KSRA žodynas

Kibernetinio saugumo reikalavimų aprašas — NKSC 2024 m. lapkritį patvirtintas 100+ puslapių dokumentas, nustatantis konkrečius kibernetinio saugumo reikalavimus Lietuvos įmonėms. Turi 8 reikalavimų blokus (organizaciniai + techniniai).

KSRA kontekste: Pagrindinis įstatyminis dokumentas, kurio atitikimą tikrina NKSC auditas. Nuo 2025-09-01 privalomas visiems pagrindiniams ir svarbiems kibernetinio saugumo subjektams.

→ 8 KSRA reikalavimų blokai paaiškinti paprastai

Kibernetinio saugumo įstatymas — Lietuvos nacionalinė NIS2 direktyvos implementacija. Pagrindas, iš kurio išplaukia KSRA reikalavimų aprašas.

KSRA kontekste: Įstatymas apibrėžia subjektų kategorijas (pagrindiniai/svarbūs), baudų diapazonus ir priežiūros struktūrą. KSRA — jo techninis ir organizacinis detalizavimas.

→ KSRA vs NIS2 — pagrindiniai skirtumai Lietuvos įmonei

Nacionalinis kibernetinio saugumo centras — Lietuvos institucija prie Krašto apsaugos ministerijos, atsakinga už kibernetinio saugumo politikos įgyvendinimą, incidentų valdymą ir priežiūrą.

KSRA kontekste: NKSC atlieka auditus, priima incidentų pranešimus (24 val. pagrindiniams subjektams), skiria baudas. www.nksc.lt — oficialus informacijos šaltinis.

→ NKSC 2025 terminai — kada įgyvendinti KSRA reikalavimus

ES direktyva 2022/2555, patvirtinta 2022 m. gruodžio 14 d., dėl tinklų ir informacinių sistemų saugumo. Pakeitė NIS1 (2016), išplėtė apimtį ir sugriežtino reikalavimus.

KSRA kontekste: NIS2 — ES lygmens bazė, KSĮ + KSRA — Lietuvos implementacija. Jei įmonė veikia keliose ES šalyse, reikės atitikti kiekvienos šalies nacionalinę implementaciją.

→ KSRA vs NIS2 — pagrindiniai skirtumai Lietuvos įmonei

Dvi KSĮ kategorijos, nustatančios taikomų reikalavimų ir baudų dydį. Pagrindiniai — didesnės įmonės / kritinės infrastruktūros sektoriai (energetika, transportas, vandens tiekimas, bankininkystė, sveikatos apsauga). Svarbūs — kiti svarbūs sektoriai (paštas, chemija, gamyba, maistas).

KSRA kontekste: Pagrindiniai — iki 10 mln. EUR arba 2% metinės apyvartos. Svarbūs — iki 7 mln. EUR arba 1.4% metinės apyvartos. Kategorija nustatoma pagal veiklos sektorių + darbuotojų / apyvartos dydį.

Vyriausiasis informacinio saugumo pareigūnas — aukščiausio lygio atsakingas už kibernetinį saugumą organizacijoje. Atsako už politikų kūrimą, rizikos valdymą, incidentų koordinavimą ir ataskaitų teikimą valdybai.

KSRA kontekste: KSRA reikalauja paskirto atsakingo asmens (ne būtinai full-time CISO). Mažoms įmonėms — gali būti dalis IT vadovo ar techninio direktoriaus pareigų, bet privalo būti dokumentuotas oficialus paskyrimo aktas.

Valdybos (arba ekvivalento) patvirtintas dokumentas, apibrėžiantis kibernetinio saugumo principus, vaidmenis, atsakomybes ir pagrindinius procesus organizacijoje. Paprastai 10–30 puslapių.

KSRA kontekste: KSRA 5–10 punktai reikalauja dokumentuotos politikos. Svarbu, kad politika būtų gyva — reguliariai peržiūrėta (bent kartą per metus), o jos turinys atitiktų realią praktiką, ne vien rašytinį tekstą.

Struktūrizuotas rizikų sąrašas su tikimybės × poveikio vertinimu, mitigacijos priemonėmis ir atsakingais asmenimis. Dažniausiai Excel / Google Sheets arba GRC platformoje.

KSRA kontekste: KSRA reikalauja formalaus rizikos valdymo proceso. Registras turi būti peržiūrėtas bent kartą per metus, arba po rimtų pokyčių (naujos sistemos, incidentai, audito išvados). Minimum 15–30 specifinių rizikų.

Pagrindinių saugumo praktikų rinkinys kasdieniniame naudojime: stiprūs slaptažodžiai, MFA, programinės įrangos atnaujinimai, phishing atpažinimas, saugus nešiojamųjų įrenginių naudojimas.

KSRA kontekste: Privalomi kibernetinės higienos mokymai visiems darbuotojams (bent kartą per metus), su dokumentuotu dalyvavimo įrodymu. Neapsprendžia vienas vadovas — turi dalyvauti visi, įskaitant valdybos narius.

