Pasaulinis kibernetinio saugumo indeksas (toliau – KSI), pagal kurį lyginamos įvairių pasaulio valstybių finansuojamos pastangos bei pažanga kibernetinio saugumo srityje. Lietuva KSI 2020 m. užėmė 6 poziciją pasaulyje ir 4 poziciją Europoje. Maksimalų vertinimą Lietuva surinko teisinio reguliavimo bei švietimo ir edukacijos srityse. Techninių ir organizacinių priemonių bei bendradarbiavimo kryptis reikia stiprinti. Siekiant išlaikyti ir gerinti užimamas pozicijas KSI, būtina šalinti Plėtros programoje nurodytą problemą – dėl pasikeitusių kibernetinių grėsmių pobūdžio ir augančio jų masto mažėjantį šalies kibernetinį atsparumą, taip pat sukuriant prielaidas šalinti šias problemos atsiradimo priežastis: 1. Naujai atsirandančios ir nuolat evoliucionuojančios kibernetinės grėsmės kelia iššūkius įvairių sektorių skaitmeninės infrastruktūros ir duomenų apsaugai. Kibernetinio saugumo politiką Lietuvoje formuojančių ir įgyvendinančių institucijų pagrindinis tikslas – sukurti saugią aplinką tokios infrastruktūros veikimui, nustatyti saugaus veikimo sąlygas ir vykdyti jų įgyvendinimo stebėseną. Kibernetinio saugumo politikos formavimui reikalingas nuolatinis teisės aktų tobulinimas ir peržiūra. Europos Parlamentas ir Taryba 2022 m. pabaigoje priėmė Tinklų ir informacinių sistemų direktyvą ES 2022/2555 (toliau – TIS2), kuriai įgyvendinti būtina iš esmės peržiūrėti nacionalinę kibernetinio saugumo politikos formavimo ir įgyvendinimo sistemą. Šiuo projektu siekiama įvertinti šiuo metu galiojantį kibernetinio saugumo modelį ir jį tobulinti pagal TIS2 keliamus reikalavimus bei atliepiant kibernetinių grėsmių Lietuvoje specifiką. Bus plečiama kibernetinio saugumo subjektų, kuriems taikomi kibernetinio saugumo reikalavimai apimtis, peržiūrima atsakingų institucijų vaidmuo ir funkcijos, kompetentingoms institucijoms turi būti suteikiama daugiau galių vykdyti priežiūros funkcijas ir taikyti vykdymo užtikrinimo priemones. Kadangi TIS2 reikalavimai plečiasi ir griežtėja, bei auga kibernetinio saugumo subjektų, kuriems bus taikoma TIS2 skaičius, bus siekiama įvairiomis komunikacinėmis priemonėmis užtikrinti jų informavimą apie esminius pokyčius ir taip prisidėti prie efektyvesnio organizacijų pasirengimo TIS2 įgyvendinimui. 2. Galiojantys organizaciniai ir techniniai kibernetinio saugumo reikalavimai (toliau – OTR) nesudaro sąlygų įgyvendinti aktualių šiam laikmečiui organizacinių ir technologinių sprendimų, o dėl šios priežasties ir kibernetinį saugumą užtikrinančios institucijos neturi aiškaus, aktualaus ir išsamaus kibernetinio saugumo Lietuvoje paveikslo, kurio pagrindu turėtų būti priimami duomenimis grįsti sprendimai kibernetinio saugumo srityje. TIS2 atneša naują požiūrį į OTR, suformuodama naujas sritis, kurioms turi būti suformuoti reikalavimai. Atitinkamai atskiruose sektoriuose (pvz. finansų, energetikos) atsiranda užuomazgų dėl tik tam sektoriui būdingų reikalavimų dėl kibernetinių rizikų vertinimo ir valdymo reglamentavimo. OTR yra vienas iš esminių ir tolesnių procesų rezultatus lemiančių veiksnių. OTR įgyvendinančių kibernetinio saugumo subjektų bei jų įgyvendinimą prižiūrinčių institucijų veiksmai, bendradarbiavimas, sėkmės ir nesėkmės formuoja bendrą Lietuvos kibernetinio saugumo lygį, kuris kartu yra ir integralus Europos Sąjungos kibernetinio saugumo lygis. Projektu siekiama tobulinti OTR sistemą, peržiūrint ir atnaujinant esamus reikalavimus, juos suderinant su TIS2 keliamais reikalavimais bei įvairių sektorių atskirais kibernetinio saugumo reikalavimais, taip pat siekiama spręsti naujausius kibernetinio saugumo iššūkius, naudoti gerąsias praktikas bei standartus, šiais veiksmais sudarant prielaidas tolesniam sklandžiam kibernetinio saugumo integravimui į kasdienę veiklą. 