NORISES
>
Notikumi, problēmas, aktuālas tēmas
TĒMAS
19. martā, 2010
Lasīšanai: 12 minūtes
RUBRIKA: Problēma
TĒMA: Valsts pārvalde
8
8

Ko vajag datu drošībai? Naudu, cilvēkus vai likumus?

Publicēts pirms 14 gadiem. Izvērtē satura aktualitāti! >>
Informācijas tehnoloģiju speciālisti laikā, kad sākās štatu samazināšana valsts pārvaldē, daudzviet tika atlaisti pirmie, jo – viņi jau neko nedarot... Datoriem pielīmētas zīmītes ar parolēm, zagtas antivīrusu programmas un citi brīnumi – tāda lielākoties ir ļaužu vispārīga izpratne par datu drošību mūsu valstī.

Ko vajag datu drošībai? Naudu, cilvēkus vai likumus?

Informācijas tehnoloģijas, kaut arī tās lieto gandrīz ikviens, izrādās, ir tik sarežģīta joma, ka iestāžu vadītāju izpratne par valsts informācijas sistēmu drošību kopumā ir visai bēdīga. Pēc nepatīkamā atgadījuma Valsts ieņēmumu dienestā (VID), kur atklājās, ka datus iespējams nosūknēt, speciālisti arvien aktīvāk spriež, kā rīkoties turpmāk, lai tas neatkārtotos.

Vieni piedāvā izveidot jaunu iestādi vai amatu, kura pienākums būtu datu drošības pārvaldnieku vadība un virsatbildība; otri rosina drīzumā pieņemt jaunu likumu, vēl citi apgalvo, ka jau pašreizējos normatīvajos aktos struktūra un visas atbildības ir noteiktas, tikai likumi netiek ievēroti.

Galvenais atbildīgais – iestādes vadītājs

Kāda ir valsts politika valsts pārvaldē attiecībā uz informācijas sistēmu drošību, vai šobrīd izveidotā sistēma ir pareiza, un kā tā tiek īstenota? Tas bija viens no jautājumiem, par kuru speciālisti diskutēja e-prasmju nedēļā.

Valsts informācijas sistēmu likums paredz, ka „Reģionālās attīstības un pašvaldību lietu ministrija koordinē valsts informācijas sistēmu darbību integrētas valsts informācijas sistēmas ietvaros, realizējot vienotu valsts politiku valsts informācijas sistēmu attīstības un uzturēšanas jomā”. Savukārt drošības jautājumi skaidroti MK noteikumos Nr. 765 "Valsts informācijas sistēmu vispārējās drošības prasības”. Noteikumu izpildi uzrauga Reģionālās attīstības un pašvaldību lietu ministrija (RAPLM), kas šobrīd pēc notikumiem VID strādā pie valsts informācijas sistēmu audita.

„Valsts pārvaldē notiekošais tiešām ir mūsu ministrijas atbildībā,” atzīst RAPLM valsts sekretāra vietnieka pienākumu izpildītājs informācijas sabiedrības un e-pārvaldes lietu jautājumos Uģis Bisenieks. „Jau pagājušajā gadā radās ideja, ka būtu nepieciešams Nacionālās informācijas tehnoloģiju drošības sistēmas likums. Likumprojektā definēts, ka „nacionālo informācijas tehnoloģiju drošība ir stāvoklis, kurā ir garantēta valstij un sabiedrībai būtisku informācijas tehnoloģiju pakalpojumu sniegšana un saņemšana”.

"Tomēr ir jautājums - vai iestāžu vadītāji zina, ka patiešām atbild par informācijas sistēmas drošību, un vai drošības sistēmas pārvaldnieki ir visās valsts institūcijās?"

Topošā likuma pamatmērķis ir aprakstīt drošības organizācijas struktūru un noteikt atbildības. Mūsu uzskats, kas nostiprināts arī šajā normatīvajā aktā, ir tāds, ka par valsts informācijas sistēmu drošību katrā iestādē ir atbildīgs tās vadītājs. Jau līdzšinējā likumdošana paredz katrā valsts iestādē tādu amatu kā informācijas sistēmu drošības pārvaldnieks, kura pienākums ir vadītājam palīdzēt šo drošību nodrošināt.

Tomēr ir jautājums - vai iestāžu vadītāji zina, ka patiešām atbild par informācijas sistēmas drošību un vai drošības sistēmas pārvaldnieki ir visās valsts institūcijās? Pagājušajā gadā, ievērojami optimizējot informācijas tehnoloģiju (IT) departamentus, krietni tika samazināts darbinieku skaits, un tas vienlaikus raksturo iestādes vadītāju izpratni par drošības jautājumiem.”

