APGINTI.🇱🇹

Kibernetinių incidentų poveikio vertinimas ir informavimas apie kibernetinius incidentus

9. Jei Europos Komisijos įgyvendinamieji teisės aktai neapibrėžia išsamiau, laikoma, kad įvyko didelis kibernetinis incidentas, kaip jis suprantamas pagal Kibernetinio saugumo įstatymo 18 straipsnio 2 dalį, kai:
9.1. kibernetinio saugumo subjektas patiria ar gali patirti didelių paslaugų teikimo sutrikimų ir kibernetinis incidentas atitinka bent vieną iš šių kriterijų:
  • 9.1.1. paslaugos trikdomos visoje Lietuvos teritorijoje ir (ar) bent vienoje Europos Sąjungos arba NATO šalyje;
  • 9.1.2. tinklų ir informacinės sistemos veikla trikdoma 2 ar daugiau valandų;
  • 9.1.3. paveiktų paslaugų gavėjų ar kompiuterizuotų darbo vietų skaičius lygus arba didesnis nei 1000, arba 25 procentai (atsižvelgiant į tai, kuris dydis yra mažesnis);
  • 9.1.4. paveikti 1000 arba 25 procentų (atsižvelgiant į tai, kuris dydis yra mažesnis) paslaugų gavėjų asmens duomenys ar kiti kibernetinio saugumo subjekto saugomi paslaugų gavėjų duomenys;
  • 9.1.5. kibernetinio saugumo subjektas nebegali užtikrinti teisės aktuose jo veiklai nustatytų reikalavimų įgyvendinimo;
  • 9.1.6. prarastos arba atskleistos komercinės paslaptys arba įslaptinta informacija;
  • 9.1.7. per 6 mėnesius patiriamas daugiau nei vienas analogiškas kibernetinis incidentas, incidentų pagrindinė priežastis sutampa, o finansinių nuostolių dydis siekia 9.2 papunktyje numatytas vertes;
9.2. kibernetinio saugumo subjektas patiria ar gali patirti didelių finansinių nuostolių, lygių arba didesnių nei 500000 Eur, arba 5 procentų kibernetinio saugumo subjekto praėjusių finansinių metų apyvartos (atsižvelgiant į tai, kuri suma yra mažesnė);
9.3. kibernetinis incidentas paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą, atitinkančią bent vieną iš šių kriterijų:
  • 9.3.1. galimos turtinės žalos dydis yra lygus arba didesnis nei 400 bazinių socialinių išmokų;
  • 9.3.2. galimos neturtinės žalos dydis lygus arba didesnis nei 10000 Eur;
  • 9.3.3. sutrikdyta bent vieno žmogaus sveikata arba bent vienas žmogus žuvo.
10. Kibernetinio saugumo subjekto Saugumo operacijų centras apie kibernetinius incidentus informuoja NKSC, juos registruodamas Kibernetinio saugumo informacinės sistemos posistemyje – Nacionalinėje kibernetinių incidentų valdymo platformoje (toliau – Platforma).
11. Kibernetinio saugumo subjekto Saugumo operacijų centras, dėl kibernetinio incidento neturintis galimybės apie kibernetinius incidentus informuoti automatizuotu būdu per Platformą, NKSC informuoja užpildydamas formą Platformoje, NKSC interneto svetainėje, NKSC nurodytu elektroninio pašto adresu arba telefonu.
12. Kibernetinio saugumo subjekto Saugumo operacijų centras apie didelį kibernetinį incidentą NKSC informuoja Kibernetinio saugumo įstatymo 18 straipsnio 4 dalyje nustatytais terminais pateikdamas toje pačioje dalyje nurodytą informaciją. Kibernetinio saugumo subjekto Saugumo operacijų centras turi teisę teikti ir kitą, Kibernetinio saugumo įstatymo 18 straipsnio 4 dalyje nenurodytą, tačiau dideliam kibernetiniam incidentui suvaldyti ar tirti reikšmingą informaciją.
