Kokie kibernetinio saugumo iššūkiai šalies laukia, Lietuvai rengiantis pirmininkauti ES Tarybai?
Pranešimo autorius – Gintaras Čiurlionis. Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktorius (Lietuva).
Pranešimas skaitytas konferencijoje – INFORMACINIŲ SISTEMŲ SAUGUMAS, vykusioje 2013 m. balandžio 11d., skirtoje valstybės institucijų ir valstybinės reikšmės organizacijoms.
Gintaras Čiurlionis. Kibernetinės erdvės iššūkiai Lietuvoje – teisiniai, instituciniai, administraciniai aspektai.
1. Kibernetinės erdvės iššūkiai Lietuvoje –
teisiniai, instituciniai, administraciniai
aspektai ir jų perspektyvos.
Tarptautinis bendradarbiavimas
kibernetinio saugumo klausimais.
Gintaras Čiurlionis
Informatikos ir ryšių departamentas
prie Lietuvos Respublikos vidaus reikalų ministerijos
gintaras.ciurlionis@vrm.lt
Vilnius
2013 04 11
1
2. Informatikos ir ryšių departamentas
Informacijos elektroninėje erdvėje sauga
Informacinių išteklių valdymo įstatymas (valstybės informacinių
išteklių sauga)
Nacionalinė SPT
IT ir ryšių sistemų kūrimas ir priežiūra
IS (informacinės sistemos, duomenų bazės, programos)
Ryšiai (tinklai)
2
3. Įvadas
Kibernetinės erdvės iššūkiai Lietuvoje:
Kibernetinio saugumo teisinio reguliavimo raida ir būsena
Institucijos, veikiančios kibernetinio saugumo stiprinimo srityje, jų
bendradarbiavimas, kompetencijos
Kibernetinės saugos koordinavimo teisinė sistema ir praktiniai
aspektai
Tarptautinis atstovavimas kibernetinio saugumo klausimais
Lietuvos pirmininkavimas Europos Tarybai –
kibernetinio saugumo iššūkiai
3
5. Kibernetinės erdvės iššūkiai Lietuvoje
Nuo “IT problemų” iki iššūkių nacionaliniam
saugumui:
Kibernetinis nusikalstamumas
“Cyber Crime”
Kibernetinė gynyba
“Cyber Defence”
Kritinės infrastruktūros atakos
hakerių ar kriminalinių grupių veikla
vis dažniau centralizuotai valdoma
valstybinių agentūrų veikla
5
6. Kibernetinės atakos Lietuvoje
DDoS (Distributed Denial of Service) atakos prieš Lietuvos Banko
IT infrastruktūrą
2012 m. sausio 27 – vasario 02 dienomis
6
8. Kibernetinio saugumo teisinio
reguliavimo raida ir būsena Lietuvoje
1997: Bendrieji elektroninės informacijos saugos valsybės institucijų ir
įstaigų informacinėse sistemose reikalavimai
Esminiai reikalavimai informacinės sistemos valdytojui
2000: Valstybės informacinės infrastruktūros situacijos įvertinimas
Informacijos saugos suvokimo lygis, šios srities politika, vyriausybinių įstaigų apsaugos
laipsnis
2001: Informacijos technologijų saugos valstybinė strategija
Pirmą kartą nurodyta valstybinio sektoriaus informacijos technologijų saugos svarba
2006: Elektroninės informacijos saugos valstybės institucijų
informacinėse sistemose strategija (iki 2008 metų)
nustatyti pagrindiniai elektroninės informacijos saugos užtikrinimo principai, tikslai,
uždaviniai, jų įgyvendinimas
nuo 2008 metų nėra galiojančios elektroninės informacijos saugos valstybės
informacinėse sistemose strategijos
2011: Nacionalinė elektroninės informacijos saugos (kibernetinio
saugumo) plėtros 2011–2019 programa
8
2011: Valstybės informacinių išteklių valdymo įstatymas
10. Elektroninės informacijos saugos
(kibernetinio saugumo) plėtros 2011-
2019 metais programa *
Programos strateginis tikslas – plėtoti elektroninės
informacijos saugą Lietuvoje, užtikrinti kibernetinį saugumą ir
pasiekti, kad būtų užtikrintas:
valstybės informacinių išteklių saugumas
ypatingos svarbos informacinės infrastruktūros efektyvus funkcionavimas
Lietuvos gyventojų ir asmenų, esančių Lietuvoje, saugumas kibernetinėje
erdvėje
Valstybė Gyventojai
Kritinė
infrsatruktūra
*) Patvirtinta LRV 2011 m. birželio 29 d. nutarimu Nr. 796
10
11. Programos struktūra
3 Tikslai
10 Priemonių
59 Vertinimo kriterijai
Už kriterijų įgyvendinimą
atsakingos institucijos
Įgyvendinimo sistema
Programa nėra priemonių planas !
