Kibernetinis saugumas viešajame sektoriuje
Kibernetinis saugumas – tai ne vien techninių priemonių rinkinys, bet ir nuosekli organizacijos veikla, skirta apsaugoti informacines sistemas, tinklus, naudotojų paskyras ir duomenis nuo neteisėtos prieigos, praradimo, pakeitimo ar veiklos sutrikdymo. Savivaldybėms, mokykloms, muziejams, bibliotekoms ir kitoms viešojo sektoriaus įstaigoms tai ypač svarbu, nes jų valdomose sistemose dažnai tvarkomi gyventojų, mokinių, darbuotojų ar lankytojų asmens duomenys, taip pat viešųjų paslaugų teikimui būtina informacija.
Praktikoje kibernetinis saugumas apima tris pagrindines kryptis: prevenciją, grėsmių aptikimą ir reagavimą į incidentus. Prevencija padeda sumažinti riziką dar prieš įvykstant pažeidimui, aptikimas leidžia laiku pastebėti įtartiną veiklą, o reagavimas užtikrina, kad incidento pasekmės būtų suvaldytos kuo greičiau. Viešojo sektoriaus įstaigoms svarbu suprasti, kad net ir nedidelis sutrikimas gali paveikti paslaugų prieinamumą gyventojams, dokumentų valdymą ar vidinius darbo procesus.
Kodėl tai aktualu Lietuvos viešajam sektoriui?
Lietuvos viešojo sektoriaus organizacijos vis aktyviau skaitmenizuoja paslaugas: gyventojai registruojasi internetu, pildo prašymus, gauna pažymas, naudojasi bibliotekų katalogais ar mokyklų elektroniniais dienynais. Kuo daugiau paslaugų perkeliama į skaitmeninę erdvę, tuo svarbiau užtikrinti, kad sistemos būtų patikimos, saugios ir prieinamos. Kibernetiniai incidentai gali ne tik sutrikdyti veiklą, bet ir pakenkti įstaigos reputacijai bei gyventojų pasitikėjimui.
Pavyzdžiui, savivaldybėje sutrikus dokumentų valdymo sistemai gali vėluoti gyventojų prašymų nagrinėjimas. Mokykloje pažeidus naudotojų paskyras gali būti pasiekti mokinių ar darbuotojų duomenys. Muziejui ar bibliotekai praradus prieigą prie skaitmeninių išteklių, nukenčia tiek vidinis darbas, tiek lankytojų aptarnavimas. Todėl kibernetinis saugumas turi būti vertinamas kaip neatsiejama paslaugų kokybės ir veiklos tęstinumo dalis.
Pagrindinės kibernetinio saugumo priemonės
- Reguliarūs sistemų atnaujinimai. Programinės įrangos, turinio valdymo sistemų, papildinių ir serverių atnaujinimai padeda užtaisyti žinomas saugumo spragas. Viešojo sektoriaus įstaigoms svarbu turėti aiškią atnaujinimų tvarką, kad kritiniai pataisymai būtų diegiami laiku ir nekeltų nereikalingos rizikos.
- Stiprūs slaptažodžiai ir papildoma paskyrų apsauga. Vien slaptažodžio dažnai nepakanka, todėl verta taikyti kelių veiksnių autentifikavimą administratorių ir darbuotojų paskyroms. Tai ypač aktualu sistemoms, kuriose tvarkomi asmens duomenys, dokumentai ar vidinė korespondencija.
- Darbuotojų mokymai. Dalis incidentų prasideda ne nuo techninio pažeidžiamumo, o nuo žmogiškos klaidos – neatpažinto apgaulingo laiško, nesaugaus failo ar netinkamai naudojamos paskyros. Reguliarūs mokymai padeda darbuotojams atpažinti rizikas ir atsakingai elgtis su informacija kasdienėje veikloje.