13. Kibernetinio saugumo subjekto Saugumo operacijų centras apie kitus kibernetinius incidentus, neatitinkančius Kibernetinio saugumo įstatymo 18 straipsnio 2 dalies ir Plano 9 punkto nuostatų (toliau – nedidelis kibernetinis incidentas), NKSC informuoja pateikdamas:
13.1. nedelsdamas, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie kibernetinį incidentą momento, pranešimą apie nedidelį kibernetinį incidentą, jame pateikdamas Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 2 punkte nurodytą informaciją;
13.2. per vieną mėnesį nuo pranešimo apie kibernetinį incidentą registravimo dienos galutinę ataskaitą apie nedidelį kibernetinį incidentą, joje pateikdamas Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 4 punkte nurodytą informaciją. Galutinė ataskaita apie nedidelį kibernetinį incidentą neteikiama, jei pranešime apie kibernetinį incidentą pateikta visa galutinės ataskaitos informacija.
14. Kibernetinio saugumo subjekto Saugumo operacijų centras, teikdamas NKSC Kibernetinio saugumo įstatymo 18 straipsnio 2 dalyje nurodytą informaciją apie kibernetinio incidento pradinį vertinimą, įvardija:
14.1. kokių paslaugų sutrikimų patyrė ar gali patirti kibernetinio saugumo subjektas – nurodomos paslaugos ir sutrikimų apimtys;
14.2. kokių finansinių nuostolių patyrė ar gali patirti kibernetinio saugumo subjektas – nurodomas nuostolių dydis;
14.3. ar kibernetinis incidentas paveikė arba gali paveikti kitus asmenis, sukeldamas turtinę arba neturtinę žalą, – jei taip, nurodomi asmenys ir žalos dydis;
14.5. ar incidentas suvaldytas;
14.6. kitą svarbią informaciją (pavyzdžiui, kibernetinio incidento vietą, tikslų nustatymo laiką).
15. Jei kibernetinis incidentas tęsiasi ilgiau nei vieną mėnesį, kibernetinio saugumo subjektai kas mėnesį atnaujina Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 2 punkte nurodytą informaciją.
16. NKSC prašymu kibernetinio saugumo subjektas NKSC nurodytais terminais privalo teikti tarpines atitinkamų atnaujintų padėties duomenų ataskaitas apie didelius kibernetinius incidentus. NKSC turi teisę paprašyti pateikti ir kitus dideliam kibernetiniam incidentui suvaldyti reikalingus ir reikšmingus duomenis.
17. Asmenys, neturintys pareigos NKSC pranešti apie kibernetinius incidentus, apie kibernetinius incidentus, kibernetines grėsmes, vos neįvykusius kibernetinius incidentus ir (ar) taikytas kibernetinių incidentų valdymo priemones NKSC savanoriškai praneša:
17.1. kibernetinio saugumo subjekto Saugumo operacijų centras – tokia pat tvarka, kaip ir apie kibernetinius incidentus;
17.2. asmenys, kurie nėra kibernetinio saugumo subjektai – NKSC interneto svetainėje skelbiamais būdais.
