Lietuvos kibernetinio saugumo teisės aktai ir politika ligi šiol yra rašoma serveriams, o ne žmonėms. Institucijos investuoja dešimtis milijonų į infrastruktūrą, brangius auditus, licencijas, stebėsenos sistemas, konsultantų paketus ir atitikties lenteles. Ekspertai konferencijose kalba apie atsparumą, brandos lygius, Nis2 direktyvas ir naują ISO techninį standartą. Tačiau žmogus, kurio visas gyvenimas šiandien prižiūrimas ir suskaitmenintas valstybės registruose, elektroninės sveikatos sistemose, VMI duomenų bazėse ir t.t., yra bejėgis statistas. Jis prisimenamas tik tada, kai reikia išieškoti baudą.
Kai dėl prarastų duomenų rizika žmogui staiga padidėja, jis yra paliekamas manytis pats sau ir net neinformuojamas du mėnesius. Negana to, aiškinama esą turime susitaikyti, jog kibernetinio saugumo incidentai neišvengiami.
Mums sakoma, kad valstybė tampa saugesnė, nes sistemos modernėja ir skaitmenizuojamos, nes Lietuva pirmauja pagal ES kibernetinio saugumo reikalavimų įgyvendinimą ir t.t. Nei viena, nei kita savaime nėra saugumas. Milžiniški centralizuoti duomenų kiekiai, sujungtos duomenų bazės, kurias tvarko eiliniai klerkai, remdamiesi abstrakčiais ir tik jiems patiems žinomais teisės aktais – yra saugumo miražas. Realybė yra priešinga – tokios duomenų bazės yra greičiau ir patogiau pasiekiamos ne tik institucijoms, bet nusikaltėliams ir priešiškų valstybių institucijoms. Visa tą labai puikiai iliustruoja Registrų centro duomenų praradimo incidentas.
Techninės rizikos didėja žymiai greičiau nei paprasto piliečio gebėjimai apsisaugoti ir net suprasti, kas jam gresia. Valstybė net neatsiklaususi piliečių kuria duomenų monstrą, bet eilinio piliečio nemoko, neapdraudžia ir nesaugo. Negana to, po eilinio prasileidimo dar ir moralizuoja, kad turime susitaikyti ir saugotis patys.
Gėdinga, kai milijonus už konsultacijas gaunantys kibernetinio saugumo ekspertai deklaruoja, jog „incidentai neišvengiami“, „rizika valdoma“, „standartai įgyvendinami“, „sistemos stiprinamos“. Tai propaganda, siekiant išvengti atsakomybės ir toliau įsisavinti lėšas kibernetinio saugumo projektams.
Ką daryti eiliniam piliečiui? Kaip atpažinti apgaulę, kuri atrodo tikroviškai? Kur kreiptis, kai bankas, policija ir institucijos siuntinėja vieni pas kitus? Kas atlygins žmogaus prarastus pinigus, nervus ir sveikatą?
Registrų centro incidentas įrodo, kad pilietis niekam nerūpi. Žmonės informuojami pavėluotai, girdime abstrakcijas – „rizika suvaldyta, tyrimas vyksta, detalės yra slapta ikiteisminio tyrimo medžiaga“ ir t.t.. Tai anglų kalba vadinama „gaslighting“ – mūsų įtikinėjimas, kad mes neteisingai suprantame tikrovę. Tai yra lygiai tas pat, ką daro internetiniai ir telefoniniai sukčiai.
Socialinės inžinerijos atakos nukreiptos ne į duomenų bazes. Jos nukreiptos į žmogaus baimę, skubą, pasitikėjimą institucijomis ar tiesiog žmogiškumą. Sukčius neskambina serveriui. Jis skambina pensininkei, įmonės buhalterei, išsigandusiai mamai. Panaudojant tikros informacijos fragmentus apie turtą, adresą, paskolą ar turto vertę apgaulė atrodo tikroviškai. Kai valstybė ar verslas (jau primirštas Citybee atvejis) masiškai praranda tikrus duomenis, jie labai reikšmingai padidina eilinių piliečių pažeidžiamumą.
Lietuvos internetinio ir telefoninio sukčiavimo statistika yra iškalbinga. 2025 m. vien oficialiai fiksuota daugiau kaip 15 tūkstančių sukčiavimo atvejų, gyventojai ir įmonės sukčiams pervedė daugiau nei 32 mln. eurų. Moksliniai tyrimai rodo, kad tai tik ledkalnio viršūnė. Kai tūkstančiai žmonių praranda pinigus, tai rodo, kad sistema ne veikia, o dangsto savo neveikimą šabloniniais patarimais „nespauskite įtartinų nuorodų“. Tai ne „vartotojų neatidumas“, tai valstybės ir verslo kibernetinio saugumo skola žmonėms, kasdien apmokama realiais žmonių pinigais, sveikata ir nervais.
Turime liautis matuoti kibernetinį saugumą vien institucijų patogumu ir varnelėmis prie įgyvendintų techninių standartų. Jei valstybė centralizuoja piliečio duomenis, ji turi prisiimti ir pareigą saugoti pilietį, ne tik serverius ar duomenų bazes. Kibernetinio saugumo priemonės privalo padėti žmonėms – nukentėję žmonės po duomenų incidentų turi būti informuojami nedelsiant, turi būti skubiai įgyvendintos anoniminių skambučių apsaugos priemonės (galimybės pranešti ir blokuoti sukčių naudojamus numerius, taip apsaugant kitus vartotojus, pvz., Airijoje tas padaryta jau seniai), nustatyta sudėtingas sistemas naudojančių institucijų pareiga kompensuoti žmonių patirtą žalą (pvz., JK bankai per 5 dienas privalo kompensuoti nuostolius iki 85 000 svarų), kibernetinio saugumo priemonės turi būti pritaikytos eiliniam pensininkui be informatikos mokslų diplomo, o ne jaunuoliui programuotojui.
Vis daugiau mokslinių tyrimų rodo, kad sudėtingi ir dažnai priverstinai keičiami slaptažodžiai, daugiafaktorinės autentifikavimo sistemos ir kitos sudėtingos techninės priemonės realiai didina eilinio žmogaus kibernetinį nesaugumą.
Valstybės kibernetinis atsparumas nėra lygus jos serverių saugumui. Jis lygus silpniausios grandies – žmogaus – atsparumui. Ta grandis yra mama, kuri rūpinasi, kai sužino, kad jos vaikas pateko į autoįvykį, pensininkė bijanti, kad SODRA nurėš jos socialines išmokas, smulkus verslininkas kasdien bijantis, kad VMI be jokio įspėjimo nurašys nuo sąskaitos nesumokėtus mokesčius ir t.t. Šiandien šie žmonės yra baudžiami, išjuokiami ir moralizuojami už normalias žmogiškas emocijas. Tokioje situacijos jokie nauji milijoniniai projektai ir „dviejų faktorių“ autentifikacijos sistemos mūsų nepadarys saugių, o valstybės atsparia.
Šis tekstas – asmeninė jo autoriaus (-ės) nuomonė. LRT.lt portalo rubrikoje „Pozicija“ publikuojamos politinės ar kitos tematikos nuomonės. Publikavimo taisykles galite rasti čia.