Ja meklējam atbildīgo, tad izrādās, ka RAPLM nav atbildīga par to, lai katrā iestādē būtu atbildīgais pārvaldnieks. Par to atbild katras iestādes vadītājs, bet ministrija šo sistēmu tikai pārrauga. Satiksmes ministrijas pakļautībā Valsts informācijas tīkla aģentūrā (VITA) darbojas Datoru drošības incidentu reaģēšanas vienība. Šai vienībai nav uzraudzības un kontroles funkciju, tā drīzāk pilda ugunsdzēsēju lomu.

Jaunā Nacionālo informācijas tehnoloģiju drošības sistēmas likumprojekta uzdevums ir šo vienību spēcināt, tomēr pēdējā gada lielākais sasniegums ir vien tāds, ka tai netika samazināts finansējums.

Nacionālās drošības padomes (NDP) sēdē februārī tika secināts, ka bēdīgi slavenā datu noplūde no VID bija iespējama, jo nepastāv vienots valstisks regulējums un kontroles mehānisms pār valsts informācijas sistēmām. Šobrīd darbojas 175 valsts informācijas sistēmas un tikai pusei no tām ir sistēmas drošības pārraugi.

Valsts iestādēs trūkst kompetentu IT speciālistu

Kad sākās runas par VID datu noplūdi, kibernētikas eksperti dažādos medijos sprieda, ka kļūda programmatūrā bijusi vienkārša, bet, iespējams, to nevarēja tik viegli pamanīt, jo cilvēkiem vajadzēja... zināšanas IT jomā.

Latvijas Bankas Informācijas sistēmu drošības vadītāja Ilze Murāne norāda: „Likumā ir rakstīts, ka vajag pārvaldīt drošību, piešķirt resursus, bet, ja resursi nav piešķirti, tad nav arī cilvēku. Tajos amatos vai nu svilpo vējš, vai arī tie ir apvienoti. Nekas netiks atrisināts, ja šajā amatā nozīmēs kādu no darbiniekiem, jo svarīga ir viņa izglītība un pieredze drošības jautājumos.”

Informācijas sistēmu audita un kontroles asociācijas (ISACA) prezidents Ivo Ivanovs: „Valsts iestādēs, kad tiek jautāts par drošību, dominē izpratne, ka jābūt kārtībā visiem papīriem, bet tā nav izpratne par drošības jēgu. Papīri ir teorētiskā, bet ne praktiskā drošība.

Tajā brīdī, kad auditori stingri prasīja drošības pārvaldniekus, valsts iestādes tos sapirkās, bet, tā kā tagad budžets ir izkusis un auditori ieradīsies varbūt tikai nākamgad, tad izzūd arī pārvaldnieki. Ir arī tā, ka vadītājs drošības pārvaldnieka amatu uztic jebkuram, neatkarīgi no viņa zināšanām šai jomā.

"Vidējais lietotājs gan valsts iestādēs, gan komercstruktūrās ir ar ļoti zemu izglītības un izpratnes līmeni par to, kas ir drošība informācijas tehnoloģijās."

Likumos vajadzētu iestrādāt prasības par drošības pārvaldnieka atbildību un noteiktu izglītību. Projektēt māju taču uzticam arhitektam ar atbilstošu sertifikātu, bet kāpēc uzskatām, ka valsts informācijas drošības sistēmas drīkst pārvaldīt cilvēki bez specifiskām zināšanām? Nevajag jaunus likumus, jaunas aģentūras, jaunus kiberkaraļus, bet jāpanāk, lai tās iestādes, kuras atbild par drošību valstī, šos jautājumus risinātu. Kā to panākt? Izglītojot un paredzot, ka tas ietilpst šo iestāžu funkcijās.”

RAPLM Informācijas sistēmu nodaļas vadītājs Aigars Laurinovičs papildina: „Svarīgi ir arī, vai ierindas darbinieki saprot, ko dara, kur datus ievada un ka šī informācija nav izplatāma – tas ir arī kultūras un ētikas jautājums. Drošības pārvaldniekiem ir jāstrādā ar darbiniekiem, jārīko drošības instruktāžas, jāskaidro, ka informācijas sistēmu paroļu lapiņas nevajag līmēt pie monitora.”

Konsolidēšanas iespējas un savrupības tendence

„Pēdējā Kiberdrošības padomes sēdē kontekstā ar notikušo VID mēs secinājām, ka tiesību aktos prasības ir skaidri definētas, bet problēmas rodas, tās īstenojot praksē,” līdzīgi secina arī Satiksmes ministrijas Transporta, sakaru un drošības nodaļas vadītājs Māris Andžāns. „Iestāžu vadītāji nespēj izpildīt šīs prasības finanšu trūkuma dēļ, jo pašlaik mazākās iestādēs nav pat neviena IT speciālista! Tāpat valsts iestādēs ir aizliegts pieņemt darbā papildu darbiniekus. Ja valsts kādu sistēmu grib uzturēt un vēlas tai atbilstošu drošību, tad ir jānodrošina pietiekams finansējums. Šo sistēmu nevar uzturēt ar to pašu cilvēku pūliņiem no darba brīvajā laikā un uz entuziasma pamata!