11
12. Atsakingos institucijos
Atsako už:
programos tikslų ir uždavinių įgyvendinimą
vertinimo kriterijų rodiklių pasiekimą
Numato:
rezultato pasiekimo reikšmę planuojamu laikotarpiu,
atsižvelgdamos į Programoje numatytus uždavinius ir
siekiamus rezultatus
Pasirenka ir suplanuoja:
lėšas
Įtraukia:
priemones į strateginius veiklos planus ir metinius
veiklos planus
Pateikia:
informaciją VRM apie praėjusiais metais vykdytas
priemones ir pasiektus rezultatus 12
13. Institucijos, dalyvaujančios
įgyvendinime
Ministro
Pirmininko Vidaus reikalų
Krašto apsaugos tarnyba ministerija
ministerija
Policijos
departamentas
prie Vidaus
Valstybės reikalų
sugumo ministerijos
departamentas
Kibernetinio
Finansų
ministerija
Susisiekimo
ministerija
saugumo
Ryšių reguliavimo
tarnyba
Programa Ūkio ministerija
Valstybinė
duomenų Energetikos
apsaugos Viešojo ministerija
inspekcija administravimo
institucijos,
teikiančios Lietuvos mokslo ir Švietimo ir
paslaugas studijų institucijų mokslo ministerija
kibernetinėje kompiuterinio
erdvėje tinklas LITNET
13
14. Numatomos kibernetinio saugumo
plėtros programos teigiamos pasekmės
lėšų panaudojimas saugos priemonėms taps
optimalus
padidės pasitikėjimas kibernetine erdve
bus pagerintos sąlygos plėtoti ir teikti IRT
pagalba teikiamas paslaugas, padidės šių
paslaugų prieinamumas visuomenei
bus sudarytos sąlygos mažinti socialinę atskirtį
ir socialinę diferenciaciją, didinti socialinę
aprėptį
Preliminarus programos įgyvendinimui lėšų poreikis iki 2019 metų yra
apie 92 mln. Lt, iš jų pirmaisiais programos įgyvendinimo metais (2011 - 2012) lėšų
poreikis buvo apie 17 mln. Lt
14
15. 2012-2014 m. VRM strateginis veiklos planas
Suformuota nauja strateginio veiklos plano programa
“Elektroninės informacijos saugos (kibernetinio
saugumo) politikos įgyvendinimas ir vidaus reikalų
sistemos infrastruktūros plėtra”
Įgyvendina Informatikos ir ryšių departamentas prie
Vidaus reikalų ministerijos
15
16. 2013 m. veiklos plano priemonės
Įdiegti Valstybės informacinių išteklių atitikties
elektroninės informacijos saugos
(kibernetinio saugumo) reikalavimams
stebėsenos sistemą
Atlikti Vidaus reikalų informacinės sistemos (VRIS), Lietuvos
nacionalinės Šengeno informacinės sistemos (N.SIS) ir Lietuvos
nacionalinės vizų informacinės sistemos (N.VIS) informacinių
technologijų saugos reikalavimų atitikties vertinimą
Atlikti Vidaus reikalų informacinės sistemos (VRIS), Lietuvos
nacionalinės Šengeno informacinės sistemos (N.SIS) ir Lietuvos
nacionalinės vizų informacinės sistemos (N.VIS) grėsmių ir
pažeidžiamumų vertinimą
16
17. Investicinis projektas “Valstybės informacinių išteklių
atitikties elektroninės informacijos saugos
(kibernetinio saugumo) reikalavimams stebėsenos
sistemos įdiegimas”
Įgyvendina Elektroninės informacijos saugos (kibernetinio
saugumo) plėtros programos vertinimo kriterijų Nr.6.
