Vai kopā ar ENISA - drošāk?
Intervija ar ENISA vecāko ekspertu Timu Mertenu 13 322 zīmes
Eiropas
informācijas tīklu drošības aģentūra (Europe
Network Information Security Agency) ir vienīgā EK institūcija, kas
atbild par informācijas tīklu drošību, un tā jau otro gadu piedalās Rīgā
notiekošajā starptautiskajā forumā Baltic
IT&T, šogad arī oficiālās atbalstītājas statusā. Tomēr, kā SP
noskaidroja sarunās ar vairākiem foruma dalībniekiem, priekšstats par ENISA
darbības galvenajiem virzieniem daudziem joprojām ir samērā miglains. Tāpēc
lūdzām uz sarunu ENISA vecāko ekspertu Timu MERTENU.
ENISA ir salīdzinoši jauna Eiropas Komisijas
institūcija, tā darbojas tikai
trīs gadus. Turklāt, izlasot akronīma ENISA atšifrējumu, pirmais priekšstats,
kas gandrīz katram rodas par jūsu darbības mērķiem, ir tieši tāds, par ko liecina
šie termini. Proti, ka ENISA vajadzētu nodarboties ar tīkla drošības incidentu
izpēti un informācijas aizsardzību. Bet, kā jūs akcentējāt arī savā referātā,
tas ir tieši tas, ko ENISA nedara. Tāpēc, lūdzu, vēlreiz precizējiet, kas īsti
ir tas, ko šī aģentūra DARA.
ENISA uzdevums
tiešām nav pētīt tīmekļa drošības incidentus (tieši šī greizā priekšstata dēļ
man arī šajā forumā vairākkārt nācās skaidrot, ka ENISA nenodarbojas, piemēram,
ar tādām lietām kā pērn Igaunijā notikušie kiberuzbrukumi valdības un policijas
interneta resursiem, kuri izpaudās DDoS
(Distributed Denial of Service)
veidā. Šādas lietas ir pašu dalībvalstu institūciju, kā arī to komercstruktūru
pārziņā, kuras gādā par datortīklu aizsardzības risinājumiem.
Mēs neesam nedz
analītiķi, nedz tāda interneta drošības organizācija kā CERT (Computer Emergency
Response Team), nesniedzam pakalpojumus, mūsu rīcībā
nav zinātniskas laboratorijas, neesam arī drošības vērtēšanas institūcija. ENISA
drīzāk darbojas kā katalizators, aktuālu tīkla drošības jautājumu risinājumu
veicinātājs, padomdevējs un ekspertīzes centrs.
Savulaik
ENISA tika izveidota tāpēc, ka iepriekš nebija nevienas jumta institūcijas,
kura apkopotu, sakārtotu un sistematizētu datus un pozitīvās prakses piemērus
par informācijas tīklu drošību EK. Mūsu uzdevums ir arī palīdzība un ieteikumi
Eiropas Komisijai un dalībvalstīm par informācijas drošību, kā arī sarunas ar
nozares uzņēmumiem, lai risinātu dažādas ar drošību saistītas problēmas ierīču
un programmatūras produktos. Darbojamies arī kā oficiāli un uzticami
starpnieki, lai sapazīstinātu dažādu informācijas un elektronisko sakaru tīklu
drošības nozares spēlētājus un veicinātu to sadarbību.
Regulāri
četras reizes gadā pulcinām kopā lielākos ar informācijas tīklu drošību
saistītos spēlētājus, kuri pārstāv ražotājus, augstskolas un patērētājus, lai
apspriestu svarīgākos nozares jautājumus. Mums ir vairākas darba grupas, kuras
strādā ar specifiskām tēmām. Katrai ES dalībvalstij ir atbildīgās institūcijas
un vietējie pārstāvji, ar kuriem pastāvīgi sazināmies, katru dienu vai vismaz
katru nedēļu apmaināmies ar informāciju, uzzinām, kas jauns noticis, utt.
ENISA
pienākums ir būt par gudru padomdevēju Eiropas institūcijām (piemēram, Eiropas
Komisijai, regulatoriem) un dalībvalstīm par informācijas tīklu drošības
jautājumiem. Tādējādi spējam stimulēt labākās prakses, to skaitā arī CERT
organizāciju, pieredzes izmantošanu.
