Informācijas tehnoloģiju drošības likums bija ļoti nepieciešams, lai vienādotu izpratni par minimālajām informācijas drošības kontrolēm un ieviestu labo praksi gan valsts pārvaldē, gan privātajā sektorā.
Publicitātes foto
Latvijā kiberdrošības mēnesis iesākās ar ikgadējo starptautisko kiberdrošības konferenci "Kiberšahs 2017" un turpinās ar citām konferencēm, lekcijām un semināriem, kurus var apmeklēt ikviens.
Kiberdrošībai ir veltīts vesels mēnesis. Kāpēc tas ir tik aktuāli?
Par kiberdrošību šodien runā daudzi, un tas ir efektīvi, ka veidojam jaunas tradīcijas, attieksmes un ieradumus, kā būt kiberveseliem. Pašsaprotami, ka ne tehnoloģijas, ne rīki nevar mūs pilnībā pasargāt no kiberriskiem. Piemēram, uzņēmuma drošības kultūras pamatā ir tieši darbinieks, kas ar savu saprātīgu rīcību var kļūt par sekmīgu "cilvēku ugunsmūra" daļu. Un tieši tādēļ ir jāstrādā pie cilvēku attieksmes maiņas, jo kiberdrošība ir mūsu galvās! Drošības kultūru veido un uztur uzņēmuma nerakstītie likumi, sodi, apbalvojumi, tradīcijas, uzticība utt. Mērķtiecīgi darbojoties, drošības kultūru var uzlabot.
Kiberdrošība nav ierasta un viegla tēma. Vai jūs mērķtiecīgi izvēlējāties to apgūt?
Jau augstskolā interesējos, kā, izmantojot informācijas un komunikāciju tehnoloģijas kā papildu instrumentu, studiju procesu padarīt interesantāku. Bakalaura darbā pētīju multimedijus, maģistra darbā – informācijas un komunikāciju tehnoloģijas un informācijas drošību. Vēlāk nokļuvu biznesa vidē drošības komandā, kas mani iedrošināja doties tālāk. Pašmācībā apguvu informācijas drošības vadītāja kompetences, sertificējos. Aktīvi iesaistījos likumprojektu izstrādes darba grupās, darbojos biedrībā ISACA, kuras misija ir atbalstīt uzņēmumu mērķus, attīstot, nodrošinot un veicinot izpēti, izstrādājot standartus, pilnveidojot kompetences efektīvai, drošai un kvalitatīvai informācijas sistēmu un tehnoloģiju vadībai, kontrolei un uzraudzībai. Tā es norūdījos un guvu pārliecību par savām spējām, lai turpinātu ceļu, pa kuru tagad eju.
Kā Latvijas Informācijas un komunikāciju tehnoloģiju asociācijas eksperte esat piedalījusies gan Informācijas tehnoloģiju drošības likuma un ar to saistīto Ministru kabineta noteikumu izstrādē, gan VARAM darba grupā par jaunajiem kiberdrošības profesiju standartiem, gan Kiberstratēģijas izstrādē. Kādas ir atziņas par paveikto?
Informācijas tehnoloģiju drošības likums bija ļoti nepieciešams, lai vienādotu izpratni par minimālajām informācijas drošības kontrolēm un ieviestu labo praksi gan valsts pārvaldē, gan privātajā sektorā. Vismaz minimumu – klasificēt informācijas sistēmas un informāciju, noteikt atbildības, veikt risku pārvaldību, apmācīt darbiniekus, uzraudzīt un kontrolēt piekļuves tiesības. Šis ir pirmais nozīmīgais solis, lai sakārtotu informācijas tehnoloģiju drošības jomu no juridiskā viedokļa.
Pirms septiņiem gadiem bija milzu plaisa starp valsts un privāto sektoru informācijas drošības pārvaldības un procesu brieduma ziņā. Ieviešot un īstenojot virkni normatīvo aktu, situācija ir uzlabojusies. Kiberdrošības indekss, kas mēra pasaules valstu kiberdrošības kopējo līmeni, parāda, ka Latvija ir pietiekami labās pozīcijās.
Vai sabiedrības attieksme pret informācijas drošību ir kļuvusi nopietnāka?
Noteikti jā! Par to liecina skaitļi un fakti. Par kiberdrošību spriež augstākā līmeņa vadība, pieaug drošības budžeti, kiberdrošības risinājumi ir atraduši savu nišu tirgū, pieaug arī kiberdrošības profesionāļu skaits.
Mums ir arī savi hakeri, ētiskie urķi un diemžēl arī "varoņi", kas Latvijas vārdu nesuši pasaulē negatīvā gaismā. Šis kopums veido sabiedrības pieredzi un dod iespēju mācīties no savām kļūdām.
