“Tā ir informācijas laikmeta ironija, ka attīstītās tehnoloģijas, kas dod mums iespēju radīt un veidot, dod iespējas arī tiem, kas grauj un iznīcina,” ASV prezidents Baraks Obama teica ASV Nacionālā Kiberdrošības centra atklāšanā, 2009.gadā. Viņš arī piebilda: “Mēs neesam tik gatavi kā mums vajadzētu būt, kā valsts vai kā valdība. Tomēr jau tagad ir skaidrs, ka kibernoziegumu draudi ir viena no visnopietnākajām ekonomikas un nacionālās drošības problēmām, ar ko mēs saskaramies kā nācija.”
Sekojot līdzi notikumiem ar plašāk zināmajiem datu noplūdes incidentiem, tiekoties ar dažādu valsts un privāto uzņēmumu IT vadītājiem, drošības pārvaldniekiem, IT kompānijām, kas strādā ar drošību, piedaloties IT forumos, rīkojot konferences Latvijas un Baltijas tirgū ir radies kāds jautājums, kurš liek uzsākt plašāku diskusiju. Un jautājums ir – vai arī Latvijā kāds (valsts, politiķi, politiskās partijas?) saprot to, ka datu drošība ir 21.gadsimta valsts ilgtermiņa attīstības svarīgākais elements, kuram pievērst uzmanību politekonomisko jautājumu risināšanas kontekstā? Šis raksts nav komersanta reklāma vai vēlēšanās pretendēt uz vienīgo, absolūto patiesību IT drošības nozarē, bet gan aicinājums nozares ekspertiem uz diskusiju, kuras rezultāts, cerams, varētu būt politisko spēku uzmanības piesaistīšana un jautājuma aktualizēšana pirms nākamajām vēlēšanām, jo jautājums ir valsts attīstībai, manuprāt, prioritārs.
Mēs dzīvojam laikā, kad Latvija, tik tikko izglābusies no valsts bankrota, cenšas stabilizēt ekonomisko situāciju valstī, veic dažādas strukturālās reformas, gatavojas jaunām vēlēšanām. Tas ir laiks, kad ikviens lēmums, ko valsts politiķi, lielo uzņēmumu vadītāji un citi lēmēji pieņem vai nepieņem, savlaicīgi un nesavlaicīgi, ir ļoti būtisks ne tikai potenciālā ārvalstu investora vai vietējā vēlētāja acīs, bet arī būtisks valsts spējai atgūties, izcīnīt konkurētspējīgu pozīciju reģionā, brīvajā tirgū, ielikt labus pamatus nākotnes labākas dzīves nodrošināšanai ikvienam valsts iedzīvotājam, kurš šodien nebrauc projām, bet cīnās par savu valsti tepat. Pēc iepriekšējo gadu idilles, ilūzijas par mūsu straujo augšupeju, pēc bezatbildīgās “gāzi grīdā” politikas.
Un vēl mēs dzīvojam laikā, kad visā pasaulē tehnoloģiju progress attīstās arvien straujāk, liekot ikvienam no mums izmantot internetu, un ar to saistītos e-pakalpojumus un e-risinājumus, kas tos e-pakalpojumus nodrošina, arvien vairāk un vairāk. Mēs esam kļuvuši arvien mobilāki, jo sociālo mēdiju, tīklu, risinājumu ir arvien vairāk, un mēs tajos arvien vairāk sazināmies ne tikai ar draugiem, paziņām, bet arī ar klientiem, partneriem vai pārdevējiem. Mēs piekļūstam saviem datiem no daudz dažādiem piekļuves punktiem, izmantojot visdažnedažākos piekļuves veidus un rīkus. Un mēs visi it kā zinām, ka tā ir drošāk, ērtāk, ātrāk. Un ir tikai loģiski, ka tādēļ tērēt valsts nodokļu maksātāju naudu IT un telekomunikācijām ir pareizi, nozīmīgi, nepieciešami. Un to, starp citu, Latvijas valsts un IT un Telekomunikāciju nozares saprot un nepārtraukti veido jaunus projektus, plāno un pārplāno esošo infrastruktūru, cilvēkresursus, uztur, papildina sistēmas un strādā daudzu garu gadu garumā ierastajā, nevainojamā darba ritmā. 2