Projekto tikslas – vykdyti nuolatinę, išsamią, visaapimančią ir
efektyvią valstybės informacinių sistemų (ateityje – registrų, ypatingos
svarbos informacinės infrastruktūros objektų) atitikties elektroninės
informacijos saugos (kibernetinio saugumo) reikalavimams stebėseną,
kad būtų sudarytos sąlygos koordinuoti elektroninės informacijos
saugą (kibernetinį saugumą), užtikrinti valstybės informacinių išteklių
saugumą.
Terminas – 2013-2014 m.
Vertinimo kriterijaus reikšmės – Atitikties stebėsenos sistema
stebimų valstybės informacinių sistemų dalis, procentais:
2014 m. – 30 proc., 2015 m. – 60 proc., 2019 m. – 100 proc.
17
18. Koordinacija
Vidaus reikalų ministerija, kaip Programos įgyvendinimo
koordinatorė
Prižiūri, kaip įgyvendinami:
Programos strateginis tikslas
kiti tikslai
uždaviniai
atlieka tarpinę Programoje numatytų uždavinių ir jų vertinimo
kriterijų reikšmių pokyčių peržiūrą
prireikus inicijuoja Programos atnaujinimą
Teikia informaciją apie Programos įgyvendinimą ir rezultatus
VRM metinėje veiklos ataskaitoje Vyriausybei
Yra pagrindinė 26-ių Programos priemonių vykdytoja
Prisideda prie kitų Programos priemonių įgyvendinimo
18
19. Elektroninės informacijos saugos
(kibernetinio saugumo) koordinavimo
komisija *
Vidaus reikalų viceministras (Komisijos pirmininkas)
Informatikos ir ryšių departamento prie VRM direktorius (Komisijos
pirmininko pavaduotojas)
Krašto apsaugos ministerijos atstovas
Ryšių ir informacinių sistemų tarnybos prie KAM atstovas
Vyriausybinių ryšių centro prie VSD atstovas
Užsienio reikalų ministerijos atstovas
Lietuvos Respublikos Ministro Pirmininko tarnybos atstovas
Teisingumo ministerijos atstovas
Ryšių reguliavimo tarnybos atstovas
Policijos departamento atstovas
Susisiekimo ministerijos atstovas
Valstybinės duomenų apsaugos inspekcijos atstovas
*) 2012 04 25 LRV nutarimas Nr. 468 19
20. Tarptautinis bendradarbiavimas
Baltijos regiono vektorius
NB8
LT-LV-EE kibernetinio saugumo koordinatorių
susitikimai
atstovo delegavimas į CCD COE
(Cooperative Cyber Defence Centre of Excellence)
CERT koordinatorių susitikimai
Tarptautiniai ryšiai
Dvišaliai
ES, ESBO, NATO
Tarptautiniai susitikimai
Pratybos 20
21. Bendros sąsajos su NATO ir ES
Nacionalinis saugumas ir kova su terorizmu
Europos Tarybos kovos su terorizmu programa "Prevention,
Preparedness and Consequence Management of Terrorism
and other Security Risks“ 2007-2013, € 140 milijonų
Kibernetinės saugos pajėgumų vystymas
Kibernetinio saugumo (tyrimų, prevencijos) centrai
Išankstinio įspėjimo platformos ir reagavimo komandos
CERTs, CSIRT, Watch and Warning center's
supervisory control systems and networks
Pratybos ir mokymai
Patikimumas, Standartai, Atsparumas
Programinės įrangos ir informacijos patikimumo priemonės
Traptautiniai standartai ir gerosios praktikos
Krizių valdymas ir prevencija
21
22. Lietuvos atstovavimas ES iniciatyvose
Stokholmo programa 2010-2014 m.
