Amerikas mācības Latvijas pionieriem
11. septembrī IT dzimtenē ASV zaudējumus cieta arī IT sistēmas. Ko
šie notikumi atklāja IT speciālistiem? Pasaules tirdzniecības centra bojāeja
izgaismoja aksiomu: nedrīkst ignorēt drošuma teoriju. SP uzklausīja Digitālās
ekonomikas attīstības centra (DEAC) direktora Jāņa KAĢA viedokli.
Amerikas notikumi parādīja, ka amerikāņi bija aizmirsuši to, ko
paši labi zināja: jau 80 gadu ASV nekustamā īpašuma apdrošināšanas kompānijas
no visiem kaitējumiem, kas rada zaudējumus, par kuriem īpašniekam maksā
atlīdzību, vienmēr kā pirmo ir minējušas lidmašīnas uzkrišanu. Tikai pēc tam
seko uguns, ūdens, zemestrīces, viesuļvētras radītie zaudējumi. Arī IT labās
prakses rekomendācijas ir vispārzināmas; tās ietver prasības, lai saglabātu
sistēmu funkcionēšanas spējas: sistēmas pieejamību, integritāti (veselumu),
datu ticamību. Ja šie ieteikumi tiktu izpildīti, tad gan terorisma, gan citās
ārkārtas situācijās posta tiktu nodarīts daudz mazāk.
Ne augstu gaisā, bet dziļi zemē
IT iekārtu izvietošana augstceltnēs ir raksturīga tieši ASV.
Terora akti apliecināja, cik šī prakse ir bīstama. Kopumā varētu teikt, ka
pasaulē ap 90 procentu IT tehnikas ir novietotas nepiemērotās telpās: neder
tādu ēku pirmie stāvi, kas pakļauti plūdiem un gruntsūdeņu svārstībām, neder
vitrīnām līdzīgi plaši logi, jo tie nav aizsargājami pret ļaunprātīgu rīcību,
kas var tehniku iznīcināt fiziski. Pietiek pretglobalizācijas aktīvistam
iesviest degmaisījuma pudeli, izraisot kaut tikai lokālu ugunsnelaimi, vai narkomānam
nozagt kādu no aparatūras sastāvdaļām, lai to realizētu melnajā tirgū, un
sistēmas veselums tiek sagrauts.
Ideālas telpas ir tās, kas spēj nodrošināt ne vien pret mehānisku
iedarbību, bet arī pret dažādiem fizikāliem faktoriem. Pazemes celtnes ar
pietiekami biezām sienām, bez logiem un ar vienu, divām ieejām - tāda mājvieta
būtu jāizraugās visām nozīmīgākajām IS.
Fizikālie faktori
Viens no būtiskākajiem drošuma komponentiem ir elektromagnētiskā
aizsardzība. Elektromagnētiskā lauka svārstības informācijas nesējos ierakstīto
informāciju var daļēji vai pilnīgi bojāt. Visbiežāk cilvēki ir informēti tikai
par zaudējumiem, kas saistīti ar elektrobarošanas traucējumiem, ko rada zibens
vai zemestrīce. Pasaulē varētu būt tikai ap 10 datorcentru, kur ir aizsardzība
pret elektromagnētiskajiem traucējumiem. Terorisma aspektā šis jautājums kļūst
aktuāls: ir zināms, ka melnajos tirgos jau tiek piedāvātas iekārtas, kas ģenerē
īpašus impulsus un spēj paralizēt IT sistēmas pat kilometru attālumā.
Elektromagnētiskā iedarbe rada neatgriezeniskus zudumus - sagrauj
arī rezerves kopijas kā uz lentēm, tā arī uz cietajiem diskiem. Vienīgā izeja -
izmantot jaunas informācijas ieraksta sistēmas un back up ierakstus glabāt
aizsargātos seifos.
Ārkārtas situāciju mācības
Daļa fizisko ietekmju nojauc pirmo postulātu - pieejamību. Tā nav
lielākā nelaime: ja datoru sistēmas izveidē kaut cik ir ievērotas
pamatprasības, tad ir datu rezervēšanas (back up) un arhivēšanas sistēmas, kur
glabājas informācijas rezerves kopijas. ASV šis noteikums bija ievērots -
daudzām IT kompānijām rezerves kopijas bija izvietotas pat citos štatos, tāpēc
IS atjaunošana notika ļoti ātri.
Latvijā Ministru kabineta 106. noteikumi uzdod visām valsts
iestādēm šo prasību ievērot, bet to
dara ārkārtīgi lēni. Lai rezervēšanas iekārtas dotu īstu drošību, ir jāievēro
pamatnosacījums - tām jāatrodas iespējami tālāk no pamatsistēmas. Tās jāizvieto
īpašos seifos vai pazemē, kur ir aizsardzība, kas vājina kaitīgo starojumu.
