respublikos Ministro Pirmininko tarnybos atstovas ? Teisingumo ministerijos atstovas ? Ry?i? reguliavimo tarnybos atstovas ? Policijos departamento atstovas ? Susisiekimo ministerijos atstovas ? Valstybin?s duomen? apsaugos inspekcijos atstovas *) 2012 04 25 LRV nutarimas Nr. 468 19
  • 20. Tarptautinis bendradarbiavimas ? Baltijos regiono vektorius ? NB8 ? LT-LV-EE kibernetinio saugumo koordinatori? susitikimai ? atstovo delegavimas ? CCD COE (Cooperative Cyber Defence Centre of Excellence) ? CERT koordinatori? susitikimai ? Tarptautiniai ry?iai ? Dvi?aliai ? ES, ESBO, NATO ? Tarptautiniai susitikimai ? Pratybos 20
  • 21. Bendros s?sajos su NATO ir ES ? Nacionalinis saugumas ir kova su terorizmu ? Europos Tarybos kovos su terorizmu programa "Prevention, Preparedness and Consequence Management of Terrorism and other Security Risks¡° 2007-2013, € 140 milijon? ? Kibernetin?s saugos paj?gum? vystymas ? Kibernetinio saugumo (tyrim?, prevencijos) centrai ? I?ankstinio ?sp?jimo platformos ir reagavimo komandos ? CERTs, CSIRT, Watch and Warning center's ? supervisory control systems and networks ? Pratybos ir mokymai ? Patikimumas, Standartai, Atsparumas ? Programin?s ?rangos ir informacijos patikimumo priemon?s ? Traptautiniai standartai ir gerosios praktikos ? Krizi? valdymas ir prevencija 21
  • 22. Lietuvos atstovavimas ES iniciatyvose ? Stokholmo programa 2010-2014 m. ? 4.4.4. Elektroniniai nusikaltimai ? Europos skaitmenin? darbotvark? ? Septyni tikslai ? didesnis pasitik?jimas internetu ir jo saugumas ? Ypatingos svarbos infrastrukt¨±ros objekt? apsaugos veiksm? planas ? Action Plan on Critical Information Infrastructure Protection (CIIP) ? THE EUROPEAN FORUM FOR MEMBER STATES (EFMS) ? 13- tas EFMS forumas Briuselyje 2013 04 19 ? ES kovos su elektroniniu nusikalstamumu centras ? Nuo 2013 m. veikia Europol¡®e 22
  • 23. ES teisin? ir politin? aplinka ? 2001 Budape?to KONVENCIJA d?l elektronini? nusikaltim?, ?statymu ratifikuota Lietuvoje ? ET PAMATINIS SPRENDIMAS d?l atak? prie? informacines sistemas, 2005/222/TVR, 2005 02 24 ? Tarybos I?VADOS d?l elektronini? nusikaltim? 13893/2/08, 2007 11 8-9 ? EK KOMUNIKATAS (Europos Parlamentui, Tarybai ir Europos Region? Komitetui) bendrosios politikos, skirtos kovai su elektroniniais nusikaltimais, linkme, COM(2007) 267, 2007 05 22 ? EK PASI?LYMAS d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti Direktyvos, 2013 02 07 ?EK KOMUNIKATAS Europos Parlamentui, Tarybai ir Europos Region? Komitetui ES - kibernetin?s erdv?s saugos STRATEGIJA, 2013 02 07 23
  • 24. ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) ? ?ia direktyva ? nustatomi ?pareigojimai visoms valstyb?ms nar?ms, susij? su tinkl? ir informacin?ms sistemoms poveikio turin?ios rizikos ir incident? prevencija, valdymu ir atsakomaisiais veiksmais ? sukuriamas valstybi? nari? bendradarbiavimo mechanizmas, skirtas u?tikrinti vienod? ?ios direktyvos taikym? visoje S?jungoje ir, kai reikia, koordinuot? ir efektyv? tinkl? ir informacin?ms sistemoms poveikio turin?i? rizikos ir incident? valdym? ir atsakomuosius veiksmus ? nustatomi saugumo reikalavimai rinkos dalyviams ir vie?ojo administravimo institucijoms 24
