- 2026-04-28
Asociacijos “Vandens jėga” SOC. Balandžio 2026 apžvalga
Mėnesinė kibernetinio saugumo apžvalga vandentvarkos sektoriaus įmonėms.
Balandis Europoje atnešė du svarbius dalykus. Pirma, NIS2 nuo popieriaus pereinama prie realių patikrinimų. Lietuvoje nuo balandžio 17 d. NKSC pradėjo aktyvią KSIS stebėseną. Belgija nuo balandžio 18 d. atvėrė pirmąjį formalių NIS2 atitikties auditų langą Europos Sąjungoje. Antra, JAV agentūros paskelbė bendrą perspėjimą dėl Irano remiamos grupuotės atakų prieš Rockwell valdiklius. Aukos JAV, bet ta pati grupuotė jau veikė Europoje, įskaitant Airiją 2023 m. Žemiau svarbiausi mėnesio dalykai.
NIS2 priežiūra Europoje
Lietuvoje nuo balandžio 17 d. NKSC pradėjo aktyvią stebėseną, ar kibernetinio saugumo subjektai realiai teikia duomenis į Kibernetinio saugumo informacinę sistemą. Subjektai, įtraukti į registrą 2025 m. balandžio 17 d., organizacinius KSRA reikalavimus turėjo įgyvendinti per dvylika mėnesių. Terminas pasibaigęs. Techniniams reikalavimams duota dvidešimt keturi mėnesiai, terminas tęsiasi. Vasario 24 d. NKSC patvirtino auditų atlikimo metodiką (įsakymas Nr. 1-25), kuri formalizuoja patikrinimo procesą.
Plačiau: www.nksc.lt
Belgija balandžio 18 d. tapo pirma Europos Sąjungos valstybe, atvėrusia formalių NIS2 auditų langą esminėms organizacijoms. Belgijos modelis remiasi nepriklausomos sertifikavimo įstaigos patikra, ne savideklaracija. Mums tai aktualu, nes Lietuvos audito metodika taip pat numato išorinį auditą. Vokietijos BSI, Prancūzijos ANSSI, Italijos ACN ir Olandijos NCSC-NL šiuo metu rengia savo audito programas, dauguma planuoja paleisti antrame 2026 m. pusmetyje.
Plačiau: d3security.com/blog/nis2-soc-audit-readiness-2026
Bendras EU vaizdas. 2026 m. sausį 14 valstybių narių jau buvo pilnai perkėlusios NIS2 į nacionalinę teisę, įskaitant Belgiją, Lietuvą, Italiją, Vengriją, Slovėniją, Slovakiją, Kroatiją ir Latviją. Vokietija, Prancūzija, Ispanija, Airija ir Olandija dar dirba. Europos Komisija 2025 m. gegužės 7 d. išsiuntė pagrįstą nuomonę 19 valstybių narių dėl pavėlinto perkėlimo. Sausio 20 d. Komisija paskelbė pataisas NIS2 direktyvai, įskaitant atitikties supaprastinimus mažoms ir vidutinėms įmonėms.
Plačiau: ECSO trekeris ecs-org.eu/activities/nis2-directive-transposition-tracker, Komisijos pataisos digital-strategy.ec.europa.eu/en/policies/nis2-directive
CyberAv3ngers grįžo, šįkart su Rockwell
Balandžio 7 d. paskelbtas bendras FBI, CISA, NSA, EPA ir kitų JAV agentūrų perspėjimas AA26-097A. Iran IRGC Cyber Electronic Command afilijuota grupuotė, žinoma CyberAv3ngers vardu, atakuoja internete pasiekiamus Rockwell Automation Logix valdiklius. Aukos patvirtintos vandens, energetikos ir vyriausybinių paslaugų sektoriuose, su realiais veiklos sutrikimais.
Atakos technika paprasta. Naudojamas pats gamintojo įrankis Studio 5000 Logix Designer prisijungti prie viešai pasiekiamų CompactLogix ir Micro850 valdiklių. Pakeičiami projekto failai (.ACD), perredaguojami operatoriaus ekranai, manipuliuojami SCADA rodmenys. Išnaudojama CVE-2021-22681, autentifikacijos apėjimo spraga, kurią Rockwell paskelbė dar 2021 m., bet kurios programinės įrangos pataisos taip ir nepateikė. Stebimas ir Siemens S7 protokolas.