4.4.4. Elektroniniai nusikaltimai
Europos skaitmeninė darbotvarkė
Septyni tikslai
didesnis pasitikėjimas internetu ir jo saugumas
Ypatingos svarbos infrastruktūros objektų apsaugos
veiksmų planas
Action Plan on Critical Information Infrastructure Protection (CIIP)
THE EUROPEAN FORUM FOR MEMBER STATES (EFMS)
13- tas EFMS forumas Briuselyje 2013 04 19
ES kovos su elektroniniu nusikalstamumu centras
Nuo 2013 m. veikia Europol‘e
22
23. ES teisinė ir politinė aplinka
2001 Budapešto KONVENCIJA dėl elektroninių nusikaltimų, įstatymu
ratifikuota Lietuvoje
ET PAMATINIS SPRENDIMAS dėl atakų prieš informacines sistemas,
2005/222/TVR, 2005 02 24
Tarybos IŠVADOS dėl elektroninių nusikaltimų 13893/2/08, 2007 11 8-9
EK KOMUNIKATAS (Europos Parlamentui, Tarybai ir Europos Regionų
Komitetui) bendrosios politikos, skirtos kovai su elektroniniais
nusikaltimais, linkme, COM(2007) 267, 2007 05 22
EK PASIŪLYMAS dėl priemonių aukštam bendram tinklų ir informacinių
sistemų saugumo lygiui visoje Sąjungoje užtikrinti Direktyvos, 2013 02 07
EK KOMUNIKATAS Europos Parlamentui, Tarybai ir Europos Regionų
Komitetui ES - kibernetinės erdvės saugos STRATEGIJA, 2013 02 07
23
24. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
• Šia direktyva
• nustatomi įpareigojimai visoms valstybėms narėms, susiję su tinklų ir
informacinėms sistemoms poveikio turinčios rizikos ir incidentų prevencija,
valdymu ir atsakomaisiais veiksmais
• sukuriamas valstybių narių bendradarbiavimo mechanizmas, skirtas
užtikrinti vienodą šios direktyvos taikymą visoje Sąjungoje ir, kai reikia,
koordinuotą ir efektyvų tinklų ir informacinėms sistemoms poveikio turinčių
rizikos ir incidentų valdymą ir atsakomuosius veiksmus
• nustatomi saugumo reikalavimai rinkos dalyviams ir viešojo
administravimo institucijoms
24
25. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Nacionalinės tinklų ir informacijos saugumo (TIS) sistemos:
• Nacionalinė TIS strategija ir minimalūs reikalavimai jai:
• Tikslai ir prioritetai, nustatyti remiantis rizikos ir incidentų analize
• Valdymo sistema, apimanti vaidmenų ir atsakomybių nustatymą
• Bendrųjų parengties, atsakomųjų veiksmų ir atkūrimo priemonių nustatymas
• Švietimo, informuotumo didinimo ir mokymo programų nurodymas
• Mokslinių tyrimų bei plėtros planai ir susiejimas su prioritetais
• Nacionalinis TIS bendradarbiavimo planas ir minimalūs reikalavimai jam:
• rizikos įvertinimo planas, skirtas rizikai nustatyti ir galimų incidentų poveikiui įvertinti
• plano įgyvendinime dalyvaujančių subjektų vaidmenų ir atsakomybės nustatymas
• bendradarbiavimo ir komunikavimo procesų, užtikrinančių incidentų prevenciją, nustatymą,
atsakomuosius veiksmus, remontą bei veiklos atkūrimą ir sumoduliuotų pagal pavojaus lygį,
nustatymas
• TIS pratybų ir mokymo gairės planui sustiprinti, patvirtinti ir išbandyti. Įgyta patirtis 25
registruojama ir įtraukiama į atnaujintą planą
26. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Nacionalinės tinklų ir informacijos saugumo (TIS) sistemos
• Nacionalinė TIS kompetentinga institucija ir minimalūs reikalavimai jai
• Stebi šios direktyvos taikymą nacionaliniu lygmeniu ir padeda nuosekliai ją taikyti visoje Sąjungoje
• Valstybės narės užtikrina, kad kompetentingos institucijos turėtų pakankamai techninių, finansinių ir
