2024 m. lapkričio 6 d. Lietuvos Respublikos Vyriausybė priėmė nutarimą, kuriuo patvirtino naująjį Kibernetinio saugumo įstatymą įgyvendinančius teisės aktus. Vienas iš jų – Nacionalinis kibernetinių incidentų valdymo planas.
Šiame plane nustatytos kibernetinių incidentų valdymo, poveikio vertinimo ir informavimo apie incidentus pagrindinės taisyklės, kurių privalo laikytis visos į TIS 2 direktyvos taikymo apimtį patenkančios įmonės ir organizacijos (kitaip – kibernetinio saugumo subjektai). Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė atkreipia dėmesį, kad be kitų reikalingų dokumentų, įmonės ir organizacijos privalo parengti ir patvirtinti kibernetinių incidentų valdymo planą, kuriame būtų perkeltos visos esminės Nacionalinio kibernetinių incidentų valdymo plano nuostatos.
Kibernetiniu incidentu pripažįstamas įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.
Kibernetinių incidentų valdymas susideda iš dviejų lygmenų: nacionaliniu lygmeniu valdymą atlieka Nacionalinis kibernetinio saugumo centras (NKSC), o vidiniu lygmeniu – pačios įmonės ir organizacijos.
Advokato padėjėja pažymi, kad naujuoju reglamentavimu numatyta, jog tam, kad įmonės ir organizacijos gebėtų tinkamai atpažinti ir reaguoti į kibernetinius incidentus, juos koordinuoti ir suvaldyti, turi būti sudaromas Saugumo operacijų centras (SOC). SOC gali būti sudaromas tiek iš reikiamą kvalifikaciją turinčių kibernetinio saugumo subjekto darbuotojų, tiek perkant išorės paslaugų teikėjo paslaugas, arba taikant hibridinį variantą, t. y. dalį SOC funkcijų pavedant atlikti darbuotojams, o kitą dalį – išorės paslaugų teikėjui. Visgi, svarbu atkreipti dėmesį, kad SOC funkcijos nebūtų pavestos kibernetinio saugumo subjekto arba išorės paslaugų teikėjo darbuotojams, atsakingiems už tinkamą kibernetinio saugumo subjekto tinklų ir (ar) informacinių sistemų veiklą – šios funkcijos turi būti aiškiai atribotos.
Pagal Nacionalinį kibernetinių incidentų valdymo planą išskiriamos dvi kibernetinių incidentų kategorijos – dideli ir nedideli kibernetiniai incidentai.
Plane pateikiamas išsamus kriterijų sąrašas, padedantis nustatyti, ar kibernetinis incidentas laikomas dideliu. Apibendrinant šiuos kriterijus, dideliu pripažįstamas toks kibernetinis incidentas, jeigu dėl jo patiriama ar gali būti patiriama didelių paslaugų teikimo sutrikimų, finansinių nuostolių, lygių arba didesnių nei 500 000 Eur, arba 5 procentai įmonės ar organizacijos praėjusių finansinių metų apyvartos (atsižvelgiant į tai, kuri suma yra mažesnė), taip pat, jei incidentas paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą (jei galimos turtinės žalos dydis yra lygus arba didesnis nei 400 bazinių socialinių išmokų, galimos neturtinės žalos dydis lygus arba didesnis nei 10 000 Eur, sutrikdyta bent vieno žmogaus sveikata arba bent vienas žmogus žuvo).
Teisininkė paaiškina, kad visi incidentai, kurie pagal savo poveikį nepripažįstami dideliais, laikomi nedideliais kibernetiniais incidentais.
Įvykus incidentui kibernetinio saugumo subjekto viduje, SOC turi identifikuoti, ar toks incidentas turi kibernetinio incidento požymių, ir įvertinti tokio incidento poveikį, t. y. nustatyti, ar tai didelis, ar nedidelis kibernetinis incidentas.
Advokato padėjėja Akvilė primena, kad kibernetinio saugumo subjektai turi pareigą informuoti NKSC tiek apie didelius, tiek apie nedidelius kibernetinius incidentus. Informaciją teikia SOC, registruodamas ją Nacionalinėje kibernetinių incidentų valdymo platformoje, užpildydamas specialią formą NKSC interneto puslapyje arba kreipdamasis į NKSC raštu elektroniniu paštu arba telefonu.