Plačiau: oficialus perspėjimas cisa.gov/news-events/cybersecurity-advisories/aa26-097a, Tenable Research kontekstinė analizė tenable.com
Europai aktualu, nes ta pati grupuotė jau veikė mūsų regione. 2023 m. gruodį hakeriai sutrikdė vandens tiekimą County Mayo apygardoje Airijoje, palikdami 160 namų ūkių be vandens dvi dienas. Taikinys – Unitronics valdikliai su numatytuoju slaptažodžiu „1111″. Dragos viešoje analizėje patvirtino, kad CyberAv3ngers atakos paveikė vandens įmones Šiaurės Amerikoje, Europoje ir Australijoje.
Plačiau: malwarebytes.com, Dragos vandens sektoriaus apžvalga dragos.com/blog/water-utility-cyber-threats
OT pažeidžiamumai. Balandžio Patch Tuesday
Balandžio 14 d. Siemens paskelbė devynis naujus saugumo pranešimus. Vandens sektoriuje aktualūs trys.
Pirmas – SSA-605717 dėl Siemens SINEC NMS, tinklo valdymo platformos, naudojamos SCADA infrastruktūros stebėjimui. Aukšto sunkumo autentifikacijos ir autorizacijos apėjimo spraga.
Antras – SSA-609469, paveikiantis Siemens Industrial Edge Management Pro V1 (versijas iki 1.15.17), V2 (iki 2.1.1) ir Virtual (iki 2.8.0). CVE-2026-33892. Autentifikacijos apėjimas leidžia neautorizuotam dalyviui apsimesti teisėtu vartotoju, jeigu įjungta nuotolinio prisijungimo funkcija.
Trečias – SSA-628843 dėl Siemens TPM 2.0. Vidutinio sunkumo trūkumai kriptografinėse operacijose.
Tą patį antradienį Schneider Electric, ABB, Phoenix Contact ir Aveva paskelbė savo pranešimus. Vokietijos CERT@VDE, kuris koordinuoja saugumo pranešimus EU OT gamintojams be savarankiškų PSIRT (Phoenix Contact, WAGO, Endress+Hauser, Helmholz, Codesys), balandį paskelbė kelis vidutinio sunkumo perspėjimus.
Plačiau: Siemens ProductCERT cert-portal.siemens.com, CERT@VDE certvde.com, mėnesio konsoliduota apžvalga securityweek.com
Bendrasis IT laukas. Microsoft, Adobe, Chrome ir McGraw Hill
Microsoft balandžio 14 d. Patch Tuesday tapo vienu didžiausių istorijoje – 167 spragos, vienuolika kritinių, dvi aktyviai išnaudojamos. Pirmoji yra CVE-2026-32201, SharePoint Server klastojimo spraga, leidžianti užpuolikui pateikti suklastotą informaciją patikimoje SharePoint aplinkoje. Pagrindinė rizika – sukčiavimas elektroniniu paštu ir socialinė inžinerija organizacijose, kur SharePoint yra pagrindinė dokumentų platforma.
Antra aktyviai išnaudojama spraga – CVE-2026-33825 „BlueHammer”, privilegijų eskalavimo trūkumas Windows Defender, kurio išnaudojimo kodą tyrėjas paskelbė viešai. Pataisa platinama automatiškai per Defender Antimalware Platform 4.18.26050.3011 versiją.
Be to, paskelbtos kritinės pataisos Windows TCP/IP (CVE-2026-33827, nuotolinis kodo vykdymas), Windows Active Directory (CVE-2026-33826, nuotolinis kodo vykdymas), Windows IKE Service Extensions (CVE-2026-33824, neautentifikuotas nuotolinis kodo vykdymas per IKE v2 protokolą), .NET Framework, Microsoft Office ir Word.
Plačiau: Krebs on Security mėnesio apžvalga krebsonsecurity.com, Rapid7 techninė analizė rapid7.com
Adobe balandžio 11 d. paskelbė skubų atnaujinimą Acrobat Reader dėl CVE-2026-34621, kuris pagal Tenable išnaudojamas „in the wild” bent jau nuo 2025 m. lapkričio. Google Chrome tą patį mėnesį pataisė ketvirtąją 2026 m. nulinės dienos spragą (CVE-2026-5281).
Iš įmonių pažeidimų balandį didžiausią dėmesį patraukė McGraw Hill – švietimo leidykla patvirtino 13,5 mln. įrašų pažeidimą dėl Salesforce konfigūracijos klaidos.
Lietuvos kontekstas
Vyriausybė kovo 25 d. patvirtino Lietuvos perėjimo prie postkvantinės kriptografijos planą. Esminiams kibernetinio saugumo subjektams iki 2031 m. sausio 1 d. nustatoma pareiga aukštos rizikos sistemose taikyti postkvantinę arba hibridinę kriptografiją, o nuo 2036 m. – tik postkvantinę. Iki 2027 m. gegužės 1 d. esminiams subjektams pareiga atlikti naudojamos kriptografijos inventorizaciją, identifikuoti aukštos rizikos sistemas ir parengti diegimo planus. Vandens įmonėms, planuojančioms didesnes IT investicijas (SCADA serverių atnaujinimą, VPN sprendimus, sertifikatų valdymą), apie tai verta galvoti jau dabar.