žmogiškųjų išteklių, kad galėtų efektyviai ir veiksmingai vykdyti joms pavestas funkcijas
• Valstybės narės užtikrina efektyvų, veiksmingą ir saugų kompetentingų institucijų bendradarbiavimą tam
sukurtame tinkle
• Valstybės narės užtikrina, kad kompetentingos institucijos gautų pranešimus apie incidentus iš viešojo
administravimo institucijų ir rinkos dalyvių ir kad joms būtų suteikti įgyvendinimo ir vykdymo užtikrinimo
įgaliojimai
• Kompiuterinių incidentų tyrimo tarnyba (CERT) ir reikalavimai jai (joms)
• Atsakinga (-os) už incidentų ir rizikos valdymą taikant tiksliai nustatytą procesą, kuris atitinka Direktyvoje
nustatytus reikalavimus
• Valstybės narės užtikrina, kad CERT turėtų pakankamai techninių, finansinių ir žmogiškųjų išteklių, kad
galėtų efektyviai vykdyti užduotis
• Valstybės narės užtikrina, kad nacionaliniu lygmeniu CERT remtųsi saugia ir atsparia ryšių ir informacine
26
infrastruktūra ir būtų su ja sąveiki
27. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
TIS kompetentingų institucijų ir Komisijos bendradarbiavimas
• Bendradarbiavimo tinklas, kuriame:
• Skelbiami išankstiniai perspėjimai apie rizikas ir incidentus
• Užtikrinami koordinuoti atsakomieji veiksmai
• Aptariamos ir vertinamos nacionalinės TIS strategijos ir nacionaliniai TIS bendradarbiavimo planai
• Rengiamos TIS pratybos ES lygmeniu, aptariamas ir įvertinamas CERT efektyvumas
• Rengiamas gebėjimų ir pasirengimo tarpusavio vertinimas
• Bendradarbiaujama, keičiamasi informacija ir patirtimi su Komisija, EC3 ir kitomis institucijomis
• Saugi dalijimosi informacija sistema, skirta keistis slapta ir konfidencialia informacija
• Įpareigojimas teikti išankstinius perspėjimus apie rizikas ir incidentus, kai jų mastas
sparčiai auga ar gali augti, kai nepakanka ar gali nepakakti nacionalinių pajėgumų, kai
paveikiama ar gali būti paveikta daugiau nei viena valstybė narė
• ES TIS bendradarbiavimo planas ir koordinuoti atsakomieji veiksmai
• Tarptautinis bendradarbiavimas 27
28. ES Direktyva dėl priemonių aukštam
bendram tinklų ir informacinių sistemų
saugumo lygiui visoje Sąjungoje užtikrinti
(projektas)
Viešojo administravimo institucijų ir rinkos dalyvių (subjektų) TIS
• Rinkos dalyviai
• informacinės visuomenės paslaugų (e. prekyba, interneto mokėjimai, socialiniai tinklai, paieškos
sistemos, „debesų“ kompiuterija, priegloba, taikomųjų programų parduotuvės) teikėjai;
• ypatingos svarbos infrastruktūros (energetika, transportas, bankininkystė, finansų rinkų infrastruktūra,
sveikatos sektorius) operatoriai
• netaikoma labai mažoms įmonėms, mažosioms arba vidutinėms įmonėms (pagal Komisijos
rekomendaciją)
• Valstybės narės užtikrina, kad šie subjektai imtųsi reikiamų techninių ir organizacinių
priemonių, kad galėtų valdyti riziką, kylančią tinklų ir informacinių sistemų, kurias jie
kontroliuoja ir kuriomis naudojasi savo veikloje, saugumui
• Valstybės narės užtikrina, kad subjektai praneštų kompetentingoms institucijoms apie
incidentus, kurie turi didelį poveikį pagrindinių jų teikiamų paslaugų saugumui
• Valstybės narės užtikrina, kad kompetentingos institucijos turėtų įgaliojimus:
• Nagrinėjant atvejus kai subjektai nesilaiko įpareigojimų
• Reikalaujant subjektams pateikti būtiną informaciją norint įvertinti jų TIS
• Reikalaujant sutikti atlikti saugumo auditą ir pateikti rezultatus
