Birželio 17 d. LR Seimas patvirtino Kibernetinio saugumo įstatymo pataisas, kurios įteisino atsakingo ryšių ir informacinių sistemų spragų atskleidimo procesą. Pataisos įsigalios, kai jas pasirašys LR Prezidentas.
„Dauguma ryšių ir informacinių sistemų turi didesnių ar mažesnių spragų. Nustatę aiškias sąlygas, kada galima teisėtai jų ieškoti ir kaip tinkamai apie jas pranešti, mes ne tik užkirsime kelią būsimiems kibernetiniams incidentams, bet ir stiprinsime bendrą mūsų šalies kibernetinę brandą“, – sako krašto apsaugos ministras Arvydas Anušauskas.
Ryšių ir informacinių sistemų spraga – tai ryšių ir informacinės sistemos trūkumas, dėl kurio gali įvykti kibernetinis incidentas.
Spragų atskleidimas yra laikomas atsakingu, kai informacija apie aptiktas spragas yra, visų pirma, pateikiama pačiai organizacijai, kurios sistemose ar produktuose jos buvo aptiktos, ir/ar spragų atskleidimo procesą koordinuojančiai institucijai. Pagal Seimo patvirtintas Kibernetinio saugumo įstatymo pataisas, Lietuvoje šią koordinavimo funkciją vykdys Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos.
Spragų paieška ir jų atskleidimas yra laikomi teisėtais ir tokius veiksmus atlikusiam asmeniui neužtraukia teisinės atsakomybės, kai vykdant šią veiklą nėra trikdomas ryšių ir informacinės sistemos darbas, funkcionalumas, teikiamos paslaugos ir duomenų prieinamumas. Taip pat nesiekiama be reikalo, daugiau, negu reikia spragai patvirtinti, stebėti, fiksuoti, perimti, įgyti, laikyti, atskleisti, kopijuoti, keisti duomenų, nebandoma atspėti slaptažodžius, nenaudojami neteisėtu būdu gauti slaptažodžiai ir nėra manipuliuojama organizacijos darbuotojais.
Asmuo, aptikęs spragą, turi nedelsiant nutraukti tolimesnę paiešką ir, ne vėliau kaip per 24 val., apie tai pranešti organizacijai, kurios sistemose ar produktuose ji buvo aptikta, ir/ar Nacionaliniam kibernetinio saugumo centrui jo interneto svetainėje užpildant specialią pranešimų formą [https://www.nksc.lt/pranesti-spraga.html] arba informuojant el. paštu [email protected].
Kibernetinio saugumo įstatymo pataisos numato prievolę informuoti ne tik apie aptiktas spragas, bet ir apie vykdytą spragų paiešką. Apie tokią veiklą asmuo privalo informuoti ne vėliau kaip per 24 val. nuo paieškos pradžios, o paiešką tęsiant ilgiau kaip parą – kas 24 val.
NKSC savo iniciatyva dar iki Kibernetinio saugumo įstatymo pataisų patvirtinimo taikė atsakingo kibernetinio saugumo spragų atskleidimo praktiką ir pernai sulaukė apie 40 tokių pranešimų, kurie užkirto kelią galimiems kibernetiniams incidentams.
Asociatyvi nuotrauka KAM archyvo