UAB „KAUNO VANDENYS“ ATSPARUMO STRATEGIJA: SVARBIAUSI TIKSLAI NACIONALINIO SAUGUMO KONTEKSTE (2025-2030 M.)

I. Įžanga: UAB „Kauno vandenys“ kaip Nacionalinio Saugumo Elementas

Šiuolaikinėje geopolitinėje aplinkoje, kurioje konvencinio ir hibridinio karo ribos nyksta, gyvybiškai svarbių paslaugų teikėjų vaidmuo peržengia tradicines komunalinių paslaugų ribas. UAB „Kauno vandenys“, kaip viena didžiausių vandentvarkos įmonių Lietuvoje, nebėra vien paslaugų tiekėja – ji yra neatsiejama Lietuvos nacionalinio saugumo architektūros dalis. Nenutrūkstamas ir saugus geriamojo vandens tiekimas bei nuotekų tvarkymas yra strateginis valstybės interesas, o bet koks šios veiklos sutrikdymas gali turėti katastrofiškų padarinių visuomenės sveikatai, socialinei tvarkai, ekonomikai ir valstybės gynybinėms galioms. Ši ataskaita pateikia išsamią analizę ir strategines gaires, kokių svarbiausių tikslų UAB „Kauno vandenys“ turi siekti 2025–2030 metų laikotarpiu, žvelgiant iš Lietuvos nacionalinio saugumo perspektyvos.

1.1. Kritinės Infrastruktūros Statuso Teisinis ir Strateginis Pagrindimas

UAB „Kauno vandenys“ statusas kaip kritinės infrastruktūros objekto yra tvirtai įtvirtintas nacionalinėje teisinėje sistemoje. Lietuvos Respublikos ypatingos svarbos infrastruktūros apsaugos įstatymas apibrėžia ypatingos svarbos infrastruktūros objektus kaip tuos, kurių „neveikimas ar veiklos sutrikdymas gali padaryti didelę žalą nacionaliniam saugumui“.1 Šis teisinis pagrindas transformuoja įmonės veiklą iš ūkinės į strateginę, tiesiogiai susijusią su valstybės stabilumu.

Vyriausybės nutarimai aiškiai priskyrė vandens tiekimo paslaugų sektorių prie ypatingos svarbos sektorių, o Aplinkos ministerija yra įgaliota identifikuoti konkrečius ypatingos svarbos infrastruktūros objektus šiame sektoriuje.2 Atsižvelgiant į UAB „Kauno vandenys“ dydį, aptarnaujamų gyventojų skaičių ir strateginę reikšmę Kauno regionui, yra beveik neabejotina, kad įmonė ir jos valdomi pagrindiniai objektai (pvz., Vičiūnų, Petrašiūnų vandenvietės, Marvelės nuotekų valykla) yra įtraukti į Vyriausybės nutarimu Nr. 558 patvirtintą neviešą „Konkrečių nacionaliniam saugumui užtikrinti svarbių įrenginių ir turto sąrašą“.4

Šis statusas nėra simbolinis. Jis automatiškai aktyvuoja eilę specifinių teisinių prievolių, kurios peržengia bendrąsias gerosios praktikos rekomendacijas. Pavyzdžiui, įmonė privalo pranešti Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos koordinavimo komisijai apie ketinamus sudaryti sandorius, kurių vertė viršija 10 procentų metinių pajamų, taip pat apie tam tikrus viešuosius pirkimus, neatsižvelgiant į jų vertę, jei buvo keliami nacionalinio saugumo reikalavimai tiekėjams.6 Tai reiškia, kad įmonės vadovybė privalo ne tik laikytis šių reikalavimų, bet ir aktyviai siekti oficialaus patvirtinimo iš Aplinkos ministerijos dėl savo statuso ir konkrečių jai taikomų įpareigojimų. Nežinojimas ar nepakankamas dėmesys šioms prievolėms pats savaime yra reikšminga saugumo spraga. Pirmasis strateginis žingsnis yra atlikti išsamų teisinį auditą ir užmegzti formalų dialogą su priežiūros institucijomis, siekiant visiškai aiškiai apibrėžti savo teisinį statusą ir iš to kylančias pareigas.

1.2. Naujoji Europos Atsparumo Architektūra: CER ir NIS2 Direktyvos

Lietuvos nacionalinį teisinį reguliavimą papildo ir iš esmės sustiprina naujoji Europos Sąjungos atsparumo didinimo sistema, kurią formuoja dvi pamatinės direktyvos: Direktyva (ES) 2022/2557 dėl ypatingos svarbos subjektų atsparumo (CER direktyva) ir Direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (NIS2 direktyva).7 Abi direktyvos turėjo būti perkeltos į nacionalinę teisę iki 2024 m. spalio 17 d., o jų nuostatos taikomos nuo 2024 m. spalio 18 d..7

Šios direktyvos žymi fundamentalų pokytį Europos požiūryje į kritinės infrastruktūros saugumą. CER direktyva išplečia anksčiau galiojusį reguliavimą, kuris apėmė tik energetikos ir transporto sektorius, ir tiesiogiai įtraukia geriamojo vandens tiekimo bei nuotekų tvarkymo sektorius.7 Ji įpareigoja valstybes nares identifikuoti ypatingos svarbos subjektus ir reikalauja, kad šie subjektai atliktų išsamius rizikos vertinimus bei imtųsi visų būtinų techninių, saugumo ir organizacinių priemonių savo fiziniam atsparumui didinti.7

Tuo pat metu NIS2 direktyva drastiškai sugriežtina kibernetinio saugumo reikalavimus. Ji nustato privalomą bazinį saugumo priemonių lygį, kuris apima incidentų valdymą, veiklos tęstinumo užtikrinimą (įskaitant atsarginių kopijų darymą ir atkūrimą po avarijų), tiekimo grandinės saugumą, personalo mokymus ir griežtas prieigos kontrolės politikas.9