• Teikti privalomus nurodymus subjektams
28
29. ES kibernetinio saugumo strategija
ES Komisijos pateiktoje Strategijoje išdėstoma
ES kibernetinio saugumo vizija
„Atvira, saugi ir patikima kibernetinė erdvdvė“
ir nurodomi penki prioritetai:
Pasiekti kibernetinį atsparumą
Radikaliai sumažinti elektroninių nusikaltimų skaičių
Sukurti kibernetinės gynybos politiką ir pajėgumus, susijusius su
bendra saugumo ir gynybos politika (BSGP)
Plėtoti pramonės ir technologinius išteklius kibernetiniam
saugumui užtikrinti
Sukurti nuoseklią tarptautinę Europos Sąjungos kibernetinės
erdvės politiką ir remti pagrindines ES vertybes
*) 2013 m. vasario 7 d. JOIN(2O13) 1 final. Bendras Komunikatas Europos Parlamentui,
Tarybai, Europos Ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui 29
30. ES kibernetinio saugumo strategija
Pasiekti kibernetinį atsparumą
• Bus tęsiama Jungtinio tyrimų centro vykdomą veikla, siekiant nustatyti TIS
pažeidžiamumą itin svarbioje Europos infrastruktūroje ir paskatinti atsparių
sistemų kūrimą
• Bus inicijuotas ES finansuojamas bandomasis projektas dėl kovos su kenksmingu
programiniu kodu apkrėstų kompiuterių tinklais ir kenkimo programine įranga
• ENISA padės valstybėms narėms stiprinti nacionalinius kibernetinio atsparumo
pajėgumus
• Pramonės kontrolės sistemoms (SCADA) skirtos reagavimo į kompiuterinius
saugumo incidentus tarnybos
• Reguliarios visos Europos kibernetinių incidentų pratybos
• Pasiūlymas dėl direktyvos dėl bendro aukšto lygio tinklų ir informacijos saugumo
visoje Sąjungoje
• Raginimas pramonei siekti lyderystės investuojant į aukšto lygio kibernetinį saugumą,
formuoti geriausią patirtį ir dalytis informacija sektoriniu lygmeniu ir su viešojo sektoriaus
institucijomis
30
31. ES kibernetinio saugumo strategija
Informuotumo didinimas
• planas dėl vartotojų raštingumo tinklų ir informacijos saugumo srityje – savanoriškos
sertifikavimo programos
• 2014 m. su ENISA parama bus organizuotas kibernetinio saugumo čempionatas
• nuo 2013 m. kasmet rengti „kibernetinio saugumo mėnesį“; nuo 2014 m. ES ir JAV
bus tuo pačiu metu rengiamas „kibernetinio saugumo mėnuo“
• padidinti nacionalines pastangas vykdyti švietimą ir profesinį mokymą TIS
klausimais
• švietimą TIS klausimais mokyklose iki 2014 m.
• TIS, saugios programinės įrangos plėtros ir asmens duomenų apsaugos mokymą
kompiuterijos studentams
• bazinį mokymą TIS klausimais viešojo administravimo įstaigų darbuotojams
• Raginimas pramonei siekti didinti suvokimą apie kibernetinį saugumą visais
lygmenimis: ir verslo procesuose, ir bendraujant su klientais; pavesti didesnę
atskaitomybę generaliniams direktoriams ir valdyboms už kibernetinio saugumo
užtikrinimą
31
32. ES kibernetinio saugumo strategija
Radikaliai sumažinti elektroninių nusikaltimų skaičių
• Griežti ir veiksmingi teisės aktai
• Spartus direktyvų dėl elektroninių nusikaltimų perkėlimas ir įgyvendinimas
• Budapešto konvencijos dėl elektroninių nusikaltimų įgyvendinimas
• Veiklos pajėgumų kovai su elektroniniais nusikaltimais didinimas
• finansavimo programomis valstybėms narėms bus padedama nustatyti spragas ir
sustiprinti elektroninių nusikaltimų tyrimo ir kovos su jais pajėgumus
• bus koordinuojamos pastangos nustatyti kovos su elektroniniais nusikaltimais geriausią
praktiką ir geriausias turimas technologijas
