Atslēgvārdi:

Kam lielāki kiberdrošības muskuļi – Latvijai vai Igaunijai? 4

Latvijas publiskajā telpā Igaunija bieži tiek slavēta kā paraugs daudzās jomās, tai skaitā informācijas tehnoloģiju izmantošanas un drošības jautājumos. Vai Latvijas amatpersonām būtu jāpievērš lielāka uzmanība kiberdrošībai laikā, kad vispasaules ekonomika, drošība un komunikācija atrodas galvenokārt kibertelpā?

Iesaki citiem:

Drošības politikas līmenī kiberdrošība ilgu laiku abās valstīs bija salīdzinoši neliela daļa no vispārējā drošības konteksta, tomēr 2008. gadā Igaunija kļuva par tobrīd vienu no retajām pasaules valstīm ar savu nacionāla līmeņa kiberdrošības stratēģiju. Kamēr igauņi strādā pie savas nākamās piecgades stratēģijas, Latvija vēl gaida uz savu pirmo, kuru Aizsardzības ministrija solīja pabeigt šā gada nogalē.

Tiesa, kiberdrošībai ir veltīta vesela nodaļa Latvijas nacionālās drošības koncepcijā, kurā definētas vairākas nākotnes prioritātes un pilnveidojamās jomas, tomēr atsevišķa stratēģija demonstrē daudz izvērstāku un padziļinātāku pieeju kiberdrošības lomai kopējā nacionālajā drošībā. Tāpat, kamēr Igaunijā ir samērā viegli identificēt amatpersonas, kuras aktīvi komunicē par kiberdrošību un cenšas piesaistīt tai plašāku uzmanību (prezidents T.H. Ilvess kā „visskaļākā” balss), Latvijā šādu plaši zināmu politiska līmeņa ekspertu noteikšana nav tik viegla. Bet vai tās ir noteicošās pazīmes valstu atšķirībām kiberdrošības jomā?


Kas rūpējas par kiberdrošību Latvijā un Igaunijā?

Gan Latvijā, gan Igaunijā pastāv vienāda principa IT drošības politikas koordinēšanas un plānošanas institūcijas: Latvijā tā ir Nacionālā IT drošības padome, bet Igaunijā – Nacionālā kiberdrošības padome. Funkcijas abām ir līdzīgas, taču Igaunijas padome ir tiešā pakļautībā Nacionālās drošības padomei, kamēr Latvijā padome ir ministrijas (pagaidām Satiksmes, no 2014.gada – Aizsardzības) pakļautībā. Igaunijas gadījumā kiberdrošības jautājumi ir saistīti ar plašāku drošības politikas plānošanu. Lai arī abu valstu institūcijas ir koordinējošs mehānisms, Igaunijas Nacionālajai kiberdrošības padomei ir piešķirta daudz lielāka loma vispārējās nacionālās drošības kontekstā. Kopš 2013. gada sākuma, kad stājās spēkā grozījumi IT drošības likumā, Aizsardzības ministrija no Satiksmes ministrijas savā pakļautībā pārņēma arī informācijas tehnoloģijas drošības incidentu novēršanas institūciju – CERT.LV. Jāpiebilst, ka Aizsardzības ministrijas uzdevumu nodrošināt informācijas tehnoloģiju drošību veic Latvijas Universitātes Matemātikas un informātikas institūts (LU MII), kas nodrošina CERT.LV darbību.

Igaunijas Nacionālajai kiberdrošības padomei ir piešķirta daudz lielāka loma vispārējās nacionālās drošības kontekstā.



CERT.LV ir vienīgā institūcija, kas nodarbojas gan ar praktisko darbu - veicot preventīvu uzbrukumu novēršanu un seku likvidēšanu, gan pārraugot valsts un pašvaldību institūcijām noteiktos pienākumus pret informācijas tehnoloģiju uzturēšanu, kā arī veic sabiedrības izglītošanas funkciju. Jāatzīmē, ka pirmajā CERT.LV darbības gadā budžets bija 87 911 Ls, taču pēdējos divos gados tas gandrīz trīskāršots, sasniedzot 226 tūkstošus. Šā gada 23. oktobrī notikušajā CERT.LV un ISACA Latvija konferencē Aizsardzības ministrijas valsts sekretārs Jānis Sārts informēja, ka nākamgad kiberaizsardzības nozarei atvēlēti jau 600 tūkstoši, un paredzams, ka no šīs summas pieaugumu piedzīvos arī CERT.LV budžets.