Vai šobrīd ir pieejams pietiekošs daudzums izglītojošās informācijas, lai persona saprastu, ka ar savu nevērību (vienu nepareizu klikšķi) tā var nodarīt milzu zaudējumus gan sev, gan darba devējam un citiem uzņēmumiem?
Informācijas ir daudz. Manuprāt, pietiekoši. Katrs sevi cienošs mobilais operators, banka vai interneta piegādātājs aktīvi informē savus lietotājus par iespējamiem riskiem un sniedz padomus, kā tos novērst. Organizācijas, kas rūpējas par drošību Latvijā, kā arī augstskolas regulāri organizē seminārus, atvērtās lekcijas, īsteno zibakcijas – uzmanības pievēršanas eksperimentus, spēlē kiberkara spēlītes ar mērķi mainīt lietotāja paradumus un nostiprināt kiberveselību digitālajā vidē. Ir svarīgi ievērot Aristoteļa ieteikto recepti – mācīties darot. Informēšana ir tikai viens no pirmajiem soļiem. Ir jāpilnveidojas! Jādod iespēja iegūt praktiskās iemaņas, jāstāsta par drošību jaunākajiem interneta lietotājiem (dati liecina, ka tie ir trīsgadnieki), jāveido drošāks internets bērniem, skolēniem, studentiem, līdz pat senioriem. Es teiktu, ka šobrīd tieši pakalpojumu un produktu izstrādātājiem nepieciešamas jaunas kompetences kiberdrošības nodrošināšanā. Darbojoties biznesa vidē, novēroju arī galējības – ir darba devēji, kuri ir gatavi investēt kiberdrošības risinājumos, bet nepadomā par procesu pārvaldīšanu vai neparedz tai resursus nemaz. Un ir pretēji – tie, kas vēlas uzbūvēt drošību tikai uz viena vai divu cilvēku entuziasma. Tālredzīgi rīkojas tie uzņēmēji, kas organizē klātienes apmācības ne tikai saviem darbiniekiem, bet arī saviem klientiem.
Manuprāt, mēs pat nenojaušam, cik ļoti mūsu privātums kibertelpā ir apdraudēts. Kādi ir biežākie gadījumi, kad personas iekrīt?
Sabiedrībai trūkst izpratnes par to, kas īsti ir personas dati. Izplatīts ir maldīgs uzskats, ka tie ir tikai personas kods, vārds un uzvārds. Pētījumi liecina, ka millennials paaudzei (saukta arī par Y paaudzi, tie, kas dzimuši laikā no 1980. līdz 2000. gadam) ir vairāk raksturīgi koplietot personas datus sociālajos tīklos nekā, piemēram, senioriem. Viņi attiecīgi par datu koplietošanu arī mazāk uztraucas, jo būt populāram un pamanāmam ir svarīgāk, nekā saglabāt datu drošību. Vairāki pasaulē pazīstami kiberdrošības eksperti apliecina, ka privātums ir miris, tas vairs neeksistē. Runa, protams, ir par digitālo vidi. Tādēļ jāturpina lietotājus izglītot par to, kā mazināt digitālo pēdu, sērfot inkognito režīmā, neuzķerties uz pikšķerēšanas e-pastiem, kuri sola milzīgus laimestus vai "atgādina" par neesošiem nodokļu parādiem. Šie ir populārākie veidi, kā "uzķert uz āķa zivtiņas" un izkrāpt personas datus.
Pret klikšķināšanu uz neīstām (viltus) saitēm palīdz saprātīga rīcība un modrība. Piemēram, paskatīties, vai adresē nav izmainīts viens simbols. Un to var uztrenēt, piemēram, organizējot pikšķerēšanas kampaņas (Red. piez. – pikšķerēšana ir nelikumīgs veids, kā mēģina ar viltu iegūt no interneta lietotāja slepenu informāciju, piemēram, lietotāja vārdu, paroli, kredītkartes numuru.) Ne visiem tās patīk, mēdz būt negatīvas emocijas. Taču iepriekš "sagatavojot augsni" un perfekti saplānojot, tās dod labus rezultātus. Turklāt uzreiz.
Nesen LV portāls e-konsultācijās saņēma jautājumu – kā rīkoties, ja personai sociālajā tīklā ir nozagts profils? Kā rīkoties šādos gadījumos?
Droši vien personas konts ticis uzlauzts vai kompromitēts. Tam par iemeslu varēja būt vāja vai viegli uzminama parole, jo tajā, iespējams, iekļauti citur sociālajos tīklos publiskoti personas dati. Iespējams, lietotājs izmantojis datoru publiskā vietā (interneta kafejnīcā, bibliotēkā) un aizmirsis izlogoties no sava profila. Veidu, kā tīši vai netīši var zaudēt kontroli pār savu kontu, ir daudz. Ja kaut kas tāds notiek, atliek informēt vietnes turētāju, atjaunināt kontu un sapratīgāk rīkoties. Informācija par to, kā paziņot par drošības incidentu un/vai personas datu noplūdi, jāmeklē attiecīgās vietnes politikā.