Gribētu izmantot izdevību un pajautāt, kā izjūtat šo
darbu Eiropas institūcijā savā ikdienā. Tiem, kas ar šādām lietām nav cieši
saistīti, darbs tajās šķiet, no vienas puses ļoti sarežģīts un īpaši atbildīgs,
no otras puses, daudziem neizprotams un pat mītisks. Daudzi uztver ES
institūcijas kā kaut ko parastiem cilvēkiem neaizsniedzamu, nepieejamu.
Esmu ļoti izbrīnīts, ka Eiropas
institūcijas jums šķiet tik ļoti neaizsniedzamas un ekskluzīvas. Piemēram,
ENISA ir pavisam neliela organizācija, kur strādā tikai 60 darbinieku un,
manuprāt, esam pietiekami atvērti tiem, kam vajadzīga mūsu palīdzība. Protams,
visiem potenciālajiem darbiniekiem jāiziet sarežģīta atlases procedūra, tā kā
darbu pie mums dabūt tiešām nav viegli, toties var droši teikt, ka ENISA strādā
ļoti augstas klases profesionāļi. Tomēr tā nav, ka tāpēc vien kļūtu
augstprātīgi vai lūkotos uz citiem it kā no debesskrāpja augstumiem. Esam gluži
normāli cilvēki, kuri labprāt vēlas komunicēt un sadarboties arī ar tiem, kuri
nestrādā EK institūcijās. Daudzi mūsu eksperti strādā pie tā, lai aktivizētu
dažādu tīkla informācijas drošības jautājumu izskatīšanu. Viņi liek lietā visu
savu vērtīgo pieredzi un konsultē arī dalībvalstu valsts institūcijas.
Tā kā ENISA
atrodas Krētas salā, ģeogrāfiski esam nedaudz izolēti no citām EK institūcijām.
Bet jums atliek tikai ienākt pa mūsu aģentūras durvīm, un jau esat Eiropas
Komisijā! Strādājam 40 stundu nedēļā tieši tā, kā to nosaka EK
administratīvie noteikumi, un tas tiek ļoti precīzi ievērots. Toties tad, kad
dodamies komandējumos ārpus aģentūras (kā tagad Rīgā) mums ir labas iespējas
kontaktēties un saņemt atgriezenisko saiti no cilvēkiem. Mēs daudz ceļojam, bet
arī daudz sazināmies elektroniski. Darba atmosfēra aģentūrā prasa ļoti lielu
atdevi.
Bet jūs taču enerģētiski uzlādē brīnišķīgi skaistā
Krētas vide, kurā dzīvojat un strādājat.
Dzīvoju 40 km no biroja, nepilnas stundas brauciena attālumā. Mana māja atrodas blakus kapsētai, tā kā tur ir
visai mierīgi, bet tikai tikmēr, kamēr nav sākusies tūrisma sezona. Otrā pusē
aktīvi atpūšas tūristi no maija līdz septembra vidum viņu tur sabrauc
tūkstošiem. Restorāni ir pārpildīti, kur vien skaties pilns ar jautriem un
skaļiem ceļotājiem. Tā kā, atzīšos, esmu laimīgs, kad septembrī viņi dodas
mājup, arī lidosta atgūst ikdienišķu darba ritmu (aktīvajā sezonā tur apgrozās
ap 2000 tūristu dienā), ir mierīgāk lidot komandējumos. Strādāju šajā aģentūrā jau
trīs gadus, kopš tās dibināšanas.
Interesanti, kāda izglītība ir vajadzīga, lai varētu
strādāt ENISA? Vai vēlama IT izglītība?