Daugiafaktorė autentifikacija — prisijungimui reikalingi bent du skirtingi elementai: kažką žinote (slaptažodis), kažką turite (telefonas/token), arba kažkuo esate (biometrija). Minimaliai stiprina autentifikaciją nuo ~90% atakų.

KSRA kontekste: KSRA techninių reikalavimų blokas reikalauja MFA visiems vartotojams su prieiga prie svarbių sistemų — ne tik administratoriams. Išimtys (pvz. service accounts) turi būti dokumentuotos su rizikos pagrindimu ir kompensacinėmis kontrolėmis.

Vieninga prisijungimo sistema — vienas prisijungimas (pvz. Azure AD arba Google Workspace) suteikia prieigą prie daugelio aplikacijų, eliminuojant poreikį įvesti slaptažodžius atskirai.

KSRA kontekste: SSO supaprastina prieigos valdymą ir audit trail'ą — lengviau sekti, kas, kada ir prie ko prisijungė. Taip pat palengvina greitai atimti prieigą kai darbuotojas palieka įmonę (vienas disable = visur išjungta).

Vartotojai ir sistemos turi tik tokias teises, kurių joms reikia konkrečioms užduotims atlikti — nei daugiau, nei mažiau. Admin teisės suteikiamos tik kai tikrai būtinos, ir atimamos iškart po užduoties.

KSRA kontekste: Vienas iš pamatinių KSRA reikalavimų. Praktikoje: nepalikti vartotojų su senomis admin teisėmis, reguliariai peržiūrėti prieigos matricą, taikyti Just-in-Time (JIT) prieigos principą kritinėms sistemoms.

Saugumo modelis, prielaidaujantis, kad joks tinklas, įrenginys ar vartotojas nėra patikimas pagal nutylėjimą — kiekvienas prieigos bandymas verifikuojamas. Frazė „never trust, always verify“.

KSRA kontekste: KSRA neprivalo Zero Trust architektūros, bet principai (segmentacija, MFA, mažiausių teisių) — tiesiogiai aprašyti reikalavimuose. Praktiškai Zero Trust = KSRA gerai įgyvendintas.

Galinių įrenginių aptikimo ir reagavimo sistema — pažangus antivirus pakaitalas, nuolat stebintis darbo stočių ir serverių elgseną, aptinkantis anomalijas ir leidžiantis greitai reaguoti į incidentus.

KSRA kontekste: Market liderai: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint. KSRA reikalauja centralizuoto valdymo + 24/7 stebėjimo. Mažoms įmonėms — MSSP (managed security service provider) arba Defender for Business yra cost-effective sprendimai.

Saugumo informacijos ir įvykių valdymas — centralizuota platforma, agreguojanti log'us iš visų sistemų (serveriai, tinklo įranga, aplikacijos, EDR), korreliuojanti įvykius ir aptinkanti grėsmes pagal taisykles ar AI/ML.

KSRA kontekste: KSRA reikalauja centralizuoto logging ir monitoring. Pilno SIEM (Splunk, Sentinel, Elastic) setup — 2+ mėn. + ongoing tuning. Alternatyva mažoms įmonėms: cloud-native SIEM kaip Microsoft Sentinel + MSSP paslauga.

Saugumo operacijų centras — komanda (vidinė ar outsourced), 24/7 stebinti SIEM alert'us, analizuojanti incidentus ir koordinuojanti reagavimą. Paprastai 3-tier struktūra: L1 triage → L2 investigation → L3 threat hunting.

KSRA kontekste: Pagrindiniams subjektams — praktiškai privaloma. Mažoms įmonėms — SOC-as-a-Service iš MSSP (pvz. Lietuvos tiekėjų) ~1000–3000 EUR/mėn. Realia kontrole gali pakeisti tik turima SLA'ė su incidentų response'ais.

Kibernetinio saugumo įvykis, turintis arba galintis turėti neigiamą poveikį informacinių sistemų konfidencialumui, vientisumui ar prieinamumui. Skiriasi nuo „įvykio“ tuo, kad reikalauja atsako.

KSRA kontekste: KSRA apibrėžia skirtingus sunkumo lygius. Pagrindinis subjektas privalo pranešti NKSC per 24 val. apie rimtą incidentą (pvz. duomenų nutekėjimas, ransomware). Mažiau rimtas — per 72 val.

Dokumentuotas planas, aprašantis kas ką daro per pirmas valandas po incidento: eskalavimo grandinė, komunikacijos protokolas, techninės reagavimo procedūros (izoliacija, forensic, atstatymas).

KSRA kontekste: KSRA reikalavimas. Planas turi būti testuojamas bent kartą per metus per „tabletop exercise“ (1–2 val. scenarijaus peržaidimas). Netestuotas planas = popierius, ne realus sprendimas.

→ Kaip pasiruošti NKSC auditui per 48 val.

