Prezidentės perspėjimas nerūpi: Lietuvos institucijose – rusiška programinė įranga

Kompiuteris
Kompiuteris
© SCANPIX

Prezidentės Dalios Grybauskaitės metinėje kalboje paminėti raginimai atsisakyti „anos sistemos“ programinės įrangos kai kurioms Lietuvos valstybinėms institucijoms pro vieną ausį įėjo, o pro kitą išėjo, taip ir nesužadinusios noro imtis konkrečių veiksmų.

Muitinės departamentas, Lietuvos policijos departamentas bei Lietuvos bankas savo veikloje vis dar tebenaudoja Rusijos kuriamą programinę įrangą, nors specialistai seniai skambina pavojaus varpais tvirtindami, kad tai kelia potencialią grėsmę šalies saugumui.

Lietuvos valstybinių institucijų netgi neatbaido ir užsienio šalių ekspertų perspėjimai, kad tam tikros rusiškos programinės kūrėjai tiesiogiai bendradarbiauja su Rusijos šnipais ir valstybinėmis struktūromis.

Naudojama buvusio kagėbisto įranga

Viena populiariausių antivirusinių programų „Kaspersky“ vis dar tebenaudojama Lietuvos banke bei Muitinės departamente. Tiesa, šią programinę įrangą anksčiau naudojo ir Vidaus reikalų ministerija (VRM), tačiau galiausiai jos buvo atsisakyta. Kaip naujienų portalą Alfa.lt informavo VRM atstovai, 2014 metais „Kaspersky“ programinė įranga buvo pakeista laimėjus viešąjį konkursą kitam programinės įrangos gamintojo atstovui „Symantec“.

reklama

Tuo metu Lietuvos banko Informacinių technologijų departamento direktorius Andrius Ženčius informavo, kad jų banke naudojama kryžminė apsauga, tačiau ją sudaro ir rusiškos kilmės programinė įranga: „Antivirusinei apsaugai naudojame vieną iš penkių pasaulyje geriausiai vertinamų produktų – „Kaspersky“. Pasirinkimas buvo padarytas atlikus visų penkių gamintojų programinės įrangos praktinius testus. Naudodami papildomas kitų gamintojų apsaugos priemones užtikriname kryžminę apsaugą.“

Vis dėlto „Kaspersky“ vardas pasaulyje garsėja ne tik gerais vertinimais. Užsienio žiniasklaida mirga nuo antraščių apie kompanijos įkūrėją Jevgenijų Kasperskį, kuris siejamas su šnipų pasauliu ir KGB. „Bloomberg“ yra parengusi daug straipsnių ir iš vidinių šaltinių gavusi informacijos, kad J. Kasperskis palaiko glaudžius ryšius su Kremliumi ir savo kompanijoje aukštus vadovus yra pakeitęs žmonėmis iš Rusijos karinių ir žvalgybos struktūrų.

„Jei J. Kasperskis nekeliauja, jis itin retai praleidžia kassavaitinę naktį pirtyje su 5–10 žmonių grupele, kurioje yra ir Rusijos žvalgybos pareigūnų“, – rašoma vienoje iš „Bloomberg“ publikacijų. Beje, „Kaspersky“ nuolatos bendradarbiauja tirdama kibernetinius nusikaltimus ir akivaizdu, kad ji, pasitelkdama savo programinę įrangą, surenka duomenis netgi apie pavienius asmenis ir juos perduoda žvalgybos struktūroms. Patys kompanijos „Kaspersky“ atstovai neigia šį faktą, tačiau „Bloomberg“ šaltiniai kalba priešingai.

Finansų ir turto valdymas – su rusiška įranga

„Kaspersky“ nėra vienintelė rusiškos kilmės programa, kurią naudoja kai kurios Lietuvos valstybinės institucijos. Policijos departamentas ir Lietuvos bankas į savo veiklą taip pat yra integravę programą 1S (arba 1C), kurią Rusijos Gynybos ministerija ir Federalinė saugumo tarnyba (FSB) naudoja ir rekomenduoja savo padaliniams.

Policijos departamento Komunikacijos skyrius pažymi, kad policijoje nuo 2006 metų naudojami „1C: Organizacija“ platformos pagrindu sukurtos finansų apskaitos sistemos moduliai. Kaip rašoma naujienų portalui Alfa.lt skirtame atsakyme, nuo 2010 m. sausio 1 d., pereinant prie apskaitos tvarkymo pagal Viešojo sektoriaus apskaitos ir finansinės atskaitomybės standartus, ne visi policijoje turimos įrangos apskaitai tvarkyti gamintojai sugebėjo patobulinti jų turimą programinę įrangą pagal naujus ir gerokai sudėtingesnius reikalavimus.

Taip pat policija dalyvavo ir kuriant naują programinę įrangą Vidaus reikalų ministerijoje SAP platformos pagrindu, ją buvo tikimasi įdiegti visose policijos įstaigose, tačiau užsakovas įrangos sukurti nesugebėjo ir sutartis liko neįvykdyta, o įranga – nepagaminta.

„Liko vienintelė išeitis: vieni iš tų, kuriems patobulinti įrangą pagal naujų standartų reikalavimus pavyko, buvo 1C platformos pagrindu sukurtos programinės įrangos gamintojai. Tuomet buvo nuspręsta pradėti visose įstaigose diegti Vilniaus apskrities vyriausiojo policijos komisariato turimą ir pagal naujus reikalavimus patobulintą įrangą“, – rašoma Lietuvos policijos departamento atsakyme.

Tuo metu Lietuvos bankas naujienų portalą Alfa.lt informavo, kad jų įstaigoje eksploatuojama išteklių valdymo sistema, sukurta „1S:Buhalterija“ sistemos pagrindu, kurios gamintojai yra Rusijos, Lietuvos, Baltarusijos ir Ukrainos kompanijos.