Nē, tas nav obligāti. Bet vispār tur
varētu strādāt arī kāds IT speciālists no Latvijas. Kāpēc ne! Lai kandidētu uz
šo vietu, vajag tikai pietiekami bieži apmeklēt ENISA tīmekļvietni, lai
nepalaistu garām brīdi, kad tiek izsludinātas vakances. Piemēram, ja ir
vajadzīgs kāds administrators, mums jārīko konkurss cilvēkiem ar attiecīgu
pieredzi. Bet reizēm mums vajadzīgi arī tehniskie eksperti, kuri strādā ar
drošības riska problēmām. Augstākā līmeņa vadītāju amata pretendentiem noteikti
vajadzīga solīda universitātes izglītība. Esmu studējis biznesa vadību, ENISA
nodarbojos ar horizontālo struktūru attiecībām, darbības un aktivitāšu
koordināciju ar ES institūcijām un dalībvalstīm. Manos pienākumos ietilpst arī
kontakti ar dažādām amatpersonām, arī to savstarpēja iepazīstināšana.
Ko tieši jūs koordinējat, tiekoties, piemēram, ar
kādas ES dalībvalsts Ministru kabineta locekļiem vai citu valsts institūciju
pārstāvjiem? Vai tās ir arī konsultācijas?
Šīs valsts amatpersonas apmeklē ENISA
izpilddirektors Andrea Piroti, es viņu pavadu un sagatavoju šīs vizītes. Mums
ir vadības padome, kurā ir pārstāvētas 27 ES dalībvalstis. Padomes locekļiem ir
pietiekami cieši kontakti ar attiecīgajiem ministriem, viņi zina, kas notiek
šajās ministrijās, informē par to un izsaka savu viedokli. ENISA funkcijās
neietilpst politizētas diskusijas, kas saistītas ar likumu un normatīvo aktu
izstrādi. Mūsu darbība ir piezemētāka, vairāk saistīta ar informācijas tīklu
drošības situāciju dalībvalstīs. Apmeklējam visas ES valstis, lai savām acīm
redzētu, kā viss notiek, lai izpētītu vietējos apstākļus, uzzinātu, kas katrai
valstij nepieciešams, kādu atbalstu varam sniegt.
Tātad ENISA ir institūcija, uz kuru var paļauties,
jums ir savākti labākās prakses piemēri, plaša informācija, ar kuru labprāt
dalāties ar tiem, kam tā nepieciešama.
Mūsu rīcībā ir kontaktinformācija, bet
mums ir limitēta kapacitāte, nevaram izdot nekādus rekomendāciju sējumus vai
rokasgrāmatas par tīkla informācijas drošību, kā kurā situācijā rīkoties. Tomēr
jau sākam darboties, lai uzlabotu mūsu funkcijas, lai palielinātu informatīvo
bāzi utt. Esam sākuši izdot tādu kā gadagrāmatu, kur apkopotas ES dalībvalstu
institūcijas, to atbildība, kontakti utt. Tā katru gadu tiks izdota ar
atjaunotu un papildinātu informāciju. Šo informāciju savācam paši. Tur ir daudz
darba, bet tas vismaz ir reāls darba instruments, kuru varam piedāvāt
cilvēkiem.
Jāatzīst, arī man pirms tuvākas iepazīšanās ar ENISA
darbību šķita, ka jūsu darbs nav īpaši radošs, bet redzu, ka tā nebūt nav.
Tomēr, iespējams, nākotnē tas kļūtu vēl daudzveidīgāks, ja ENISA iedziļinātos
arī kādā no tām sfērām, ar kurām līdz šim nenodarbojās?
Mūsu darbs
noteikti prasa radošu pieeju, īpaši tāpēc, ka aģentūrai ir neliela jauda. Kas
zina, varbūt nākotnē tiešām varētu nodarboties ar Igaunijas gadījumam līdzīgu
kiberuzbrukumu analīzi vai aizsardzības koncepciju izstrādi. Šobrīd varam
vienīgi lūgt dalībvalstis atbalstīt mūs, lai mums dotu vairāk štata vietu, kas
ļautu paplašināt darbības lauku. Pieļauju,
ka kas tāds varētu notikt līdz laikam, kad ENISA atzīmēs savu desmitgadi. Bet
tad tiešām ENISA vajadzētu ne vien plašākus štatus, bet arī dažas jaunas funkcijas
un kompetences, kuras tā varētu pārņemt no dalībvalstu lokālajām institūcijām.