Šių dviejų direktyvų sinergija keičia pačią saugumo paradigmą: pereinama nuo tradicinio „apsaugos“ (angl. protection) modelio prie visapusiško „atsparumo“ (angl. resilience) modelio. Anksčiau pagrindinis dėmesys buvo skiriamas prevencijai – pastangoms pastatyti kuo aukštesnę „sieną“ aplink objektą, kad piktavaliai negalėtų į jį patekti. Naujasis požiūris remiasi prielaida, kad incidentai – tiek atsitiktiniai, tiek tyčiniai – yra neišvengiami, ir siena anksčiau ar vėliau bus pralaužta. Todėl pagrindiniu tikslu tampa ne tik gebėjimas apsisaugoti, bet ir gebėjimas atlaikyti smūgį, prisitaikyti prie sutrikdytų sąlygų ir kuo greičiau atkurti gyvybiškai svarbių paslaugų teikimą. UAB „Kauno vandenys“ 2020-2024 m. strateginiame plane 11 akcentuojamas veiklos efektyvumas ir infrastruktūros atnaujinimas siekiant patikimumo, tačiau jame trūksta aiškiai suformuluotų, visapusiškų atsparumo ir veiklos tęstinumo tikslų, kurių dabar reikalauja ES teisė. Investicijos į dubliuojančias sistemas, atsarginius valdymo centrus ir nuolat testuojamus veiklos tęstinumo planus (VTP) nebėra „gera praktika“ – tai tampa esminiu teisiniu įpareigojimu.

Lentelė 1. Pagrindinės teisinės ir reguliacinės prievolės UAB „Kauno vandenys“

II. Grėsmių Lietuvos Kritinei Infrastruktūrai Analizė

UAB „Kauno vandenys“ veiklos saugumas priklauso nuo gebėjimo suprasti ir neutralizuoti platų grėsmių spektrą. Šios grėsmės kyla ne tik iš techninių gedimų ar gamtos stichijų, bet ir iš tikslingų, priešiškų valstybių bei kitų veikėjų veiksmų. Lietuvos žvalgybos institucijų vertinimai ir regioninių incidentų analizė piešia aiškų ir neraminantį vaizdą.

2.1. Priešiškų Valstybių Veikla: Rusija, Baltarusija, Kinija

Valstybės saugumo departamento (VSD) ir Antrojo operatyvinių tarnybų departamento (AOTD) kasmetinės grėsmių nacionaliniam saugumui vertinimo ataskaitos vienareikšmiškai įvardija Rusiją ir jos sąjungininkę Baltarusiją kaip pagrindinius grėsmių Lietuvos saugumui šaltinius.13 Šių valstybių žvalgybos tarnybų veikla yra nuolatinė ir daugialypė, o kritinė infrastruktūra, įskaitant vandens tiekimo sektorių, yra vienas iš prioritetinių jų taikinių. Pagrindiniai priešiškos veiklos tikslai yra:

●     Informacijos rinkimas: Rusijos ir Baltarusijos žvalgybos tarnybos aktyviai siekia surinkti bet kokią informaciją apie Lietuvos strateginės infrastruktūros objektus, jų veikimo principus, technologijas, apsaugos sistemas ir, svarbiausia, pažeidžiamumus.13

●     Personalo verbavimas: Ypatingas pavojus kyla dėl strateginiuose objektuose dirbančių asmenų, ypač tų, kurie turi prieigą prie jautrios informacijos ar valdymo sistemų. Kelionės į Rusiją ar Baltarusiją sudaro palankias sąlygas šių šalių žvalgybos tarnyboms užmegzti kontaktus, rinkti kompromituojančią informaciją ir bandyti verbuoti darbuotojus.13

●     Įtaka per projektus ir sandorius: Priešiškos valstybės gali bandyti įgyti prieigą prie kritinės infrastruktūros ne tiesiogine ataka, o per verslo ryšius. Investuotojai ar tiekėjai, turintys sąsajų su Rusija, Baltarusija ar Kinija, gali tapti įrankiu priešiškų valstybių rankose, siekiant daryti įtaką projektų eigai, įdiegti kompromituotą įrangą ar tiesiog gauti konfidencialios techninės informacijos.13

Kinijos veikla kelia kitokio pobūdžio, bet ne mažiau pavojingą grėsmę. Su Kinijos režimu siejamos kibernetinio šnipinėjimo grupuotės reguliariai skenuoja Lietuvos valstybės institucijų ir strateginių įmonių tinklus, ieškodamos pažeidžiamumų.13 Pagrindinis jų tikslas – technologinis šnipinėjimas, siekiant gauti prieigą prie pažangių Vakarų technologijų, kurios naudojamos kritinėje infrastruktūroje, taip didinant Kinijos ekonominį konkurencingumą ir karinį modernizavimą.13

Šiame kontekste UAB „Kauno vandenys“ viešųjų pirkimų ir sutarčių sudarymo procesas tampa nebe tik ūkine, bet ir nacionalinio saugumo funkcija. Teisės aktai, įpareigojantys pranešti apie tam tikrus sandorius 6, ir žvalgybos institucijų perspėjimai susijungia į vieną aiškią išvadą: priešiška valstybė savo tikslus gali pasiekti ne per sprogimą, o per pirkimo-pardavimo sutartį. Tiekėjo pasirinkimas, ypač perkant sudėtingą technologinę įrangą (pvz., SCADA sistemos komponentus, programuojamus loginius valdiklius – PLC), negali būti grindžiamas vien kaina ir techninėmis specifikacijomis. Būtina įdiegti išsamų tiekimo grandinės rizikos valdymo (angl. Supply Chain Risk Management, SCRM) procesą. Tai apima giluminį tiekėjų patikrinimą, jų sąsajų su priešiškomis valstybėmis analizę, reikalavimą pateikti išsamią techninę dokumentaciją, įskaitant programinės įrangos komponentų sąrašą (angl. Software Bill of Materials, SBOM) 10, ir, esant galimybei, prioritetą teikti tiekėjams iš NATO ir ES šalių, net jei tai reikštų didesnes išlaidas.