• Bus glaudžiai bendradarbiaujama su Europos kovos su elektroniniu nusikalstamumu
centru (EC3) ir su Eurojustu siekiant tokius politikos modelius suderinti su geriausia
operatyvine patirtimi
• ES lygmens koordinavimo gerinimas
• EC3 bus remiamas kaip Europos kovos su elektroniniais nusikaltimais ryšių centras
• Bus remiamos pastangos padidinti domenų vardų registratorių atskaitomybę ir
užtikrinti informacijos apie svetainės savininką tikslumą
• bus stiprinamos ES pastangos kovoti su seksualine prievarta prieš vaikus internete
32
33. ES kibernetinio saugumo strategija
Sukurti kibernetinės gynybos politiką ir pajėgumus, susijusius su
bendra saugumo ir gynybos politika
• Bus įvertinti operatyviniai ES kibernetinės gynybos reikalavimai ir
skatinama ES kibernetinės gynybos pajėgumų ir technologinę plėtra
atsižvelgiant į visus pajėgumų plėtros aspektus
• Bus plėtojama ES kibernetinės gynybos politikos sistema (įskaitant
dinaminį rizikos valdymą, patobulintą grėsmių analizę ir dalijimąsi
informacija). Bus pagerintos kibernetinės gynybos mokymo ir pratybų
galimybės kariškiams europiniu ir tarptautiniu mastu
• Bus skatinamas dialogas ir koordinavimas tarp civilinių ir karinių subjektų
Europos Sąjungoje
• Bus užtikrinamas dialogas su tarptautiniais partneriais, įskaitant NATO,
kitas tarptautines organizacijas ir daugiašalius kompetencijos centrus
33
34. ES kibernetinio saugumo strategija
Plėtoti pramonės ir technologinius išteklius kibernetiniam saugumui užtikrinti
• Kibernetinio saugumo prekių bendrosios rinkos skatinimas
• Bus sukurta viešąjį ir privatųjį sektorius jungianti TIS sprendimų platforma
• Remiantis platformos darbo rezultatais bus pasiūlytos rekomendacijos, pagal
kurias kibernetinis saugumas būtų užtikrintas visoje IRT vertės grandinėje
• Bus siekiama, kad didžiausi IRT techninės ir programinės įrangos tiekėjai galėtų
informuoti nacionalines kompetentingas institucijas apie nustatytą „didelį“
pažeidžiamumą
• ENISA parengs tinklų ir informacijos saugumo standartų ir geriausios
patirties diegimo viešajame ir privačiajame sektoriuose technines gaires ir
rekomendacijas
• Bus skatinami IRT prekių ir paslaugų teikėjai, kad jie kurtų ir diegtų saugumo
standartus, technines normas, saugumo principus, pagal kuriuos nuo pat
pradžių atsižvelgiama į saugumą ir privatumą; naujos kartos įranga turėtų būti
su stipresnėmis, įterptomis ir patogiomis saugumo priemonėmis
• Bus siekiama informuoti vartotojus sukuriant produktų saugumo ženklinimą
34
35. ES kibernetinio saugumo strategija
Plėtoti pramonės ir technologinius išteklius kibernetiniam saugumui
užtikrinti
• Mokslinių tyrimų ir technologijų plėtros (MTTP) investicijų ir inovacijų
palaikymas
• Numatoma naudoti Horizon 2020 finansinę priemonę, siekiant spręsti įvairius IRT privatumo ir
saugumo klausimus visuose etapuose, plėtojant priemones ir įrankius kovai su nusikalstama ir
teroristine veikla, kuri nukreipta į kibernetinę aplinką
• Numatoma sukurti geresnius ES institucijų ir valstybių narių mokslinių tyrimų darbotvarkių
koordinavimo mechanizmus ir suteikti paskatų valstybėms narėms daugiau investuoti į MTTP
• Siekiama sukaupti ir panaudoti geriausią patirtį, kaip panaudoti viešojo administravimo
įstaigų perkamąją galią skatinant saugumo funkcijų plėtrą ir diegimą IRT prekėse ir
