Prakse Eiropas tīklu un informācijas drošības aģentūrā
Prakse ENISA
...jauns
datorvīruss nodara ievērojamus zaudējumus uzņēmumam...
..komunikāciju
tīkli un informācijas sistēmas ir vieni no
nozīmīgākajiem elementiem ekonomikas un sabiedrības attīstībai.
Digitālajai ekonomikai droši tīkli ir tikpat nozīmīgi
kā elektrības vai ūdens piegāde. Sabiedrībā
pieaug rūpes par komunikāciju tīklu un informācijas
sistēmu un komunikāciju tīklu drošību, jo draudi
šīm sarežģītajām sistēmām rodas no
kļūdām, nelaimes gadījumiem, pat fiziskiem uzbrukumiem
iekārtām...
Šodien
aktivizējas datorvīruss...
Eiropas informācijas
sabiedrības nākotne - apdraudēta?
Drošības
incidentu skaits nemitīgi pieaug, radot gan finansiālus
zaudējumus, gan lietotāju neuzticību. Taču informācijas
sabiedrība jau kļuvusi par neatņemamu ikdienas
sastāvdaļu. Drošības tehnoloģijas, drošības
procedūras, informācijas kampaņas un izpētes projektus veic
dažādas institūcijas, sākot no Eiropas Savienības
iestādēm un beidzot ar individuāliem pētniekiem, taču
pakalpojumu dažādība, tīklu neviendabība un
milzīgais dalībnieku skaits apdraud iekšējā tirgus
vienmērīgu funkcionēšanu...
Šādus
un līdzīgus nozares vadošo speciālistu izteikumus bieži
var atrast dažādos ar informācijas sistēmu un elektronisko
sakaru tīklu drošību saistītos informācijas avotos.
Lai gan šī joma šobrīd nav tieši saistīta ar
maniem pašreizējiem darba pienākumiem, tomēr kā viens
no informācijas sabiedrības dalībniekiem labprāt pētu nozares
jaunumus. Tāpēc, kad pērnā gada oktobrī ENISA mājaslapā
http://www.enisa.europa.eu atradu
sludinājumu par prakses vietu Eiropas tīklu un informācijas
drošības aģentūrā (ENISA - European Network and
Information Security Agency), izlēmu pieteikties konkursā. Pēc
kāda laika saņēmu ielūgumu doties uz Krētas salu, kur atrodas ENISA centrālais birojs. Lai arī Eiropas Savienības
institūcijās praktikantu uzņemšana ir ierasta un labi
sakārtota sistēma, ENISA birojā biju pirmais praktikants,
tādēļ bija interesanti arī daļēji
piedalīties šī procesa sākumposmā un praktiskā
iedibināšanā.
Kas
slēpjas zem segvārda ENISA?
Varētu
teikt paši labākie nodomi. Aģentūra ENISA tika
radīta, lai apkopotu un izplatītu labāko pieredzi tīklu un
informācijas drošības jomā, kā arī lai uzlabotu
tīklu drošības kultūru Eiropas Savienības
dalībvalstīs. Šobrīd ES risina informācijas sabiedrības
drošības jautājumus trijos virzienos:
·
specifiski
tīkla un informācijas drošības pasākumi;
·
elektronisko
sakaru regulēšanas ietvars, īpaši Direktīva par datu
aizsardzību elektroniskajos sakaros (2002/58/EC);
·
cīņa
pret kibernoziegumiem.
Eiropas
mērogā notiek arī dažādas pētniecības un sabiedrības
informēšanas programmas, kā arī starptautiski forumi un
semināri, kas veltīti šiem jautājumiem. Piemēram, 7.
ietvara programma (The 7th Framework Programme)
paredz Eiropas drošības izpētes programmu (European Security
Research Programme), sabiedrība tiek informēta ar programmas Par
drošāku internetu palīdzību.
Pārskatot
Eiropas valstu regulatoru funkcijas, var redzēt, ka daļa no tiem
vairāk vai mazāk nodarbojas ar drošības jautājumiem.