Esminis skirtumas – informacijos apie incidentą pateikimo apimtis ir reagavimo laikas. Įvykus dideliam kibernetiniam incidentui, SOC ne vėliau kaip per 24 valandas nuo sužinojimo apie incidentą teikia NKSC ankstyvąjį perspėjimą, kuriame, pagal galimybes, nurodo, ar incidentą sukėlė neteisėti ar piktavališki veiksmai, ir, ar incidentas galėtų daryti tarpvalstybinį poveikį. Tada ne vėliau kaip per 72 valandas nuo sužinojimo apie incidentą teikiama atnaujinta informacija ir pradinis incidento vertinimas ir, galiausiai, ne vėliau kaip per vieną mėnesį nuo ankstyvojo perspėjimo pateikimo dienos teikiama galutinė ataskaita. Tačiau, jei kibernetinis incidentas tęsiasi ilgiau nei vieną mėnesį, vietoje galutinės ataskaitos teikiama pažangos ataskaita, o galutinė ataskaita teikiama per vieną mėnesį po to, kai incidentas buvo suvaldytas. NKSC taip pat gali paprašyti pateikti tarpines atitinkamų atnaujintų padėties duomenų ataskaitas.
Nustatęs poreikį, kibernetinio saugumo subjektas taip pat nepagrįstai nedelsdamas praneša paslaugų gavėjams apie įvykusį didelį kibernetinį incidentą, kuris gali turėti neigiamos įtakos paslaugų teikimui.
Teisininkė pastebi, jog fakto apie įvykusį didelį kibernetinį incidentą sąmoningas nuslėpimas ir savalaikis informacijos NKSC nepateikimas pripažįstamas pavojingu pažeidimu, už kurį NKSC gali skirti baudą ar kitą vykdymo užtikrinimo priemonę.
Įvykus nedideliam kibernetiniam incidentui, SOC neteikia ankstyvojo perspėjimo, tačiau ne vėliau kaip per 72 valandas nuo sužinojimo apie incidentą teikia NKSC pranešimą apie incidentą, jame nurodydamas incidento pradinį vertinimą ir pateikdamas įsilaužimo įrodymus, jeigu tokių yra. Per vieną mėnesį nuo pranešimo apie incidentą registravimo dienos SOC pateikia galutinę ataskaitą.
Užregistravus kibernetinį incidentą, SOC sprendžia dėl tinkamų kibernetinio saugumo priemonių taikymo incidentui suvaldyti. Kibernetinio saugumo subjekto IT skyriui pavedama įgyvendinti šias SOC nustatytas priemones, taip pat surinkti įrodymus, reikalingus pagrindinei kibernetinio incidento priežasčiai ar grėsmei nustatyti, bei atkurti tinklų ir informacinių sistemų veiklą.
Atkūrus tinklų ir informacinių sistemų veiklą, SOC atlieka kibernetinio incidento tyrimą, kurio metu įvertinami visi atlikti kibernetinio incidento nustatymo, vertinimo, valdymo, veiklos atkūrimo veiksmai bei identifikuojamos prevencinės priemonės, kurių įmonė ar organizacija turėtų imtis, užkardant kibernetinių incidentų kilimą ateityje. Tyrimo metu gautos išvados nurodomos galutinėje ataskaitoje, teikiamoje NKSC.
Advokato padėjėja atkreipia dėmesį, jog įmonės ir organizacijos turi ne tik parengti kibernetinių incidentų valdymo planą, bet ir jį praktiškai išbandyti bei dokumentuoti išbandymo metu gautus rezultatus ne rečiau kaip kartą per vienerius metus. Tokiu būdu užtikrinama, kad atsakingi asmenys žinotų, kokius konkrečius veiksmus jie turi atlikti, ir būtų pasirengę veikti, įvykus kibernetiniam incidentui, kartu identifikuojant galimas kibernetinių incidentų valdymo plano silpnąsias vietas.
Galiausiai, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pažymi, kad net ir tada, jei Jūsų įmonė ar organizacija tiesiogiai nepatenka į TIS 2 direktyvos taikymo apimtį, vis tiek itin rekomenduojame ir skatiname, įvykus kibernetiniam incidentui, savarankiškai apie tai informuoti NKSC, kadangi jis galėtų suteikti Jums visą reikalingą informaciją ir pagalbą kibernetinio incidento valdymo metu, tokiu būdu, kiek įmanoma, apsaugant įmonę ar organizaciją nuo papildomų finansinių ar kitokio pobūdžio neigiamų padarinių kilimo.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866