Drošības pārvaldniekiem ir jābūt, un turklāt jābūt tiem, kuri monitorē un reģistrē visas darbības, ievēro un kontrolē visas procedūras. Šo speciālistu štata vietas nedrīkst samazināt. Tāpēc jālūko, vai nav iespēja optimizēt valsts informācijas sistēmu kopumu.”

„Nav mums sajūtas, ka kaut kas būtu centralizēts, ka valsts informācijas sistēma visās iestādēs tiktu aizsargāta vienādi,” norāda Digitālās ekonomikas attīstības centra (DEAC) vadītājs Andris Gailītis. „Katra iestāde pie mums nāk ar savām prasībām. Turklāt jānorāda uz pamatcēloni visām problēmām, proti, vidējais lietotājs gan valsts iestādēs, gan komercstruktūrās ir ar ļoti zemu izglītības un izpratnes līmeni par to, kas ir drošība informācijas tehnoloģijās.

"Mums ir jāsargā informācija tieši tāpat, kā armijai jāaizsargā valsts, policijai - iedzīvotāji."

Visi nes savus datorus mājās, ievieto tajos, ko vien vēlas, un pēc tam brīnās, ka darbā ar šo datoru kaut ko vairs nevar izdarīt vai tajā uzrodas „kaut kas dīvains”. To mēs redzam, apkalpojot datortīklus valsts iestādēs. Tur ir daudz tehnoloģisko līdzekļu, un tehnoloģijas ir iespējams uzturēt perfektā stāvoklī. Bet nedaudz konsolidējot, jo daudzas lietas var apvienot.”

RAPLM pārstāvis U.Bisenieks norāda, ka valsts informācijas sistēma ir darba instruments iestādes funkciju veikšanai. Daļa no šiem instrumentiem krāj datus, kas ir nepieciešami arī citām iestādēm. Viņš uzskata, ka tehnoloģiskos resursus, tajā skaitā serveru resursus, ir jāmēģina konsolidēt. Tomēr I.Ivanovs iesaka ņemt vērā pašreizējo situāciju un domāšanas veidu: „Katrai pozīcijai, ko valsts veic, ir atsevišķa tam radīta iestāde, kas ieinteresēta izveidot savu mazu datu bāzīti, kurā sakopot tos datus, kas vajadzīgi konkrētās funkcijas izpildei. Šīs institūcijas, manuprāt, nav spējīgas uz lielu sadarbību. Turklāt pastāv bailes pazaudēt darbu - ja mēs savu informāciju iedosim citai iestādei, tad varbūt mūsējo vairs nevajadzēs. Protams, jāmēģina no šī punkta izkustēties.”

Datu drošība sākas no ikviena lietotāja

Vai darba devējam ir tiesības lasīt darbinieku e-pastus? Likumā par valsts amatpersonu interešu konfliktu novēršanu teikts, ka valsts mantu drīkst lietot tikai valsts interesēs. Tātad valsts iestādē strādājoša cilvēka e-pasts ir valsts manta, ko cilvēks lieto valsts interesēs. Bet ir nosacījums, ka cilvēki par pārbaudi ir laikus jābrīdina. Tāpat jārīkojas komercuzņēmumos.

„e-drošība nav kaut kur ārā, tā ir mūsos pašos,” skaidro A.Gailītis. „Antivīrusus lielākā daļa lietotāju zog, tie netiek apdeitoti, cilvēki dragā pa internetu, neiedziļinoties, kas tur ir, neizlasot informāciju, kas reizēm izlec, tikai kaut ko nospiež... Puse uzbrukumu datorsistēmām notiek no zombētiem datoriem, proti, datoriem, ar kuriem attālināti dara, ko grib.

Tipisks piemērs ikdienas lietotājam ir bērns, kurš zina, ka viņam vajag spēli x , un mēģina arī šo spēli dabūt. To, ka reizē ar spēli iegūs simts citas nevajadzīgas lietas, viņš nezina. Lielākā daļa datoru, kas ir mājās, ir aprīkoti ar zagtām programmatūrām, un risks ir tāds, ka šai programmatūrai ir pievienota maza programmiņa, kas jūsu datoru izmanto citu labā. Kopumā tā ir runa par datoru lietošanas kultūru un finansējumu.”

Latvijas Informācijas un komunikācijas tehnoloģiju asociācijas prezidente Signe Bāliņa: „Drošība nevar būt akcijas veidā, par to jādomā visu laiku. Mums ir jāsargā informācija tieši tāpat, kā armijai jāaizsargā valsts, policijai - iedzīvotāji. Tāpat ir jāskatās, kas notiek ar lietotāju un kur rodas neizglītots lietotājs. Kurš posms jāstiprina – ģimene, skola, darbavieta? Un kā mainīt domāšanu attiecībā uz informācijas sistēmu drošību.”

Labs saturs
8
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI