Kaina prieš saugumą: kokią IT įrangą turėtų pirkti viešasis sektorius?

Telefonas „iPhone“.
Telefonas „iPhone“.
  © Unsplash.com
Arvydas Jockus | Alfa.lt
2021-04-09 06:43

Dabartinė viešųjų pirkimų sistema nėra palanki IT produktų gamintojams, kurių prietaisai yra saugūs ir patikimi, tačiau kainuoja brangiau. 

Pavyzdžiui, JAV gamybos mobiliųjų telefonų ir kompiuterių, programinės įrangos ir operacinių sistemų kaina dažniausiai yra didesnė nei analogiškų kitų šalių gamintojų produktų.

Tačiau Lietuvos viešųjų pirkimų sistemoje dominuojantis mažiausios kainos principas leidžia biudžetinėms organizacijoms nepažeidžiant galiojančių teisės aktų pirkti kibernetinio ir nacionalinio saugumo spragų turinčius prietaisus.

Tokiems pirkimams netrukus žadama uždėti apynasrį. Dabartinės Vyriausybės programoje įtvirtintas siekis per kelerius metus paversti Lietuvą nepriklausoma nuo nepatikimų IT įrangos tiekėjų.

Rengiamos ir parengtos atitinkamų įstatymų pataisos užtikrins, kad valstybės institucijos negalės teisėtai įsigyti pigesnės, tačiau nesaugios ir lengvai pažeidžiamos IT įrangos ir produktų. 

Balansas tarp mažiausios kainos ir nacionalinio saugumo

„Kai viešojo sektoriaus atviruose konkursuose dominuoja mažiausios kainos principas, jis diktuoja atitinkama logiką. Ir tai savaime suprantama, nes mažesnė kaina yra svarbus kriterijus. Vis dėlto Kinijos gamintojų IT produkcija dažniausiai yra 30 proc. pigesnė, nes ją gaminančioms įmonėms yra teikiama valstybės parama. Tokiu būdu užtikrinama pakankamai agresyvi ekspansija į įvairias rinkas“, – pastebi Seimo Nacionalinio saugumo ir gynybos komiteto (NSGK) pirmininkas Laurynas Kasčiūnas.

Jo teigimu, pagal 2017 m. priimtą Kinijos žvalgybos įstatymą net ir privačių šios šalies kompanijų sukaupti duomenys, esant poreikiui, turi būti perduodami vyriausybei. Tokiu atveju esą reikėtų kalbėti ne tik apie Kinijos technologijų ekspansiją į tarptautines rinkas, bet ir apie ekspansiją geopolitiniais tikslais.

NSKG jau kreipėsi į Viešųjų pirkimų tarnybą su prašymu pateikti rekomendacijas, kaip perkančioms organizacijoms vienu ar kitu atveju elgtis, kad pirkdamos IT technologijas galėtų naudoti nacionalinio saugumo filtrą.

„Pavyzdžiui, yra kokia nors Lietuvos tarnyba, priskiriama prie strateginių, tarkime, Vidaus reikalų ministerijos pavaldume esanti institucija, kuri rūpinasi valstybinių objektų apsauga, ir ji siekia įsigyti stebėjimo kamerų. Dabar pagal Viešųjų pirkimų įstatymą ji galėtų įsigyti tik Kinijos gamybos įrangą (nes ji pigiausia) su visomis iš to išplaukiančiomis rizikomis“, – sakė NSGK pirmininkas.

VPT turėtų patarti, kaip, nenusižengiant įstatymui, būtų rastas balansas tarp kainos ir nacionalinio saugumo. 

Sieks didesnio saugumo diegiant 5G ryšį

Lietuva pradeda diegti naujos kartos tarptinklinį 5G ryšį. Nekomercinį 5G ryšį Vilniaus, Kauno ir Klaipėdos centruose kai kurios telekomunikacijos bendrovės įjungė pernai lapkritį. Komercines 5G mobiliojo ryšio paslaugas Lietuvoje planuojama pradėti teikti įvykus 5G radijo dažnių aukcionui. Tikimasi, kad tai bus jau šįmet.