Un tas ir labi, pareizi un noteikti varētu turpināties bez šī raksta, ja vienu dienu, pēkšņi, nevienam līdz šim nepazīstams hakeris Neo („kibernoziedznieks” jeb, autoram labpatiktos teikt, Latvijas „kiberlabvēlis”) nepaziņotu, ka ir nopludinājis datus no Valsts Ieņēmumu Dienesta Elektroniskās deklarēšanās sistēmas. Vislabāk notikumu hronoloģiju un attīstību raksturojusi Anda Rožukalne savā publikācija portālā „Politika.lv”.3 Vairākus miljonus ierakstu par visiem cilvēkiem, kuriem likums noteica deklarēties par pēdējo gadu ienākumiem. No vienas no kritiskākajām informācijas sistēmām valstī! Un vai valstī notiek kiberdrošības revolūcija, kuras rezultātā mēs rīkojamies kā ikviena pasaules valsts krīzes iespaidā – samazinām visus budžetus, bet IT drošības budžetus tieši otrādi – palielinām? Nē. Saeima premjerministram Dombrovskim pieprasa skaidrot situāciju4, un viņš pats arī aicina atbildīgajām institūcijām pastiprināti pētīt kiberdrošības jautājumu, Aizsardzības ministrs pieprasa lielu IT drošības auditu, tiek izveidota kiberdrošības padome5, notiek vairākas publiskas un slēgtas debates par šo jautājumu aktualitāti6, mēs pat it kā desmitkāršojam mūsu Datoru Drošības Incidentu Reaģēšanas Vienības budžetu (no 50K uz 500K, bet kas tas ir uz problēmas nopietnības fona..?).7 It kā jau aktivitātes notiek, masu informācijas līdzekļi ziņo par katru soli, kas tiek darīts „nākotnes un valsts labā”, bet tikmēr Neo kā sācis, tā turpina mūs pārsteigt ar noplūdinātajiem datiem, līdz paziņo, ka līdz vēlēšanām „aiziet pagrīdē”. Un, lai kā mēģinātu, neviens Neo nevar noķert. Valsts Policija izsaka humora pilnas hipotēzes par Neo vecumu, izskatu, atrašanās vietu utt., par ko dažādos blogos un forumos cilvēki ne pa jokam uzjautrinās, bet Neo ir drošībā, pazudis un nenotverts.
Nozīmīgi, ka par padarīto Neo atzinās pats – viņam bija svarīgi, lai valsts iedzīvotāji redz, ka valsts sektors tikai formāli ir veicis samazinājumus izdevumos kā solidāru rīcību tam, kā valsts rīkojas ar saviem iedzīvotājiem, turklāt to ir izjutuši zemākā ranga valsts sektora darbinieki, nevis „augstie rangi”. Un, ja godīgi, tad raksta autoram ir patiess prieks, ka Neo ir drošībā un nenoķerts. Bet cik daudzus kiberdrošības incidentus mēs nemaz nepamanām? Vai ir dzirdēts par Čili Picas datu noplūdi, kuras izmeklēšanu Datu valsts inspekcija steidz pabeigt 4 mēnešu laikā?8 Cesijas līgumu noplūde no Hipotēku un Zemes Bankas,9 par kuru ziņoja „Nekā Personīga”, vai aizdomas par datu noplūdi no Norvik Bankas, kuras tika publicētas lielākajos ziņu portālos, bet kuru pati banka noliedz? Bija vai nebija? Un kā to pierādīt, ja domājam, ka bija? Un cik daudz incidentus mēs nezinām, jo mūsu valstī par šādiem incidentiem jāziņo ir tikai valsts sektoram, bet privātais diez vai riskēs ar tirgus daļas zaudēšanu, kas varētu rasties no godprātīgas datu noplūdes atzīšanas? Par ko tas liecina? Par to, ka mūsu valsts ir vāja pret kibernoziedzniekiem, neizprot problēmas aktualitāti, rīkojas nesteidzīgi un nemācās no kaimiņvalstīm.
Igaunija 2007.gadā piedzīvoja pirmo pasaulē reģistrēto kiberkaru, kad hakeri no Krievijas, kontekstā ar bēdīgi slaveno notikumu ar kādu Krievijai ļoti tīkamu pieminekli „Ļošu”, ar milzīgu jaudu un intensitāti izveda no ierindas Igaunijas valsts informācijas sistēmas, bankas, mēdijus, paralizēja visas valsts darbību. Incidenta rezultātā Igaunija izveidoja Kiberdrošības stratēģiju, šodien Igaunijā darbojas NATO kiberdrošības centrs, kur strādā arī pārstāvji no Latvijas, bet pati Latvija ne tikai nav gatava novērst kiberkarus, tādus kādi ir bijuši Igaunijā un Lietuvā10, bet tā nav arī spējīga nodrošinās savas valsts pilsoņu un iedzīvotāju personas datu aizsardzību, tiesības uz konfidencialitāti, tiesības uz drošu interneta un interneta pakalpojumu izmantošanu. Precizēšu, lai nebūtu pārpratumu – IT speciālisti Latvijā ir kvalitatīvi, augsti novērtēti speciālisti Eiropas un pasaules IT tirgū, un dara tie savu darbu labi un apzinīgi, vienīgi – atbilstoši budžeta realitātei. Bet budžeta realitāte ir jocīga – mēs gribam ieguldīt milzīgus līdzekļus infrastruktūrā, būvēt pilis, zemās grīdas tramvajus, reklamēties par miljoniem visā pasaulē, maksāt ierēdņiem algas, kas pielīdzināmas ASV Federālās bankas vadītāja atalgojumam, aktīvi karot Afganistānā un Irākā, bet saprast, ka iedzīvotāju, uzņēmēju un valsts sektora kiberdrošība, datu drošības nodrošināšana ir prioritāte – to mēs negribam, nevaram, nemākam. Lai cik tas skumji nebūtu, nemaz īpaši nedramatizējot, iepriekšminētais liek domāt, ka mūsu valsts nav spējīga nodrošināt ilgtspējīgu attīstību, jo 21.gadsimtā, kurā galvenā valūta ir informācija, mūsu politiķi ir novecojuši, nespēj dzīvot līdzi laikam, neizprot problēmu un tālab arī to nerisina. Jo nav iespējams tik svarīgu jautājumu risināt bez politiskās gribas, bez kuras problēma tiek lielāko incidentu atklāta, par to var runāt, censties teoretizēt, veidot dokumentu kaudzes, bet problēma no tā neatrisināsies. Starp citu atbildīgie VID darbinieki principā netika sodīti11, bet VID vispār incidentu neuztvēra kā kibernoziegumu12.
Ir vairākas lietas, ko tikai daži no mūsu politiķiem ir sapratuši un par to runājuši publiski, kā arī dažādos slēgtos pasākumos, kamēr citi steidz samazināt budžetu visās nozarēs, visās jomās proporcionāli, nevis pēc būtības. Jo nav jau jēgas no ekonomikas stratēģijām, diskusijām par finanšu līdzekļu sadali, no īstermiņa un ilgtermiņa taktiku un stratēģiju būvēšanas, ja mēs nespējam nosargāt informāciju, izplānotās rīcības. Mūsu konkurenti gan valsts, gan korporatīvajā līmenī sen jau ir informēti par mūsu plāniem, ir sagatavojušies un mēs strādājam citu valstu, citu uzņēmumu labā, jo kiberdrošības stratēģijas mums nav, naudu datu drošībai mēs griežam līdzvērtīgi proporcionāli citām izmaksu pozīcijām un noteikt datu noplūdes, īpaši „augstākajā līmenī”, ir grūti, ja ne neiespējami, jo neviens to negrib vai nesaprot, ka ir jāgrib.
Kas tad ir tas, ko mūsu politiķi nesaprot, kas tad ir tas, kas paslīdējis mūsu politiķiem secen?
1. Kibernoziedznieki ir ļoti grūti notverami, to aktivitātes pat var palikt nepamanītas ilgu laiku. Tie spēj darboties no tūkstošiem kilometru attālumiem, izdarīt mērķtiecīgas darbības (konkurentu algoti, izlūkdienestu vai teroristu pārvaldīti, finansiāli motivēti) un būt tik labi organizēti, ka īsā laika posmā izvest no darbības visas valsts komunikāciju sistēmas, bankas, mēdijus, valsts sistēmas13 – paralizēt valsti, kā tas notika Igaunijā vai Gruzijā. Pasaulē ļoti aktīvi darbojas dažādi interneta veikali, kur tiek tirgoti maksājumu karšu dati, vai dažādu operētājsistēmu, datu bāzu, programmu ievainojamības un to noskanēšanas. Nozīmīgu ļaunumu nereti paveic arī paši darbinieki – vai nu aiz nezināšanas, vai nu apzināti kaitējot organizācijai – krīzes vadīti, atriebjoties par samazināto atalgojumu utt. No kibernoziedzniekiem ir cietuši ne tikai cilvēki Latvijā, kuri sev par brīnumu pēkšņi paman/a, ka no konta pazudusi nauda, bet arī tādi politiķi kā Francijas prezidents Nikolā Sarkozī14, Anglijas premjers Gordons Brauns un viņa MI515 un citi, nemaz nerunājot par tik „elementārām” kaitnieciskām darbībām kā mājas lapu uzlaušana un reputācijas graušana.