3. Skirtingai taikomos kibernetinio atsparumo priemonės viešajame sektoriuje. Kibernetinio saugumo subjektai, priklausomai nuo kibernetinio saugumo brandos, resursų, gebėjimų ir kompetencijos trūkumo, OTR įgyvendina skirtingai, dažnai juos atitinka arba beveik atitinka tik de jure. Jei organizacijos ir turi formaliai apibrėžtus kibernetinio saugumo procesus, gaires, tačiau kibernetinio saugumo užtikrinimas dažnai vertinamas kaip biurokratinė našta. Nacionalinės kibernetinio saugumo būklės ataskaitos (2024 m.) duomenimis, organizacinių reikalavimų (pavyzdžiui, patvirtintina kibernetinio saugumo politika, ją įgyvendinantys standartai, procedūros ir kt.) įgyvendinimas ypatingos svarbos informacinėje infrastruktūroje 2023 m. augo 10 proc., palyginti su 2022 m. duomenimis (nuo 62 proc. 2022 m. iki 72 proc. 2023 m.), tuo tarpu daugiau finansinių, žmogiškų resursų ir kompetencijų reikalaujančių techninių saugumo priemonių įgyvendinimas šiose organizacijose 2023 m. padidėjo 7 proc. (nuo 52 proc. 2022 m. iki 59 proc. 2023 m.). Lėtą OTR įgyvendinimą įmanoma paskatinti teikiant daugiau pagalbos kibernetinio saugumo subjektams, ypač pradiniuose etapuose formuojant organizacijos kibernetinio saugumo procesus ir struktūrą. Projektu siekiama skatinti kibernetinio saugumo subjektus suvokti kibernetinio saugumo atnešamą naudą, formuoti vienodą ir fundamentalų kibernetinio saugumo subjektų supratimą apie informacijos saugą bei rizikų valdymą, vadovaujantis visuotinai pripažintais ISO standartais. Kibernetinio saugumo pagrindų ir principų perteikimas kibernetinio saugumo subjektams prisidėtų ir prie spartesnio organizacijų kibernetinio saugumo brandos kėlimo. 4. Nenustatytos viešojo ir privataus sektoriaus bendradarbiavimo kryptys. Kibernetinis saugumas yra visų valstybės veiklos sektorių ir visuomenės narių atsakomybė. Viešojo ir privataus sektoriaus bendradarbiavimas (toliau – PPP) yra būdas apjungti viešojo ir privataus sektoriaus bei mokslo atstovų pastangas, siekiant pasidalyti kibernetinio saugumo stiprinimo atsakomybe ir efektyviau kartu reaguoti į besikeičiančias kibernetinio saugumo grėsmes. Būtina identifikuoti šiuo metu pavienėmis iniciatyvomis vykdomus PPP skatinančius veiksmus, išryškinti gerąsias pasaulines praktikas, nustatyti veikiančią PPP sistemą ir artimiausio laikotarpio PPP kryptis. 5. Nenuoseklus valstybės institucijų personalo švietimas ir edukacija kibernetinio saugumo klausimais. Atsižvelgiant, kad su naujomis technologijomis (pvz., dirbtinis intelektas, daiktų internetas, 5G ryšys ir kt.) atitinkamai keičiasi ir kibernetinio saugumo grėsmių pobūdis, būtina stiprinti žinias bei įgūdžius šioms rizikoms bei grėsmėms tinkamai suvaldyti. Remiantis ES Kibernetinio saugumo agentūros (toliau – ENISA) tyrimu, kuriame analizuojamos ir prognozuojamos kylančios kibernetinio saugumo