paslaugose
• Numatoma skatinti ankstyvą pramonės ir akademinių sluoksnių įsitraukimą plėtojant ir
koordinuojant sprendimus
• Numatoma nustatyti ryškėjančias tendencijas ir poreikius atsižvelgiant į elektroninių
nusikaltimų raidą ir kibernetinio saugumo modelius, kad būtų sukurtos tinkamos teisminės
skaitmeninės priemonės ir technologijos
• Bendradarbiaujant su draudimo sektoriumi numatoma sukurti suderintus rizikos priedų
apskaičiavimo parametrus, kurie sudarytų sąlygas į saugumą investavusioms bendrovėms
mokėti mažesnius rizikos priedus 35
36. ES kibernetinio saugumo strategija
Sukurti nuoseklią tarptautinę Europos Sąjungos kibernetinės erdvės
politiką ir remti pagrindines ES vertybes
• Kibernetinės erdvės klausimų susiejimas su ES išorės santykiais ir bendra išorės ir
saugumo politika
• Bus siekiama suformuoti nuoseklią ES tarptautinę kibernetinės erdvės politiką
• Bus remiamas elgesio normų formavimas ir pasitikėjimo stiprinimo priemonės kibernetinio
saugumo klausimais
• Bus remiamos pagrindinių teisės, įskaitant prieigos prie informacijos ir žodžio laisvės, palaikymas
ir apsauga
• Kartu su tarptautiniais partneriais ir organizacijomis, privačiuoju sektoriumi ir pilietine visuomene
įsipareigojama remti bendrą pajėgumų stiprinimą trečiosiose šalyse, kad pagerėtų prieiga prie
informacijos ir prie atviro interneto; taip pat kad būtų išvengta kibernetinių grėsmių ir jos būtų
įveiktos; plėtojamas donorų koordinavimas
• Bus naudojamos skirtingos ES pagalbos priemonės kibernetinio saugumo pajėgumams stiprinti,
įskaitant teisėsaugos, teismų ir techninių darbuotojų apmokymą kovai su kibernetinėmis
grėsmėmis
• Bus stiprinami politikos koordinavimas ir keitimasis informacija per ypatingos svarbos
informacinės infrastruktūros apsaugos bendradarbiavimo tinklus
36
37. ES kibernetinio saugumo koordinavimo
schema
Tinklų ir
informacinis Teisėsauga Gynyba
saugumas
Komisija ir ENISA
CERT-EU EC3 (Europolas) EEAS
Kompetentingų CEPOL ES gynybos
ES agentūra
institucijų tinklas Eurojustas
EP3R Pramonė
Akademinė
bendruomenė
NACIONA- Nacionalinės
LINIS LYG- kompiuterinių incidentų Nacionaliniaikovos Nacionalinės
tyrimo tarnybos(CERT) su elektroniniais gynybos ir saugumo
MUO
TIS kompetentingos nusikaltimais institucijos
institucijos padaliniai
37
38. ES kibernetinio saugumo strategija
2012 m. pabaigoje įkurta ES Friends of Presidency on
Cyber Issues (FoP Cyber) patariamoji darbo grupė
Kibernetinės erdvės ir Strategijos klausimamas spręsti
Strategija aptariama mažiausiai 15-je ES Tarybos darbo
grupių:
Political and Security Committee (PSC)
..
Politico-Military Group
Dabar teikiamos pozicijos ir pasiūlymai Strategijai
FoP Cyber darbo grupė apibendrins ir parengs ES
Tarybos išvadas dėl šios Strategijos (Airijos pirmininkavimas)
Strategijos tęstinumo klausimai Lietuvos pirmininkavimo
metu
38
39. Lietuvos iššūkiai rengiantis
pirmininkauti ES Tarybai
Lietuvos IT infrastruktūros sauga
Posėdžių patalpos
Viešbučiai (virš 30.000 svečių)
Viešai prieinami interneto prieigos taškai
..?
Lietuvos institucijų veikla kibernetinio saugumo
srityje pirmininkavimo metu
Pozicijų darbo grupėse rengimas ir derinimas
ES e-valdžios konferencija (2013 11 14-15)
ES “ICT 2013” forumas (2013 11 6-8)
ES ir Rytų partnerystės šalių vadovų susitikimas ir verslo
forumas (2013 11 28-29)
39
..?