Tas šobrīd, protams, ir teorētisks pieņēmums, kas ir tikai viens no iespējamiem
attīstības ceļiem. Varētu būt arī cits scenārijs. Piemēram, vairāk nodarboties
ar stingrākas likumdošanas izstrādi, kas palīdzētu cīnīties pret
kiberterorismu.
Gunta KĻAVIŅA
Eiropas informācijas tīklu drošības aģentūra (Europe Network Information Security Agency) ir vienīgā EK institūcija, kas atbild par informācijas tīklu drošību, un tā jau otro gadu piedalās Rīgā notiekošajā starptautiskajā forumā Baltic IT&T, šogad arī oficiālās atbalstītājas statusā. Tomēr, kā SP noskaidroja sarunās ar vairākiem foruma dalībniekiem, priekšstats par ENISA darbības galvenajiem virzieniem daudziem joprojām ir samērā miglains. Tāpēc lūdzām uz sarunu ENISA vecāko ekspertu Timu MERTENU.
ENISA ir salīdzinoši jauna Eiropas Komisijas institūcija, tā darbojas tikai trīs gadus. Turklāt, izlasot akronīma ENISA atšifrējumu, pirmais priekšstats, kas gandrīz katram rodas par jūsu darbības mērķiem, ir tieši tāds, par ko liecina šie termini. Proti, ka ENISA vajadzētu nodarboties ar tīkla drošības incidentu izpēti un informācijas aizsardzību. Bet, kā jūs akcentējāt arī savā referātā, tas ir tieši tas, ko ENISA nedara. Tāpēc, lūdzu, vēlreiz precizējiet, kas īsti ir tas, ko šī aģentūra DARA.
ENISA uzdevums tiešām nav pētīt tīmekļa drošības incidentus (tieši šī greizā priekšstata dēļ man arī šajā forumā vairākkārt nācās skaidrot, ka ENISA nenodarbojas, piemēram, ar tādām lietām kā pērn Igaunijā notikušie kiberuzbrukumi valdības un policijas interneta resursiem, kuri izpaudās DDoS (Distributed Denial of Service) veidā. Šādas lietas ir pašu dalībvalstu institūciju, kā arī to komercstruktūru pārziņā, kuras gādā par datortīklu aizsardzības risinājumiem.
Mēs neesam nedz analītiķi, nedz tāda interneta drošības organizācija kā CERT (Computer Emergency Response Team), nesniedzam pakalpojumus, mūsu rīcībā nav zinātniskas laboratorijas, neesam arī drošības vērtēšanas institūcija. ENISA drīzāk darbojas kā katalizators, aktuālu tīkla drošības jautājumu risinājumu veicinātājs, padomdevējs un ekspertīzes centrs.
Savulaik ENISA tika izveidota tāpēc, ka iepriekš nebija nevienas jumta institūcijas, kura apkopotu, sakārtotu un sistematizētu datus un pozitīvās prakses piemērus par informācijas tīklu drošību EK. Mūsu uzdevums ir arī palīdzība un ieteikumi Eiropas Komisijai un dalībvalstīm par informācijas drošību, kā arī sarunas ar nozares uzņēmumiem, lai risinātu dažādas ar drošību saistītas problēmas ierīču un programmatūras produktos. Darbojamies arī kā oficiāli un uzticami starpnieki, lai sapazīstinātu dažādu informācijas un elektronisko sakaru tīklu drošības nozares spēlētājus un veicinātu to sadarbību.
Regulāri četras reizes gadā pulcinām kopā lielākos ar informācijas tīklu drošību saistītos spēlētājus, kuri pārstāv ražotājus, augstskolas un patērētājus, lai apspriestu svarīgākos nozares jautājumus. Mums ir vairākas darba grupas, kuras strādā ar specifiskām tēmām. Katrai ES dalībvalstij ir atbildīgās institūcijas un vietējie pārstāvji, ar kuriem pastāvīgi sazināmies, katru dienu vai vismaz katru nedēļu apmaināmies ar informāciju, uzzinām, kas jauns noticis, utt.
ENISA pienākums ir būt par gudru padomdevēju Eiropas institūcijām (piemēram, Eiropas Komisijai, regulatoriem) un dalībvalstīm par informācijas tīklu drošības jautājumiem. Tādējādi spējam stimulēt labākās prakses, to skaitā arī CERT organizāciju, pieredzes izmantošanu.