  • 25. ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Nacionalin?s tinkl? ir informacijos saugumo (TIS) sistemos: ? Nacionalin? TIS strategija ir minimal¨±s reikalavimai jai: ? Tikslai ir prioritetai, nustatyti remiantis rizikos ir incident? analize ? Valdymo sistema, apimanti vaidmen? ir atsakomybi? nustatym? ? Bendr?j? parengties, atsakom?j? veiksm? ir atk¨±rimo priemoni? nustatymas ? ?vietimo, informuotumo didinimo ir mokymo program? nurodymas ? Mokslini? tyrim? bei pl?tros planai ir susiejimas su prioritetais ? Nacionalinis TIS bendradarbiavimo planas ir minimal¨±s reikalavimai jam: ? rizikos ?vertinimo planas, skirtas rizikai nustatyti ir galim? incident? poveikiui ?vertinti ? plano ?gyvendinime dalyvaujan?i? subjekt? vaidmen? ir atsakomyb?s nustatymas ? bendradarbiavimo ir komunikavimo proces?, u?tikrinan?i? incident? prevencij?, nustatym?, atsakomuosius veiksmus, remont? bei veiklos atk¨±rim? ir sumoduliuot? pagal pavojaus lyg?, nustatymas ? TIS pratyb? ir mokymo gair?s planui sustiprinti, patvirtinti ir i?bandyti. ?gyta patirtis 25 registruojama ir ?traukiama ? atnaujint? plan?
  • 26. ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Nacionalin?s tinkl? ir informacijos saugumo (TIS) sistemos ? Nacionalin? TIS kompetentinga institucija ir minimal¨±s reikalavimai jai ? Stebi ?ios direktyvos taikym? nacionaliniu lygmeniu ir padeda nuosekliai j? taikyti visoje S?jungoje ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos tur?t? pakankamai technini?, finansini? ir ?mogi?k?j? i?tekli?, kad gal?t? efektyviai ir veiksmingai vykdyti joms pavestas funkcijas ? Valstyb?s nar?s u?tikrina efektyv?, veiksming? ir saug? kompetenting? institucij? bendradarbiavim? tam sukurtame tinkle ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos gaut? prane?imus apie incidentus i? vie?ojo administravimo institucij? ir rinkos dalyvi? ir kad joms b¨±t? suteikti ?gyvendinimo ir vykdymo u?tikrinimo ?galiojimai ? Kompiuterini? incident? tyrimo tarnyba (CERT) ir reikalavimai jai (joms) ? Atsakinga (-os) u? incident? ir rizikos valdym? taikant tiksliai nustatyt? proces?, kuris atitinka Direktyvoje nustatytus reikalavimus ? Valstyb?s nar?s u?tikrina, kad CERT tur?t? pakankamai technini?, finansini? ir ?mogi?k?j? i?tekli?, kad gal?t? efektyviai vykdyti u?duotis ? Valstyb?s nar?s u?tikrina, kad nacionaliniu lygmeniu CERT remt?si saugia ir atsparia ry?i? ir informacine 26 infrastrukt¨±ra ir b¨±t? su ja s?veiki