Piemēram, Somijā un Lietuvā regulators ir iesaistīts Ātrās
palīdzības datoriem (CERT Computer Emergency Response
Team) izveidē un uzturēšanā. Vācijā,
Zviedrijā, Norvēģijā, Austrijā, Grieķijā
regulators pārrauga e-paraksta ieviešanu. Lietuvas regulators
organizē arī plašas sabiedrības informēšanas kampaņas,
sadarbojoties ar ENISA.
ENISA
apraksta savus uzdevumus šādi:
- palīdzība
un ieteikumi Eiropas Komisijai un dalībvalstīm informācijas
drošībā, kā arī sarunās ar nozares
uzņēmumiem, lai risinātu dažādas ar
drošību saistītas problēmas tehnikas un programmatūras
produktos;
- datu
apkopošana un analīze par drošības incidentiem
Eiropā;
- informācijas
drošības draudu riska novērtējuma metožu
popularizēšana;
- dažādu
informācijas un elektronisko sakaru tīklu drošības
jomas spēlētāju sadarbības veicināšana.
Kā
vēlāk pārliecinājos praksē, tas nozīmē, ka aģentūras
ikdienas darbi saistīti ar dažādu semināru
rīkošanu, kontaktu tīkla uzturēšanu, ziņojumu publicēšanu tīklu un informācijas drošības jautājumos.
ENISA plāno turpmāk regulāri izsludināt līdzīgas prakses vietas, kas
ļautu jauniem speciālistiem iepazīties ar aģentūras
darbu un situāciju Eiropas Savienībā informācijas
sistēmu un elektronisko sakaru tīklu drošībā.
Trīs mēnešu laikā, ko pavadīju ENISA
kolektīvā, guvu priekšstatu gan par vienu, gan par otru. Bet nu par
visu pēc kārtas.
Prakses
vieta - ENISA
Mans darba
uzdevums bija sākt strādāt ar datorprogrammu, kas paredzēta
informācijas sistēmu un elektronisko sakaru tīklu drošības
politikas dokumentu veidošanai maziem un vidējiem
uzņēmumiem. Drošības politika šajā
gadījumā jāsaprot kā dokumentu kopums, kas apraksta
organizācijas filozofiju, stratēģiju un praksi jautājumos,
kas saistīti ar informācijas sistēmu drošību,
integritāti un pieejamību. Tātad, pirmkārt, drošības
politikas mērķis ir nodrošināt, lai informācijai varētu
piekļūt tikai konkrētā uzņēmuma darbinieki,
kuriem tas ir atļauts. Otrkārt, gādāt, lai informācija
netiktu patvaļīgi vai ļaunprātīgi mainīta vai pat
iznīcināta, bet vienlaikus nodrošinot organizācijas
sekmīgu darbību un paredzot, ka drošības pasākumi neapgrūtina
piekļūšanu nepieciešamajiem resursiem.
Ideja par drošības
politikas darbarīku (security policy tool) ir balstīta uz
apsvērumu, ka ir daudz informācijas par drošības
jautājumiem, taču praktiski tā nav piemērota
tūlītējai izmantošanai. Ir skaidrs, ka maziem un
vidējiem uzņēmumiem nav tādu administratīvo resursu, lai
izstrādātu savu drošības politiku. ENISA mērķis
ir piedāvāt minimālo dokumentu kopumu, kas aprakstītu
vienkāršas lietas, kuras ievērojot, varētu izvairīties
no nepatīkamiem starpgadījumiem, piemēram, lai izvairītos
no mēstuļu kaudzēm uzņēmuma elektroniskajā
pastkastītē.
Apkopo
Eiropas labāko pieredzi
Prakses
gaitā tika uzdots gan analizēt ENISA jau sakrāto
informāciju, gan meklēt jaunus materiālus, tāpēc
atlasīju t. s. labāko Eiropas pieredzi dokumentus un to daļas,
kas vislabāk atbilstu izvirzītajam mērķim. Tomēr trīs
mēnešu prakses laikā darbu tikai sāku. Līdz gala rezultātam,
ko varētu izmantot arī Latvijas mazo un vidējo uzņēmumu
vadītāji, vēl kāds laiciņš jāpagaida. Iespējams,
jau nākamgad šis darbarīks būs publiski pieejams ENISA
mājaslapā.