ES valstybės kol kas svarsto, ar prisidėti prie JAV ir atriboti Kinijos kompaniją „Huawei“ nuo įrangos tiekimo 5G tinklams. Uždraudus 5G tinkle naudoti „Huawei“ įrangą ir komponentus, Europoje liktų du pagrindiniai konkurentai – Švedijos „Ericsson“ ir Suomijos „Nokia“.

Dvi iš trijų Lietuvoje veikiančių mobiliojo ryšio bendrovių naudoja šių Europos tiekėjų įrangą. Vis dėlto telekomunikacijų bendrovės prisipažįsta, kad vieno iš trijų pagrindinių tiekėjų pašalinimas iš konkurencinės kovos turėtų ir finansinių, ir technologinių pasekmių. 

Tikėtina, kad tokiu atveju europietiškos įrangos kaina išaugtų, brangiau kainuotų ir 5G tinklo diegimas, ateityje kiltų ir paslaugų kainos vartotojams. Be to, likus dviem konkurentams kai kuriuose Europos regionuose gali atsirasti įrangos tiekimo monopolis.

Ypač spartus 5G ryšys Lietuvoje turi būti pradėtas diegti 2021 m. ir 2025 m. padengti svarbiausius sausumos transporto koridorius ir miestų teritorijas. Šiuo metu Lietuvoje saugumo reikalavimų 5G tinklams ir jų įrangai nėra nustatyta.    

NSGK pirmininkas L. Kasčiūnas prisipažino ant savo darbo stalo jau turintis įstatymo projektą, kaip įteisinti patikimų ir nepatikimų gamintojų sąvokas. „Matyt, judėsime link to, kad įranga bus laikoma patikima, jeigu gamintojas yra iš ES, NATO arba EBPO šalies. Jeigu kitos šalies gamintojas įsisteigia ES, NATO ar EBPO valstybėse, vertintume, kas kontroliuoja kontrolinį akcijų paketą. Trečiu lygmeniu būtų vertinama, kaip bus palaikoma IT įranga. Ar tai darys bendrovė iš ES, NATO, EBPO, ar iš trečiųjų šalių. Taigi, planuojame įteisinti trijų lygmenų filtrą, per kurį pereitų visi technologiniai įsigijimai, patenkantys į Lietuvos strateginius objektus, 5G ryšį“, – aiškino NSGK pirmininkas.

Tarptinklinis 5G mobilusis ryšys suteikia galimybę perduoti didžiulius kiekius duomenų ir deda pamatus ateities technologijoms.

JAV nuolat perspėja Europos šalis, kad bendradarbiavimas su nepatikimais tiekėjais gali turėti pasekmių nacionaliniam saugumui. „Mūsų tikslas yra per kelerius metus padaryti Lietuvą nepriklausomą nuo nepatikimų tiekėjų. Iš karto tų technologijų nepavyks atsisakyti, tai dabar svarbus yra rizikos valdymas. Bet technologijos sensta, ir kai bus vykdomi nauji pirkimai, juose turėtų atsirasti daug daugiau nacionalinio saugumo elementų“, – teigė L. Kasčiūnas.

NSGK pirmininkas nusiteikęs optimistiškai – esą Lietuva nacionalinio saugumo srityje turi strateginį tikslą ir instrumentus – Nacionalinį kibernetinio saugumo centrą. „Bet 30 metų apie tai nemąstėme, tai natūralu, kad susikuria situacija, kad namų darbų dabar reikės padaryti labai daug“, – sakė L. Kasčiūnas.

Elektroninių ryšių įstatymo pataisos jau yra pateiktos derinti viešai. Šiose pataisose įvestas nacionalinio saugumo dėmuo. Tarptinkliniam ryšiui naudojami dažniai turės būti suderinami su nacionaliniu saugumu. Taip pat ir tokiam ryšiui naudojama įranga turės atitikti nacionalinio saugumo interesus. Gamintojų ir įrangos patikrinimo mechanizmas bus vykdomas pagal Svarbių objektų apsaugos įstatymą.   

