Foto: Sinistra Ecologia Liberta
Latvijas publiskajā telpā Igaunija bieži tiek slavēta kā paraugs daudzās jomās, tai skaitā informācijas tehnoloģiju izmantošanas un drošības jautājumos. Vai Latvijas amatpersonām būtu jāpievērš lielāka uzmanība kiberdrošībai laikā, kad vispasaules ekonomika, drošība un komunikācija atrodas galvenokārt kibertelpā?
Drošības politikas līmenī kiberdrošība ilgu laiku abās valstīs bija salīdzinoši neliela daļa no vispārējā drošības konteksta, tomēr 2008. gadā Igaunija kļuva par tobrīd vienu no retajām pasaules valstīm ar savu nacionāla līmeņa kiberdrošības stratēģiju. Kamēr igauņi strādā pie savas nākamās piecgades stratēģijas, Latvija vēl gaida uz savu pirmo, kuru Aizsardzības ministrija solīja pabeigt šā gada nogalē.
Tiesa, kiberdrošībai ir veltīta vesela nodaļa Latvijas nacionālās drošības koncepcijā, kurā definētas vairākas nākotnes prioritātes un pilnveidojamās jomas, tomēr atsevišķa stratēģija demonstrē daudz izvērstāku un padziļinātāku pieeju kiberdrošības lomai kopējā nacionālajā drošībā. Tāpat, kamēr Igaunijā ir samērā viegli identificēt amatpersonas, kuras aktīvi komunicē par kiberdrošību un cenšas piesaistīt tai plašāku uzmanību (prezidents T.H. Ilvess kā „visskaļākā” balss), Latvijā šādu plaši zināmu politiska līmeņa ekspertu noteikšana nav tik viegla. Bet vai tās ir noteicošās pazīmes valstu atšķirībām kiberdrošības jomā?
Kas rūpējas par kiberdrošību Latvijā un Igaunijā?
Gan Latvijā, gan Igaunijā pastāv vienāda principa IT drošības politikas koordinēšanas un plānošanas institūcijas: Latvijā tā ir Nacionālā IT drošības padome, bet Igaunijā – Nacionālā kiberdrošības padome. Funkcijas abām ir līdzīgas, taču Igaunijas padome ir tiešā pakļautībā Nacionālās drošības padomei, kamēr Latvijā padome ir ministrijas (pagaidām Satiksmes, no 2014.gada – Aizsardzības) pakļautībā. Igaunijas gadījumā kiberdrošības jautājumi ir saistīti ar plašāku drošības politikas plānošanu. Lai arī abu valstu institūcijas ir koordinējošs mehānisms, Igaunijas Nacionālajai kiberdrošības padomei ir piešķirta daudz lielāka loma vispārējās nacionālās drošības kontekstā. Kopš 2013. gada sākuma, kad stājās spēkā grozījumi IT drošības likumā, Aizsardzības ministrija no Satiksmes ministrijas savā pakļautībā pārņēma arī informācijas tehnoloģijas drošības incidentu novēršanas institūciju – CERT.LV. Jāpiebilst, ka Aizsardzības ministrijas uzdevumu nodrošināt informācijas tehnoloģiju drošību veic Latvijas Universitātes Matemātikas un informātikas institūts (LU MII), kas nodrošina CERT.LV darbību.
CERT.LV ir vienīgā institūcija, kas nodarbojas gan ar praktisko darbu – veicot preventīvu uzbrukumu novēršanu un seku likvidēšanu, gan pārraugot valsts un pašvaldību institūcijām noteiktos pienākumus pret informācijas tehnoloģiju uzturēšanu, kā arī veic sabiedrības izglītošanas funkciju. Jāatzīmē, ka pirmajā CERT.LV darbības gadā budžets bija 87 911 Ls, taču pēdējos divos gados tas gandrīz trīskāršots, sasniedzot 226 tūkstošus. Šā gada 23. oktobrī notikušajā CERT.LV un ISACA Latvija konferencē Aizsardzības ministrijas valsts sekretārs Jānis Sārts informēja, ka nākamgad kiberaizsardzības nozarei atvēlēti jau 600 tūkstoši, un paredzams, ka no šīs summas pieaugumu piedzīvos arī CERT.LV budžets.