Ja Latvijā par nozīmīgāko institūciju informācijas tehnoloģiju un kibertelpas drošības uzturēšanai var minēt CERT.LV, tad Igaunijā tā ir RIA (Riigi Infosüsteemi Amet - Igaunijas Informācijas sistēmas pārvalde – [tulk. no igauņu valodas]), kā pakļautībā atrodas arī CERT.EE. RIA ir plašākas funkcijas – tā koordinē ne tikai vispārējus kibertelpas drošības jautājumus, bet ir atbildīga arī par Igaunijā vienotajiem e-mehānismiem valsts pārvaldes, biznesa, izglītības, medicīnas un citās jomās. Eksperti norāda, ka Latvijas gadījumā CERT veic līdzīgas funkcijas RIA, kamēr Igaunijas CERT funkcijas ir daudz šaurākas, jo CERT.EE ir daļa no lielākas organizācijas. Tai pašā laikā tiek norādīts, ka Latvijas un Igaunijas CERT ekspertu kompetences un kapacitāte ir uzskatāmas par vienlīdz spēcīgām. No vienas puses – jā, Latvijā nav plašāka mēroga pārraugošas kibertelpas drošības institūcijas, kā tas ir Igaunijas gadījumā ar RIA, tomēr arī bez šādas institūcijas Latvijā tiek sekmīgi īstenoti dažādie IT drošības likumā noteiktie uzdevumi un iedzīvotājiem ir pieejams samērā plašs e-pakalpojumu loks (kā redzams, piemēram, portālā latvija.lv). Latvijas sabiedrībā šobrīd nekas neliecina, ka eksistētu spēcīgs pieprasījums pēc jaunu un neordināru e-risinājumu ieviešanas, tāpat arī politiskajā elitē nav konkrētas apņemšanās kādus tuvākā nākotnē īstenot. Igaunija tādā ziņā noteikti ir priekšā ar e-vēlēšanām un daudz plašāku e-paraksta pielietošanu. Tiesa, nupat Ministru kabinets ir piešķīris ap miljons latu, lai varētu īstenot pirmās iniciatīvas elektroniskās balsošanas ieviešanai[ 1 ], taču pagaidām ir grūti spriest par to īstenošanas gaitu un līdz realizēšanai jāgaida vismaz pāris gadi.

Latvijas un Igaunijas CERT ekspertu kompetences un kapacitāte ir uzskatāmas par vienlīdz spēcīgām.



Lai arī līdz ar divu nozīmīgu Latvijas kiberdrošības institūciju pāriešanu Aizsardzības ministrijas pakļautībā varētu šķist, ka kiberdrošība ir būs pietuvojusies augstākām drošības prioritātēm (jo Satiksmes ministrija pat nebija pārstāvēta Nacionālās drošības padomē, lai spētu aizstāvēt IT drošības intereses), taču arī tas ir dažādi vērtējams solis. Lielā daļā Eiropas valstu nacionālā CERT ir civilajās institūcijās (piemēram, Igaunijā – Ekonomikas un sakaru ministrijas pakļautībā), jo visa kritiskā infrastruktūra balstās uz civilajiem tīkliem. Uzbrukuma gadījumā lielāka iespējamība, ka uzbruks civilajiem spēkiem, jo tādejādi var panākt daudz lielāku efektu un rezonansi (kā tas, piemēram, bija ar 2007. gada notikumiem Igaunijā). Kritika, šķiet, pamatota un tai var pievienot argumentu, ka kiberdrošība Aizsardzības ministrijas pakļautībā tiks pārlieku militarizēta, un tās fokuss nepamatoti sašaurināts. Tomēr Latvijas gadījumā šāda pāreja varētu nest arī pozitīvas pārmaiņas.Kamēr kiberdrošība netiek uztverta kā sabiedrības un valsts drošības daļa, tās „iesaiņošana” militārā kontekstā var palīdzēt celt nepieciešamo izpratni.