18. Teikiant Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 4 punkto b papunktyje nurodytą informaciją, parenkama viena iš išvardytų kibernetinių grėsmių ir pagrindinių incidentų priežasčių:
18.1. nepageidaujamų laiškų ir (ar) klaidinančios ar žeidžiančios informacijos platinimas (angl. abusive content, spam) ir (ar) tinklų informacinės sistemos veiklos trikdymas;
18.2. kenkimo programinė įranga (angl. malicious software / code): programinė įranga ar jos dalis, kuri padeda neteisėtai prisijungti prie tinklų ir informacinės sistemos, ją užvaldyti ir kontroliuoti, sutrikdyti ar pakeisti jos veikimą, sugadinti, ištrinti ar pakeisti skaitmeninius duomenis, panaikinti ar apriboti galimybę jais naudotis ir neteisėtai pasisavinti ar kitaip panaudoti neviešus skaitmeninius duomenis tokios teisės neturintiems asmenims ir kuri identifikuota kaip:
  • 18.2.1. pažangi kenkimo programinė įranga (angl. advanced persistent threat, APT);
  • 18.2.2. tinklų ir informacinės sistemos duomenis šifruojantis ir naikinantis (angl. wiper) ar išpirkos reikalaujantis programinis kodas (angl. ransomware);
  • 18.2.3. tinklų ir informacinės sistemos dalys, aktyviai kontroliuojamos įsibrovėlių;
  • 18.2.4. kenkimo programinės įrangos platinimas;
18.3. informacijos rinkimas (angl. information gathering): žvalgyba ar kita įtartina veikla, manipuliavimas naudotojų emocijomis, psichologija, pastabumo stoka, pasinaudojimas technologiniu neišmanymu (angl. social engineering), siekiant stebėti ir rinkti informaciją, atrasti silpnąsias vietas, atlikti grėsmę keliančius veiksmus, apgavystės, siekiant įtikinti naudotoją atskleisti informaciją (angl. phishing) arba atlikti norimus veiksmus. Naudojami socialinės inžinerijos metodai, siekiant išvilioti prisijungimo prie tinklų ir informacinės sistemos ir (ar) kitą svarbią informaciją;
18.4. mėginimas įsilaužti (angl. intrusion attempts). Mėginimas įsilaužti arba sutrikdyti tinklų ir informacinės sistemos veikimą išnaudojant žinomas spragas (angl. exploiting of known vulnerabilities), bandant parinkti slaptažodžius (angl. login attempts), kitą įsilaužimo būdą (angl. new attack signature), kurie gali būti skirstomi į:
  • 18.4.1. išnaudojama viena ar kelios nežinomos spragos (angl. zero day);
  • 18.4.2. tinklų ir informacinės sistemos žvalgyba ar kita kenkimo veika (prievadų skenavimas, slaptažodžių parinkimas, kenkimo programinės įrangos platinimas ir kita);
  • 18.4.3. išnaudojamos žinomos ir viešai publikuotos spragos;
18.5. įsilaužimas (angl. intrusions). Sėkmingas įsilaužimas ir (ar) neteisėtas tinklų ir informacinės sistemos, taikomosios programinės įrangos ar paslaugos naudojimas (angl. privileged account compromise, unprivileged account compromise, application compromise), kuris skirstomas taip:
  • 18.5.1. veiksmai prieš tinklų ir informacinę sistemą ar jos saugumo priemones, informacijos pasisavinimas, naikinimas, tinklų ir informacinės sistemos ar jos dalies pažeidimas, sutrikdantis tinklų ir informacinės sistemos teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomos informacijos ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti tinklų ir informacinės sistemos naudotojų pasitikėjimą jais;
  • 18.5.2. gaunama neteisėta prieiga prie tinklų ir informacinės sistemos, taikomosios programinės įrangos ar paslaugos;
18.6. paslaugų trikdymas, prieinamumo pažeidimai (angl. availability): veiksmai, kuriais trikdoma tinklų ir informacinės sistemos veikla, teikiamos paslaugos (angl. DoS, DDoS), tinklų ir informacinės sistemos ar jos dalies pažeidimas, sutrikdantis tinklų ir informacinės sistemos ir (ar) jos teikiamas paslaugas, kuris skirstomas taip:
  • 18.6.1. teikiamų paslaugų nutraukimas arba maksimalaus leistino paslaugos neveikimo laiko viršijimas;
  • 18.6.2. teikiamų paslaugų nepertraukiamo teikimo trikdymas, galintis turėti įtakos tvarkomos informacijos ir (ar) teikiamų paslaugų prieinamumui;
18.7. tiekimo grandinės atakos (angl. supply chain attack): išnaudojama trečiųjų šalių, teikiančių paslaugas tinklų ir informacinės sistemos valdytojui ir (ar) tvarkytojui, infrastruktūra, siekiant įgauti ar turėti įtaką paslaugos gavėjo tinklų ir informacinės sistemos infrastruktūrai;
18.8. informacijos turinio saugumo pažeidimai (angl. information content security): neteisėta prieiga prie informacijos, galinčios turėti įtakos tinklų ir informacinės sistemos veiklai ir (ar) teikiamoms paslaugoms, ar jos neteisėtas keitimas;
18.10. kitos grėsmės ar priežastys.