2.2. Fizinės Grėsmės ir Sabotažo Galimybės

Ilgą laiką vyravusi nuostata, kad civilinė infrastruktūra yra neliečiama, subliuško. Pastarųjų metų įvykiai Baltijos jūros regione – „Nord Stream“ dujotiekių sprogdinimai, povandeninių ryšio ir elektros kabelių tarp Suomijos, Estijos ir Švedijos pažeidimai 15 – akivaizdžiai pademonstravo, kad fizinis sabotažas yra reali ir aktuali grėsmė. Į šiuos incidentus rimtai sureagavo ne tik nacionalinės vyriausybės, bet ir NATO, pradėjusi specialią patruliavimo operaciją „Baltic Sentry“, skirtą kritinės infrastruktūros apsaugai Baltijos jūroje.17 Lietuva, Latvija, Estija ir Lenkija pasirašė memorandumą dėl bendradarbiavimo stiprinant kritinės energetinės infrastruktūros apsaugą.16

Vandens tiekimo infrastruktūra nėra išimtis. Tarptautinė patirtis rodo, kad ji yra patrauklus taikinys. 2024 m. vasarą Suomijoje ir Vokietijoje užfiksuoti įsilaužimai į vandens ruošyklas, sukėlę susirūpinimą dėl galimo sabotažo.20 Tragiškas Nova Kachovkos užtvankos susprogdinimas Ukrainoje parodė, kokias katastrofiškas humanitarines ir ekologines pasekmes gali sukelti tiesioginė ataka prieš vandens infrastruktūros objektą.21

Atsižvelgdamos į šias grėsmes, Lietuvos institucijos imasi konkrečių veiksmų. Viešojo saugumo tarnyba (VST) perėmė strateginių energetikos objektų fizinę apsaugą 22, o Aplinkos ministerija, bendradarbiaudama su VST ekspertais, 2024 m. pabaigoje patvirtino naujus, gerokai griežtesnius fizinės ir veiklos apsaugos reikalavimus visiems nacionaliniam saugumui svarbiems vandens tiekėjams.12

Tai reiškia, kad baigėsi „saugumo per nežinomumą“ (angl. security by obscurity) era, kai buvo galima tikėtis, jog komunalinė infrastruktūra tiesiog niekam nerūpės. Psichologinis barjeras atakuoti civilinius objektus yra peržengtas. Todėl UAB „Kauno vandenys“ privalo transformuoti savo požiūrį į fizinę apsaugą – pereiti nuo standartinio saugos modelio, skirto apsisaugoti nuo nelaimingų atsitikimų ir vagysčių, prie gynybinio saugumo modelio, kuris planuojamas atsižvelgiant į tikslingą, gerai organizuotą ir techniškai aprūpintą sabotažo aktą. Kiekvienas kritinis įmonės turtas – nuo atokių siurblinių iki centrinių vandens ruošyklų – turi būti iš naujo įvertintas per potencialaus užpuoliko prizmę.

2.3. Hibridinės Grėsmės: Kibernetinės Atakos ir Dezinformacija

Hibridinės grėsmės, jungiančios kibernetines atakas, informacines operacijas ir kitus nekarinius spaudimo įrankius, yra tapusios pagrindiniu priešiškų valstybių instrumentu. Nacionalinio kibernetinio saugumo centro (NKSC) duomenimis, atakų prieš kritinius sektorius Baltijos jūros regione nuolat daugėja. Ypač išaugo paskirstytų paslaugos trikdymo (DDoS) atakų, svetainių turinio klastojimo ir neteisėto nuotolinės prieigos gavimo incidentų skaičius.23 Šias atakas vykdo įvairūs veikėjai: priešiškų valstybių remiamos programišių grupės, finansinės naudos siekiantys kibernetiniai nusikaltėliai ir ideologiniai „haktyvistai“.23

Karas Ukrainoje atskleidė itin pavojingą tendenciją: kibernetinės atakos dažnai yra sinchronizuojamos su fiziniais smūgiais, siekiant sukelti maksimalų chaosą ir sutrikdyti gelbėjimo darbus. Svarbu pažymėti, kad taikiniais tampa ne tik akivaizdžiai kariniai ar energetikos objektai, bet ir „kasdienes paslaugas gyventojams teikiančios įmonės“ 23, o tai tiesiogiai apima ir vandentvarkos sektorių.

Ne mažiau pavojingas hibridinės atakos komponentas yra dezinformacija. VSD ataskaitose pabrėžiama, kad Rusija nuolat vykdo agresyvias informacines operacijas, kuriomis siekiama „kelti regiono šalių visuomenių baimę ir paniką, trikdyti valstybės institucijų darbą, skatinti visuomenių nepasitenkinimą“.13

Specializuotoje ataskaitoje „Rusijos hibridinės grėsmės Europos sveikatos ir vandens sistemoms“ 20 daroma išvada, kad melagingi pranešimai socialiniuose tinkluose apie tariamą vandens užteršimą gali sukelti tokį patį trumpalaikį destruktyvų poveikį (paniką, nepasitikėjimą valdžia, ekonominius nuostolius) kaip ir reali fizinė ataka.20

Labiausiai tikėtinas ir potencialiai žalingiausias scenarijus UAB „Kauno vandenys“ atžvilgiu yra ne pavienė fizinė ar kibernetinė ataka, o koordinuota hibridinė operacija. Pavyzdžiui, įsivaizduokime scenarijų:

1.    Inicijavimas: Įvykdoma santykinai nesudėtinga kibernetinė ataka, pvz., DDoS ataka prieš UAB „Kauno vandenys“ interneto svetainę, sutrikdant galimybę klientams gauti informaciją. Arba surežisuojamas nedidelis fizinis incidentas, pvz., inscenizuotas cheminių medžiagų išsiliejimas netoli vandenvietės apsaugos zonos.

2.    Eskalacija: Tuo pačiu metu per socialinius tinklus („Telegram“, „Facebook“) ir anoniminius naujienų portalus paleidžiama iš anksto parengta dezinformacijos kampanija. Platinamos suklastotos nuotraukos, dirbtinio intelekto sugeneruoti garso įrašai ar vaizdo klipai, kuriuose teigiama, kad Kauno vanduo yra užnuodytas, kad valdžia slepia tiesą, o sistema yra ant subyrėjimo ribos.

3.    Poveikis: Operacijos tikslas – ne tiek sukelti ilgalaikę fizinę žalą, kiek sukelti masinę paniką, užkimšti pagalbos tarnybų linijas, paralyžiuoti miesto gyvenimą, pakirsti pasitikėjimą UAB „Kauno vandenys“ ir Kauno miesto savivaldybe, ir taip pasėti socialinį chaosą.

Šis scenarijus atskleidžia kritinę spragą, jei įmonės krizių valdymo struktūros veikia atskirai. Reagavimo planas negali būti padalintas į „IT“, „fizinės apsaugos“ ir „komunikacijos“ dalis.

Būtinas vieningas, integruotas krizių valdymo štabas ir iš anksto parengti bei nuolat testuojami reagavimo į hibridines atakas planai.

Dabartiniuose viešai prieinamuose įmonės strateginiuose dokumentuose 11 tokio lygio integruoto, scenarijais paremto planavimo atspindžių nematyti.

Lentelė 2. Grėsmių Matrica: Veikėjai, Motyvai ir Taktikos

III. Atsparumo Vertinimas: Fizinis, Kibernetinis ir Organizacinis Saugumas

Siekiant suformuluoti efektyvius strateginius tikslus, būtina atlikti objektyvų dabartinės UAB „Kauno vandenys“ atsparumo būklės vertinimą, lyginant jį su teisiniais reikalavimais, žinomomis grėsmėmis ir tarptautinėmis gerosiomis praktikomis. Šis vertinimas turi apimti tris kertines sritis: fizinę apsaugą, kibernetinį atsparumą ir organizacinę brandą.

3.1. Fizinės Apsaugos Stiprinimas: Nuo Perimetro iki Kritinių Mazgų

Fizinės apsaugos vertinimas turi remtis naujaisiais, 2024 m. patvirtintais Aplinkos ministerijos ir VST reikalavimais 12 bei tarptautiniu mastu pripažintais daugiasluoksnės apsaugos principais.25 Šie principai apima keturis gynybos ešelonus:

1.    Atgrasymas (Deterrence): Fiziniai barjerai (tvoros, vartai), aiškūs įspėjamieji ženklai, geras apšvietimas ir matomas vaizdo stebėjimas, skirti atbaidyti potencialų pažeidėją.

2.    Aptikimas (Detection): Technologinės priemonės (judesio jutikliai, perimetro apsaugos sistemos, vaizdo kameros su analitikos funkcijomis), kurios realiu laiku fiksuoja bandymus įsiskverbti.

3.    Uždelsimas (Delay): Sustiprintos konstrukcijos, sertifikuotos spynos, papildomi barjerai, kurie sulėtintų įsibrovėlio judėjimą ir suteiktų daugiau laiko reagavimo pajėgoms.

4.  Reagavimas (Response): Aiški procedūra, kaip apsaugos darbuotojai ar sutarčių pagrindu veikiančios tarnybos reaguoja į pavojaus signalą, ir formalizuoti bendradarbiavimo protokolai su policija bei VST.

Vertinimas turi apimti visus kritinius objektus: vandenvietes, vandens ruošimo stotis, pagrindines ir pagalbines siurblines, nuotekų valyklas, cheminių medžiagų saugyklas ir valdymo centrus.

Ypatingas dėmesys turi būti skiriamas geografiškai išskaidytiems ir dažnai be nuolatinio personalo veikiantiems objektams. Vandens tiekimo sistema iš prigimties yra labai decentralizuota, apimanti šimtus kilometrų vamzdynų ir daugybę pagalbinių objektų.27 Priešiškas veikėjas visada ieškos silpniausios grandies. Todėl tikimybė, kad bus atakuojama ne gerai saugoma centrinė būstinė ar Marvelės valykla, o atoki, menkai apsaugota siurblinė ar tinklo mazgas, yra kur kas didesnė. Visapusiškas fizinio saugumo auditas privalo prioritetizuoti būtent šiuos išskaidytus turtus. Strategija neturėtų būti statyti po sargą prie kiekvieno objekto; vietoj to, reikia diegti kaštų atžvilgiu efektyvų technologijų (jutiklių, išmaniųjų kamerų, dronų patruliavimo) ir greitojo reagavimo protokolų derinį, kuris leistų užtikrinti viso tinklo, o ne tik centrinių mazgų, saugumą.

3.2. Kibernetinis Atsparumas: IT ir OT Tinklų Apsaugos Būtinybė

UAB „Kauno vandenys“ strateginiuose planuose minima bendra kategorija „informacinės saugos priemonės“ 11, tačiau tai slepia fundamentalų skirtumą tarp informacinių technologijų (IT) ir operacinių technologijų (OT) saugumo. IT saugumas (biuro kompiuteriai, el. paštas, apskaitos sistemos) yra svarbus, tačiau egzistencinė grėsmė įmonės pagrindinei veiklai kyla iš atakų prieš OT tinklą – sistemas, kurios tiesiogiai valdo fizinius procesus (siurblius, sklendes, cheminių medžiagų dozavimą).

IT ir OT saugumo prioritetai skiriasi iš esmės. IT pasaulyje svarbiausia yra konfidencialumas ir vientisumas, o OT pasaulyje – prieinamumas ir sauga (angl. availability and safety).28 Standartinių IT saugumo priemonių, tokių kaip aktyvus pažeidžiamumų skenavimas ar antivirusinės programos, taikymas jautrioms OT sistemoms gali sukelti nenumatytų sutrikimų ar net fizinę žalą.29 Todėl būtina kurti atskirą, specializuotą OT kibernetinio saugumo programą.

Vertinimas turi būti atliekamas pagal tarptautinius standartus ir gaires, tokias kaip NIST kibernetinio saugumo programa 31, CISA rekomendacijos 33 ir ENISA gairės.9 Būtina įvertinti šiuos kertinius OT saugumo elementus:

●     Tinklų segmentavimas: Ar egzistuoja griežtas fizinis arba loginis IT ir OT tinklų atskyrimas? Ar sukurta demilitarizuota zona (OT-DMZ) saugiam duomenų apsikeitimui? 35

●     Prieigos kontrolė: Ar taikomas „mažiausių privilegijų“ principas? Ar naudojamas daugiafaktorinis autentifikavimas (MFA) prieigai prie kritinių sistemų? Ar nuotolinė prieiga (pvz., tiekėjams) yra griežtai kontroliuojama per specializuotus „šokliuosius serverius“ (angl. jump servers)? 29

●     Sistemų „grūdinimas“: Ar pakeisti visi numatytieji gamintojų slaptažodžiai? Ar išjungti nereikalingi prievadai ir paslaugos valdikliuose bei serveriuose? 35

●     Stebėjimas ir reagavimas: Ar OT tinkle įdiegta pasyvi įsibrovimų aptikimo sistema (IDS), kuri netrikdo normalaus sistemų darbo? Ar centralizuotai renkami ir analizuojami įvykių žurnalai (angl. logs) iš kritinių OT įrenginių? 10

UAB „Kauno vandenys“ 2020-2024 m. plane numatyta 1–1,5 mln. eurų investicija į informacinės saugos priemones 11 greičiausiai yra nepakankama sukurti brandžiai OT saugumo programai nuo nulio. Reikalingos ne tik investicijos į technologijas, bet ir į specializuotas kompetencijas, kurios dažnai skiriasi nuo tradicinių IT saugumo specialistų įgūdžių.

3.3. Organizacinė Branda ir Veiklos Tęstinumas

Technologijos ir tvoros yra bevertės be atsparios organizacinės kultūros ir gerai parengtų procesų. Šis vertinimo aspektas apima žmogiškąjį faktorių ir gebėjimą veikti krizės metu.

●     Personalo patikimumas: Būtina įvertinti, ar įmonėje veikia personalo patikrinimo procedūros, ypač darbuotojams, kurie turi administratoriaus teises prieigai prie kritinių IT ir OT sistemų. VSD perspėjimai dėl rizikų, kylančių darbuotojams keliaujant į priešiškas valstybes, turi būti integruoti į personalo politiką ir saugumo instruktažus.13

●     Veiklos Tęstinumo Planavimas (VTP): Tai yra sritis, kurioje, sprendžiant iš viešų dokumentų, UAB „Kauno vandenys“ gali turėti didžiausią strateginę spragą. Įmonės ataskaitose kalbama apie avarijų likvidavimo efektyvumą 24, tačiau tai yra reagavimas į įprastus techninius gedimus (patikimumas), o ne į katastrofišką, tyčinį incidentą (atsparumas). Pagal tarptautines gaires (pvz., AWWA 38) ir CER/NIS2 reikalavimus, brandus

VTP turi apimti:

○     Gyvybiškai svarbių funkcijų identifikavimą (angl. Mission-Essential Functions): Aiškus sąrašas procesų, kurie privalo veikti bet kokiomis aplinkybėmis, kad būtų išvengta katastrofiškų pasekmių.

○     Veiklos tęstinumo ir atkūrimo po avarijos planus: Detalūs, dokumentuoti planai, kaip šios funkcijos bus palaikomos praradus pagrindinius resursus (pvz., pagrindinį valdymo centrą, dalį personalo, elektros tiekimą).

○     Alternatyvias darbo vietas: Numatytos ir įrengtos atsarginės patalpos (pvz., atsarginis valdymo centras), iš kurių galima valdyti kritinius procesus.

○     Pavadavimo ir įgaliojimų perdavimo schemas: Aiškios taisyklės, kas perima sprendimų priėmimo teisę, jei pagrindiniai vadovai yra nepasiekiami.

○     Reguliarias pratybas ir testavimą: VTP yra neveiksmingas, jei jis guli stalčiuje. Būtina reguliariai testuoti planus per įvairaus lygio pratybas – nuo techninių (pvz., atsarginių kopijų atkūrimo) iki strateginių (vadovybės pratybos imituojant krizę).

Viešai prieinami įmonės strateginiai ir metiniai pranešimai 11 neparodo, kad toks visapusiškas, į priešiškus veiksmus orientuotas veiklos tęstinumo planavimas yra įdiegtas. Tai yra esminis neatitikimas naujajai saugumo realybei ir teisiniam reguliavimui.

IV. Strateginiai Tikslai ir Rekomendacijos (2025-2030 m.)

Atsižvelgiant į teisinės aplinkos pokyčius, kintančią grėsmių panoramą ir atliktą atsparumo vertinimą, UAB „Kauno vandenys“ 2025–2030 m. laikotarpiu turėtų sutelkti pastangas į keturis strateginius tikslus. Šie tikslai yra skirti transformuoti įmonės požiūrį į saugumą – nuo reaktyvaus ir fragmentiško prie proaktyvaus, integruoto ir atsparumu grįsto.

4.1. 1 Tikslas: Pasiekti Visišką Atitiktį Nacionaliniam ir ES Teisiniam Reglamentavimui

Šis tikslas yra fundamentalus ir neatidėliotinas. Visiška atitiktis teisės aktams yra ne tik prievolė, bet ir pagrindas, ant kurio statomos visos kitos saugumo priemonės.

●     Rekomenduojami veiksmai:

1.    Atitikties auditas: Nedelsiant atlikti išsamų teisinį auditą, siekiant nustatyti atitikties spragas pagal CER ir NIS2 direktyvų bei susijusių nacionalinių įstatymų ir poįstatyminių aktų reikalavimus. Sukurti detalų veiksmų planą su terminais ir atsakingais asmenimis šioms spragoms pašalinti.7

2.    Atsakingų asmenų paskyrimas: Oficialiai, įmonės vadovo įsakymu, paskirti konkrečius darbuotojus ar padalinius, atsakingus už CER (fizinis atsparumas) ir NIS2 (kibernetinis saugumas) reikalavimų įgyvendinimą ir priežiūrą.

3.    Saugumo planų atnaujinimas ir derinimas: Parengti naujus, išsamius įmonės fizinio ir veiklos saugumo planus, kurie atitiktų naujausius Aplinkos ministerijos ir VST patvirtintus reikalavimus. Šiuos planus nustatyta tvarka suderinti su atsakingomis institucijomis.12

4.    Privalomų pranešimų procesų įdiegimas: Sukurti ir įtvirtinti vidinėse tvarkose aiškius procesus, kaip ir kam yra pranešama apie reikšmingus kibernetinius incidentus (pagal NIS2 reikalavimus – NKSC) ir apie nacionaliniam saugumui svarbius sandorius (pagal NSUSOAAĮ – atitinkamai komisijai).6

4.2. 2 Tikslas: Sukurti Integruotą Grėsmių Stebėsenos ir Reagavimo Sistemą

Atskiros fizinės apsaugos, IT ir OT saugumo priemonės yra nepakankamos atremti sudėtingas hibridines grėsmes. Būtina sukurti vieningą sistemą, kuri leistų matyti bendrą vaizdą ir reaguoti koordinuotai.

●     Rekomenduojami veiksmai:

1.    OT saugumo programos sukūrimas: Įsteigti dedikuotą OT saugumo funkciją, atskirtą nuo bendrojo IT saugumo. Investuoti į specializuotus OT saugumo įrankius (pvz., pasyvaus tinklo stebėjimo ir anomalijų aptikimo sistemas) ir kelti darbuotojų kompetencijas šioje srityje.

2.    SIEM/SOC įdiegimas: Įdiegti arba pasinaudoti kaip paslauga Saugumo informacijos ir įvykių valdymo (SIEM) sistema, kuri centralizuotai rinktų ir koreliuotų įvykių žurnalus iš IT, OT ir fizinės apsaugos sistemų (pvz., praėjimo kontrolės, perimetro apsaugos). Tai leistų realiu laiku aptikti kompleksinių atakų požymius.

3.    Formalizuotas bendradarbiavimas: Pasirašyti oficialius bendradarbiavimo ir keitimosi informacija apie grėsmes protokolus su NKSC, VST, VSD ir policija. Aktyviai dalyvauti nacionalinėse ir sektorinėse kibernetinio saugumo pratybose, kurias organizuoja NKSC ir Regioninis kibernetinės gynybos centras.16

4.    Integruotų reagavimo planų testavimas: Parengti ir reguliariai (bent kartą per metus) testuoti reagavimo planus, skirtus specifiniams hibridinių grėsmių scenarijams (pvz., koordinuota kibernetinė ataka ir dezinformacijos kampanija). Į pratybas įtraukti ne tik techninį personalą, bet ir vadovybę bei komunikacijos specialistus.20

4.3. 3 Tikslas: Optimizuoti Investicijas į Saugumą, Prioritetą Teikiant Atsparumui

Investicijos į saugumą turi būti vertinamos ne kaip išlaidos, o kaip strateginės investicijos į veiklos tęstinumą. Būtina peržiūrėti investicijų planavimo procesą, integruojant atsparumo kriterijus.

●     Rekomenduojami veiksmai:

1.    Investicijų plano peržiūra: Peržiūrėti galiojantį ir būsimus investicijų planus 11, į kiekvieną infrastruktūros modernizavimo projektą (pvz., tinklų rekonstrukcija, siurblinių atnaujinimas) integruojant privalomus fizinio ir kibernetinio saugumo reikalavimus.

2.    Prioritetinės investicijos: Didžiausią prioritetą skirti investicijoms, kurios didina atsparumą: OT tinklų segmentavimas, kritinių objektų fizinis „grūdinimas“ (angl. hardening), autonominių elektros energijos šaltinių įrengimas svarbiausiuose vandens tiekimo ir nuotekų tvarkymo mazguose, atsarginio valdymo centro įrengimas.

3.    Tiekimo grandinės rizikos valdymas (SCRM): Sukurti ir įdiegti formalizuotą SCRM programą technologijų ir paslaugų pirkimams. Tai turi apimti tiekėjų patikimumo vertinimą, reikalavimus įrangos saugumui ir skaidrumui, bei sutartines sąlygas, įpareigojančias tiekėjus pranešti apie saugumo incidentus.

4.    Reguliarūs auditai: Numatyti biudžete lėšas reguliariems (bent kas 2 metus) nepriklausomų trečiųjų šalių atliekamiems saugumo auditams ir įsiskverbimo testavimams (angl. penetration testing), apimantiems tiek IT, tiek OT aplinkas.

Lentelė 3. Rekomenduojamų Saugumo Investicijų Prioritetai (2025-2030 m.)

4.4. 4 Tikslas: Formuoti Visuotinę Atsparumo Kultūrą

Atsparumas nėra vien technologijų ar procedūrų klausimas – tai visos organizacijos mąstysena ir kultūra. Kiekvienas darbuotojas, nuo generalinio direktoriaus iki vamzdynų remontininko, turi suprasti savo vaidmenį užtikrinant saugumą.

●     Rekomenduojami veiksmai:

1.    Nuolatiniai mokymai: Sukurti ir įgyvendinti privalomą, nuolatinę saugumo mokymų programą. Ji turi būti pritaikyta pagal pareigybes: vadovams – strateginės grėsmės ir krizių valdymas; IT/OT personalui – techninės grėsmės ir gynybos metodai; visiems darbuotojams – socialinės inžinerijos atpažinimas, phishing atakos, pranešimo apie įtartinus reiškinius tvarka.25

2.    Pratybų kalendorius: Parengti ir tvirtinti metinį pratybų ir simuliacijų kalendorių, kuris apimtų:

■    Technines pratybas: pvz., atsarginių kopijų atkūrimo testavimas, perėjimas prie atsarginių energijos šaltinių.

■     Funkcines pratybas: pvz., konkretaus padalinio (dispečerinės, IT skyriaus) veiksmai reaguojant į kibernetinį incidentą.

■     Strategines stalo pratybas (angl. table-top exercises): Vadovybės komandos pratybos, kuriose simuliuojamos sudėtingos krizės (pvz., hibridinė ataka), siekiant patikrinti sprendimų priėmimo procesus ir komunikaciją.

3.    Krizių komunikacijos planai: Parengti išsamius vidinės ir išorinės krizių komunikacijos planus. Šie planai turi apimti iš anksto paruoštus pranešimų šablonus, aiškius komunikacijos kanalus ir strategiją, kaip kovoti su dezinformacija ir melagingais gandais realiu laiku.20

4.    Dialogas su akcininku: Inicijuoti dialogą su pagrindiniu akcininku – Kauno miesto savivaldybe – dėl „lūkesčių rašto“ 43 atnaujinimo. Į naująjį lūkesčių raštą turi būti įtraukti konkretūs, išmatuojami nacionalinio saugumo ir atsparumo didinimo tikslai, taip užtikrinant politinį palaikymą ir adekvatų resursų skyrimą šiems tikslams pasiekti.