Uzbrukuma gadījumā lielāka iespējamība, ka uzbruks civilajiem spēkiem, jo tādejādi var panākt daudz lielāku efektu un rezonansi.



Kā vēl vienu no institucionālajiem veidojumiem gan Latvijā, gan Igaunijā var minēt brīvprātīgo informācijas tehnoloģiju ekspertu vienības, kas darbojas nacionālo bruņoto spēku zemessardzes ietvaros un krīzes gadījumos būtu mobilizējamas atbalstam. Igaunijā šāda vienība darbojas jau kopš 2009. Gada. Šobrīd Igaunijas Kiberaizsardzības līga pulcē vairākus simtus speciālistus no publiskā un privātā sektora. Kiberzemessardzes aktīva pulcēšana Latvijā sākās šī gada sākumā, un jau pavasarī savu dalību pieteica 45 jomas profesionāļi[ 2 ], taču jāpiebilst, ka jau kopš 2007.gadā jomas eksperti apvienojās grupās (agrāk – LV CSIRT, tagad – DEG), lai sadarbotos, apmainītos ar informāciju un pieredzi kiberdrošības jomā. Tomēr Kiberzemessardzes izveide liecina par valstisku pieeju kibertelpas drošības jautājumiem, un šāda publiskā – privātā sektora sadarbība ir ļoti atbalstāma, jo reti kura valsts spētu veidot savas kibervienības, jo to uzturēšana ir finansiāli dārga un nav īsti nepieciešama, ja vien valsts neplāno pilnveidot savas kiberuzbrukuma spējas, kā tas, piemēram, ir ASV un Ķīnas gadījumā.

Kur ir mūsu kiberdrošības pētnieki?

Salīdzinot Igaunijas un Latvijas progresu kiberdrošības pētnieciskajā līmenī, pārsvars par labu ir Igaunijai, pateicoties tajā esošā NATO Kiberaizsardzības centra darbībai. Lai arī šajā centrā darbojas starptautiski eksperti no vairākām NATO dalībvalstīm, tai skaitā arī no Latvijas, un centra pētniecības fokusā ir dažādi pētniecības aspekti un nebūt ne Igaunijas situācija, centra izveide ir Igaunijas iniciatīva un lielāka daļa ekspertu un speciālistu arī vadības līmenī ir tieši igauņi. Šādas starptautiska mēroga institūcijas pastāvēšana rada dinamiku ap kiberdrošības jautājumiem, kas ļauj attīstīt ekspertu kompetenci, kā arī piesaistīt jaunus profesionāļus un viņu idejas. Latvijas gadījumā līdzīga mēroga vai būtības pētnieciskā institūcija nepastāv, lai gan daļēji par tādu varētu uzskatīt LU MII, taču, nenoliedzami, viņu pētniecības lauks kiberdrošības jomā salīdzinājumā ar Igauniju ir ļoti šaurs.

Latvijā pagaidām nav institūcijas, kura aktīvi pētītu kiberdrošības regulējumu, veidotu ieteikumus tiesiskajam ietvaram vai izstrādātu rekomendācijas politikas veidotājiem, tāpēc šādas institūcijas neesamība noteikti ir vērtējams kā trūkums kopējā kiberdrošības kontekstā. Risinājums tuvākai nākotnei būtu aktīvāka esošo iespēju izmantošana – vairāk Latvijas speciālistu sūtīšana uz NATO Kiberaizsardzības centru, LU MII kiberdrošības pētniecības stiprināšana, kā arī sadarbība ar Latvijas augstskolām, lai līdzīgi kā Tallinas Tehnoloģiju universitātē veicinātu jauno kiberdrošības speciālistu piesaisti. Kiberdrošība, kā samērā jauns koncepts, vēl ir neizpētīta ne tikai tās tehniskajā dimensijā, bet arī politiskajā, tiesiskajā un institucionālajā. Kamēr nebūs pietiekami daudz speciālistu katrā no šīm jomām, kiberdrošības pilnveidošana un, tai skaitā, dažādu pārkāpumu izmeklēšana un iztiesāšana, kā, piemēram, D. Čalovska gadījumā, būs nepārvarams šķērslis.

