Kibernetinės atakos prieš informacines sistemas: kodėl valstybė kartais net nepradeda tyrimų?
2022 - 07 - 15
Straipsnio autorius: Mindaugas Bliuvas, Arnas Trukšnys
Šiuo metu rengiama ypač daug kibernetinių atakų, nukreiptų ne tik prieš Lietuvos valdžios institucijas, bet ir prieš šalyje veikiančių privačių kompanijų informacines sistemas. Neretai perimami ir paviešinami verslo klientų duomenys. Vartotojai ir priežiūrą vykdančios institucijos paprastai skuba piktintis, kad neapsisaugojo pats verslas. Bet kalbant apie vis tobulėjančias informacines technologijas, būtina nepamiršti paprastos tiesos, – kad nenulaužiamų sistemų tiesiog nėra.
Faktas, jog įsilaužti galima visur, nereiškia, kad tiek valstybės institucijos, tiek privatūs subjektai neturėtų investuoti į atitinkamų sistemų saugumo didinimą. Bet kartu būtina nepamiršti, kad viena priemonių, prisidedančių prie įsilaužimų prevencijos – veikų atskleidžiamumas, jas padariusių asmenų nustatymas ir atsakomybės pritaikymas.
Už neteisėtą poveikį elektroniniams duomenims, informacinėms sistemoms, elektroninių duomenų perėmimą ir panaudojimą, neteisėtą prisijungimą prie informacinės sistemos ir kitas nusikalstamas veikas elektroninių duomenų ir informacinių sistemų saugumui, be kita ko, numatyta ir baudžiamoji atsakomybė.
Tokias nusikalstamas veikas paprastai tiria policijos įstaigos. Ypač sudėtingais atvejais ikiteisminius tyrimus atlieka specializuoti Lietuvos kriminalinės policijos biuro pareigūnai.
Remiantis Nacionalinio kibernetinio saugumo centro (NKSC) duomenimis, 2022 m. tendencijos nerodo kibernetinių incidentų mažėjimo – anaiptol. Per pirmąjį šių metų ketvirtį NKSC fiksavo 1020 kibernetinių incidentų, o jų skaičius didesnis nei per tokį patį laikotarpį pernai, kai fiksuoti 981 incidentai.
Tačiau dar 2020 metais Valstybės kontrolės atliktas auditas parodė, kad policija nevaldo visos informacijos apie kibernetinius incidentus, kurie galimai yra nusikalstamos veikos.
Priežastis – faktas, kad ne visi kibernetinio saugumo subjektai (19 iš 143 auditorių apklaustų) praneša policijai apie kibernetinius incidentus, kurie galimai yra nusikalstamos veikos elektroninėje erdvėje.
Todėl, žinoma, svarbu, kad informacinių sistemų valdytojai, patyrę kibernetinę ataką, būtų aktyvūs ir patys kreiptųsi į teisėsaugos institucijas dėl ikiteisminio tyrimo pradėjimo. Nustatant galimus kaltininkus tokio pobūdžio bylose ypatingai svarbu nepavėluoti su procesinių veiksmų atlikimu.
Tokiu atveju teisėsaugos institucijos galės laiku sureaguoti į nusikalstamas veikas elektroninėje erdvėje.
Be to, tinkamas ir savalaikis kreipimasis į ikiteisminio tyrimo subjektus gali padėti valstybės lygiu įvertinti, koks yra šių grėsmių mastas. Pavyzdžiui, jei nuo tų pačių ar susijusių asmenų gali nukentėti skirtingi asmenys, tai neabejotinai rodo didesnį kaltininkų vykdomų nusikalstamų veikų organizuotumą ir pavojingumą.
Nepaisant to, vis dar pasitaiko atvejų, kuomet ikiteisminio tyrimo įstaigos, gavusios informacijos apie neteisėtą prisijungimą prie Lietuvoje veikiančio subjekto informacinės sistemos, kai yra pažeidžiamos informacinės sistemos apsaugos priemonės, apsiriboja tik IP adreso priklausomybės nustatymu.
Nustačiusios, kad informacinė sistema buvo „nulaužta“ iš užsienyje registruoto IP adreso, institucijos atsisako pradėti ikiteisminį tyrimą arba pradėtą tyrimą nutraukia. Paaiškinama, kad Lietuvos institucijos neturi jurisdikcijos tirti tokią veiką, nes ji padaryta iš užsienio
Vis dėlto tokia praktika neabejotinai prisideda prie nebaudžiamumo atmosferos kūrimo bei paskatina kibernetinius įsilaužėlius planuoti naujus išpuolius.
Be to, svarbu tai, kad IP adreso priklausomybė techninėmis ir programinėmis priemonėmis dažnu atveju maskuojama ir „iškeliama“ iš šalies, kurioje įvykdomas nusikaltimas. Iš tiesų veika gali būti padaryta kaltininkams esant Lietuvoje ar pasitelkiant čia gyvenančius bendrininkus.
Pagal Europos Parlamento ir Tarybos 2013 m. rugpjūčio 12 d. direktyvą 2013/40/ES dėl atakų prieš informacines sistemas, kuria pakeičiamas Tarybos pamatinis sprendimas 2005/222/TVR, Lietuva yra įpareigota užtikrinti, kad jos jurisdikcijai priklausytų ne tik tie atvejai, kai pažeidėjas nusikalstamą veiką įvykdo fiziškai būdamas Lietuvos teritorijoje.
Vertinami turi būti ir atvejai, kai nusikalstama veika yra nukreipta prieš Lietuvos teritorijoje esančią informacinę sistemą – nepriklausomai nuo to, ar pažeidėjas nusikalstamą veiką daro fiziškai būdamas Lietuvoje.
Tad laiku ir tinkamai kreipusis į teisėsaugos institucijas padidėja tikimybė nustatyti informacinių sistemų apsaugos priemones pažeidusius, neviešą informaciją pasisavinusius ir paskleidusius asmenis.
O sėkmingai atlikus tyrimą galima ne tik reikalauti iš kaltininkų žalos atlyginimo, bet ir prevenciškai prisidėti prie tokio pobūdžio veikų užkardymo.