Oktobra beigās tika pieņemts „Informācijas tehnoloģiju drošības pārvaldības likums”, tādējādi sperot tik nepieciešamo soli uz priekšu valsts kiberdrošības lietu sakārtošanā, taču tajā pašā laikā likumā ir vairākas strīdīgas vietas, kas skar ne tikai valsts, bet arī privātpersonu intereses datu aizsardzības jomā.
Kopumā šī likuma pieņemšana viennozīmīgi ir vērtējama ļoti pozitīvi kā liels solis uz priekšu valsts kiberdrošības lietu sakārtošanā un parāda to, ka beidzot Latvijas valsts atzīst šos jautājumus par pietiekami aktuāliem un kritiskiem, lai radītu tiem atsevišķu, izdalītu normatīvo aktu bāzi.
Visticamāk, kā sava veida katalizators šāda likuma izstrādei kalpoja nesenie skaļie gadījumi, kuri uzskatāmi demonstrēja atsevišķu IT sistēmu trūkumus. Izrādījās, ka kiberdrošības jautājumi nav svarīgi tikai kaut kur ārpus mūsu valsts robežām, bet vēl jo vairāk – tiem var būt nozīme arī sabiedrības viedokļa veidošanā.
Līdz šim ar valsts infrastruktūru IT drošību saistīto normatīvo aktu normas bija ļoti fragmentāras un izkaisītas pa dažādiem likumiem un MK noteikumiem, vai arī tām bija tikai rekomendējošs raksturs – rezultātā datu drošības jautājumi bija atstāti pašu institūciju pārziņā. No attieksmes viedokļa, bija novērojama milzīga dispersija – blakus pietiekoši daudzām valsts iestādēm, kas pēc pašu iniciatīvas pret IT drošību izturējās ļoti nopietni un profesionāli, netrūka arī tādas (īpaši starp nelielajām struktūrām), kam IT drošības jautājumi šķita mazsvarīgi.
Likuma tapšanas gaitā vairāki šā likuma aspekti ir izraisījuši nozares pārstāvju diskusijas, īpaši – vai valsts vispār ir tiesīga iejaukties privātā sektora IT drošības lietās, pat ja tās skar visas sabiedrības intereses un vai valsts ar šī likuma normu attiecināšanu arī uz komersantiem un citām privāto tiesību juridiskajām personām nerada tām neadekvātu papildu administratīvo slogu?
Manā skatījumā ir vērts pievērst uzmanību sekojošiem aspektiem, vispirms tiem, kuriem nepieciešams vismaz papildu skaidrojums:
Kādas būs jaunizveidotās „Drošības incidentu novēršanas institūcijas” statuss, pilnvaras un kā izpaudīsies reālās darbības? Tieši šie likuma panti pieļauj situāciju, kurā valsts var pārāk dziļi iejaukties privātajā sfērā un veikt personīgās informācijas kontroli, piemēram, tas var skart mobilo telefonu lietotāju intereses. Lai arī tiek dotas darbības definīcijas, tās ir pārāk vispārīgas, piem., „5.1.2: sniedz atbalstu informācijas tehnoloģiju drošības incidenta novēršanā vai koordinē to novēršanu” – jautājums, kā šis atbalsts izpaužas konkrēti? Pilnvaras regulējošie punkti ir formulēti pārāk plaši un būtībā nenorāda likumīgo prasību robežas. 4.4 punkts vēsta, ka „Valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām ir pienākums sadarboties ar Drošības incidentu novēršanas institūciju, sniedzot tai nepieciešamo informāciju un pildot tās likumīgās prasības.” Savukārt 5.2.1 ir minēts ārkārtīgi plašs iespējamo pieprasīto datu apjoms, ko uzraugošā institūcija ir tiesīga pieprasīt un saņemt gan no privātpersonām, gan no iestādēm. Līdz ar to šeit es saskatu potenciālu personisko datu apdraudējumu.
Kāda būs darbinieku profesionalitāte, kas tiks iesaistīti institūcijas darbā? Uzraudzības tiesību deleģēšana Latvijas Universitātes aģentūrai “Latvijas Universitātes Matemātikas un informātikas institūts” no vienas puses ir ļoti loģisks solis. LU MII tiešām ir a) ļoti plaša pieredze, darbojoties sabiedriskā kārtā kā vienam no diviem CSIRT (Computer Security Incident Response Team), b) ir ļoti kompetenti speciālisti, c) tehniskais nodrošinājums. Taču zināmas bažas rada tas, ka līdz šim visa darbība ir bijusi virzīta vairāk akadēmiskā gultnē – statistikas uzkrāšana un analīze, sabiedrības un valsts iestāžu informēšana un apmācība. Ņemot vērā jaunās pilnvaras, ir nepieciešams ne tikai gudru tehnisko profesionāļu štats, kas spēj analizēt draudus un izstrādāt stratēģiju un sniegt konsultācijas. Pēc būtības ir jārada arī kas līdzīgs specvienību ātrās reaģēšanas komandām, kas operatīvi spētu strādāt ne tikai attālināti, bet arī izbraukumos utt. Šaubos, vai pašreizējie LU MII resursi spēj nodrošināt šādas „kiberpolicijas” funkcijas, taču jāgaida precizējošie normatīvie akti.
Cik liels būs Drošības incidentu novēršanas institūcijas darbu apjoms? Jo, tā kā likums nosaka, ka tas attiecas ne tikai uz valsts, bet arī uz privātiem subjektiem, tad var rasties ļoti interesanta situācija, ka visas privātās organizācijas sāks ziņot par saviem incidentiem. Īpaši tādēļ, ka „Drošības incidentu novēršanas institūcija nav tiesīga pieprasīt nekādu samaksu par darbībām, kas saistītas ar šajā likumā noteikto funkciju izpildi” (4.3). Tīri teorētiski ir iespējams, ka institūcijai nebūs iespēju atteikties no savu pienākumu pildīšanas un valsts resursi tiks noslogoti privāto problēmu risināšanai.
Kāds būs „Drošības incidentu novēršanas institūcijas” budžets un vai tas reāli spēs nodrošināt efektīvu darbību? Kā iespējamais cipars presē ir minēts 150 000 latu gadā. Jautājums, vai tas ir pietiekami – tiek radīta institūcija, kas pēc sava svarīguma un pilnvarām var tikt pielīdzināta kādai no Valsts policijas struktūrvienībām, taču budžets ir kā vidējam uzņēmumam. Ko par tādu naudu var izdarīt valstiskā līmenī? Runājot ar ārzemju kolēģiem, ir gadījies dzirdēt mazliet zobgalīgus izteikumus par Latvijas „one person CERT team”, bet toreiz runa tomēr bija par organizācijām vai struktūrvienībām ar drīzāk brīvprātīgu statusu. Tagad ar lepnumu tiek paziņots, ka budžets ir palielināts trīs reizes, taču runa ir par oficiālu struktūru ar plašiem uzdevumiem un pilnvarām.
Kas attiecas uz valsts un pašvaldību institūciju drošību (8.pants), pozitīvi jāvērtē tas, ka beidzot ir nodefinētas atbildīgās personas un noteikta obligāta šādas personas iecelšana. Taču nav formulēti kritēriji (izglītība, sertifikācija u.c.) kas izvirzīti šādam drošības pārvaldniekam. Diemžēl pašreizējajā ekonomiskajā situācijā valsts nespēj piesaistīt jaunus profesionāļus un lielā mērā zaudē jau esošos, tā kā personāla jautājums ir ļoti sāpīgs.
Šim likumam ir jābūt par pamatu nopietnai attieksmei un budžeta piešķiršanai IT drošības jautājumiem – cerams, ka iestāžu vadītājiem vairs neradīsies jautājumi, kādēļ tas vispār vajadzīgs, tā kā nekas nav noteikts normatīvos aktos vai labākajā gadījumā ir noteikts izplūdušā formā.
Diemžēl pagaidām nav sperts nākamais solis – nav noteiktas katras iestādes klasifikācija pēc riska pakāpes un nav precīzi nodefinēts, kādām aizsardzības sistēmām jābūt attiecīgā līmeņa iestādē. Pašlaik paliek tā pati pašplūsma – ir definēts, ka ir jābūt atbildīgajai personai, kas organizē institūcijas informācijas tehnoloģiju drošības pārvaldību, taču turpmākā tehniskā puse līdzekļu un stratēģijas izvēlē paliek vienīgi šīs personas vīzijas un kompetences ietvaros – diemžēl pieredze rāda, ka tās mēdz būt ļoti dažādas. Tāpēc uzmanības vērts ir 8.4 pants, kas nosaka, ka visām valsts vai pašvaldības institūcijām beidzot ir jāsagatavo kvalitatīvi IT drošības noteikumi.
Mūsu valsts vēl līdz galam neapzinās un neizmanto savu potenciālu, jo esošais interneta pārklājums, ātrums un informātikas „spēks” var pozitīvi ietekmēt Latvijas ilgtermiņa attīstības rādītājus. Tādēļ jo īpaši svarīgi ir jau laikus paredzēt riskus un šis likums ir viens no pirmajiem soļiem pareizajā virzienā.
Guntars Netenbergs
Panda Security Latvijas pārstāvniecības vadītājs