Iepazīstināšu
Sakaru Pasaules lasītājus ar dažiem pamatprincipiem, kas
būtu jāievēro, rakstot sava uzņēmuma
drošības politiku:
· jādefinē uzņēmuma
mērķi un darbības sfēra;
· jāpalīdz
uzņēmuma darbiniekiem skaidri saprast, kas tiem jādara un ko tie
nedrīkst darīt;
· jānosaka
atbildība par stratēģijas neievērošanu;
· jānosaka
atbildīgie par informācijas un tīklu drošību un to
pienākumi;
· dokuments
regulāri jāpārskata un jāatjaunina;
· jāparedz
arī resursi uzņēmuma drošības uzturēšanai,
jo drošības jautājumi nav tikai IT administratora
atbildība.
Parasti
šāds drošības dokuments nosedz fizisko drošību,
tīkla drošību, pieejas kontroli, autentifikāciju, auditu,
programmatūras drošību utt.
Jāatzīst,
ka prakses sākumā šie jautājumi man šķita gana
sarežģīti, taču laika gaitā pārliecinājos,
ka iespējams panākt labus rezultātus ar ļoti
vienkāršām metodēm. Galvenais ir atlasīt
vajadzīgo informāciju milzīgajā informācijas
plūsmā. Uzskatu, ka tur ENISA noteikti var palīdzēt.
Jāteic,
ka darbs tika plānots tā, ka man palika laiks piedalīties
arī citās ENISA aktivitātēs. Piemēram, bija
iespēja apmeklēt Krētas Tehniskās universitātes
zinātniski pētniecisko centru STEP-C (Science and Technology Park
of Crete), kas īsteno arī starptautiskus pētniecības
projektus. Izmantoju iespēju apmeklēt lekcijas par
dažādām elektronisko sakaru un informācijas tehnoloģiju
tēmām. ENISA atrodas šī centra teritorijā,
tādēļ arī pusdienoju universitātes
ēdnīcā, kas, starp citu, bija ne tikai lēti, bet arī garšīgi.
Tā
kā ENISA kolektīvā ir pārstāvētas gandrīz
visas ES dalībvalstis, pieredze sastrādāties ar dažādu
tautību cilvēkiem ir interesanta un vērtīga (strādāju
vienā kabinetā ar francūzi, vācieti un angli, kas ilgi nodzīvojis
Itālijā). Ar laiku sāku atpazīt dažādu
tautību darba stilu, piemēram, itāļu aizrautību,
vāciešu kārtīgumu vairumā gadījumu (bet ne
vienmēr) priekšstati par cittautu mentalitāti
izrādījās pareizi. ENISA rīko arī dažādus
pasākumus, kas veicinātu šo daudzkultūru sadarbību piedalījos
seminārā par darba stilu multinacionālā kolektīvā,
valodu kursos. Katru nedēļu tika rīkotas prezentācijas par kādu no ENISA kompetences tēmām, centos nevienu no
tām neizlaist, lai iegūtu pēc iespējas vairāk
informācijas.
Dažādu
apstākļu sakritības dēļ par ENISA mītnes vietu
tika izvēlēta Krēta. Šādai izvēlei
nepašaubāmi ir viens liels trūkums attālums un
ceļošanas grūtības, tādēļ bieži ir apgrūtināta
ekspertu viesošanās ENISA vai arī tās darbinieku
braukšana komandējumos. Taču ir arī priekšrocības,
piemēram, peldēšanas sezona ilgst gandrīz visu gadu,
saulaino dienu skaits dažos rajonos pārsniedz 340 gadā. Un,
protams, kalni. Prakse iekrita ārpus aktīvās tūrisma sezonas
no novembra līdz janvārim, kad Krētā ir ziema. Tiesa, tas
netraucēja peldēties un dažas dienas pat sauļoties. Ziemas
periodā salā novāc arī olīvu ražu
izskatījās, ka līdzīgi kā Latvijā kartupeļu
talkās arī Krētā nedēļas nogalēs visi
radinieki sabrauc uz olīvu vākšanas talku. Bija interesanti
apskatīt tipisku tūristu salu ārpus sezonas.
