Nairobi paliek tuvāk (papildināts)

vara bungas: Atkal nāksies  vaimanāt  un gaudot…,  bet ko padarīsi, ja ir iemesls.  Domāju, ka nevienu nav jāaģitē, ka mūsdienās C4I (Command, Control, Communications, Computers, and Intelligence) ir un būs klasiskās militārās aizsardzības spēju kodols, tādēļ militārā un civilā kiberdrošība ir nepieciešama visaugstākajā līmenī, lai visi pārējie visaptverošās aizsardzības elementi darbotos netraucēti un netiktu kompromitēti jebkādā šī vārda nozīmē.   AM ir pieņemts lepoties ar kiber-drošības speciālistu  līmeni (CERT), kiber-spējām, kiber-zemessargiem  un kiber-jaunsargiem, kas “minimāli pietiekamā” (c) līmenī rūpējas par valsts kiber-aizsardzību. Negribīgi tiek atzīts  EE  kiberaizsardzības spēju  pārākums, bet kopumā bilde zīmējas, ka arī LV šajā jomā “viss ir čotka”.  Es arī par to biju pārliecināts, kamēr ieraudzīju Starptautiskās telekomunikāciju savienības (ITU) 2018. gada Globālā Kiberdrošības Indeksa ziņojumu (GKI kā “kiber-labklājības” rādītāju veido balstoties uz 25 indikatoriem).

No pirmā acu uzmetiena viss ir it kā kārtībā, nu, esam 44. vietā no 175 tomēr tas ir  “zelta vidus” augšējā daļa.  Bet pārsteigumu  sagādā  LV salīdzinājums ar EE un LT. Kā tā var gadīties, ka tajā pašā GKI tabulā LT globāli ieņem 4. vietu un  EE 5. vietu, bet LV dala 44. vietu ar Keniju (visu cieņu). Šādai kiber-atpalicības aizai es nebiju gatavs. Pēc pieredzes ar tādiem kā  Global Firepower Index es zinu, ka šādos reitingos kļūda par 5-10 vietām uz vienu vai otru pusi ir normāla parādība, bet ne jau par 40 pozīcijām. Te kaut kas nav kārtībā vai nu ar mūsu kiberdrošību, vai ar ITU metodiku, vai ar AM, kas sniedza un validēja ITU tādus datus par  LV kiberdrošības tiesisko, tehnisko, organizatorisko, spēju attīstības  un sadarbības stāvokli, ka paliek kauns… bet tomēr jāskatās.

vēl

UPD1  Nepaspēja tinte nožūt VB, bet uzlabojumi jau klāt…

“[..] grozījumi MK noteikumos Nr. 442 paredz:

  1. Prasību valsts un pašvaldību institūcijām datus glabāt ES vai EEZ dalībvalstī, kā arī interneta datu plūsmu virzīt ES un EEZ teritorijas ietvaros, ja datu apmaiņa notiek šajā teritorijā. Šī prasība nodrošinās stingrākas prasības dažādu ierobežotas pieejamības datu privātumam, t. sk. fizisko personu datiem, kā arī ierobežos iespēju pārtvert un nesankcionēti izmantot informāciju.
  2. Prasību valsts un pašvaldību institūcijas vadītājam noteikt atbildīgo personu, kura uzrauga sistēmu izstrādi, ieviešanu un uzturēšanas pakalpojuma līguma izpildi. Atbildīgās personas noteikšana līguma izpildes uzraudzībai izriet no labas pārvaldības prakses informācijas tehnoloģiju pārvaldībā. Papildu uzraudzība garantēs atbilstošu līgumā noteikto prasību izpildi.
  3. Papildu prasības institūcijai, ja tā slēdz ārpakalpojuma līgumu sistēmas uzturēšanai. Piemēram, līgumā ir jānosaka, ka ir nekavējoties jāziņo par drošības incidentu, ka ir pienākums informēt par apakšuzņēmējiem un ka jāveic drošības pārbaudes. Prasība nodrošinās, ka pasūtītājs jau laikus ir informēts par riskiem, kas saistīti ar IKT produktu un pakalpojuma drošību, kā arī, izvērtējot riskus, tiks noteiktas veicamās drošības pārbaudes, lai izvairītos no potenciālajiem riskiem.
  4. Prasības valsts un pašvaldību institūcijām, iegādāties pamata drošības sistēmām tādas kritiskās komponentes kā maršrutētājus, komutatorus, ārējos ugunsmūrus, ielaušanās atklāšanas sistēmas, pretielaušanās sistēmas, antivīrusu programmatūru, kā arī pakalpojumus, programmatūru vai iekārtas, kas nodrošina institūcijai aizsardzības un uzraudzības funkcijas. Attiecībā uz minētajām pamata drošības sistēmu IKT komponentēm valsts un pašvaldību institūcijām ir jāievēro prasības, kas noteiktas 36.1 punktā. Tas paredz, ka līgumu par pakalpojumu, programmatūru vai iekārtu iegādi atļauts slēgt tikai ar juridisku personu, kas ir reģistrēta NATO, ES vai EEZ dalībvalstī, un ka šīs juridiskās personas patiesā labuma guvējs (Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma, un proliferācijas finansēšanas novēršanas likuma izpratnē) ir NATO, ES, EEZ valsts pilsonis vai Latvijas Republikas nepilsonis vai fiziska persona, kas ir Latvijas Republikas valstspiederīgais, NATO, ES vai EEZ valsts pilsonis. [..]”

avots

PS CN piegādātājiem  būs jāiet meklēt vietējos starpniekus.