Lietuvos banko atstovas akcentavo, kad, renkantis informacines sistemas, buvo remiamasi Kibernetinio saugos centro, Valstybės saugumo departamento rizikų ir grėsmių nacionaliniam saugumui vertinimu. Tiesa, Policijos departamentas taip pat pridūrė neturintis informacijos, kad 1C platformos pagrindu sukurta ir naudojama programinė įranga būtų nepatikima.

reklama

Trūksta strategijos

Dauguma valstybinių institucijų atsakymuose pažymi, kad jų naudojama programinė įranga buvo įsigyta viešojo konkurso būdu. Vis dėlto akivaizdu, kad šioje vietoje egzistuoja spraga, atverianti kelią institucijoms naudoti galimai pavojingą programinę įrangą.

Darius Štitilis, Mykolo Romerio universiteto (MRU) profesorius, naujienų portalui Alfa.lt pasakojo, kad kalbėti apie kaimyninių šalių kuriamos programinės įrangos grėsmę dabar galima tik teoriniu lygmeniu, kadangi jokių praktinių pavyzdžių nėra. Nepaisant to, ekspertas įžvelgia pavojų ir yra įsitikinęs, kad pasiruošti potencialioms grėsmėms reikia iš anksto, o ne tada, kai įvyksta nelaimė.

„Lietuvoje yra tokia 2011 metų Kibernetinio saugumo programa, kuri netgi kai kurių ekspertų nėra įvardijama kaip pilnavertė strategija. Vat tokiam dokumente naujoje strategijoje reiktų aptarti tokius klausimus (kaip kaimyninių šalių programinės įrangos naudojimas – red. past.). Kadangi čia yra iš tikrųjų strateginiai dalykai ir labai svarbūs, tokie kaip kitos kilmės sistemų ir programų naudojimas, čia, manyčiau, galėtų būti įtraukta į Lietuvos kibernetinio saugumo strategiją“, – Alfa.lt kalbėjo D. Štitilis.

Vis dėlto profesoriui nesuprantama, kodėl Lietuvoje yra vadovaujamasi dar prieš penkerius metus priimta strategija, kurios „galiojimo laikas“ tęsis iki 2019-ųjų. Eksperto nuomone, šiuolaikiniame technologijų amžiuje analogiškos strategijos turėtų būti peržvelgiamos kas kelerius metus.

„Bet iš tikrųjų turėti šiuolaikiniame besikeičiančiame pasaulyje 2011 metų strategiją yra kažkas, sakyčiau, tokio nelabai gerai, nelabai gera situacija. Iš tikrųjų strategijos, netgi naujai patvirtintos, turi būti atnaujinamos ir kas kelerius metus. Žodžiu, tikrai Lietuvoje yra ką veikti. <...> Pasigendu konkretesnės politikos šitoje srityje, tokio apsisprendimo, čia yra labai svarbu“, – aiškino pašnekovas.

Dėmesys – kritinei infrastruktūrai

D. Štitilis iš esmės sutiko, kad tokios programinės įrangos kaip „Kaspersky“ ar 1S (1C) naudojimas Lietuvos valstybinėse institucijose gali kelti potencialią grėsmę: „Aš išskirčiau pagrindines dvi tokias (kibernetinių grėsmių – red. past.) rūšis: tai yra informacijos rinkimas bei stebėjimas ir kibernetinių incidentų grėsmė būtent panaudojant tam tikrą informaciją, programas.“

Vis dėlto kibernetinio saugumo ekspertas į visą šią situaciją norėjo pažvelgti dar globaliau. Pasirodo, Lietuvos energetikos ministerijoje yra naudojamos kaimyninių šalių SCADA sistemos, kurios taip pat gali tapti priešiškai nusiteikusių programišių taikiniu.

„Čia galime neapsiriboti, ką jūs įvardijote, tas antivirusines, bet netgi galima sakyti pavyzdį, kad mūsų energetikoje naudojamos tam tikros SCADA valdymo sistemos, kurių kilmė tai yra iš kaimynų, ir tokių sistemų naudojimas irgi galimai gali kelti rizikų. Jeigu kas nors gerai žino, kaip tos sistemos veikia, tai galbūt kažkas gali ir kada panaudoti tas žinias, kad sutrikdytų tų valdymo sistemų veikimą“, – kalbėjo MRU profesorius.

reklama

Lietuvoje galima išskirti kelis strateginius lygmenis: valstybinis sektorius ir kritinė infrastruktūra. Pasak D. Štitilio, kritinė infrastruktūra įvairių ekspertų yra įvardijama kaip elementas, kuris turi būti saugomas labiausiai, kadangi tai kelia didžiausių grėsmių visuomenei.

„Jeigu pradedame nuo kritinės infrastruktūros, šitoje vietoje reiktų ypač atidžiai žiūrėti situaciją. Dabar, kas liečia formalumus, Lietuvoje tos kritinės infrastruktūros sąrašo nėra, bet yra patvirtinta metodika, netrukus tas sąrašas turi atsirasti. Yra organizaciniai, yra techniniai reikalavimai tai infrastruktūrai patvirtinti, bet ko pasigendama, tai tokių strateginių dalykų“, – kalbėdamas apie jau minėtos efektyvios ir laikmetį atitinkančios Kibernetinio saugumo strategijos nebuvimą reziumavo D. Štitilis.

Naujienų portalas Alfa.lt susisiekė tiek su „Kaspersky“, tiek su Nacionalinio kibernetinio saugumo centro atstovais ir gavo patvirtinimus, kad į užklausas ketinama atsakyti, tačiau atsakymų taip ir nesulaukė.