Apsaugota tik ypatingos svarbos informacinė infrastruktūra

Krašto apsaugos ministerijos (KAM) Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas Jonas Skardinskas atkreipė dėmesį, kad jau pernai Viešųjų pirkimų įstatymas buvo patikslintas nacionalinio saugumo požiūriu.

Šiuo metu galiojančios redakcijos įstatymo 27 straipsnis nustato, kad perkančioji organizacija, valdanti ypatingos svarbos informacinę infrastruktūrą, pasirengdama pirkimui ir siekdama įvertinti, ar pirkimas susijęs su nacionaliniu saugumu, privalo kreiptis į KAM su prašymu pateikti motyvuotą rekomendaciją dėl sutarties vykdymo metu galinčių kilti technologinių rizikų, susijusių su ypatingos svarbos informacine infrastruktūra, bei reikalavimų, susijusių su nacionaliniu saugumu, nustatymo pirkimo dokumentuose tikslingumo.

Kartu su prašymu pateikti rekomendaciją perkančioji organizacija turi pateikti pirkimo objektui apibūdinti reikalingus duomenis, pagrindines ketinamos sudaryti pirkimo sutarties sąlygas ir motyvus, kodėl pirkimas galėtų būti susijęs su nacionaliniu saugumu.

KAM pateikus išvadą, perkančioji organizacija turi nustatyti atitinkamus pirkimo reikalavimus, o konkursą laimėjusi kompanija gali būti patikrinta Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisijos.    

Ypatingos svarbos informacinės infrastruktūros objektų sąrašas nėra viešai skelbiamas, tačiau patys valdytojai – apie 100 tokių organizacijų – apie tai žino.

„Valstybės informaciniams ištekliams nacionalinio saugumo reikalavimų tokia apimtimi kaip ypatingos svarbos infrastruktūrai nėra. Tačiau dabartinės Vyriausybės programoje numatyta, kad bus pateikti įstatymų pakeitimai, kurie leis tai daryti“, – sakė J. Skardinskas.

Šiais įstatymų pakeitimais bus siekiama suteikti valstybės institucijoms galimybę nepirkti pigesnės, bet nesaugios IT įrangos ir produktų. „Kai tai įstatymais nėra apibrėžta, tuomet ir biudžetinės įstaigos turi teisę sakyti, kad pirkdamos pigesnę įrangą vadovaujasi galiojančiais teisės aktais. Todėl turime pataisyti įstatymus, suteikti galimybę perkančiosioms organizacijoms nusistatyti atitinkamus reikalavimus“, – sakė J. Skardinskas.

Vis dėlto jis pastebėjo, kad ir šiandien ministerijoms niekas nedraudžia nusistatyti konkurso sąlygose, kad siūloma įranga negali turėti tam tikrų pažeidžiamumų, kuriuos galėtų išnaudoti programišiai, ir t. t.

„Kadangi perkančiųjų organizacijų yra be galo daug, kai kurios nusistato tokius reikalavimus, kai kurios – ne. Tai mes norėtume griežčiau tai reglamentuoti“, – sakė J. Skardinskas.  

Ne visi blogi, apie ką blogai kalbama 

Bendrovės „Digital.ai Inžinerijos ir Lietuvos padalinio vadovas, buvęs „Danske Bank Mobile-First padalinio vadovas Paulius Mantulovas abejoja, ar visi Kinijos ar kitų šalių gamintojų prietaisai ar programinė įranga būtų pavojinga ar turinti „atgalines duris“. Tokie faktai esą gali būti nustatyti tik tikrinant šiuos prietaisus laboratorijos sąlygomis.