Kas ir kiberhigiēna? Iepriekš izskanēja apzīmējums "būt kiberveselam"...
Šis termins ir saistīts ar veselīgiem paradumiem, pašsaprotamām lietām, lietojot internetu. Tie ir padomi, ieteikumi un triki, kā izdzīvot "virtuālajos džungļos", piemēram:
Lietotāji daudzus no šiem padomiem zina, bet nepielieto, jo jāvelta lielāka uzmanība un ir jāmaina ieradumi. Un tas ir grūti (lasīju, ka vajagot vismaz 21 dienu, lai jaunie ieradumi nostiprinātos).
Uzticība ir viens no elementiem, ar kuru ļoti prasmīgi spēlēties prot arī kibernoziedznieki. Dažādas sociālās inženierijas taktikas – steidzināšana, apmuļķošana, iežēlināšana, izlikšanās par kādu citu, ko persona pazīst vai kam uzticas (pat reliģiskās organizācijas, sporta klubi un labdarības iestādes) – var būt kā viltus aizsegs urķa plānā.
Tāpēc pieaug informācijas drošības pārvaldības prasmju un kompetenču nozīme ne tikai, lai mēs justos droši, bet arī lai būtu droši. Ja uzņēmējam ir pieejami resursi, kurus pārdalot uzņēmums var sevi pasargāt, tad privātai personai tas jānodrošina pašai par saviem līdzekļiem un ar savām zināšanām. Tāpēc ir būtiska informācijas drošības prasmju apguve jau ļoti agrā vecumā. "Dzelži un programmas" ir instruments, kas pats vēl nerada drošību. Ir jāapgūst soft skills, lai pieņemtu pareizus lēmumus, lai aizsargātu savu informāciju (privātumu). Piemēram, bērnu neglābs programmēšanas prasme, ja viņš pieņems kļūdainu lēmumu un savu nofilmēto materiālu ar privāto informāciju ievietos sociālajos tīklos. Tādēļ augstskolās top jaunas izglītības programmas, tiek apgūtas jaunas profesijas. Piemēram, Banku augstskola jau kopš 2015. gada īsteno Kiberdrošības pārvaldības profesionālā maģistra programmu, kur studenti apgūst informācijas drošības vadītāja profesiju. Arī citas augstskolas domā par šīs jomas attīstību.
Kādi ir nākotnes izaicinājumi? Īlons Masks ((Elon Musk), "SpaceX", "Tesla Motors" un "PayPal" dibinātājs) ir izteicies, ka trešā pasaules kara pamatā būs mākslīgais intelekts.
Manuprāt, šis ir ļoti plašs jautājums. Esmu dzirdējusi joku – kad mūs visus saslēgs vienotā tīklā, Dievs mūs uzrunās! Viens ir skaidrs, ka katras valsts prioritāšu sarakstā kā galvenā ir izvirzījusies valsts un sabiedrības aizsardzība – ne tikai ar militāru spēku, bet arī tā sauktā hibrīdaizsardzība. Protams, pasaules informācijas telpa ir pārblīvēta ar dažādām ziņām, informāciju, kas ir patiesa, puspatiesa, apzināti sagrozīta vai nepatiesa (fake news). Lai tajā orientētos un saglabātu atskaites punktu, ir būtiski attīstīt kritisko domāšanu. Pieaug arī zinātnieku un pētnieku, arī pētniecisko žurnālistu darbības nozīme, kas, pareizi motivēti, var radīt drošticamu saturu un kalpot sabiedrībai par marķieriem informācijas straumē. Par Maska viedokli – ir dažādi signāli, kas ir vērtējami kā ļoti satraucoši, piemēram, ASV prezidenta vēlēšanu skandāls par kiberuzbrukumiem un viltus ziņu producēšanu vai kiberuzbrukumiem, kuru rezultātā avarēja ASV karakuģis, u. c. līdzīgi gadījumi. Grūti spriest, cik pamatotas ir šīs prognozes, jo cilvēka fantāzijai robežu nav. Bet skaidrs, ka uzņēmējam ar tādiem resursiem, kādi ir Maskam, visticamāk, ir krietni vairāk izanalizētu datu, uz kuriem šo viedokli balstīt. Jautājums, vai mākslīgais intelekts ir spējīgs izvirzīt mērķi un kāda ir tā izvirzīšanas motivācija? Vai tomēr tas ir superinstruments cilvēka rokās?...