Paldies 2007.gadam?

Visbiežāk tiek uzskatīts, ka Igaunijas izvērsto pieeju kiberdrošības jautājumiem noteica 2007. gada aprīlī piedzīvotie kiberuzbrukumi, kad tika uzlauztas publiskā sektora, ziņu aģentūru mājas lapas, kā arī traucēta banku darbība. No vienas puses, jā, 2007. gads bija „modinātājzvans” daudziem politiķiem, jo tas bija ieskats tajā, ka pavirša attieksme pret kibertelpu var būt liels drauds. Tai pašā laikā maldīgi būtu teikt, ka Igaunijā pirms 2007. gada kiberdrošības jautājumi nav bijuši aktuāli. Bija, it īpaši, ņemot vērā, ka pirmās e-vēlēšanas notika jau 2005. gadā, taču drošība tolaik vairāk bija tehnisko speciālistu, ne tik daudz politikas veidotāju jautājums. Savu virzību uz jaunāko tehnoloģiju un digitālo risinājumu aktīvu izmantošanu ne tikai privātajā, bet arī publiskajā sektorā Igaunija pamazām uzsāka līdz ar neatkarības atgūšanu. Samērā plaši pazīstams ir tās izmantotais zīmols „e-Estonia” (vai nereti arī vienkārši „E-stonia”), lai starptautiski akcentētu mazās Baltijas valsts tehnoloģisko attīstību.

Pavirša attieksme pret kibertelpu var būt liels drauds.



Jau 1996. gadā Igaunijas valdība, atsaucoties toreizējā Igaunijas vēstnieka ASV T.H.Ilvesa iniciatīvai, nodibināja Tīģera lēciena fondu (Tiger Leap Foundation) un finansēja to valsts budžeta ietvaros, ar mērķi vairot zināšanas par mūsdienu tehnoloģiju izmantošanas iespējām, kā arī ieviest plašāku šo tehnoloģiju izmantošanu izglītības procesā.[ 3 ]. Iniciatīva sevi noteikti ir attaisnojusi, un piemērus sasniegumiem plašai mūsdienu tehnoloģiju izmantošanai var minēt kā privātajā („Skype” un digitālā paraksta sistēma „Keyless Signature Infrastrucutre”), tā arī publiskajā sektorā. NATO izcilības centra kiberaizsardzības jautājumos izveidi bieži min kā spilgtu piemēru tam, kā igauņi 2007. gada uzbrukumus ir spējuši pārvērst pozitīvos ieguvumus. Tomēr tas nav īsti pareizi, jo pat pirms iestāšanās NATO, kopš 2003. gada, Igaunija aktīvi lobēja šāda centra nepieciešamību NATO ietvaros[ 4 ], bet 2006. gada beigās Igaunija oficiāli ierosināja Aliansei nepieciešamību pēc šāda centra[ 5 ]. Tai pašā laikā 2007. gada notikumiem ir zināma loma, jo tie ir bijuši vēl spēcīgāks katalizators kibertelpas drošības vairošanai, kā arī ļāva visai pasaulei uzzināt, par mazo Ziemeļeiropas tehnoloģiju lielvalsti. Nereti tiek uzsvērts, ka 2007.gada kiberuzbrukumi nebūtu piedzīvojuši tādu rezonansi, kādu tie saņēma, jo tie nebūt nebija ne pirmie, ne tie smagākie kiberuzbrukumi. Tas bija īpaši, jo tā bija Igaunija – valsts, kura jau tobrīd plaši un aktīvi izmantoja dažādas informācijas tehnoloģiju piedāvātās iespējas.