„Kliautis vien spekuliacijomis neverta. Tačiau pasitikėti kompetentingų institucijų išvadomis, manau, verta ir būtina. Juolab kad esame NATO nariai ir galbūt gauname informaciją, kad vienas ar kitas prietaisas yra potencialiai pavojingas ar galimai turi nepageidaujamą ryšį su gamintoju. Žinoma, kad į tokius dalykus reikia atsižvelgti. Bet tuo įsitikinti galima tik atlikus papildomą testavimą“, – kalbėjo P. Mantulovas.

IT ekspertas abejoja, ar perkančioji organizacija pati savarankiškai pajėgi atlikti tokį testavimą, nes prietaiso saugumo įvertinimas yra sudėtingas, daug laiko ir pastangų reikalaujantis darbas. Dažniausiai ir labai brangus.

„Mano nuomone, partneriais pasitikėti vertėtų, tačiau reikėtų patiems vertinti pagal protingumo kriterijų. Rizikos vertinimas visada paremtas tuo principu, kiek rizikos mes esame linkę prisiimti. Jeigu tai yra valstybei svarbus objektas, esame linkę prisiimti kuo mažesnę riziką. Tokiu atveju vienareikšmiškai nerekomenduočiau rinktis prietaisų iš nerekomenduojamų prietaisų sąrašo. Jeigu perkama, tarkime, eismo srauto stebėjimo kamera, galbūt rizika nėra tokia didžiulė, ir nors prietaisas nėra visiškai saugus, jo kaina labai patraukli. Tuomet riziką galbūt verta prisiimti. Tačiau bet kuriuo atveju rizikos vertinimas turėtų būti perkančiosios organizacijos komisijos darbo sudedamoji dalis“, – svarstė IT ekspertas. 

Prabanga – sąlyginė sąvoka

Viešojoje erdvėje kaskart, kai kuri nors ministerija ar kita valstybinė institucija įsigyja brangesnius nei kitų gamintojų, pavyzdžiui, „Apple“, telefonus, sulaukia priekaištų, neva vaikosi tuščios garbės vien tam, kad prezidentūros darbuotojai ar ministerijos valdininkai galėtų pasipuikuoti išsitraukę iš kišenės „prabangų“ „iPhone“ telefoną.

NSGK pirmininkas L. Kasčiūnas daro skirtį tarp strateginės infrastruktūros, ypatingos svarbos objektų, strateginių įmonių ir jose naudojamų technologijų bei valstybės tarnautojų naudojamų mobiliųjų telefonų.

„Mes kalbame apie valstybinį strateginį lygį, apie jo apsaugą. Tai mūsų tikslas. Žmonių pasirinkimo šioje vietoje tikrai nenorime varžyti ar diktuoti. Mobilieji telefonai turbūt nepatenka į strateginius pirkimus. Natūralu, kad bent valstybinėse įstaigose nacionalinio saugumo dėmuo turėtų būti reikšmingas“, – pastebėjo L. Kasčiūnas.

KAM Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas L. Skardinskas atkreipė dėmesį į gerąją IT praktiką, kad telefonus, kuriuos organizacija išduoda savo darbuotojams, reikia valdyti.

„Tokio telefono vartotojas neturėtų pats siųstis, kokius nori duomenis. Yra tam tikri įrankiai, kuriais tie telefonai gali būti valdomi, kad vartotojai turėtų galimybę atlikti tik tuos veiksmus, kurie jam leidžiami. Kai kurios organizacijos valdo savo telefonus, kai kurios – ne. Tos, kurios valdo, kartais pasirenka, pavyzdžiui, vieno gamintojo telefonus – „Samsung“, „Apple“ ar kitus. Suprantama, kad telefonų įvairovė nepalengvina IT uždavinio. Todėl kartais įstaigos įsigyja, tarkime, „Apple“ telefonus, nes mano, kad taip bus efektyviau valdoma IT infrastruktūra“, – teigė J. Skardinskas.    