No
Krētas atvedu informāciju 3 GB apjomā, jauku un
profesionālu cilvēku vizītkartes, kā arī pieredzi, ko paredzu
izmantot turpmākajās darba gaitās.
Edgars
TAURIŅŠ
...jauns datorvīruss nodara ievērojamus zaudējumus uzņēmumam...
..komunikāciju tīkli un informācijas sistēmas ir vieni no nozīmīgākajiem elementiem ekonomikas un sabiedrības attīstībai. Digitālajai ekonomikai droši tīkli ir tikpat nozīmīgi kā elektrības vai ūdens piegāde. Sabiedrībā pieaug rūpes par komunikāciju tīklu un informācijas sistēmu un komunikāciju tīklu drošību, jo draudi šīm sarežģītajām sistēmām rodas no kļūdām, nelaimes gadījumiem, pat fiziskiem uzbrukumiem iekārtām...
Šodien aktivizējas datorvīruss...
Eiropas informācijas sabiedrības nākotne - apdraudēta?
Drošības incidentu skaits nemitīgi pieaug, radot gan finansiālus zaudējumus, gan lietotāju neuzticību. Taču informācijas sabiedrība jau kļuvusi par neatņemamu ikdienas sastāvdaļu. Drošības tehnoloģijas, drošības procedūras, informācijas kampaņas un izpētes projektus veic dažādas institūcijas, sākot no Eiropas Savienības iestādēm un beidzot ar individuāliem pētniekiem, taču pakalpojumu dažādība, tīklu neviendabība un milzīgais dalībnieku skaits apdraud iekšējā tirgus vienmērīgu funkcionēšanu...
Šādus un līdzīgus nozares vadošo speciālistu izteikumus bieži var atrast dažādos ar informācijas sistēmu un elektronisko sakaru tīklu drošību saistītos informācijas avotos. Lai gan šī joma šobrīd nav tieši saistīta ar maniem pašreizējiem darba pienākumiem, tomēr kā viens no informācijas sabiedrības dalībniekiem labprāt pētu nozares jaunumus. Tāpēc, kad pērnā gada oktobrī ENISA mājaslapā http://www.enisa.europa.eu atradu sludinājumu par prakses vietu Eiropas tīklu un informācijas drošības aģentūrā (ENISA - European Network and Information Security Agency), izlēmu pieteikties konkursā. Pēc kāda laika saņēmu ielūgumu doties uz Krētas salu, kur atrodas ENISA centrālais birojs. Lai arī Eiropas Savienības institūcijās praktikantu uzņemšana ir ierasta un labi sakārtota sistēma, ENISA birojā biju pirmais praktikants, tādēļ bija interesanti arī daļēji piedalīties šī procesa sākumposmā un praktiskā iedibināšanā.
Kas slēpjas zem segvārda ENISA?
Varētu teikt paši labākie nodomi. Aģentūra ENISA tika radīta, lai apkopotu un izplatītu labāko pieredzi tīklu un informācijas drošības jomā, kā arī lai uzlabotu tīklu drošības kultūru Eiropas Savienības dalībvalstīs. Šobrīd ES risina informācijas sabiedrības drošības jautājumus trijos virzienos:
· specifiski tīkla un informācijas drošības pasākumi;
· elektronisko sakaru regulēšanas ietvars, īpaši Direktīva par datu aizsardzību elektroniskajos sakaros (2002/58/EC);
· cīņa pret kibernoziegumiem.
Eiropas mērogā notiek arī dažādas pētniecības un sabiedrības informēšanas programmas, kā arī starptautiski forumi un semināri, kas veltīti šiem jautājumiem. Piemēram, 7. ietvara programma (The 7th Framework Programme) paredz Eiropas drošības izpētes programmu (European Security Research Programme), sabiedrība tiek informēta ar programmas Par drošāku internetu palīdzību.