  • 27. ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) TIS kompetenting? institucij? ir Komisijos bendradarbiavimas ? Bendradarbiavimo tinklas, kuriame: ? Skelbiami i?ankstiniai persp?jimai apie rizikas ir incidentus ? U?tikrinami koordinuoti atsakomieji veiksmai ? Aptariamos ir vertinamos nacionalin?s TIS strategijos ir nacionaliniai TIS bendradarbiavimo planai ? Rengiamos TIS pratybos ES lygmeniu, aptariamas ir ?vertinamas CERT efektyvumas ? Rengiamas geb?jim? ir pasirengimo tarpusavio vertinimas ? Bendradarbiaujama, kei?iamasi informacija ir patirtimi su Komisija, EC3 ir kitomis institucijomis ? Saugi dalijimosi informacija sistema, skirta keistis slapta ir konfidencialia informacija ? ?pareigojimas teikti i?ankstinius persp?jimus apie rizikas ir incidentus, kai j? mastas spar?iai auga ar gali augti, kai nepakanka ar gali nepakakti nacionalini? paj?gum?, kai paveikiama ar gali b¨±ti paveikta daugiau nei viena valstyb? nar? ? ES TIS bendradarbiavimo planas ir koordinuoti atsakomieji veiksmai ? Tarptautinis bendradarbiavimas 27
  • 28. ES Direktyva d?l priemoni? auk?tam bendram tinkl? ir informacini? sistem? saugumo lygiui visoje S?jungoje u?tikrinti (projektas) Vie?ojo administravimo institucij? ir rinkos dalyvi? (subjekt?) TIS ? Rinkos dalyviai ? informacin?s visuomen?s paslaug? (e. prekyba, interneto mok?jimai, socialiniai tinklai, paie?kos sistemos, ?debes?¡° kompiuterija, priegloba, taikom?j? program? parduotuv?s) teik?jai; ? ypatingos svarbos infrastrukt¨±ros (energetika, transportas, bankininkyst?, finans? rink? infrastrukt¨±ra, sveikatos sektorius) operatoriai ? netaikoma labai ma?oms ?mon?ms, ma?osioms arba vidutin?ms ?mon?ms (pagal Komisijos rekomendacij?) ? Valstyb?s nar?s u?tikrina, kad ?ie subjektai imt?si reikiam? technini? ir organizacini? priemoni?, kad gal?t? valdyti rizik?, kylan?i? tinkl? ir informacini? sistem?, kurias jie kontroliuoja ir kuriomis naudojasi savo veikloje, saugumui ? Valstyb?s nar?s u?tikrina, kad subjektai prane?t? kompetentingoms institucijoms apie incidentus, kurie turi didel? poveik? pagrindini? j? teikiam? paslaug? saugumui ? Valstyb?s nar?s u?tikrina, kad kompetentingos institucijos tur?t? ?galiojimus: ? Nagrin?jant atvejus kai subjektai nesilaiko ?pareigojim? ? Reikalaujant subjektams pateikti b¨±tin? informacij? norint ?vertinti j? TIS ? Reikalaujant sutikti atlikti saugumo audit? ir pateikti rezultatus ? Teikti privalomus nurodymus subjektams 28
  • 29. ES kibernetinio saugumo strategija ES Komisijos pateiktoje Strategijoje i?d?stoma ES kibernetinio saugumo vizija ?Atvira, saugi ir patikima kibernetin? erdvdv?¡° ir nurodomi penki prioritetai: ? Pasiekti kibernetin? atsparum? ? Radikaliai suma?inti elektronini? nusikaltim? skai?i? ? Sukurti kibernetin?s gynybos politik? ir paj?gumus, susijusius su bendra saugumo ir gynybos politika (BSGP) ? Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Sukurti nuosekli? tarptautin? Europos S?jungos kibernetin?s erdv?s politik? ir remti pagrindines ES vertybes *) 2013 m. vasario 7 d. JOIN(2O13) 1 final. Bendras Komunikatas Europos Parlamentui, Tarybai, Europos Ekonomikos ir socialini? reikal? komitetui ir Region? komitetui 29