Ja Latvijā par nozīmīgāko institūciju informācijas tehnoloģiju un kibertelpas drošības uzturēšanai var minēt CERT.LV, tad Igaunijā tā ir RIA (Riigi Infosüsteemi Amet – Igaunijas Informācijas sistēmas pārvalde – [tulk. no igauņu valodas]), kā pakļautībā atrodas arī CERT.EE. RIA ir plašākas funkcijas – tā koordinē ne tikai vispārējus kibertelpas drošības jautājumus, bet ir atbildīga arī par Igaunijā vienotajiem e-mehānismiem valsts pārvaldes, biznesa, izglītības, medicīnas un citās jomās. Eksperti norāda, ka Latvijas gadījumā CERT veic līdzīgas funkcijas RIA, kamēr Igaunijas CERT funkcijas ir daudz šaurākas, jo CERT.EE ir daļa no lielākas organizācijas. Tai pašā laikā tiek norādīts, ka Latvijas un Igaunijas CERT ekspertu kompetences un kapacitāte ir uzskatāmas par vienlīdz spēcīgām. No vienas puses – jā, Latvijā nav plašāka mēroga pārraugošas kibertelpas drošības institūcijas, kā tas ir Igaunijas gadījumā ar RIA, tomēr arī bez šādas institūcijas Latvijā tiek sekmīgi īstenoti dažādie IT drošības likumā noteiktie uzdevumi un iedzīvotājiem ir pieejams samērā plašs e-pakalpojumu loks (kā redzams, piemēram, portālā latvija.lv). Latvijas sabiedrībā šobrīd nekas neliecina, ka eksistētu spēcīgs pieprasījums pēc jaunu un neordināru e-risinājumu ieviešanas, tāpat arī politiskajā elitē nav konkrētas apņemšanās kādus tuvākā nākotnē īstenot. Igaunija tādā ziņā noteikti ir priekšā ar e-vēlēšanām un daudz plašāku e-paraksta pielietošanu. Tiesa, nupat Ministru kabinets ir piešķīris ap miljons latu, lai varētu īstenot pirmās iniciatīvas elektroniskās balsošanas ieviešanai[ 1 ], taču pagaidām ir grūti spriest par to īstenošanas gaitu un līdz realizēšanai jāgaida vismaz pāris gadi.
Lai arī līdz ar divu nozīmīgu Latvijas kiberdrošības institūciju pāriešanu Aizsardzības ministrijas pakļautībā varētu šķist, ka kiberdrošība ir būs pietuvojusies augstākām drošības prioritātēm (jo Satiksmes ministrija pat nebija pārstāvēta Nacionālās drošības padomē, lai spētu aizstāvēt IT drošības intereses), taču arī tas ir dažādi vērtējams solis. Lielā daļā Eiropas valstu nacionālā CERT ir civilajās institūcijās (piemēram, Igaunijā – Ekonomikas un sakaru ministrijas pakļautībā), jo visa kritiskā infrastruktūra balstās uz civilajiem tīkliem. Uzbrukuma gadījumā lielāka iespējamība, ka uzbruks civilajiem spēkiem, jo tādejādi var panākt daudz lielāku efektu un rezonansi (kā tas, piemēram, bija ar 2007. gada notikumiem Igaunijā). Kritika, šķiet, pamatota un tai var pievienot argumentu, ka kiberdrošība Aizsardzības ministrijas pakļautībā tiks pārlieku militarizēta, un tās fokuss nepamatoti sašaurināts. Tomēr Latvijas gadījumā šāda pāreja varētu nest arī pozitīvas pārmaiņas.Kamēr kiberdrošība netiek uztverta kā sabiedrības un valsts drošības daļa, tās „iesaiņošana” militārā kontekstā var palīdzēt celt nepieciešamo izpratni.
Kā vēl vienu no institucionālajiem veidojumiem gan Latvijā, gan Igaunijā var minēt brīvprātīgo informācijas tehnoloģiju ekspertu vienības, kas darbojas nacionālo bruņoto spēku zemessardzes ietvaros un krīzes gadījumos būtu mobilizējamas atbalstam. Igaunijā šāda vienība darbojas jau kopš 2009. Gada. Šobrīd Igaunijas Kiberaizsardzības līga pulcē vairākus simtus speciālistus no publiskā un privātā sektora. Kiberzemessardzes aktīva pulcēšana Latvijā sākās šī gada sākumā, un jau pavasarī savu dalību pieteica 45 jomas profesionāļi[ 2 ], taču jāpiebilst, ka jau kopš 2007.gadā jomas eksperti apvienojās grupās (agrāk – LV CSIRT, tagad – DEG), lai sadarbotos, apmainītos ar informāciju un pieredzi kiberdrošības jomā. Tomēr Kiberzemessardzes izveide liecina par valstisku pieeju kibertelpas drošības jautājumiem, un šāda publiskā – privātā sektora sadarbība ir ļoti atbalstāma, jo reti kura valsts spētu veidot savas kibervienības, jo to uzturēšana ir finansiāli dārga un nav īsti nepieciešama, ja vien valsts neplāno pilnveidot savas kiberuzbrukuma spējas, kā tas, piemēram, ir ASV un Ķīnas gadījumā.