Pārskatot Eiropas valstu regulatoru funkcijas, var redzēt, ka daļa no tiem vairāk vai mazāk nodarbojas ar drošības jautājumiem. Piemēram, Somijā un Lietuvā regulators ir iesaistīts Ātrās palīdzības datoriem (CERT Computer Emergency Response Team) izveidē un uzturēšanā. Vācijā, Zviedrijā, Norvēģijā, Austrijā, Grieķijā regulators pārrauga e-paraksta ieviešanu. Lietuvas regulators organizē arī plašas sabiedrības informēšanas kampaņas, sadarbojoties ar ENISA.
ENISA apraksta savus uzdevumus šādi:
- palīdzība un ieteikumi Eiropas Komisijai un dalībvalstīm informācijas drošībā, kā arī sarunās ar nozares uzņēmumiem, lai risinātu dažādas ar drošību saistītas problēmas tehnikas un programmatūras produktos;
- datu apkopošana un analīze par drošības incidentiem Eiropā;
- informācijas drošības draudu riska novērtējuma metožu popularizēšana;
- dažādu informācijas un elektronisko sakaru tīklu drošības jomas spēlētāju sadarbības veicināšana.
Kā vēlāk pārliecinājos praksē, tas nozīmē, ka aģentūras ikdienas darbi saistīti ar dažādu semināru rīkošanu, kontaktu tīkla uzturēšanu, ziņojumu publicēšanu tīklu un informācijas drošības jautājumos.
ENISA plāno turpmāk regulāri izsludināt līdzīgas prakses vietas, kas ļautu jauniem speciālistiem iepazīties ar aģentūras darbu un situāciju Eiropas Savienībā informācijas sistēmu un elektronisko sakaru tīklu drošībā. Trīs mēnešu laikā, ko pavadīju ENISA kolektīvā, guvu priekšstatu gan par vienu, gan par otru. Bet nu par visu pēc kārtas.
Prakses vieta - ENISA
Mans darba uzdevums bija sākt strādāt ar datorprogrammu, kas paredzēta informācijas sistēmu un elektronisko sakaru tīklu drošības politikas dokumentu veidošanai maziem un vidējiem uzņēmumiem. Drošības politika šajā gadījumā jāsaprot kā dokumentu kopums, kas apraksta organizācijas filozofiju, stratēģiju un praksi jautājumos, kas saistīti ar informācijas sistēmu drošību, integritāti un pieejamību. Tātad, pirmkārt, drošības politikas mērķis ir nodrošināt, lai informācijai varētu piekļūt tikai konkrētā uzņēmuma darbinieki, kuriem tas ir atļauts. Otrkārt, gādāt, lai informācija netiktu patvaļīgi vai ļaunprātīgi mainīta vai pat iznīcināta, bet vienlaikus nodrošinot organizācijas sekmīgu darbību un paredzot, ka drošības pasākumi neapgrūtina piekļūšanu nepieciešamajiem resursiem.
Ideja par drošības politikas darbarīku (security policy tool) ir balstīta uz apsvērumu, ka ir daudz informācijas par drošības jautājumiem, taču praktiski tā nav piemērota tūlītējai izmantošanai. Ir skaidrs, ka maziem un vidējiem uzņēmumiem nav tādu administratīvo resursu, lai izstrādātu savu drošības politiku. ENISA mērķis ir piedāvāt minimālo dokumentu kopumu, kas aprakstītu vienkāršas lietas, kuras ievērojot, varētu izvairīties no nepatīkamiem starpgadījumiem, piemēram, lai izvairītos no mēstuļu kaudzēm uzņēmuma elektroniskajā pastkastītē.
Apkopo Eiropas labāko pieredzi
Prakses gaitā tika uzdots gan analizēt ENISA jau sakrāto informāciju, gan meklēt jaunus materiālus, tāpēc atlasīju t. s. labāko Eiropas pieredzi dokumentus un to daļas, kas vislabāk atbilstu izvirzītajam mērķim. Tomēr trīs mēnešu prakses laikā darbu tikai sāku. Līdz gala rezultātam, ko varētu izmantot arī Latvijas mazo un vidējo uzņēmumu vadītāji, vēl kāds laiciņš jāpagaida. Iespējams, jau nākamgad šis darbarīks būs publiski pieejams ENISA mājaslapā.