Vienā svara kategorijā ar igauņiem

Izvērtējot abu valstu drošības politikas instrumentu veidošanu un tajā sasniegto progresu, jāsecina, ka Igaunija dažādos līmeņos var šķist pārāka par Latviju. Mūsu ziemeļu kaimiņiem ir daudz skaidrāki plānošanas dokumenti, jau vairākus gadus sekmīgi funkcionējošas kibertelpas institūcijas, spēcīgāks kiberdrošības pētniecības un izglītības sektors un ar NATO ekselences centru Igaunija ir cītīgi spodrinājusi savu līdera tēlu kiberdrošības jomā. Tomēr, nav pamata Latvijas sasniegumus kiberdrošības jomā vērtēt kā maznozīmīgus. Pēdējos gados virzība pretī drošākai Latvijas kibertelpai ir bijusi ļoti strauja, un tā ir īstenota arī bez jaunu institūciju vai politikas dokumentu radīšanas. Lai arī nesenās izmaiņas, kiberdrošību pārņemot no vienas ministrijas otras paspārnē, pagaidām ir grūti novērtēt, tomēr lēmumpieņēmēju aktivitātes šajā jomā apliecina, ka kiberdrošība tiek apzināta kā nozīmīga mūsdienu sabiedrības sastāvdaļa.

Nav pamata Latvijas sasniegumus kiberdrošības jomā vērtēt kā maznozīmīgus.



Drošības pakāpi ir ne tikai grūti noteikt, bet arī salīdzināt, taču var diezgan droši apgalvot, ka, pateicoties CERT.LV arvien pieaugošajām spējām, Latvijas kibertelpa ir ne mazāk aizsargāta kā Igaunijas. Tiesa, ja Latvijā tiktu ieviesti līdzīgi izšķirošie e-pārvaldes risinājumi kā, piemēram, e-vēlēšanas, ar CERT.LV vien būtu par maz, bet neizprotot abu valstu līdzības un atšķirības, nereti maldīgi šķiet, ka Latvija kiberdrošības jomā no Igaunijas ir ievērojami atpalikusi vai arī Igaunija ir ievērojami aizsteigusies priekšā.

Igaunijas mērķtiecīgā virzība uz informācijas tehnoloģiju plašāku izmantošanu ir, patiesi, iecēlusi Igauniju par ekspertu un lietpratēju kiberdrošības jomā. Un paši igauņi šo pašpasludināto tehnoloģiju lielvalsts tēlu ir ļoti veiksmīgi izreklamējuši daudzviet pasaulē un panākuši, ka Igaunija tiek respektēta kā nozīmīgs viedokļu līderis jebkurā ar kiberdrošību saistītā jautājumā. Latvijas gadījumā politikas veidotāji samērā nesen ir apzinājušies kibertelpas drošības svarīgumu nacionālās drošības kontekstā, taču politiskā līmenī attīstība ir vērsta pozitīvā virzienā un, lai arī daudzās jomās, it īpaši izglītības un tiesiskajā, nepieciešami lielāki ieguldījumi (gan cilvēkresursu, gan finansiāli), šobrīd Latvija kiberdrošības ziņā nebūt nav tik sliktā stāvoklī kā dažkārt tiek uzskatīts un, ja skatās Eiropas mērogā, Latvija var kalpot par piemēru daudzām citām valstīm.

_____________________________________________________________
*Rakstā sniegtā informācija un secinājumi ir apkopoti un izstrādāti autores maģistra darbā „Kiberdrošības koncepta attīstība Latvijā un Igaunijā”.

Iesaki citiem:
Creative commons c6ae3e51884b139b45a669ce829ac99646bf0ceb328fc95963f1703a58a032d0 CREATIVE COMMONS LICENCE ĻAUJ RAKSTU PĀRPUBLICĒT BEZ MAKSAS, ATSAUCOTIES UZ AUTORU UN PORTĀLU PROVIDUS.LV, TAČU PUBLIKĀCIJU NEDRĪKST LABOT VAI PAPILDINĀT. AICINĀM ATBALSTĪT PROVIDUS.LV AR ZIEDOJUMU!