Kur ir mūsu kiberdrošības pētnieki?
Salīdzinot Igaunijas un Latvijas progresu kiberdrošības pētnieciskajā līmenī, pārsvars par labu ir Igaunijai, pateicoties tajā esošā NATO Kiberaizsardzības centra darbībai. Lai arī šajā centrā darbojas starptautiski eksperti no vairākām NATO dalībvalstīm, tai skaitā arī no Latvijas, un centra pētniecības fokusā ir dažādi pētniecības aspekti un nebūt ne Igaunijas situācija, centra izveide ir Igaunijas iniciatīva un lielāka daļa ekspertu un speciālistu arī vadības līmenī ir tieši igauņi. Šādas starptautiska mēroga institūcijas pastāvēšana rada dinamiku ap kiberdrošības jautājumiem, kas ļauj attīstīt ekspertu kompetenci, kā arī piesaistīt jaunus profesionāļus un viņu idejas. Latvijas gadījumā līdzīga mēroga vai būtības pētnieciskā institūcija nepastāv, lai gan daļēji par tādu varētu uzskatīt LU MII, taču, nenoliedzami, viņu pētniecības lauks kiberdrošības jomā salīdzinājumā ar Igauniju ir ļoti šaurs.
Latvijā pagaidām nav institūcijas, kura aktīvi pētītu kiberdrošības regulējumu, veidotu ieteikumus tiesiskajam ietvaram vai izstrādātu rekomendācijas politikas veidotājiem, tāpēc šādas institūcijas neesamība noteikti ir vērtējams kā trūkums kopējā kiberdrošības kontekstā. Risinājums tuvākai nākotnei būtu aktīvāka esošo iespēju izmantošana – vairāk Latvijas speciālistu sūtīšana uz NATO Kiberaizsardzības centru, LU MII kiberdrošības pētniecības stiprināšana, kā arī sadarbība ar Latvijas augstskolām, lai līdzīgi kā Tallinas Tehnoloģiju universitātē veicinātu jauno kiberdrošības speciālistu piesaisti. Kiberdrošība, kā samērā jauns koncepts, vēl ir neizpētīta ne tikai tās tehniskajā dimensijā, bet arī politiskajā, tiesiskajā un institucionālajā. Kamēr nebūs pietiekami daudz speciālistu katrā no šīm jomām, kiberdrošības pilnveidošana un, tai skaitā, dažādu pārkāpumu izmeklēšana un iztiesāšana, kā, piemēram, D. Čalovska gadījumā, būs nepārvarams šķērslis.
Paldies 2007.gadam?
Visbiežāk tiek uzskatīts, ka Igaunijas izvērsto pieeju kiberdrošības jautājumiem noteica 2007. gada aprīlī piedzīvotie kiberuzbrukumi, kad tika uzlauztas publiskā sektora, ziņu aģentūru mājas lapas, kā arī traucēta banku darbība. No vienas puses, jā, 2007. gads bija „modinātājzvans” daudziem politiķiem, jo tas bija ieskats tajā, ka pavirša attieksme pret kibertelpu var būt liels drauds. Tai pašā laikā maldīgi būtu teikt, ka Igaunijā pirms 2007. gada kiberdrošības jautājumi nav bijuši aktuāli. Bija, it īpaši, ņemot vērā, ka pirmās e-vēlēšanas notika jau 2005. gadā, taču drošība tolaik vairāk bija tehnisko speciālistu, ne tik daudz politikas veidotāju jautājums. Savu virzību uz jaunāko tehnoloģiju un digitālo risinājumu aktīvu izmantošanu ne tikai privātajā, bet arī publiskajā sektorā Igaunija pamazām uzsāka līdz ar neatkarības atgūšanu. Samērā plaši pazīstams ir tās izmantotais zīmols „e-Estonia” (vai nereti arī vienkārši „E-stonia”), lai starptautiski akcentētu mazās Baltijas valsts tehnoloģisko attīstību.