19. Užregistravus incidentą, informacija apie galimą nusikalstamą veiką ar asmens duomenų apsaugos pažeidimą, naudojantis Platforma, pateikiama atitinkamai Lietuvos policijai ir (ar) Valstybinei duomenų apsaugos inspekcijai. Gavę informaciją apie kibernetinį incidentą, NKSC ir kitos šiame punkte nurodytos institucijos priima sprendimus dėl tyrimų pagal kompetenciją pradėjimo. Duomenys apie kibernetinius incidentus, reikalingi institucijų tyrimams atlikti, išskyrus ikiteisminio tyrimo duomenis, teikiami ir tvarkomi Platformoje.
20. NKSC, Lietuvos policija ir Valstybinė duomenų apsaugos inspekcija, gavę informacijos apie kibernetinius incidentus arba juos nustatę, nedelsdami, bet ne vėliau kaip per 24 valandas nuo informacijos gavimo ar nustatymo momento kibernetinius incidentus registruoja Platformoje teikdami visą turimą informaciją ir apie tai informuoja kibernetinio saugumo subjektų Saugumo operacijų centrą. Apie institucijų užregistruotus kibernetinius incidentus kibernetinio saugumo subjektų Saugumo operacijų centrai informuojami per Platformą. Kibernetinio saugumo subjekto Saugumo operacijų centras Plane nustatytais terminais privalo pateikti Kibernetinio saugumo įstatymo 18 straipsnio 4 dalies 1 arba 2 punkte nurodytą informaciją.
21. NKSC, įvertinęs Platformoje esančią informaciją apie kibernetinius incidentus ir nustatęs, kad nedidelis kibernetinis incidentas turėtų būti priskirtas dideliam kibernetiniam incidentui, kibernetinį incidentą Platformoje priskiria dideliam kibernetiniam incidentui ir apie tai nedelsdamas, bet ne vėliau kaip per 24 valandas nuo šiame punkte nurodyto incidento nustatymo informuoja kibernetinio saugumo subjektą.
22. Kai didelis kibernetinis incidentas yra susijęs su dviem ar daugiau valstybių narių, NKSC apie didelį kibernetinį incidentą ne vėliau kaip per 24 valandas nuo sužinojimo apie jį momento informuoja kitas paveiktas valstybes nares ir Europos Sąjungos tinklų ir informacijos apsaugos agentūrą (toliau – ENISA).
23. NKSC kas 3 mėnesius teikia ENISA suvestinę ataskaitą, į kurią įtraukiami nuasmeninti ir suvestiniai duomenys apie kibernetinius incidentus, kibernetines grėsmes ir vos neįvykusius kibernetinius incidentus.
24. Informaciją apie didelius kibernetinius incidentus, kibernetinius incidentus, kibernetines grėsmes ir vos neįvykusius kibernetinius incidentus, apie kuriuos pranešė kibernetinio saugumo subjektai, kurie Krizių valdymo ir civilinės saugos įstatymo nustatyta tvarka buvo pripažinti ypatingos svarbos subjektais, NKSC praneša NKVC ne vėliau kaip per 24 valandas nuo sužinojimo apie juos momento. Apie užregistruotus didelius kibernetinius incidentus kibernetinio saugumo subjektuose, kurie Krizių valdymo ir civilinės saugos įstatymo nustatyta tvarka buvo pripažinti ypatingos svarbos subjektais, NKSC praneša NKVC nedelsdamas, bet ne vėliau kaip per 1 valandą nuo kibernetinio incidento užregistravimo. Suvestinę informaciją apie kibernetinius incidentus, kibernetines grėsmes ir vos neįvykusius kibernetinius incidentus šiame punkte nurodytuose kibernetinio saugumo subjektuose NKSC pateikia NKVC kas 3 mėnesius.
NIST CSF 2.0 Funkcijos

Grafiko Vaizdas

Atgalinės Nuorodos