  • 30. ES kibernetinio saugumo strategija Pasiekti kibernetin? atsparum? ? Bus t?siama Jungtinio tyrim? centro vykdom? veikla, siekiant nustatyti TIS pa?eid?iamum? itin svarbioje Europos infrastrukt¨±roje ir paskatinti atspari? sistem? k¨±rim? ? Bus inicijuotas ES finansuojamas bandomasis projektas d?l kovos su kenksmingu programiniu kodu apkr?st? kompiuteri? tinklais ir kenkimo programine ?ranga ? ENISA pad?s valstyb?ms nar?ms stiprinti nacionalinius kibernetinio atsparumo paj?gumus ? Pramon?s kontrol?s sistemoms (SCADA) skirtos reagavimo ? kompiuterinius saugumo incidentus tarnybos ? Reguliarios visos Europos kibernetini? incident? pratybos ? Pasi¨±lymas d?l direktyvos d?l bendro auk?to lygio tinkl? ir informacijos saugumo visoje S?jungoje ? Raginimas pramonei siekti lyderyst?s investuojant ? auk?to lygio kibernetin? saugum?, formuoti geriausi? patirt? ir dalytis informacija sektoriniu lygmeniu ir su vie?ojo sektoriaus institucijomis 30
  • 31. ES kibernetinio saugumo strategija Informuotumo didinimas ? planas d?l vartotoj? ra?tingumo tinkl? ir informacijos saugumo srityje ¨C savanori?kos sertifikavimo programos ? 2014 m. su ENISA parama bus organizuotas kibernetinio saugumo ?empionatas ? nuo 2013 m. kasmet rengti ?kibernetinio saugumo m?nes?¡°; nuo 2014 m. ES ir JAV bus tuo pa?iu metu rengiamas ?kibernetinio saugumo m?nuo¡° ? padidinti nacionalines pastangas vykdyti ?vietim? ir profesin? mokym? TIS klausimais ? ?vietim? TIS klausimais mokyklose iki 2014 m. ? TIS, saugios programin?s ?rangos pl?tros ir asmens duomen? apsaugos mokym? kompiuterijos studentams ? bazin? mokym? TIS klausimais vie?ojo administravimo ?staig? darbuotojams ? Raginimas pramonei siekti didinti suvokim? apie kibernetin? saugum? visais lygmenimis: ir verslo procesuose, ir bendraujant su klientais; pavesti didesn? atskaitomyb? generaliniams direktoriams ir valdyboms u? kibernetinio saugumo u?tikrinim? 31
  • 32. ES kibernetinio saugumo strategija Radikaliai suma?inti elektronini? nusikaltim? skai?i? ? Grie?ti ir veiksmingi teis?s aktai ? Spartus direktyv? d?l elektronini? nusikaltim? perk?limas ir ?gyvendinimas ? Budape?to konvencijos d?l elektronini? nusikaltim? ?gyvendinimas ? Veiklos paj?gum? kovai su elektroniniais nusikaltimais didinimas ? finansavimo programomis valstyb?ms nar?ms bus padedama nustatyti spragas ir sustiprinti elektronini? nusikaltim? tyrimo ir kovos su jais paj?gumus ? bus koordinuojamos pastangos nustatyti kovos su elektroniniais nusikaltimais geriausi? praktik? ir geriausias turimas technologijas ? Bus glaud?iai bendradarbiaujama su Europos kovos su elektroniniu nusikalstamumu centru (EC3) ir su Eurojustu siekiant tokius politikos modelius suderinti su geriausia operatyvine patirtimi ? ES lygmens koordinavimo gerinimas ? EC3 bus remiamas kaip Europos kovos su elektroniniais nusikaltimais ry?i? centras ? Bus remiamos pastangos padidinti domen? vard? registratori? atskaitomyb? ir u?tikrinti informacijos apie svetain?s savinink? tikslum? ? bus stiprinamos ES pastangos kovoti su seksualine prievarta prie? vaikus internete 32