grėsmės iki 2030 m., pažymima, kad tokios ilgalaikės grėsmės, kaip „įgūdžių trūkumas“ tampa vis aktualesnės. Lietuvos startuolių asociacija „Unicorns Lithuania“2023 m. atliko IRT srities talentų rinkos tyrimą. Nors tyrimas daugiausiai dėmesio skyrė bendrai IRT srities specialistams ir jų poreikiui iki 2025 m. nustatyti, tačiau kibernetinio saugumo specialistų poreikis taip pat įvertintas. Globalios tendencijos bei IRT specialistų skaičiaus prognozės leidžia teigti, kad kova dėl IRT talentų pasaulyje tik aštrės, auginti turime ir potencialių darbuotojų kompetencijas. Kibernetinio saugumo kompetencijos yra vienos svarbiausių, kurias įmonės vertina jau dabar (žr., Įmonėms svarbiausių darbuotojų kompetencijų dešimtukas iki 2025 m.). IRT sektoriuje veikiančios įmonės talentų trūkumo klausimus sprendžia ir pačios. Pasiteisinusios priemonės – lanksčios darbo sąlygos, mokymai ir atlyginimų didinimas. Net 80 proc. apklaustųjų (124 IRT sektoriaus įmonės) nurodė, kad iki 2025 m. talentų poreikis jų įmonėse augs, 20 proc. – kad aptariamu metu naujų specialistų papildomai samdyti neketina. Didžiausia komandų plėtra numatoma kibernetinio saugumo, programinės įrangos kūrimo ir telekomunikacijų srityse veikiančiose įmonėse. Projektu siekiama sustiprinti Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės darbuotojų, atsakingų už valstybės kibernetinio saugumo politikos formavimą, informacinių išteklių saugą, kompetencijas sprendžiant saugumo klausimus, suteikti kitų žinių bei įgūdžių, būtinų efektyvesniam kibernetinio saugumo rizikų valdymui. 6. Mažai dėmesio skiriama pažeidžiamiausių visuomenės grupių kibernetiniam atsparumui didinti. Remiantis ENISA 2023 m. grėsmių apžvalgos ataskaita, 11 proc. per ataskaitinį laikotarpį užfiksuotų incidentų buvo nukreipti prieš gyventojus, pasitelkiant socialinės inžinerijos atakas, vykdant kitas atakas, pažeidžiančias asmens duomenų saugumą bei skleidžiant dezinformaciją. Minėtoje ataskaitoje pažymima, kad pusė ES piliečių neturi skaitmeninių įgūdžių, reikalingų visaverčiam dalyvavimui visuomenės gyvenime, ir tai trukdo jiems naudotis interneto paslaugomis. 2024 m. Organizuoto nusikalstamumo internete grėsmių vertinimo ataskaitoje pabrėžiama, kad 2023 m. visoje ES milijonai aukų kasdien buvo atakuojami ir išnaudojami internete: Išpirkos reikalaujančių programišių grupės taikosi į mažąsias ir vidutines įmones; E. komercijos prekybininkai ir bankų įstaigos yra vieni dažniausių skaitmeninių skimingo (e-skimingo arba web skimingo) atakų taikiniai; Vartotojai ir toliau tampa socialinės inžinerijos, ypač duomenų viliojimo, atakų aukomis, nukenčia nuo verslo elektroninio pašto kompromitavimo, investicinio ir romantinio sukčiavimo; Daugėja seksualinio prievartavimo internete atvejų, kai nukenčia nepilnamečiai. Skirtingų socialinių ir demografinių grupių analizė ES lygmeniu rodo, kad jaunimo skaitmeninių įgūdžių lygis yra geresnis, tačiau vyresnių amžiaus grupių - ne. Be to, nors skaitmeninių įgūdžių atotrūkis tarp lyčių mažėja, vis dar reikia skatinti atitinkamas iniciatyvas jam mažinti. ENISA ES valstybėms narėms savo nacionalinėse kibernetinio saugumo strategijose rekomenduoja įtraukti veiksmus, kuriais siekiama didinti bendrą įmonių ir organizacijų bei piliečių informuotumo apie kibernetinį saugumą lygį.