RTO — maksimalus laikas, per kurį sistema turi būti atstatyta po incidento (pvz. 4 val.). RPO — maksimali duomenų praradimo rizika (pvz. 1 val., reiškianti, kad backup'ai turi būti bent kas valandą).

KSRA kontekste: Turi būti aiškiai apibrėžti kritinėms sistemoms, dokumentuoti DR plane, ir testuoti reguliariai. Praktinis testas: restore test + laiko matavimas. NKSC auditoriai klausia: „kada paskutinį kartą testavote?“

Politika, nustatanti, kiek laiko saugomos atsarginės kopijos. Dažna 3-2-1 taisyklė: 3 kopijos, 2 skirtingose laikmenose, 1 off-site. Retention laikai dažnai: 7 dienos × kasdienis, 4 savaitės × savaitinis, 12 mėn. × mėnesinis.

KSRA kontekste: KSRA reikalauja dokumentuotos politikos + periodinio restore test'o. Immutable backup'ai (negalima šifruoti / pakeisti) kritiniai prieš ransomware atakas — tradiciniai backup'ai dažnai taip pat užšifruojami.

Tinklo segmentas tarp vidinio (privataus) tinklo ir interneto, kuriame talpinamos viešai prieinamos sistemos (web serveriai, API, mail). Leidžia izoliuoti vidines sistemas nuo tiesioginės prieigos iš interneto.

KSRA kontekste: KSRA reikalauja tinklo segmentacijos. DMZ — viena iš pagrindinių segmentacijos formų. Papildomai: production vs test aplinkų izoliacija, admin tinklų atskyrimas, guest WiFi atskirai nuo corporate.

Virtualus tinklas — tinklo įrenginių grupė, izoliuota logiškai (ne fiziškai) per switch'ų konfigūraciją. Leidžia padalinti vieną fizinį tinklą į kelis izoliuotus segmentus.

KSRA kontekste: Pagrindinė tinklo segmentacijos priemonė. Dažniau naudojama nei atskiras fizinis tinklas (kainuoja mažiau, bet suteikia logiškai identišką izoliaciją kai sukonfiguruotas gerai).

Atnaujinimų valdymas — procesas, užtikrinantis, kad operacinės sistemos, aplikacijos ir tinklo įrenginiai gauna saugumo pataisas laiku. Apima: CVE stebėjimą, testavimą, įdiegimo grafikus, dokumentavimą.

KSRA kontekste: KSRA reikalauja kritinių CVE pataisymų per 72 val. nuo išleidimo (high severity). Praktinės priemonės: Windows WSUS, Linux apt-unattended-upgrades, Ansible, SCCM, Intune. Reikia dokumentacijos, kada kas buvo pritaikyta.

Socialinės inžinerijos ataka per el. paštą, SMS ar pokalbius — apsimetant patikima šalimi (banku, vadovu, tiekėju), siekiama išgauti credential'us, finansinius duomenis arba priversti paspausti kenkėjišką nuorodą.

KSRA kontekste: KSRA reikalauja phishing pratybų bent du kartus per metus — simuliacijos su rezultatų matavimu (procentinis „nukritimo“ rodiklis). Korekciniai mokymai tiems darbuotojams, kurie nukrito. Market tools: KnowBe4, Hoxhunt, Proofpoint.

Kenkėjiška programa, užšifruojanti aukos duomenis ir reikalaujanti išpirkos (dažniausiai kriptovaliuta) už iššifravimo raktą. Moderni ransomware taip pat nukopijuoja duomenis prieš šifravimą — dvigubas šantažas.

KSRA kontekste: Pagrindinis grėsmės modelis LT įmonėms 2024–2026 m. Apsaugos stack: EDR + immutable backup'ai + MFA + phishing training + network segmentation + incident response plan. Ne vienas sprendimas — reikia visko.

Ataka per tiekėją — užkrečiama tiekėjo programinė įranga ar paslauga, kurią vėliau naudoja šimtai / tūkstančiai klientų. Žinomiausi atvejai: SolarWinds 2020, Kaseya 2021, XZ Utils backdoor 2024.

KSRA kontekste: KSRA 7-tas blokas — tiekėjų saugumo vertinimas. Reikalauja: saugumo klausimyno prieš sutartį, saugumo sąlygų sutartyje, audit rights, incident notification SLA'os, reguliaraus tiekėjo saugumo peržiūros.

Įsilaužimo testavimas — autorizuotas bandymas įsilaužti į sistemą, imituojant realias atakas. Tikslas — rasti spragas prieš tai, kai jas ras nedraugas. Formos: black-box (be info), gray-box (dalinis), white-box (pilnas).

KSRA kontekste: KSRA rekomenduoja (kai kuriais atvejais reikalauja) pentest'ą bent kartą per metus. Kaina: 5000–20000 EUR priklausomai nuo scope'o. Svarbu: pentest be remediation'o — tik dokumentas, ne apsaugos pagerėjimas.