Viena doma par “Nairobi paliek tuvāk (papildināts)

  1. Minimāli pietiekamais līmenis ir plaši interpretējams, un zem kenijas jau vēl ir kur krist, paņemam popkornu un gaidam nākamo ziņojumu.

    Tas NAV kiberspēju indekss, bet ee un lt labi pastrādājuši un pareizās atbildes iesnieguši.

    Labi, ka medijos nevienam tas neinteresē, citādi am būtu jādomā kā atrakstīties

    • Kiberdrošība ir lieta, ko socioloģijā sauc par “higiēnas faktoru”, t.i. tādu lietu ko neviens nepamana, kamēr sūdi nav sākušies. Vislabākais IT admins ir tāds, ko neviens neredz, jo viss ir kārtībā un strādā. Kamēr viss kārtībā, tikmēr sabiedrībai tas neinteresē. Lūk, kad e-veselība nestrādā, tad sākās šūmēšanās.
      Politiskais darbības algoritms – kiberkara spējas dārgi maksā, rentabilitāte zema – nafig vajag, avosj pronesjot. Ja nu kas, teikšu, ka naudas nav izdalīts pietiekami un “kurš gan varēja paredzēt”.

  2. Kādas kiberspējas? CERT.LV ir tādi nedaudz advancēti admini, kuri pieskata sistēmas un var veikt kādu virspusējo auditu sistēmai/specifikācijai. Kiberkaradarbības spējas ir krietni plašāka lieta un tas mums ir kiberzemessardze līmenī ar dažām dienām mēnesī.

  3. Patiesā labuma guvējs – kā tas izpaužas publiski kotētu kompāniju gadījumā? Ja 1 amazon akcija pieder ķīnietim, tad nedrīkst??? Un kā ar ieguldījumu fondiem, kur akcionāri ir vēl aiz viena līmeņa? Par sarežģītākiem instrumentiem nerunājot.

    Vnk maizīte juristiem, lai bezgalīgi tiesātos.

    • Ir tāda lieta, ka biržas depozitārijs, kur ir info par īpašniekiem. Attiecībā uz lieliem pasūtījumiem parasti veic atbilstošas pārbaudes un arī pašas kompānijas laicīgi iegūst visus sertifikātus. Smagāk būs ar mazajiem pasūtījumiem, jo pārbaudes dārgas. Es pieļauju, ka vajadzīga ciešāka valstu kooperācija, lai sensitīvajiem pasūtījumiem būt “uzticamo” saraksts.

      • Ar akciju skaitu miljonos, ko hedgefondi tirgo milisekunžu intervālos?
        Varēja vnk uzrakstīt uz lapas, ka huawei ir pidarasi, un visi kas pirks huawei 5g arī būs pidarasi. Un pakārt katrā poģikā – pie lmt, tele2 un bites.
        Vispār tas ir specdienestu fail, viņiem tas bija zem galda jānokārto

  4. Lai uzbūvētu “kiberkapacitāti” nepietiek ar to, ka kaut kur ir cilvēki kas principā māk interesantas lietas, bet vajag tos cilvēkus algot pilna laika darbā, lai būvētu un uzturētu dažādus rīkus un infrastruktūru, kas ļauj tās praktiski efektīvi darīt. Kiberdrošība nav tā, ka krīzes gadījumā sēžamies un sākam darīt (nu, kaut kādu ātro ielāpiņu ķep ļep var izdomāt), kiberdrošībā mēs krīzes brīdī varam ātri un automātiski palast to, kas mums “zem pūra” ir (vai nav) iepriekš uzbūvēts un sagatavots gan uzbrukumam gan aizsardzībai. Nedēļu garās mācībās var izmēģināt un pārbaudīt TTP (tools tactics procedures), bet lai uzbūvētu tās TTP, vajag x cilvēkiem visu iepriekšējo gadu no rīta līdz vakaram tos analizēt, programmēt utt. Un protams, kurš par to maksās? Pat ja teorētiski lielā vadība tam iedalītu budžetu, pašreiz šķiet ka pietrūkst normāla birokrātiskā risinājuma, kas ļautu par to budžetu noalgot komandu ar sakarīgiem tehniskajiem ekspertiem kuriem katram jāmaksā vismaz tā kā pulkvežleitnantiem – kājnieku batkomiem (cik nu es pēc deklarācijām skatos), un arī tas pat nevis konkurētu ar industriju bet nu tā, lai nebūtu pavisam sērīgi un varētu dabūt ne tikai mazpieredzējušus optimistus ar entuziasmu.