2. Jebkura datu noplūde var tikt finansiāli novērtēta. Visā pasaulē jau ir dažādas iestādes, kas veic katras datu noplūdes novērtējumu, un, ja piemēram, LV VID EDS datu noplūdi ir grūti novērtēt, tad ASV, Lielbritānijā, Vācijā un citur ikviens datu noplūdes fakts ir izteiks naudas vērtībā. ASV, piemēram, viena datu noplūde 2010.gadā privātā sektora uzņēmumā sastāda ap 204USD par ierakstu.16
3. Kiberterorisms attīstās milzīgā ātrumā, datu noplūdēm ir izveidoti veseli portāli, kas apkopo informāciju par pēdējiem incidentiem. ASV, Austrālija, Ķīna, NATO, ES, un pat Krievija ir pirms neilga laika izveidojuši savus kiberdrošības centrus, lai pasargātu savus iedzīvotājus no kibernoziedzniekiem. Jo ir neskaitāmi kibernoziedzības paveidi – sākot ar sociālo inženieriju (tā saucamo datu izdibināšanu, nelietojot tehnoloģijas – bet atrodot to miskastes maisā, ofisā, piezvanot pa telefonu un izliekoties par citu cilvēku utt.), beidzot ar identitātes zādzībām, viltus mājas lapām, spama vēstulēm, vīrusiem, perimetra uzlaušanu, spiegu programmām, tiešo ielaušanos, fizisko ielaušanos, sistēmu izvešanu no kārtības, datu pārķeršanu utt.) Datu noplūdes tiek identificētas katru dienu, katru stundu, piem. http://datalossdb.org/ var pasekot līdzi Twitterī.
Un, kas tad ir tie dati, kurus mums visiem vajag uzticēt valstij vai privātam komersantam, un, kā sanāk, baidīties par to, ka esam to izdarījuši, jo kāds šos datus var no trešajām pusēm nozagt un pret mums pašiem izmantot? LR Datu valsts inspekcija un likums par personas datu aizsardzību to definē un uzskaita – vārds, uzvārds, personas kods, tālruņa numuri, finanšu informācija (atceramies VID gadījumu) un, ļoti interesanta definīcija, „pārējā informācija, kas ļauj atpazīt personu.” Ir arī sensitīvie dati kā, piemēram, veselības stāvoklis (vai mūsu slimnīcas spēj, piemēram, nosargāt datus no dzeltenās preses?), ziņas par politisko, reliģisko piederību un seksuālo dzīvi un citām lietām.17
Tātad – ikreiz, kad esam ievadījuši šos datus, iedevuši trešajai pusei, pastāv datu noplūdes risks un risks, ka kāds cits varēs identificēties mūsu vietā, jo varbūt, ka dati noplūdīs no kādas iestādes, kurai varbūt nav jaunākie datu drošības risinājumi, jo varbūt nav naudas tos iegādāties, jo varbūt, ka politiķi vai iestāžu vadītāji budžetu ir samazinājuši pēc tikai sev zināmiem kritērijiem, vai varbūt dati noplūdīs no tās iestādes, kur nedz IT vadītājs, nedz izvēlētais drošības pārvaldnieks ne tikai nesaprot angļu valodu, bet pēdējo reizi ir atjaunojis zināšanas pirms gadiem 30, kad beidza augstskolu un varbūt iepērk risinājumus no draugiem vai radiem mazpazīstamās IT firmās, nevis veic detalizētu tirgus izpēti, vai, ja varbūt esam iepirkušies internetā pie jebkura privāta komersanta, kura vienīgā atbildība par potenciālo datu noplūdi ir reputācija un biznesa ilgtspēja, jo, atsaucoties Datu valsts inspekcijas norādēm – „Dati ir jāapstrādā godprātīgi, likumīgi un precīzi, bet dati ir jāuzglabā ne ilgāk kā nepieciešams mērķa sasniegšanai.” 18