Plačiau: NKSC pranešimas nksc.lrv.lt, Krašto apsaugos ministerijos gairės kam.lt/postkvantine-kriptografija
NKSC paskelbė naują nuotolinį mokymo kursą „Saugus dirbtinio intelekto naudojimas”, prieinamą nemokamai. Kursas pritaikytas Lietuvos teisiniam kontekstui.
Plačiau: www.nksc.lt
Balandžio 20-24 d. vyko NATO CCDCOE pratybos „Locked Shields 2026″. Lietuvos jungtinę komandą iš NKSC, Lietuvos kariuomenės, Šaulių sąjungos, viešojo ir privataus sektorių bei akademinės bendruomenės atstovų pirmąsyk papildė Japonija.
Šią savaitę Vandens Jėga SOC kartu su NKSC atlieka SIM3 brandos vertinimą pagal ENISA Intermediate lygį.
SIM3 (Security Incident Management Maturity Model) yra atviras brandos modelis, skirtas saugumo incidentų valdymo komandoms – CSIRT ir SOC – vertinti. Modelį prižiūri Open CSIRT Foundation. ENISA jį naudoja kaip pagrindinį Europos CSIRT/SOC brandos vertinimo įrankį, ir tai pat yra pagrindas TF-CSIRT Trusted Introducer akreditacijai.
Vertinama per keturias sritis – organizacinę struktūrą, žmogiškuosius išteklius, įrankius ir procesus – su 44 atskirais parametrais. ENISA brandos lygiai pakopomis: Basic, Intermediate, Advanced. Intermediate reikalauja formalizuotų, dokumentuotų procesų visiems incidentų tipams, 24/7 prieinamumo, aiškiai apibrėžtų atsakomybių ir reguliarių komandos mokymų. Šis lygis atitinka NIS2 esminių organizacijų lūkesčius savo paslaugų teikėjams – tai praktinis kriterijus, leidžiantis nariams matyti, kokios brandos paslaugą gauna.
Vertinimo rezultatus pateiksime kitą mėnesį.
Plačiau: SIM3 modelis opencsirt.org/csirt-maturity/sim3-and-references, ENISA CSIRT brandos studija enisa.europa.eu
Trumpai
Apele Române ir Oltenia Energy (Rumunija). 2025 m. gruodžio pabaigoje koordinuota ataka prieš Rumunijos vandens valdybą ir energetikos kompleksą. Vandens valdybos kompromitavimas tikriausiai panaudotas kaip žvalgyba prieš ataką energetikos infrastruktūrai per priklausomybes nuo užtvankų ir hidroelektrinių. Plačiau: industrialcyber.co
Køge (Danija). Danijos gynybos ministras viešai patvirtino, kad 2024 m. gruodžio incidentas vandens įmonėje, kurio metu hakeriai pakeitė siurblio slėgį ir sukėlė vamzdyno trūkimus, buvo Rusijos remiamos grupės darbas. Vienas iš nedaugelio viešai patvirtintų OT atakos atvejų Europoje. Plačiau: securityaffairs.com
Forescout TwoNet tyrimas. Forescout Vedere Labs paskelbė tyrimą apie pro-rusišką grupę TwoNet, kuri 2025 m. rudenį atakavo vandens valymo įmonę imituojantį medaus puodą Europoje. Tyrime nustatyti rusiški ir iraniški IP adresai, jungtys į Modbus protokolą. Plačiau: industrialcyber.co
ENISA NIS2 techninės gairės. ENISA balandžio 23 d. paskelbė techninių gairių paketą NIS2 įgyvendinimui skaitmeninės infrastruktūros, IRT paslaugų valdymo ir skaitmeninių paslaugų teikėjų sektoriams. Plačiau: enisa.europa.eu/publications
ENISA Threat Landscape 2025. Naujausioje ENISA grėsmių apžvalgoje (4875 incidentai 2024 m. liepa – 2025 m. birželis) daugiausia atakų sulaukė viešasis administravimas (38,2% visų EU incidentų), transportas (7,5%), skaitmeninė infrastruktūra (4,8%), finansai (4,5%) ir gamyba (2,9%). Sukčiavimas elektroniniu paštu su variacijomis sudaro apie 60% pradinio užkrato vektorių. Plačiau: enisa.europa.eu/publications/enisa-threat-landscape-2025
Asociacijos „Vandens Jėga” SOC. Balandis 2026.