    • Vēl viens iemesls 3B militārai (kiber) integrācijai, pa vienam mēs šos procesus nepavilksim ne finansiāli ne intelektuāli, un arī pasaule pa to laiku nestāv uz vietas.

        • ne viss ir izmērams naudā, intelektuālā kapacitāte arī ir svarīga. IT speciālisti uz izķeršanu, bet kiber jomā vajag labākos. Tā kā ir vērts kooperēties, lai akumulētu resursus un produkts būtu derīgs visiem. Tad būtu 100 miljoni investīcijās un rezultāts, kas der visiem trim.

          • Ja nekļūdos, kiberdrošība ir tāda lieta, ko pie mums nekur īsti nemāca. Lai to attīstītu, būtu nepieciešams, lai ir skola. Te, protams, ir jādomā par formātu. Jo ir jāpanāk tas, lai 1) rastos gan zaļi gurķi, kas ir specializējušies tieši uz šo jomu (bet, godīgi runājot, neko nesaprot no programmēšanas vispār, jo viņiem nav pieredzes) 2) cilvēki, kas jau ir apritē, varētu tikt kvalitatīvi apmācīti arī kiberdrošības jautājumos.

            Tur arī vismaz daļu no tās naudiņas var tērēt. Lieki izmesta tā nebūtu, jo skaidrs, ka nepieciešamība pēc kiberdrošības nākotnē tikai augs.

          • 10M+10M+50k=10M+10M
            Vieglāk vienoties mazākā skaitā un ar līdzīgu pasaules uzskatu. Īpašajiem bērniem ir specializētas izglītības iespējas.
            Un cyber ir pārāk īpašas spējas, lai ar tām dalītos. Vispār ir kāds veiksmīgs kolhoza projekts aizsardzībā? Nevis izstrādē, bet reālās spējās?

          • Nu apgūt naudu un neko nepiegādāt lv ir ekspertīze. Bet bez naudas garantēti nekas nebūs, ar naudu ir ar varbūtību >0, bet <1

            • LV ir arī ekspertīze startēģiju un plānu rakstīšanā. Integrācijas starptautisks raksturs nodrošinātu, ka puses nepiegādā neko vai brāķi.

    • Trūkst nevis birokrātisma risinājuma, bet politiskās gribas. Ceļakarte banānu republikai: zelta pendeļis->politiskā griba->risinājums. Politiskās nespējas deklarācija ir MPrez parakstīta, saucas latvijas kiberdrošības stratēģija 2019-2022 (starp citu, pieņemta 2019. beigās). Tekstā svarīgākais, ka uzbrūkošās spējas netiks attīstītas. Galvenais, kā parasti, pielikumā – investīcijas 4 gadu periodā ~50kEUR!!! Tagad pastāstiet, kāpēc ee un lt vajag sadarboties ar lv – lai kopīgi apgūtu 50k investīcijas? Lv guļ peļķē un visai pasaulei ir deklarējusi, ka ir alternatīvi apdāvināta un netaisās cyber attīstīt, visi pasmīn un turpina nosvīduši apļot pa stadionu. Gaidu brīdi, kad pamodīsimies un sāksim ubagot.

      Labā ziņa – Cyber warfare ir nenormàli lēta spēja – 10-20M gadā jau būtu diezgan pieklājīga spēja. Pie tam liela daļa naudas paliktu lv ekonomikā.
      Sliktā ziņa – spējas nevar izmērīt, līdz ar to veiksmīgi var piesegties ar kiberzemessardzi. Arty var saskaitīt stobrus, mech var saskaitīt tankus un ifv, kājniekus var saskaitīt. Nevar arī iemest gadā 100M un dabūt to pašu gadā, ko 10gados pa 10M.

      Par batkoma algu man liekas var dabūt junior programmētāju, kas neko nejēdz.

      Lielā problēma – augšas netaisās karot, guļ mierīgi un iesaka to arī apakšām.

        • Apakšām kotlete un alķītis, tas norm. Nekur pasaulē nav savādāk, sabiedriskā doma jāformē.

          Dīvāna eksperti spriež par 10-20M gadā, ministrijas speciālisti saka, ka vajag 50k lai nokrāsotu žogu. Ja lv stratēģija ir izolētas vienības un simboliska pretošanās, tad pilnībā atbalstu ministrijas viedokli, cyber tiešām nevajag. Arī ja ir pakāpeniska attīstība, cyber nevajag, jo esam 50. gadu līmenī. Cyber vajag, ja gribam pārlekt uz 21.g.s.

Komentēt

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Mainīt )

Google photo

You are commenting using your Google account. Log Out /  Mainīt )

Twitter picture

You are commenting using your Twitter account. Log Out /  Mainīt )

Facebook photo

You are commenting using your Facebook account. Log Out /  Mainīt )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.