Jaunais tā sauktais kiberdrošības likums, kas tiek gatavots iesniegšanai Ministru kabinetam līdz 1.jūlijam, spēcinās Datoru drošības incidentu reaģēšanas vienību (DDIRV), taču neradīs jaunu «policistu», kas bargi uzraudzīs valstij svarīgas informācijas sistēmas, izskanēja biznesa portāla «Nozare.lv» rīkotajā valsts un privātā sektora informācijas tehnoloģiju (IT) vadošo amatpersonu un speciālistu diskusijā.
Diskusija tika ierosināta pēc tam, ka anonīmā interneta aktīvistu grupa «Ceturtās atmodas tautas armija» (4ATA) caur pārstāvi ar segvārdu «Neo» sāka publicēt no Valsts ieņēmumu dienesta (VID) Elektroniskās deklarēšanas sistēmas (ED) «cauruma» iegūtus datus par ministriju un valsts iestāžu darbinieku algām.
Jaunais likumprojekts paredz paplašināt to informācija sistēmu loku, kas uzskatāmas par valstij svarīgām, tostarp pašvaldību un arī privāta sektora sistēmas, un noteiks minimālus standartus to aizsargāšanai pret uzlaušanu, datu noplūdēm ārēju spēku ietekmē un sistēmas darbinieku kļūdas, nevīžības vai ļaunprātības dēļ, stāstīja Māris Andžāns, Satiksmes ministrijas (SM) Transporta sakaru drošības nodaļas vadītājs un Elektronisko sakaru un informācijas tehnoloģiju konsultatīvās padomes drošības jautājumos priekšsēdētāja pienākumu izpildītājs.
«Pirmais, ko ar likumu gribam noteikt: kas ir kiberdrošība un kā nodrošināt spēju reaģēt uz incidentiem,» stāstīja Andžāns. Tālāk likumprojektā paredzēts paplašināt līdzšinējo dažādos likumos un noteikumos fiksēto kritiskas informācijas sistēmas definīciju.
«Ar likumu arī tiks noteikts, kas ir kritiskā infrastruktūra un ar ko tā tiek aizsargāta. Līdz šim tā bija tikai ar nacionālo drošību saistīta IT infrastruktūra, tagad tā ar Ministru kabineta pilnvarojumu tiks definēta kā valsts un pašvaldību infrastruktūra, arī privātā sektora infrastruktūra. Citos vārdos - visa infrastruktūra, kas nepieciešama valsts funkcionēšanai,» teica Andžāns un uzsvēra, ka «būs minimālas drošības prasības visām valsts un pašvaldību informācijas tehnoloģijām».
Vienlaikus iecerēts paplašināt DDIRV no divām personām, kas patlaban strādā Valsts informācijas tīkla aģentūras (VITA) pakļautībā, uz aptuveni 15 personu lielu vienību, kas vairs nebūs saistīta ar VITA, jo VITA apvienos ar Latvijas Valsts radio un televīzijas centru (LVRTC). Iecerēts, ka DDIRV saņems līdz pat desmit reizēm lielāku finansējumu nekā 50 000 latu, kuri patlaban tai atvēlēti, teica Andžāns. Viņš norādīja, ka, ja kādam 500 00 latu liekas liela summa, tā nav salīdzināma ar kaitējumu, ko informācijas sistēmām var nodarīt datu noplūdes, ļaunprātīga datu sagrozīšana vai dzēšana, kā arī cita veida uzbrukumi vāji aizsargātai sistēmai.
«Izmaksas, ko prasa likuma īstenošana, ir nelielas, salīdzinot ar iespējamiem zaudējumiem, ja notiek kas līdzīgs tam, ko jau esam redzējuši mūsu kaimiņvalstīs 2007. un 2008.gadā (kiberuzbrukumi Igaunijas IT sistēmām),» sacīja Andžāns.
Attiecīgi finansēta DDIRV varēs veikt nepārtrauktu Latvijas elektroniskās informācijas telpu monitoringu, sadarboties ar citu valsts informācijas sistēmu ārkārtas incidentu reaģēšanas grupām jeb CERT (Computer Emergency Reaction Team) un aktīvi piedalīties incidentu apkarošanā ar tiesībām pieslēgties datu plūsmām vai citai elektroniskai darbībai, kas izraisījusi incidentu, un to apkarot.
Vaicāts, vai DDIRV un citi ar likumprojektu saistītie pasākumi saņems pietiekami finansējumu, Andžāns teica: «Likumus pieņem Saeima. No Saeimas deputātu puses ir interese sakārtot šo jomu - IT drošību. Mums neatliek nekas cits kā ticēt, un arī ticam.«
Tomēr no privātā sektora pārstāvjiem izskanēja zināma skepse, vai ar naudu vien pietikšot. «Vajadzīgs ne tikai finansējums, bet atbildības sajūta. Valsts ieņēmumu dienesta (VID) datu noplūdes gadījumā VID gadījumā finansējums bija,» teica «IT Centrs» izpilddirektors un drošības speciālists Agris Krusts.
«Exigen Services Latvia» izpilddirektors Ivars Puksts uzstāja, ka jāmaina budžeta veidošanas metodoloģija un tā jāveido, finansējot valsts funkcijas, nevis ministrijas un iestādes, atvēlot iezīmētu finansējumu IT sistēmu drošībai.
Atsaucoties uz NATO un Eiropas Savienības noteikumiem un direktīvām, Andžāns norādīja, ka ne visus paredzētos drošības tehniskos standartus un pretlīdzekļus kiberteroristiem un hakeriem varot atklāt, jo tie esiet slepeni. Vienlaikus DDIRV nebūšot bargs policists, kas uzmanīs IT nozari, bet drīzāk partneris, kas palīdzēs ieviest pienācīgus drošības standartus. Tomēr SM augstais ierēdnis uzsvēra, ka DDIRV un valsts drošības iestādes, tostarp Satversmes aizsardzības birojs (SAB) un Drošības policija (DP), pēc likuma stāšanās spēkā varētu veikt iepriekš nepieteiktas pārbaudes un «labdabīgus uzbrukumus».
Šādus «uzbrukumus», kurus veic «hakeri ar baltām cepurēm» (no amerikāņu kovboju filmām, kur bandītiem vienmēr ir melnas cepures), nozarē jau pazīst sen. Speciālisti ar visiem iespējamiem līdzekļiem nepamanīti cenšas iekļūt datu sistēmā bez likumīgas autorizācijas (ar viltotu, ja tādu izdodas izveidot) un pēc tam detalizēti ziņo sistēmas īpašniekiem par notikušo.