Ja datu drošība neuztrauc privātpersonu, jo „kas tad man, ko zagt”, tad biznesam noteikti būtu pastiprināti tos jāuzmana, jo biznesam tādi jēdzieni kā reputācija, konkurētspēja, izaugsme, peļņa ir kritiski. Un, ja uzņēmuma darbs ir saistīts ar ārējiem tirgiem, tad vēl jo vairāk ir jāsaprot, ka, ja dati par sadarbības partneri noplūdīs, sadarbība būs vējā. Pat, ja informācija par vietējo „mazo pircēju” netiek sargāta pret kibernoziedzniekiem, jo valstij prasības pret komercsektoru ir tikai vispārējas, par incidentiem jāziņo nav obligāti, turklāt valda uzskats, ka „kurš tad man uzbruks?”…
Var jau būt, ka pie mums ir jāpaiet vēl pāris gadiem, līdz brīdim, kad mūsu valsts iedzīvotāji un uzņēmēji spēs arvien stingrāk pieprasīt savu tiesību ievērošanu, adekvātu atdevi samaksātajiem nodokļiem no valsts sektora darbības – gan pašiem sniedzot pakalpojumus, gan pārvaldot, nodrošinot jebkuras nozares konkurētspējīgu, godīgu attīstību. Tomēr šodien, kad tehnoloģijas ļoti strauji attīstās, dodot arvien plašākas iespējas arī kibertelpas ļaundariem, ir jāsaprot, ka nav vairs iespējams nosargāt savus datus, sava uzņēmuma IT sistēmas no mērķtiecīgām, ļaunprātīgām, teroristiskām vai huligāniskām rīcībām ar tiem pašiem aizsardzības rīkiem, ko mēs jau pazīstam gadiem ilgi – antivīrusiem, ugunsmūriem, ielaušanās noteikšanas sistēmām utt., bet gan arvien vairāk un plašāk jāpārņem pasaules prakse, inovācijas datu drošībā – tehnoloģijās, risinājumos, jo tikai tas ir veids kā spēsim attīstīties līdzi visai pārējai pasaulei. Un, lai tas notiktu, manuprāt, ir nepieciešams politiskais un augstākās vadības impulss – problēmas izpratne, politiskā griba, savstarpēja pat konkurējošo daudzos jautājumos politisko spēku vienošanās, nozares ekspertu iesaistīšana, citu valstu prakses pārņemšana. Lai atbalstītu NetSafe projekta vadītājus, lai atbalstītu IT speciālistus CERTā, DDIRV, ministrijās, privātajā sektorā. Lai Latvija reiz būtu gatava un jau savlaicīgi izvairītos no slavenās ASV valdības līdzfinansētās propagandas filmas „Cietais rieksts 4” līdzīga hakeru radīta valsts vispārēja haosa scenārija. Ar filmas veidošanu ASV valdība, Brūsa Villisa izskatā, centās ikvienam tās iedzīvotājam pateikt saprotamā veidā, ka kibernoziedzniekiem šodien ir tehnoloģiskas iespējas, zināšanas un vara izraisīt milzīgas avārijas, katastrofas enerģijas, transporta, pakalpojumu, finanšu un jebkurā citā jomā, ja jautājums netiek uztverts kā valsts attīstībai kritiski svarīgs. Tādā veidā ASV sagatavoja savus iedzīvotājus paredzētajiem izdevumiem nacionālā kiberdrošības centra izveidei, kuru atklāja pats ASV prezidents ar vārdiem, ar kuriem ir iesākts šis raksts. Varbūt, lai pievērstu šim jautājumam vajadzīgo uzmanību, Latvijai vajadzētu vismaz sākt ar kādu asa sižeta mākslas filmu, par hakeriem un to apdraudējumu Latvijai, mūsu labāko režisoru realizētu, ar mūsu labākajiem aktieriem un Raimonda Paula vai Imanta Kalniņa mūziku, bet tikmēr mūsu pilsoņi pārvāktos uz Vāciju, Lielbritāniju un citām ES vai pasaules valstīm, kur būtu mazāks apdraudējums viņu personas, finansu un konfidenciālajiem datiem?
Ar cieņu,
Andris Soroka