- Atsarginės kopijos. Duomenų kopijavimas leidžia greičiau atkurti veiklą po techninio gedimo, kenkėjiškos programos ar netyčinio duomenų praradimo. Svarbu ne tik daryti kopijas, bet ir periodiškai tikrinti, ar jos iš tiesų gali būti sėkmingai atkurtos.
- Prieigų valdymas. Darbuotojai turėtų turėti tik tas teises, kurios būtinos jų funkcijoms atlikti. Toks principas mažina riziką, kad netinkamai panaudota paskyra suteiks prieigą prie perteklinio kiekio jautrios informacijos.
- Incidentų valdymo planas. Įstaiga turi iš anksto žinoti, ką daryti įvykus saugumo incidentui: kas atsakingas, kaip izoliuojama problema, kaip informuojami vadovai ir, jei reikia, duomenų subjektai. Aiškus planas padeda veikti greitai ir sumažina chaosą kritinėje situacijoje.
Atitiktis teisės aktams ir BDAR
Viešojo sektoriaus įstaigos Lietuvoje privalo laikytis galiojančių kibernetinio saugumo reikalavimų ir atsakingai organizuoti informacinių išteklių apsaugą. Ne mažiau svarbi ir BDAR atitiktis, kai tvarkomi asmens duomenys. Tai reiškia, kad saugumo priemonės turi būti parenkamos pagal tvarkomų duomenų pobūdį, riziką ir realius organizacijos procesus.
Jei įstaigos interneto svetainėje veikia kontaktų formos, registracijos sistemos, naujienlaiškių prenumerata ar savitarnos funkcijos, būtina užtikrinti saugų duomenų perdavimą, aiškų duomenų tvarkymo pagrindą ir tinkamą prieigos kontrolę. Taip pat svarbu turėti vidines procedūras, kaip elgiamasi nustačius galimą duomenų saugumo pažeidimą. Kibernetinis saugumas ir asmens duomenų apsauga čia glaudžiai susiję – vien techninių priemonių nepakanka, jei nėra aiškios atsakomybės ir procesų.
Prieinamumas ir saugumas turi veikti kartu
Kuriant ar prižiūrint viešojo sektoriaus svetaines ir skaitmenines sistemas, svarbu suderinti prieinamumą ir saugumą. Saugumo sprendimai neturėtų nepagrįstai apsunkinti naudojimosi paslaugomis žmonėms su negalia, vyresnio amžiaus gyventojams ar mažiau skaitmeninių įgūdžių turintiems naudotojams. Pavyzdžiui, prisijungimo, formų pildymo ar tapatybės patvirtinimo procesai turi būti ne tik saugūs, bet ir aiškūs, suprantami bei techniškai prieinami.
Gera praktika – saugumo reikalavimus numatyti dar planuojant svetainę ar sistemą, o ne tik po paleidimo. Taip lengviau užtikrinti, kad sprendimas atitiks tiek organizacijos poreikius, tiek teisės aktų ir naudotojų lūkesčius. Viešajame sektoriuje tai ypač svarbu, nes skaitmeninės paslaugos turi būti patikimos visiems gyventojams.
Nuolatinis procesas, o ne vienkartinis veiksmas
Kibernetinis saugumas nėra vienkartinis projektas ar tik IT skyriaus atsakomybė. Tai nuolatinis procesas, apimantis technologijas, vidines taisykles, darbuotojų įpročius ir vadovybės dėmesį. Net ir gerai apsaugota sistema laikui bėgant susiduria su naujomis grėsmėmis, todėl būtina periodiškai peržiūrėti rizikas, atnaujinti priemones ir testuoti pasirengimą incidentams.
Viešojo sektoriaus įstaigoms verta į kibernetinį saugumą žiūrėti kaip į ilgalaikę investiciją į paslaugų tęstinumą, gyventojų pasitikėjimą ir atsakingą duomenų tvarkymą. Tinkamai prižiūrimos sistemos, aiškūs procesai ir apmokyti darbuotojai padeda sumažinti riziką bei užtikrinti, kad skaitmeninės paslaugos veiktų saugiai, stabiliai ir patikimai.