  • 33. ES kibernetinio saugumo strategija Sukurti kibernetin?s gynybos politik? ir paj?gumus, susijusius su bendra saugumo ir gynybos politika ? Bus ?vertinti operatyviniai ES kibernetin?s gynybos reikalavimai ir skatinama ES kibernetin?s gynybos paj?gum? ir technologin? pl?tra atsi?velgiant ? visus paj?gum? pl?tros aspektus ? Bus pl?tojama ES kibernetin?s gynybos politikos sistema (?skaitant dinamin? rizikos valdym?, patobulint? gr?smi? analiz? ir dalijim?si informacija). Bus pagerintos kibernetin?s gynybos mokymo ir pratyb? galimyb?s kari?kiams europiniu ir tarptautiniu mastu ? Bus skatinamas dialogas ir koordinavimas tarp civilini? ir karini? subjekt? Europos S?jungoje ? Bus u?tikrinamas dialogas su tarptautiniais partneriais, ?skaitant NATO, kitas tarptautines organizacijas ir daugia?alius kompetencijos centrus 33
  • 34. ES kibernetinio saugumo strategija Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Kibernetinio saugumo preki? bendrosios rinkos skatinimas ? Bus sukurta vie??j? ir privat?j? sektorius jungianti TIS sprendim? platforma ? Remiantis platformos darbo rezultatais bus pasi¨±lytos rekomendacijos, pagal kurias kibernetinis saugumas b¨±t? u?tikrintas visoje IRT vert?s grandin?je ? Bus siekiama, kad did?iausi IRT technin?s ir programin?s ?rangos tiek?jai gal?t? informuoti nacionalines kompetentingas institucijas apie nustatyt? ?didel?¡° pa?eid?iamum? ? ENISA parengs tinkl? ir informacijos saugumo standart? ir geriausios patirties diegimo vie?ajame ir priva?iajame sektoriuose technines gaires ir rekomendacijas ? Bus skatinami IRT preki? ir paslaug? teik?jai, kad jie kurt? ir diegt? saugumo standartus, technines normas, saugumo principus, pagal kuriuos nuo pat prad?i? atsi?velgiama ? saugum? ir privatum?; naujos kartos ?ranga tur?t? b¨±ti su stipresn?mis, ?terptomis ir patogiomis saugumo priemon?mis ? Bus siekiama informuoti vartotojus sukuriant produkt? saugumo ?enklinim? 34
  • 35. ES kibernetinio saugumo strategija Pl?toti pramon?s ir technologinius i?teklius kibernetiniam saugumui u?tikrinti ? Mokslini? tyrim? ir technologij? pl?tros (MTTP) investicij? ir inovacij? palaikymas ? Numatoma naudoti Horizon 2020 finansin? priemon?, siekiant spr?sti ?vairius IRT privatumo ir saugumo klausimus visuose etapuose, pl?tojant priemones ir ?rankius kovai su nusikalstama ir teroristine veikla, kuri nukreipta ? kibernetin? aplink? ? Numatoma sukurti geresnius ES institucij? ir valstybi? nari? mokslini? tyrim? darbotvarki? koordinavimo mechanizmus ir suteikti paskat? valstyb?ms nar?ms daugiau investuoti ? MTTP ? Siekiama sukaupti ir panaudoti geriausi? patirt?, kaip panaudoti vie?ojo administravimo ?staig? perkam?j? gali? skatinant saugumo funkcij? pl?tr? ir diegim? IRT prek?se ir paslaugose ? Numatoma skatinti ankstyv? pramon?s ir akademini? sluoksni? ?sitraukim? pl?tojant ir koordinuojant sprendimus ? Numatoma nustatyti ry?k?jan?ias tendencijas ir poreikius atsi?velgiant ? elektronini? nusikaltim? raid? ir kibernetinio saugumo modelius, kad b¨±t? sukurtos tinkamos teismin?s skaitmenin?s priemon?s ir technologijos ? Bendradarbiaujant su draudimo sektoriumi numatoma sukurti suderintus rizikos pried? apskai?iavimo parametrus, kurie sudaryt? s?lygas ? saugum? investavusioms bendrov?ms mok?ti ma?esnius rizikos priedus 35