Gribētu izmantot izdevību un pajautāt, kā izjūtat šo darbu Eiropas institūcijā savā ikdienā. Tiem, kas ar šādām lietām nav cieši saistīti, darbs tajās šķiet, no vienas puses ļoti sarežģīts un īpaši atbildīgs, no otras puses, daudziem neizprotams un pat mītisks. Daudzi uztver ES institūcijas kā kaut ko parastiem cilvēkiem neaizsniedzamu, nepieejamu.
Esmu ļoti izbrīnīts, ka Eiropas institūcijas jums šķiet tik ļoti neaizsniedzamas un ekskluzīvas. Piemēram, ENISA ir pavisam neliela organizācija, kur strādā tikai 60 darbinieku un, manuprāt, esam pietiekami atvērti tiem, kam vajadzīga mūsu palīdzība. Protams, visiem potenciālajiem darbiniekiem jāiziet sarežģīta atlases procedūra, tā kā darbu pie mums dabūt tiešām nav viegli, toties var droši teikt, ka ENISA strādā ļoti augstas klases profesionāļi. Tomēr tā nav, ka tāpēc vien kļūtu augstprātīgi vai lūkotos uz citiem it kā no debesskrāpja augstumiem. Esam gluži normāli cilvēki, kuri labprāt vēlas komunicēt un sadarboties arī ar tiem, kuri nestrādā EK institūcijās. Daudzi mūsu eksperti strādā pie tā, lai aktivizētu dažādu tīkla informācijas drošības jautājumu izskatīšanu. Viņi liek lietā visu savu vērtīgo pieredzi un konsultē arī dalībvalstu valsts institūcijas.
Tā kā ENISA atrodas Krētas salā, ģeogrāfiski esam nedaudz izolēti no citām EK institūcijām. Bet jums atliek tikai ienākt pa mūsu aģentūras durvīm, un jau esat Eiropas Komisijā! Strādājam 40 stundu nedēļā tieši tā, kā to nosaka EK administratīvie noteikumi, un tas tiek ļoti precīzi ievērots. Toties tad, kad dodamies komandējumos ārpus aģentūras (kā tagad Rīgā) mums ir labas iespējas kontaktēties un saņemt atgriezenisko saiti no cilvēkiem. Mēs daudz ceļojam, bet arī daudz sazināmies elektroniski. Darba atmosfēra aģentūrā prasa ļoti lielu atdevi.
Bet jūs taču enerģētiski uzlādē brīnišķīgi skaistā Krētas vide, kurā dzīvojat un strādājat.
Dzīvoju 40 km no biroja, nepilnas stundas brauciena attālumā. Mana māja atrodas blakus kapsētai, tā kā tur ir visai mierīgi, bet tikai tikmēr, kamēr nav sākusies tūrisma sezona. Otrā pusē aktīvi atpūšas tūristi no maija līdz septembra vidum viņu tur sabrauc tūkstošiem. Restorāni ir pārpildīti, kur vien skaties pilns ar jautriem un skaļiem ceļotājiem. Tā kā, atzīšos, esmu laimīgs, kad septembrī viņi dodas mājup, arī lidosta atgūst ikdienišķu darba ritmu (aktīvajā sezonā tur apgrozās ap 2000 tūristu dienā), ir mierīgāk lidot komandējumos. Strādāju šajā aģentūrā jau trīs gadus, kopš tās dibināšanas.
Interesanti, kāda izglītība ir vajadzīga, lai varētu strādāt ENISA? Vai vēlama IT izglītība?
Nē, tas nav obligāti. Bet vispār tur varētu strādāt arī kāds IT speciālists no Latvijas. Kāpēc ne! Lai kandidētu uz šo vietu, vajag tikai pietiekami bieži apmeklēt ENISA tīmekļvietni, lai nepalaistu garām brīdi, kad tiek izsludinātas vakances. Piemēram, ja ir vajadzīgs kāds administrators, mums jārīko konkurss cilvēkiem ar attiecīgu pieredzi. Bet reizēm mums vajadzīgi arī tehniskie eksperti, kuri strādā ar drošības riska problēmām. Augstākā līmeņa vadītāju amata pretendentiem noteikti vajadzīga solīda universitātes izglītība. Esmu studējis biznesa vadību, ENISA nodarbojos ar horizontālo struktūru attiecībām, darbības un aktivitāšu koordināciju ar ES institūcijām un dalībvalstīm. Manos pienākumos ietilpst arī kontakti ar dažādām amatpersonām, arī to savstarpēja iepazīstināšana.