Iepazīstināšu Sakaru Pasaules lasītājus ar dažiem pamatprincipiem, kas būtu jāievēro, rakstot sava uzņēmuma drošības politiku:
· jādefinē uzņēmuma mērķi un darbības sfēra;
· jāpalīdz uzņēmuma darbiniekiem skaidri saprast, kas tiem jādara un ko tie nedrīkst darīt;
· jānosaka atbildība par stratēģijas neievērošanu;
· jānosaka atbildīgie par informācijas un tīklu drošību un to pienākumi;
· dokuments regulāri jāpārskata un jāatjaunina;
· jāparedz arī resursi uzņēmuma drošības uzturēšanai, jo drošības jautājumi nav tikai IT administratora atbildība.
Parasti šāds drošības dokuments nosedz fizisko drošību, tīkla drošību, pieejas kontroli, autentifikāciju, auditu, programmatūras drošību utt.
Jāatzīst, ka prakses sākumā šie jautājumi man šķita gana sarežģīti, taču laika gaitā pārliecinājos, ka iespējams panākt labus rezultātus ar ļoti vienkāršām metodēm. Galvenais ir atlasīt vajadzīgo informāciju milzīgajā informācijas plūsmā. Uzskatu, ka tur ENISA noteikti var palīdzēt.
Jāteic, ka darbs tika plānots tā, ka man palika laiks piedalīties arī citās ENISA aktivitātēs. Piemēram, bija iespēja apmeklēt Krētas Tehniskās universitātes zinātniski pētniecisko centru STEP-C (Science and Technology Park of Crete), kas īsteno arī starptautiskus pētniecības projektus. Izmantoju iespēju apmeklēt lekcijas par dažādām elektronisko sakaru un informācijas tehnoloģiju tēmām. ENISA atrodas šī centra teritorijā, tādēļ arī pusdienoju universitātes ēdnīcā, kas, starp citu, bija ne tikai lēti, bet arī garšīgi.
Tā kā ENISA kolektīvā ir pārstāvētas gandrīz visas ES dalībvalstis, pieredze sastrādāties ar dažādu tautību cilvēkiem ir interesanta un vērtīga (strādāju vienā kabinetā ar francūzi, vācieti un angli, kas ilgi nodzīvojis Itālijā). Ar laiku sāku atpazīt dažādu tautību darba stilu, piemēram, itāļu aizrautību, vāciešu kārtīgumu vairumā gadījumu (bet ne vienmēr) priekšstati par cittautu mentalitāti izrādījās pareizi. ENISA rīko arī dažādus pasākumus, kas veicinātu šo daudzkultūru sadarbību piedalījos seminārā par darba stilu multinacionālā kolektīvā, valodu kursos. Katru nedēļu tika rīkotas prezentācijas par kādu no ENISA kompetences tēmām, centos nevienu no tām neizlaist, lai iegūtu pēc iespējas vairāk informācijas.
Dažādu apstākļu sakritības dēļ par ENISA mītnes vietu tika izvēlēta Krēta. Šādai izvēlei nepašaubāmi ir viens liels trūkums attālums un ceļošanas grūtības, tādēļ bieži ir apgrūtināta ekspertu viesošanās ENISA vai arī tās darbinieku braukšana komandējumos. Taču ir arī priekšrocības, piemēram, peldēšanas sezona ilgst gandrīz visu gadu, saulaino dienu skaits dažos rajonos pārsniedz 340 gadā. Un, protams, kalni. Prakse iekrita ārpus aktīvās tūrisma sezonas no novembra līdz janvārim, kad Krētā ir ziema. Tiesa, tas netraucēja peldēties un dažas dienas pat sauļoties. Ziemas periodā salā novāc arī olīvu ražu izskatījās, ka līdzīgi kā Latvijā kartupeļu talkās arī Krētā nedēļas nogalēs visi radinieki sabrauc uz olīvu vākšanas talku. Bija interesanti apskatīt tipisku tūristu salu ārpus sezonas.
No Krētas atvedu informāciju 3 GB apjomā, jauku un profesionālu cilvēku vizītkartes, kā arī pieredzi, ko paredzu izmantot turpmākajās darba gaitās.
Edgars TAURIŅŠ