Jau 1996. gadā Igaunijas valdība, atsaucoties toreizējā Igaunijas vēstnieka ASV T.H.Ilvesa iniciatīvai, nodibināja Tīģera lēciena fondu (Tiger Leap Foundation) un finansēja to valsts budžeta ietvaros, ar mērķi vairot zināšanas par mūsdienu tehnoloģiju izmantošanas iespējām, kā arī ieviest plašāku šo tehnoloģiju izmantošanu izglītības procesā.[ 3 ]. Iniciatīva sevi noteikti ir attaisnojusi, un piemērus sasniegumiem plašai mūsdienu tehnoloģiju izmantošanai var minēt kā privātajā („Skype” un digitālā paraksta sistēma „Keyless Signature Infrastrucutre”), tā arī publiskajā sektorā. NATO izcilības centra kiberaizsardzības jautājumos izveidi bieži min kā spilgtu piemēru tam, kā igauņi 2007. gada uzbrukumus ir spējuši pārvērst pozitīvos ieguvumus. Tomēr tas nav īsti pareizi, jo pat pirms iestāšanās NATO, kopš 2003. gada, Igaunija aktīvi lobēja šāda centra nepieciešamību NATO ietvaros[ 4 ], bet 2006. gada beigās Igaunija oficiāli ierosināja Aliansei nepieciešamību pēc šāda centra[ 5 ]. Tai pašā laikā 2007. gada notikumiem ir zināma loma, jo tie ir bijuši vēl spēcīgāks katalizators kibertelpas drošības vairošanai, kā arī ļāva visai pasaulei uzzināt, par mazo Ziemeļeiropas tehnoloģiju lielvalsti. Nereti tiek uzsvērts, ka 2007.gada kiberuzbrukumi nebūtu piedzīvojuši tādu rezonansi, kādu tie saņēma, jo tie nebūt nebija ne pirmie, ne tie smagākie kiberuzbrukumi. Tas bija īpaši, jo tā bija Igaunija – valsts, kura jau tobrīd plaši un aktīvi izmantoja dažādas informācijas tehnoloģiju piedāvātās iespējas.
Vienā svara kategorijā ar igauņiem
Izvērtējot abu valstu drošības politikas instrumentu veidošanu un tajā sasniegto progresu, jāsecina, ka Igaunija dažādos līmeņos var šķist pārāka par Latviju. Mūsu ziemeļu kaimiņiem ir daudz skaidrāki plānošanas dokumenti, jau vairākus gadus sekmīgi funkcionējošas kibertelpas institūcijas, spēcīgāks kiberdrošības pētniecības un izglītības sektors un ar NATO ekselences centru Igaunija ir cītīgi spodrinājusi savu līdera tēlu kiberdrošības jomā. Tomēr, nav pamata Latvijas sasniegumus kiberdrošības jomā vērtēt kā maznozīmīgus. Pēdējos gados virzība pretī drošākai Latvijas kibertelpai ir bijusi ļoti strauja, un tā ir īstenota arī bez jaunu institūciju vai politikas dokumentu radīšanas. Lai arī nesenās izmaiņas, kiberdrošību pārņemot no vienas ministrijas otras paspārnē, pagaidām ir grūti novērtēt, tomēr lēmumpieņēmēju aktivitātes šajā jomā apliecina, ka kiberdrošība tiek apzināta kā nozīmīga mūsdienu sabiedrības sastāvdaļa.
Drošības pakāpi ir ne tikai grūti noteikt, bet arī salīdzināt, taču var diezgan droši apgalvot, ka, pateicoties CERT.LV arvien pieaugošajām spējām, Latvijas kibertelpa ir ne mazāk aizsargāta kā Igaunijas. Tiesa, ja Latvijā tiktu ieviesti līdzīgi izšķirošie e-pārvaldes risinājumi kā, piemēram, e-vēlēšanas, ar CERT.LV vien būtu par maz, bet neizprotot abu valstu līdzības un atšķirības, nereti maldīgi šķiet, ka Latvija kiberdrošības jomā no Igaunijas ir ievērojami atpalikusi vai arī Igaunija ir ievērojami aizsteigusies priekšā.
Igaunijas mērķtiecīgā virzība uz informācijas tehnoloģiju plašāku izmantošanu ir, patiesi, iecēlusi Igauniju par ekspertu un lietpratēju kiberdrošības jomā. Un paši igauņi šo pašpasludināto tehnoloģiju lielvalsts tēlu ir ļoti veiksmīgi izreklamējuši daudzviet pasaulē un panākuši, ka Igaunija tiek respektēta kā nozīmīgs viedokļu līderis jebkurā ar kiberdrošību saistītā jautājumā. Latvijas gadījumā politikas veidotāji samērā nesen ir apzinājušies kibertelpas drošības svarīgumu nacionālās drošības kontekstā, taču politiskā līmenī attīstība ir vērsta pozitīvā virzienā un, lai arī daudzās jomās, it īpaši izglītības un tiesiskajā, nepieciešami lielāki ieguldījumi (gan cilvēkresursu, gan finansiāli), šobrīd Latvija kiberdrošības ziņā nebūt nav tik sliktā stāvoklī kā dažkārt tiek uzskatīts un, ja skatās Eiropas mērogā, Latvija var kalpot par piemēru daudzām citām valstīm.
_____________________________________________________________
*Rakstā sniegtā informācija un secinājumi ir apkopoti un izstrādāti autores maģistra darbā „Kiberdrošības koncepta attīstība Latvijā un Igaunijā”.