Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Prakse Eiropas tīklu un informācijas drošības aģentūrā

   

Prakse ENISA

 

 

...jauns datorvīruss nodara ievērojamus zaudējumus uzņēmumam...

 

..komunikāciju tīkli un informācijas sistēmas ir vieni no nozīmīgākajiem elementiem ekonomikas un sabiedrības attīstībai. Digitālajai ekonomikai droši tīkli ir tikpat nozīmīgi kā elektrības vai ūdens piegāde. Sabiedrībā pieaug rūpes par komunikāciju tīklu un informācijas sistēmu un komunikāciju tīklu drošību, jo draudi šīm sarežģītajām sistēmām rodas no kļūdām, nelaimes gadījumiem, pat fiziskiem uzbrukumiem iekārtām... 

 

Šodien aktivizējas datorvīruss...

 

Eiropas informācijas sabiedrības nākotne - apdraudēta?

Drošības incidentu skaits nemitīgi pieaug, radot gan finansiālus zaudējumus, gan lietotāju neuzticību. Taču informācijas sabiedrība jau kļuvusi par neatņemamu ikdienas sastāvdaļu. Drošības tehnoloģijas, drošības procedūras, informācijas kampaņas un izpētes projektus veic dažādas institūcijas, sākot no Eiropas Savienības iestādēm un beidzot ar individuāliem pētniekiem, taču pakalpojumu dažādība, tīklu neviendabība un milzīgais dalībnieku skaits apdraud iekšējā tirgus vienmērīgu funkcionēšanu...

Šādus un līdzīgus nozares vadošo speciālistu izteikumus bieži var atrast dažādos ar informācijas sistēmu un elektronisko sakaru tīklu drošību saistītos informācijas avotos. Lai gan šī joma šobrīd nav tieši saistīta ar maniem pašreizējiem darba pienākumiem, tomēr kā viens no informācijas sabiedrības dalībniekiem labprāt pētu nozares jaunumus. Tāpēc, kad pērnā gada oktobrī ENISA mājaslapā http://www.enisa.europa.eu atradu sludinājumu par prakses vietu Eiropas tīklu un informācijas drošības aģentūrā (ENISA - European Network and Information Security Agency), izlēmu pieteikties konkursā. Pēc kāda laika saņēmu ielūgumu doties uz Krētas salu, kur atrodas ENISA centrālais birojs. Lai arī Eiropas Savienības institūcijās praktikantu uzņemšana ir ierasta un labi sakārtota sistēma, ENISA birojā biju pirmais praktikants, tādēļ bija interesanti arī daļēji piedalīties šī procesa sākumposmā un praktiskā iedibināšanā.

 

Kas slēpjas zem segvārda ENISA?

Varētu teikt – paši labākie nodomi. Aģentūra ENISA tika radīta, lai apkopotu un izplatītu labāko pieredzi tīklu un informācijas drošības jomā, kā arī lai uzlabotu tīklu drošības kultūru Eiropas Savienības dalībvalstīs. Šobrīd ES risina informācijas sabiedrības drošības jautājumus trijos virzienos:

·         specifiski tīkla un informācijas drošības pasākumi;

·         elektronisko sakaru regulēšanas ietvars, īpaši Direktīva par datu aizsardzību elektroniskajos sakaros (2002/58/EC);

·         cīņa pret kibernoziegumiem.

Eiropas mērogā notiek arī dažādas pētniecības un sabiedrības informēšanas programmas, kā arī starptautiski forumi un semināri, kas veltīti šiem jautājumiem. Piemēram, 7. ietvara programma (The 7th Framework Programme) paredz Eiropas drošības izpētes programmu (European Security Research Programme), sabiedrība tiek informēta ar programmas Par drošāku internetu palīdzību.

Pārskatot Eiropas valstu regulatoru funkcijas, var redzēt, ka daļa no tiem vairāk vai mazāk nodarbojas ar drošības jautājumiem. Piemēram, Somijā un Lietuvā regulators ir iesaistīts Ātrās palīdzības datoriem (CERT – Computer Emergency Response Team) izveidē un uzturēšanā. Vācijā, Zviedrijā, Norvēģijā, Austrijā, Grieķijā regulators pārrauga e-paraksta ieviešanu. Lietuvas regulators organizē arī plašas sabiedrības informēšanas kampaņas, sadarbojoties ar ENISA.