„Digital.ai“ Inžinerijos ir Lietuvos padalinio vadovas P. Mantulovas teigiamai vertina „Apple“ mobiliuosius telefonus. „Kaip specialistas, dirbęs su įvairių gamintojų mobiliaisiais įrenginiais, galiu vienareikšmiškai teigti, kad „Apple“ produkcija tikrai yra aukšto patikimumo lygio. Ir programinė įranga, ir įrenginiai yra aukštos kokybės. Atitinkamai jų kaina yra aukštesnė, tačiau tikrai jie nėra prabangos prekė, kaip kažkas galėtų spekuliuoti“, – mano jis.

IT eksperto nuomone, lygiai taip pat aukšto patikimumo ir labai panašios kainos yra ir kitų gamintojų, pavyzdžiui, Korėjos „Samsung“ operacinės sistemos ir prietaisai. „Jeigu vertiname Kinijos gamintojus, kurie ataskaitose įvardijami kaip nepatikimi, nors jų parduodamų prietaisų kaina ir patraukli, gali atsirasti rizika, kad šie prietaisai turės paslėptų funkcionalumų. Ypač jeigu įrenginys skirtas valstybės tarnautojams, pritarčiau, kad šios rizikos nevertėtų prisiimti, o vertinti, kad „Apple“ yra patikimas gamintojas. Dar nebuvo skandalų, susijusių su šiuo gamintoju“, – tikino P. Mantulovas.      

Lietuva stebi ES, bet saugumo klausimus sprendžia savarankiškai

„ES valstybėse vykstančius procesus turime stebėti, bet Lietuva savarankiškai sprendžia nacionalinio saugumo problemą. Ir kai kuriuos dalykus mes galbūt netgi darome anksčiau“, – sakė J. Skardinskas.

Vis dėlto jis pažymėjo, kad noras kontroliuoti technologijas, kurios diegiamos į svarbią infrastruktūrą ir valstybės informacinius išteklius, yra visoje ES.

„Tai kylantis fenomenas, ir šalys vis labiau supranta, kad masinis priklausymas nuo informacinių technologijų padarė šias technologijas kritiškai svarbias. Valstybė negali pasakyti, kad jai visai nesvarbu, kas ką ir kur diegia. Svarbu, nes mes visi dabar gyvename susisaistę elektroniniais ryšiais ir sistemomis. Dažniausiai vienoms valstybėms įtaką siekia daryti kitos valstybės, ypač tos, kurios turi milžiniškus išteklius, gebėjimus. Turime į tai atitinkamai reaguoti – sukurti mechanizmus, kurie leistų kontroliuoti, kas patenka į rinką ir į mums svarbią infrastruktūrą“, – sakė L. Skardinskas. 

Viešasis sektorius naudoja nesaugias vaizdo kameras

Nacionalinis kibernetinio saugumo centras (NKSC) prie KAM 2020 m. gegužę atliko išsamų Lietuvoje naudojamų Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kamerų kibernetinio saugumo vertinimą.

Kinijos gamintojų „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameras šalyje naudoja 57 viešojo sektoriaus institucijos.

Tyrimas atskleidė šios IT įrangos reikšmingas rizikas: galimybę vaizdo kameras valdyti nuotoliniu būdu, jų paveikumą kibernetinėms atakoms, slaptažodžių saugos sprendimų praradimą, programinės įrangos pažeidžiamumus.

NKSC vaizdo stebėjimo kamerų tyrimą pradėjo metų pradžioje, nacionaliniam transliuotojui LRT paskelbus apie galimai nesaugias vaizdo stebėjimo kameras, kurios uždraustos Jungtinėse Amerikos Valstijose. Tyrimo tikslas buvo įvertinti išsamiai ir techniškai, ar šių gamintojų produktai turi saugumo problemų ir ką tai reiškia kamerų naudotojui.

Tyrimas faktiškai technologiniais aspektais aptarė grėsmes saugumui ir kaip tai galėtų būti išnaudota piktavalio. Be to, pateikė sprendimus ir rekomendacijas, kokių veiksmų imtis, kad šių kamerų naudotojai galėtų suvaldyti nustatytas rizikas.