  • 36. ES kibernetinio saugumo strategija Sukurti nuosekli? tarptautin? Europos S?jungos kibernetin?s erdv?s politik? ir remti pagrindines ES vertybes ? Kibernetin?s erdv?s klausim? susiejimas su ES i?or?s santykiais ir bendra i?or?s ir saugumo politika ? Bus siekiama suformuoti nuosekli? ES tarptautin? kibernetin?s erdv?s politik? ? Bus remiamas elgesio norm? formavimas ir pasitik?jimo stiprinimo priemon?s kibernetinio saugumo klausimais ? Bus remiamos pagrindini? teis?s, ?skaitant prieigos prie informacijos ir ?od?io laisv?s, palaikymas ir apsauga ? Kartu su tarptautiniais partneriais ir organizacijomis, priva?iuoju sektoriumi ir pilietine visuomene ?sipareigojama remti bendr? paj?gum? stiprinim? tre?iosiose ?alyse, kad pager?t? prieiga prie informacijos ir prie atviro interneto; taip pat kad b¨±t? i?vengta kibernetini? gr?smi? ir jos b¨±t? ?veiktos; pl?tojamas donor? koordinavimas ? Bus naudojamos skirtingos ES pagalbos priemon?s kibernetinio saugumo paj?gumams stiprinti, ?skaitant teis?saugos, teism? ir technini? darbuotoj? apmokym? kovai su kibernetin?mis gr?sm?mis ? Bus stiprinami politikos koordinavimas ir keitimasis informacija per ypatingos svarbos informacin?s infrastrukt¨±ros apsaugos bendradarbiavimo tinklus 36
  • 37. ES kibernetinio saugumo koordinavimo schema Tinkl? ir informacinis Teis?sauga Gynyba saugumas ??Komisija ir ENISA ? CERT-EU ? EC3 (Europolas) ? EEAS ? Kompetenting? ? CEPOL ? ES gynybos ES agent¨±ra institucij? tinklas ? Eurojustas ? EP3R Pramon? Akademin? bendruomen? NACIONA- ? Nacionalin?s LINIS LYG- kompiuterini? incident? ??Nacionaliniaikovos ??Nacionalin?s tyrimo tarnybos(CERT) su elektroniniais gynybos ir saugumo MUO ? TIS kompetentingos nusikaltimais institucijos? institucijos padaliniai 37
  • 38. ES kibernetinio saugumo strategija ? 2012 m. pabaigoje ?kurta ES Friends of Presidency on Cyber Issues (FoP Cyber) patariamoji darbo grup? Kibernetin?s erdv?s ir Strategijos klausimamas spr?sti ? Strategija aptariama ma?iausiai 15-je ES Tarybos darbo grupi?: ? Political and Security Committee (PSC) ? .. ? Politico-Military Group ? Dabar teikiamos pozicijos ir pasi¨±lymai Strategijai ? FoP Cyber darbo grup? apibendrins ir parengs ES Tarybos i?vadas d?l ?ios Strategijos (Airijos pirmininkavimas) ? Strategijos t?stinumo klausimai Lietuvos pirmininkavimo metu 38
  • 39. Lietuvos i??¨±kiai rengiantis pirmininkauti ES Tarybai ? Lietuvos IT infrastrukt¨±ros sauga ? Pos?d?i? patalpos ? Vie?bu?iai (vir? 30.000 sve?i?) ? Vie?ai prieinami interneto prieigos ta?kai ? ..? ? Lietuvos institucij? veikla kibernetinio saugumo srityje pirmininkavimo metu ? Pozicij? darbo grup?se rengimas ir derinimas ? ES e-vald?ios konferencija (2013 11 14-15) ? ES ¡°ICT 2013¡± forumas (2013 11 6-8) ? ES ir Ryt? partneryst?s ?ali? vadov? susitikimas ir verslo forumas (2013 11 28-29) 39 ? ..?
  • 40. Du keliai 40
  • 41. D?kojame D?KOJAME U? u? d?mes? D?MES? gintaras.ciurlionis@vrm.lt Vilnius 2013 04 11 41