ENISA apraksta savus uzdevumus šādi:

  • palīdzība un ieteikumi Eiropas Komisijai un dalībvalstīm informācijas drošībā, kā arī sarunās ar nozares uzņēmumiem, lai risinātu dažādas ar drošību saistītas problēmas tehnikas un programmatūras produktos;
  • datu apkopošana un analīze par drošības incidentiem Eiropā;
  • informācijas drošības draudu riska novērtējuma metožu popularizēšana;
  • dažādu informācijas un elektronisko sakaru tīklu drošības jomas spēlētāju sadarbības veicināšana.

Kā vēlāk pārliecinājos praksē, tas nozīmē, ka aģentūras ikdienas darbi saistīti ar dažādu semināru rīkošanu, kontaktu tīkla uzturēšanu, ziņojumu publicēšanu tīklu un informācijas drošības jautājumos.

ENISA plāno turpmāk regulāri izsludināt līdzīgas prakses vietas, kas ļautu jauniem speciālistiem iepazīties ar aģentūras darbu un situāciju Eiropas Savienībā informācijas sistēmu un elektronisko sakaru tīklu drošībā. Trīs mēnešu laikā, ko pavadīju ENISA kolektīvā, guvu priekšstatu gan par vienu, gan par otru. Bet nu par visu pēc kārtas. 

 

Prakses vieta - ENISA

Mans darba uzdevums bija sākt strādāt ar datorprogrammu, kas paredzēta informācijas sistēmu un elektronisko sakaru tīklu drošības politikas dokumentu veidošanai maziem un vidējiem uzņēmumiem. Drošības politika šajā gadījumā jāsaprot kā dokumentu kopums, kas apraksta organizācijas filozofiju, stratēģiju un praksi jautājumos, kas saistīti ar informācijas sistēmu drošību, integritāti un pieejamību. Tātad, pirmkārt, drošības politikas mērķis ir nodrošināt, lai informācijai varētu piekļūt tikai konkrētā uzņēmuma darbinieki, kuriem tas ir atļauts. Otrkārt, gādāt, lai informācija netiktu patvaļīgi vai ļaunprātīgi mainīta vai pat iznīcināta, bet vienlaikus nodrošinot organizācijas sekmīgu darbību un paredzot, ka drošības pasākumi neapgrūtina piekļūšanu nepieciešamajiem resursiem.

Ideja par drošības politikas darbarīku (security policy tool) ir balstīta uz apsvērumu, ka ir daudz informācijas par drošības jautājumiem, taču praktiski tā nav piemērota tūlītējai izmantošanai. Ir skaidrs, ka maziem un vidējiem uzņēmumiem nav tādu administratīvo resursu, lai izstrādātu savu drošības politiku. ENISA mērķis ir piedāvāt minimālo dokumentu kopumu, kas aprakstītu vienkāršas lietas, kuras ievērojot, varētu izvairīties no nepatīkamiem starpgadījumiem, piemēram, lai izvairītos no mēstuļu kaudzēm uzņēmuma elektroniskajā pastkastītē.

 

Apkopo Eiropas labāko pieredzi

Prakses gaitā tika uzdots gan analizēt ENISA jau sakrāto informāciju, gan meklēt jaunus materiālus, tāpēc atlasīju t. s. labāko Eiropas pieredzi – dokumentus un to daļas, kas vislabāk atbilstu izvirzītajam mērķim. Tomēr trīs mēnešu prakses laikā darbu tikai sāku. Līdz gala rezultātam, ko varētu izmantot arī Latvijas mazo un vidējo uzņēmumu vadītāji, vēl kāds laiciņš jāpagaida. Iespējams, jau nākamgad šis darbarīks būs publiski pieejams ENISA mājaslapā.