V. Išvados: Ilgalaikė Atsparumo Strategija

UAB „Kauno vandenys“ veiklos aplinka per pastaruosius kelerius metus pasikeitė iš esmės. Agresyvi Rusijos politika, besitęsiantis karas Ukrainoje ir vis dažnėjantys hibridiniai išpuoliai prieš Vakarų šalių kritinę infrastruktūrą reikalauja fundamentalios permainos įmonės strateginiame mąstyme – perėjimo nuo operacinio efektyvumo ir patikimumo prie strateginio atsparumo.

Šioje ataskaitoje pateikta analizė rodo, kad UAB „Kauno vandenys“, kaip nacionaliniam saugumui svarbus objektas, susiduria su kompleksinėmis ir realistiškomis grėsmėmis, apimančiomis fizinį sabotažą, sudėtingas kibernetines atakas ir koordinuotas dezinformacijos kampanijas. Reaguojant į šias grėsmes, būtina imtis sistemingų ir ilgalaikių veiksmų.

Saugumas nebėra vienkartinis projektas ar atskiro skyriaus funkcija. Tai turi tapti nuolatiniu procesu, integruotu į visus įmonės veiklos aspektus – nuo strateginio planavimo ir investicijų iki kasdienių operacijų ir personalo mokymų. Sėkmė priklausys nuo vadovybės gebėjimo demonstruoti lyderystę, užtikrinti tvarų finansavimą ir sukurti organizacinę kultūrą, kurioje kiekvienas darbuotojas supranta savo atsakomybę už gyvybiškai svarbios paslaugos apsaugą.

Pateikti strateginiai tikslai – pasiekti visišką teisinę atitiktį, sukurti integruotą grėsmių valdymo sistemą, optimizuoti investicijas į atsparumą ir formuoti visuotinę saugumo kultūrą – sudaro nuoseklų veiksmų planą ateinantiems penkeriems metams. Jų įgyvendinimas leis ne tik apsaugoti UAB „Kauno vandenys“ turtą ir veiklą, bet ir įnešti svarų indėlį į Kauno miesto bei visos Lietuvos nacionalinio saugumo stiprinimą. Atsparumo užtikrinimas yra ne išlaidos, o būtina investicija į nenutrūkstamą gyvybės šaltinio – vandens – tiekimą ir stabilią valstybės ateitį.

Šaltiniai:

1.       PATVIRTINTA Lietuvos Respublikos Vyriausybės nutarimu Nr. https://e-seimas.lrs.lt/rs/lasupplement/TAP/0369c1a1805811e89188e16a6495e98c/226a6c628c1211e8aa33fe8f0fea665f/format/ISO_PDF/

2.       Dėl ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos patvirtinimo https://e-seimas.lrs.lt/rs/legalact/TAP/28402860023e11e6bf4ee4a6d3cdb874/

3.       Dėl Ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos patvirtinimo https://www.infolex.lt/ta/365749

4.       558 Dėl Konkrečių nacionaliniam saugumui užtikrinti svarbių https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/769809866d6511e89a0fd2d617326139?jfwid=mmceolfao

5.       Dėl Konkrečių nacionaliniam saugumui užtikrinti svarbių įrenginių ir turto sąrašo patvirtinimo https://www.infolex.lt/ta/483592

6.       Lietuvos Respublikos nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymo Nr. IX-1132 12, 13 ir 19 straipsnių pakeitimo įstatymas - e-TAR https://www.e-tar.lt/portal/ru/legalActPrint?documentId=60428000aa7111ec8d9390588bf2de65

7.       Ypatingos svarbos subjektų atsparumo didinimas | EUR-Lex https://eur-lex.europa.eu/LT/legal-content/summary/making-critical-entities-more-resilient.html

8.       EP patvirtino ypatingos svarbos infrastruktūros apsaugos taisykles | Naujienos | Europos Parlamentas https://www.europarl.europa.eu/news/lt/press-room/20221118IPR55705/ep-patvirtino-ypatingos-svarbos-infrastrukturos-apsaugos-taisykles

9.       ENISA publishes technical guidance to strengthen NIS2 cybersecurity risk management https://industrialcyber.co/threats-attacks/enisa-publishes-technical-guidance-to-strengthen-nis2-cybersecurity-risk-management/

10.    NIS 2 and Cybersecurity for OT Operations in the Water Industry - HMS Networks https://media.hms-networks.com/image/upload/v1708430018/Documents/Whitepapers/NIS2_and_Cybersecurity_for_OT_Operations_in_Water_Industry_EN.pdf

11.    UŽDAROSIOS AKCINĖS BENDROVĖS „KAUNO VANDENYS“ 2020  https://www.kaunovandenys.lt/SiteAssets/Strateginis_planas_2020-2024(%20aktuali%20redakcija%20galioja%20nuo%202021m.%20spalio%204%20d.).pdf

12.    Stiprinama vandens tiekėjų infrastruktūros apsauga - Aplinkos ministerija https://am.lrv.lt/lt/naujienos/stiprinama-vandens-tiekeju-infrastrukturos-apsauga/

13.    GRĖSMIŲ NACIONALINIAM SAUGUMUI VERTINIMAS - VSD.lt https://www.vsd.lt/wp-content/uploads/2024/03/GR-2024-02-15-LT-1-1.pdf

14.    Grėsmių nacionaliniam saugumui vertinimas - Lietuvos Respublikos valstybės saugumo departamentas https://www.vsd.lt/archyvas-gresmu-vertinimo-ataskaitos/

15.    Vyriausybė patvirtino KAM ir VRM inicijuotą algoritmą dėl reagavimo į kabelių pažeidimus Baltijos jūroje | LR Krašto apsaugos ministerija https://kam.lt/vyriausybe-patvirtino-kam-ir-vrm-inicijuota-algoritma-del-reagavimo-i-kabeliu-pazeidimus-baltijos-juroje/