Komentāri (4) secība: augoša / dilstoša

Tmp author bdd174d29c18893f8040d1ca0cd30c40b76ac587432bcc3f16557adc2b366733
Ciparins

IT svērā ne tikdaudz nauda un kopējais budžeta apjoms izsaka laba darba rezultātu, bet gan patiesa interese un auzrautīgums darīt šo darbu labi.

Tas, ka bankai ir 50-100K budžets IT drošībai gadā - ļoti labi. Katrs bizness izsver savus riskus un attiecīgi nodrošīnās.

Valsts līmenī CERT un kiberdrošības vienībā iesaistīti speciālsiti, kurus iespe'jams ja sāktu atalgot par pilnu slodzi, tad ar ar pāris Miljoniem arī būtu maz, taču šie cilvēki patriotisma un patiesas intereses vārdā ir gatavi palīdzēt. Veiksmīgi organizējot un praktiski pielietojot šos resursus esam ļoti labā situācijā.

Paldies raksta autorei par pievēršanos un atbalstu šai svērai.

Vērotājam gan interesē tikai nauda.

Tmp author bdd174d29c18893f8040d1ca0cd30c40b76ac587432bcc3f16557adc2b366733
Vērotājs

Interesanti, ka te arī kādreiz parādās kāds raksts par profesionālo lauciņu, kurā strādāju tuvu pie 10 gadiem.
Tāpēc atļaušos paust savu viedokli. Lūdzu saprotiet vienu lietu, ka tās budžeta summas kiberdrošībai, kas tiek minētas rakstā ir nevis vienkārši smieklīgas, bet tas ir apsmiekls par kuru ir jābūt dziļām skumjām. Tieši šī iemesla dēļ es visu laiku strādāju privātajā sekotrā un valsts sektorā, kaut piedāvājumi ir bijuši vairāki, vienmēr esmu attiecies ieiet tā iemesla dēļ, kurš šķiet ir pašsaprotams.
Parunāšu mazliet ciparos. Nopietnai organizācijai, kurā strādā +/- daži 100-ti cilvēku un kurai ir paaugstinātas prasības attiecībā uz IT drošību (t.i. nepieciešams uzturēt tādu līmeni, kas atbilst starptautiskiem standartiem), informācijas drošības budžets gadā būs ne mazāks par 50-100 K LVL gadā. Ja valstiskos mērogos mēs runājam par 200tk vai 600tk gadā tad tā ir traģēdija. 3-4 komercbankām kopā būs lielāks informācijas drošības budžets nekā valstī. Tas ir jautājums, kas ir jārisina steidzami ... gan nodrošinoties ar tehnoloģisko risinājumu minimumu, gan paagstinot komptences līmeni darbiniekiem... abas sfēras valsts sektorā ir smagā stāvoklī. Nopietniem kiberuzbrukumiem Latvija būtu paradīzes zeme ... šobrīd vien sevi varam mierināt, ka daudz kur citur pasaulē ir tikpat sūdīgi.

Tmp author bdd174d29c18893f8040d1ca0cd30c40b76ac587432bcc3f16557adc2b366733
Pievienojos

Raksts neapšaubāmi ir interesants, tā pat kā pētāmā tēma, taču ir viens bet. Autore pauž pārliecību, ka Latvijas pieredze un/vai spējas nav ne sliktākā līmenī par Igaunijas, taču rakstā nesniedz pienācīgu informāciju un avotus, lai balstītu šādu secinājumu. Līdz ar to, diemžēl, secinājums ir palicis viedokļa līmenī.

Tmp author bdd174d29c18893f8040d1ca0cd30c40b76ac587432bcc3f16557adc2b366733
mee

Ja neredzētu, kas ir raksta autors, domātu, ka tas ir SM darbinieks Māris Andžāns.

Saistītie raksti