Iepazīstināšu Sakaru Pasaules lasītājus ar dažiem pamatprincipiem, kas būtu jāievēro, rakstot sava uzņēmuma drošības politiku:

·   jādefinē uzņēmuma mērķi un darbības sfēra;

·   jāpalīdz uzņēmuma darbiniekiem skaidri saprast, kas tiem jādara un ko tie nedrīkst darīt;

·   jānosaka atbildība par stratēģijas neievērošanu;

·   jānosaka atbildīgie par informācijas un tīklu drošību un to pienākumi;

·   dokuments regulāri jāpārskata un jāatjaunina;

·   jāparedz arī resursi uzņēmuma drošības uzturēšanai, jo drošības jautājumi nav tikai IT administratora atbildība.

Parasti šāds drošības dokuments nosedz fizisko drošību, tīkla drošību, pieejas kontroli, autentifikāciju, auditu, programmatūras drošību utt.

Jāatzīst, ka prakses sākumā šie jautājumi man šķita gana sarežģīti, taču laika gaitā pārliecinājos, ka iespējams panākt labus rezultātus ar ļoti vienkāršām metodēm. Galvenais ir atlasīt vajadzīgo informāciju milzīgajā informācijas plūsmā. Uzskatu, ka tur ENISA noteikti var palīdzēt.

Jāteic, ka darbs tika plānots tā, ka man palika laiks piedalīties arī citās ENISA aktivitātēs. Piemēram, bija iespēja apmeklēt Krētas Tehniskās universitātes zinātniski pētniecisko centru – STEP-C (Science and Technology Park of Crete), kas īsteno arī starptautiskus pētniecības projektus. Izmantoju iespēju apmeklēt lekcijas par dažādām elektronisko sakaru un informācijas tehnoloģiju tēmām. ENISA atrodas šī centra teritorijā, tādēļ arī pusdienoju universitātes ēdnīcā, kas, starp citu, bija ne tikai lēti, bet arī garšīgi.

Tā kā ENISA kolektīvā ir pārstāvētas gandrīz visas ES dalībvalstis, pieredze sastrādāties ar dažādu tautību cilvēkiem ir interesanta un vērtīga (strādāju vienā kabinetā ar francūzi, vācieti un angli, kas ilgi nodzīvojis Itālijā). Ar laiku sāku atpazīt dažādu tautību darba stilu, piemēram, itāļu aizrautību, vāciešu kārtīgumu – vairumā gadījumu (bet ne vienmēr) priekšstati par cittautu mentalitāti izrādījās pareizi. ENISA rīko arī dažādus pasākumus, kas veicinātu šo daudzkultūru sadarbību – piedalījos seminārā par darba stilu multinacionālā kolektīvā, valodu kursos. Katru nedēļu tika rīkotas prezentācijas par kādu no ENISA kompetences tēmām, centos nevienu no tām neizlaist, lai iegūtu pēc iespējas vairāk informācijas.

Dažādu apstākļu sakritības dēļ par ENISA mītnes vietu tika izvēlēta Krēta. Šādai izvēlei nepašaubāmi ir viens liels trūkums – attālums un ceļošanas grūtības, tādēļ bieži ir apgrūtināta ekspertu viesošanās ENISA vai arī tās darbinieku braukšana komandējumos. Taču ir arī priekšrocības, piemēram, peldēšanas sezona ilgst gandrīz visu gadu, saulaino dienu skaits dažos rajonos pārsniedz 340 gadā. Un, protams, kalni. Prakse iekrita ārpus aktīvās tūrisma sezonas – no novembra līdz janvārim, kad Krētā ir ziema. Tiesa, tas netraucēja peldēties un dažas dienas pat sauļoties. Ziemas periodā salā novāc arī olīvu ražu – izskatījās, ka līdzīgi kā Latvijā kartupeļu talkās arī Krētā nedēļas nogalēs visi radinieki sabrauc uz olīvu vākšanas talku. Bija interesanti apskatīt tipisku tūristu salu ārpus  sezonas.

No Krētas atvedu informāciju 3 GB apjomā, jauku un profesionālu cilvēku vizītkartes, kā arī pieredzi, ko paredzu izmantot turpmākajās darba gaitās.

Edgars TAURIŅŠ

 
Design and programming by Anton Alexandrov - 2001