Ko tieši jūs koordinējat, tiekoties, piemēram, ar kādas ES dalībvalsts Ministru kabineta locekļiem vai citu valsts institūciju pārstāvjiem? Vai tās ir arī konsultācijas?
Šīs valsts amatpersonas apmeklē ENISA izpilddirektors Andrea Piroti, es viņu pavadu un sagatavoju šīs vizītes. Mums ir vadības padome, kurā ir pārstāvētas 27 ES dalībvalstis. Padomes locekļiem ir pietiekami cieši kontakti ar attiecīgajiem ministriem, viņi zina, kas notiek šajās ministrijās, informē par to un izsaka savu viedokli. ENISA funkcijās neietilpst politizētas diskusijas, kas saistītas ar likumu un normatīvo aktu izstrādi. Mūsu darbība ir piezemētāka, vairāk saistīta ar informācijas tīklu drošības situāciju dalībvalstīs. Apmeklējam visas ES valstis, lai savām acīm redzētu, kā viss notiek, lai izpētītu vietējos apstākļus, uzzinātu, kas katrai valstij nepieciešams, kādu atbalstu varam sniegt.
Tātad ENISA ir institūcija, uz kuru var paļauties, jums ir savākti labākās prakses piemēri, plaša informācija, ar kuru labprāt dalāties ar tiem, kam tā nepieciešama.
Mūsu rīcībā ir kontaktinformācija, bet mums ir limitēta kapacitāte, nevaram izdot nekādus rekomendāciju sējumus vai rokasgrāmatas par tīkla informācijas drošību, kā kurā situācijā rīkoties. Tomēr jau sākam darboties, lai uzlabotu mūsu funkcijas, lai palielinātu informatīvo bāzi utt. Esam sākuši izdot tādu kā gadagrāmatu, kur apkopotas ES dalībvalstu institūcijas, to atbildība, kontakti utt. Tā katru gadu tiks izdota ar atjaunotu un papildinātu informāciju. Šo informāciju savācam paši. Tur ir daudz darba, bet tas vismaz ir reāls darba instruments, kuru varam piedāvāt cilvēkiem.
Jāatzīst, arī man pirms tuvākas iepazīšanās ar ENISA darbību šķita, ka jūsu darbs nav īpaši radošs, bet redzu, ka tā nebūt nav. Tomēr, iespējams, nākotnē tas kļūtu vēl daudzveidīgāks, ja ENISA iedziļinātos arī kādā no tām sfērām, ar kurām līdz šim nenodarbojās?
Mūsu darbs noteikti prasa radošu pieeju, īpaši tāpēc, ka aģentūrai ir neliela jauda. Kas zina, varbūt nākotnē tiešām varētu nodarboties ar Igaunijas gadījumam līdzīgu kiberuzbrukumu analīzi vai aizsardzības koncepciju izstrādi. Šobrīd varam vienīgi lūgt dalībvalstis atbalstīt mūs, lai mums dotu vairāk štata vietu, kas ļautu paplašināt darbības lauku. Pieļauju, ka kas tāds varētu notikt līdz laikam, kad ENISA atzīmēs savu desmitgadi. Bet tad tiešām ENISA vajadzētu ne vien plašākus štatus, bet arī dažas jaunas funkcijas un kompetences, kuras tā varētu pārņemt no dalībvalstu lokālajām institūcijām. Tas šobrīd, protams, ir teorētisks pieņēmums, kas ir tikai viens no iespējamiem attīstības ceļiem. Varētu būt arī cits scenārijs. Piemēram, vairāk nodarboties ar stingrākas likumdošanas izstrādi, kas palīdzētu cīnīties pret kiberterorismu.
Gunta KĻAVIŅA