Šias rekomendacijas Valstybės kontrolė pateikė ketvirtadienį, baigiantis Europos kibernetinio saugumo mėnesiui.

Valstybės auditoriai atkreipia dėmesį, kad 2019-2021 metais Lietuvoje registruota per 11,6 tūkst. kibernetinių incidentų.

Augant jų skaičiui, pasak institucijos, būtina nacionaliniu lygiu kompleksiškiau stebėti ir analizuoti kibernetinio saugumo rizikas. Anot įstaigos, būtinas ir skaitmenizuotas saugumo reikalavimų atitikties vertinimas ir stebėsena, o teisės aktuose išdėstyti reikalavimai kibernetiniam saugumui ir elektroninės informacijos saugai užtikrinti turėtų būti nuoseklūs.

Valstybės kontrolės Informacinių technologijų audito departamento vadovas Markas Marcinkevičius pabrėžia, kad Lietuva Jungtinių Tautų Tarptautinės telekomunikacijų sąjungos 2021-aisiais paskelbtame kibernetinio saugumo indekse užėmė šeštąją vietą.

„Rezultatas nuteikia palyginti optimistiškai, vis dėlto mūsų atlikto audito išvados rodo, kad galime ir privalome patobulinti šalies kibernetinio saugumo užtikrinimo sistemą“, – teigė M. Marcinkevičius.

Auditoriai atkreipia dėmesį, kad valstybė vykdo kibernetinio saugumo pratybas, mokymus, konsultacijas, tačiau jų kiekio nepakanka norint stiprinti institucijų gebėjimus suvaldyti kibernetinius incidentus.

„Pavyzdžiui, per tris pastaruosius metus apie trečdalį kibernetinio saugumo subjektų nė karto nedalyvavo kibernetinio saugumo pratybose, pusė jų – kibernetinio saugumo mokymuose, o kas ketvirtas kibernetinio saugumo subjektas neturi kibernetinių incidentų valdymo plano“, – nurodo Valstybės kontrolė.

Taip pat reiškiamos pastabos, jog beveik pusė valstybės informacinių išteklių valdytojų ir tvarkytojų 2019-2021 nė karto neatliko IT saugos atitikties vertinimo, daugiau nei trečdalis jų neatliko kibernetinio saugumo rizikų vertinimo.

Kibernetinio saugumo politikos įgyvendinimą koordinuojančiai Krašto apsaugos ministerijai auditoriai pateikė rekomendacijas. Tarp jų – kasmet atnaujinant nacionalinį kibernetinio saugumo rizikos profilį siūloma ne tik identifikuoti rizikos, bet ir periodiškai vertinti jų potencialų poveikį, numatyti rizikos suvaldymo priemones.