Tyrimas nustatė, kad kamerose naudojami programinės įrangos paketai turi gana daug žinomų kibernetinio saugumo spragų, pažymėtų viešai prieinamose pažeidžiamumų duomenų. Pasinaudojus šiomis spragomis iškyla reali kibernetinių atakų rizika, tokių kaip atkirtimo nuo paslaugos (DoS) ar kenkėjiško kodo įterpimas. Kamerose nėra automatinio atnaujinimo funkcijos, o naujinimo infrastruktūra išdėstyta Kinijos ir Rusijos serveriuose.

Tirtuose gaminiuose panaudoti prasti slaptažodžių apsaugos mechanizmai, kai vartotojų autentifikavimas kamerose vykdomas nešifruotu ryšiu, naudojant HTTP protokolą kartu su pasenusiu MD5 algoritmu. Dėl to, vartotojui jungiantis prie kameros, jo slaptažodžio reikšmė gali būti perimta, slaptažodis dekoduotas ir panaudotas neteisėtam prisijungimui. Tai galėtų leisti pašaliniams perimti kameros turinio transliaciją, realiuoju laiku aktyvuoti ar deaktyvuoti kameros funkcijas (vaizdo atpažinimo, garso įrašymo ir kt.), stabdyti kameros veikimą.

Be to, nustatyta, kad gamintojo „Hikvision“ parengta kamerų valdymo mobili programėlė „Hik-Connect“ vykdo sujungimus su Kinija, Tailandu, Singapūru, Airija ir registruoja SIM kortelės IMSI ir ICCID identifikacinius numerius bei mobiliojo įrenginio IMEI identifikacinį numerį.

Naudojantiems šių gamintojų vaizdo stebėjimo kameras, NKSC rekomenduoja jas izoliuoti atskirame fiziniame arba specifiškai parametrizuotame loginiame tinkle, neturinčiame prieigos prie tarnybinių, vietinių ar viešųjų interneto tinklų. Taip pat siūloma neatskleisti savo tapatybės ir nesisiųsti atnaujinimų iš nutolusių serverių, nepriklausančių NATO ar ES šalims. Siekiant išvengti galimų pažeidžiamumų, rekomenduojama nuolatos vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis.

Vykdant vaizdo stebėjimo kamerų viešuosius pirkimus, rekomenduojama techninėje specifikacijoje nurodyti, kad tiekėjas privalo pateikti kameras su naujausiais kamerų gamintojo siūlomais programinės įrangos atnaujinimais, kuriuose būtų ištaisytos žinomos saugumo spragos ir pažeidžiamumai. 

Taip pat tiekėjas turi organizuoti kamerų programinės įrangos atnaujinimų atsisiuntimą iš ES ir NATO šalyse esančių serverių bei privalo pateikti kameras tik su funkcionalumais, kurių reikalauja techninė specifikacija, o papildomi, pirkėjo nenurodyti funkcionalumai turėtų būti deaktyvuoti.

„Tokių vaizdo kamerų gana platus naudojimas kenkia bendrai kibernetinio saugumo būklei šalyje. Dabartinis tokių kamerų saugumo lygis, kai parduodami prietaisai su žinomais pažeidžiamumais, tikrai netenkina. Tai leidžia įsilaužėliams lengvai įsilaužti ir rinkti informaciją, – pastebėjo J. Skardinskas. – Šnipinėjimas, duomenų rinkimas ir vogimas susijęs su tuo, kad tos Kinijos kompanijos tiesiog negali atsisakyti bendradarbiauti su Kinijos žvalgybos tarnybomis. Jeigu ta įranga yra svarbioje valstybei struktūroje ir Kinija norėtų vykdyti ten žvalgybą, kompanija įrangos gamintoja turėtų bendradarbiauti.“

KAM nuomone, tokios įrangos pirkimas turėtų būti griežčiau reglamentuotas. Be to, toks siekis yra ir aštuonioliktos Vyriausybės programoje. Todėl KAM dar šiais metais turėtų pateikti rekomendacijas dėl būtinų įstatymų pataisų.