16.    Baltijos šalys ir Lenkija susitarė stiprinti kritinės energetinės infrastruktūros apsaugą – LRT https://www.lrt.lt/naujienos/verslas/4/2591666/baltijos-salys-ir-lenkija-susitare-stiprinti-kritines-energetines-infrastrukturos-apsauga

17.    Baltijos jūroje pradėjo patruliuoti Karinių jūrų pajėgų laivai | lnk.lt https://lnk.lt/straipsniai/Politika/baltijos-juroje-pradejo-patruliuoti-kariniu-juru-pajegu-laivai/294781

18.    Baltijos šalys ir Lenkija susitarė stiprinti kritinės energetinės infrastruktūros apsaugą https://enmin.lrv.lt/lt/naujienos/baltijos-salys-ir-lenkija-susitare-stiprinti-kritines-energetines-infrastrukturos-apsauga/

19.    Baltijos šalys ir Lenkija sutarė didinti kritinės energetinės infrastruktūros apsaugą | tv3.lt https://www.tv3.lt/naujiena/verslas/baltijos-salys-ir-lenkija-sutare-didinti-kritines-energetines-infrastrukturos-apsauga-n1429016

20.    Russian Hybrid Threats to Europe's Health and Water Systems https://e-arc.ro/wp-content/uploads/2024/08/Russian-Hybrid-Threats-to-Europes-Health-and-Water-Systems.pdf

21.    Use Case of Water Reservoir Protection as a Critical Infrastructure Element in Slovakia Using a Quantitative Approach - MDPI https://www.mdpi.com/2073-4441/15/15/2818

22.    Baltijos teisėsaugos ir ryšių pareigūnų forumas: kolektyvinis atsakas į kylančias grėsmes https://vstarnyba.lrv.lt/lt/naujienos/baltijos-teisesaugos-ir-rysiu-pareigunu-forumas-kolektyvinis-atsakas-i-kylancias-gresmes

23.    Baltijos jūros regiono šalyse dažnėja į kritinę infrastruktūrą - Kam.lt  https://kam.lt/baltijos-juros-regiono-salyse-dazneja-i-kritine-infrastruktura-nutaikytos-kibernetines-atakos/

24.    UAB „Kauno vandenys“ 2024 m. Vadovybės ataskaita UAB „KAUNO VANDENYS“. https://www.kaunas.lt/wp-content/uploads/sites/13/2025/04/2024-m.-vadovybes-ataskaita-2.pdf

25.    Guide to Perimeter Security for Water Utilities - Senstar https://senstar.com/senstarpedia/water-security/

26.    Physical security of water/wastewater infrastructure: Planning and equipment selection https://www.researchgate.net/publication/319370837_Physical_security_of_waterwastewater_infrastructure_Planning_and_equipment_selection

27.    PATVIRTINTA Uždarosios akcinės bendrovės „Kauno vandenys“ generalinio direktoriaus 2024 m. gegužės 27 d. įsakymu Nr. https://www.kaunovandenys.lt/wp-content/uploads/2024/06/Kauno-vandenys_RAS-aprasas_2023.pdf

28.    Better protection of SCADA systems is needed in Europe, ENISA warns  https://www.smart-energy.com/regional-news/europe-uk/better-protection-of-scada-systems-is-needed-in-europe-enisa-warns/

29.    Overcoming SCADA integration cybersecurity challenges - Control Engineering https://www.controleng.com/overcoming-scada-integration-cybersecurity-challenges/

30.    A Review of Cybersecurity Incidents in the Water Sector – arXiv  https://arxiv.org/pdf/2001.11144

31.    Cybersecurity & Guidance - American Water Works Association  https://www.awwa.org/resource/cybersecurity-guidance/

32.    NIST Begins Cybersecurity Project for Water and Wastewater Operations https://www.nist.gov/news-events/news/2024/04/nist-begins-cybersecurity-project-water-and-wastewater-operations

33.    Top Cyber Actions for Securing Water Systems - CISA https://www.cisa.gov/resources-tools/resources/top-cyber-actions-securing-water-systems

34.    New CISA and EPA guidelines aim to shield water and wastewater systems from cyber threats https://industrialcyber.co/utilities-energy-power-water-waste/new-cisa-and-epa-guidelines-aim-to-shield-water-and-wastewater-systems-from-cyber-threats/

35.    SCADA Security Essentials: Your Need-to-Know Guide https://www.ssh.com/academy/operational-technology/scada-security-essentials-need-to-know-guide

36.    10 Practical Steps to Reduce SCADA Cybersecurity Risk  https://www.nacwa.org/news-publications/news-detail/2024/10/17/10-practical-steps-to-reduce-scada-cybersecurity-risk

37.    Increase cybersecurity for our most precious resource: Water - Schneider Electric Blog https://blog.se.com/industry/water-and-wastewater/2025/01/02/increase-cybersecurity-for-our-most-precious-resource-water/

38.    Business Continuity - American Water Works Association https://www.awwa.org/resource/business-continuity/

39.    Business Continuity Plans for Water Utilities https://www.waterrf.org/serve-file/SWMC17-Smith.pdf

40.    Veiklą oficialiai pradeda Regioninis kibernetinės gynybos centras https://kam.lt/veikla-oficialiai-pradeda-regioninis-kibernetines-gynybos-centras/

41.    Water Sector Cybersecurity Risk Management Guidance for Small Systems - American Water Works Association https://www.awwa.org/wp-content/uploads/WaterSectorCybersecurityRiskMgmt.pdf?%3Futm_source=IDG

42.    EU agency releases Water Security Plan to counter hostile actions on water supply systems https://industrialcyber.co/news/eu-agency-releases-water-security-plan-to-counter-hostile-actions-on-water-supply-systems/

43.    Informacija apie UAB „Kauno vandenys“ 2024 m. veiklą ir rezultatus https://www.kaunas.lt/wp-content/uploads/sites/13/2025/04/Informacija-apie-UAB-%E2%80%9EKauno-vandenys-2024-m.-veikla-ir-rezultatus.pdf