Patiesi efektīva, tikai kvadrātmetru liela seifa izmaksas ir ap 10
000 latu. Latvijas firmas var atļauties seifu, kur glabāt rezerves lentes, bet
ne serverus. Visgudrāk un lētāk būtu slēpties zem zemes.
Valsts mērogā šāda aizsardzība pirmām kārtām ir nepieciešama
visiem valsts reģistriem. Pagaidām par to nav domāts. Konkrēti - ja telpās,
kurā darbojas IS, mobilā telefona signālam nav vājinājuma, tas nozīmē, ka
sistēma ir pilnīgi neaizsargāta.
Integritāte
Integrētā IS visas daļas strādā saskaņoti un saprot cita citu.
Integritāte ir visas sistēmas veseluma priekšnoteikums, kas ietver kā
tehniskos, tā informācijas resursus. Lai izprastu, kas nodrošina IS veselumu,
ir nepieciešams veidot IS funkcionālās
shēmas.
Tās palīdz noskaidrot, kādi tehnikas, cilvēku un komunikāciju
iekārtu resursi ir tie, bez kuriem ir traucēts sistēmas veselums. Šīs shēmas ir
vienlīdz svarīgas, kā sistēmu projektējot, tā arī veicot ikdienas vadību. Par
vājo punktu var kļūt jebkura lieta, kam nav rezerves varianta, jo bez tās IS
veselums sabrūk. Arī cilvēks var būt šāds punkts.
Detalizētā shēmā, kas dod iespēju pārliecināties, kā tiek
nodrošināts veselums, var atklāties, ka ir dublēti serveri, rezerves kopēšanas
iekārtas, bet sistēmas bojājumu varbūt radīs viena elektriskā rozete. Auditos,
arī attīstības projektēšanā, ir svarīgi noskaidrot vājo punktu. Ja audits
parāda, ka sistēmā kāda mezgla darbību pārzina tikai viens cilvēks vai tikai
vienai personai ir parole, kas ļauj
sistēmai piekļūt kādā no līmeņiem, tad šis trūkums ir līdzvērtīgs minētajai
rozetei. Vadītājiem, kas patiesi grib būt pārliecināti par sistēmu drošumu, ir
jāgādā par IS iekšējo auditēšanu, pieaicinot ekspertus no organizācijām, kas šo
darbu veic profesionāli, kam ir svaiga pieeja un kas tāpēc var asāk uztvert
trūkumus.
Bez gudrām galvām neiztikt
Ir skaidrs, ka, pat dubultojot tehniku, kas nodrošina visas
sistēmas darbību, nevaram būt droši par tās veselumu, ja nav pievērsta īpaša
uzmanība cilvēku sagatavošanai. ASV pētījumi liecina, ka 80 procenti drošuma
problēmu ir saistīti ar konkrēto firmu darbiniekiem.
Kad par informācijas noplūdi uzzina Latvijā, pirmā administratoru
vēlme ir pastiprināt ugunssienu (firewall). Efektīvāk šīs situācijas varētu
novērst, vispirms izpētot, kāda loma ir pašu darbiniekiem. Tas mums jāmācās no
amerikāņiem. Pašlaik hakeriem nav pat jāpūlas izlauzties cauri ugunssienai, jo,
aptaujājot paziņu paziņas, nav grūti atrast kādu, kas strādā tur, kur
informāciju ērti var nolasīt no datora un nodot tālāk pa telefonu, neuzskatot
to par pārkāpumu. Lai nepieļautu iespēju lasīt datus no monitora ekrāna un
nodot tos tālāk, nepieciešamas iekārtas, kas filtrē, cenzē vai fiksē sarunas;
atļauto un neatļauto zvanu sistēmas.
Pieejas tiesību racionāla sadale prasa, ka pie visiem resursiem
pieejai ir jābūt vismaz diviem cilvēkiem. Īpaši jutīgajās sfērās ir jāizmanto
paņēmieni, kas liedz iespēju rīkoties vienpersoniski: dalītās paroles,
magnētiskās un čipkartes telpu slēgšanai vai pārejai no vienas telpas citā.
IS turētājiem ir jāizspēlē situācijas, kurās iespējamais ļaundaris
mēģina kaitēt. Piemēram, kas notiks, ja kādam IS darbiniekam tiek draudēts.
Vadībai ir jāveido preventīvās rīcības shēmas, kurās apdraudētie darbinieki
paši nav iesaistīti, jo draudu un stresa gadījumā viņi nedarbosies pēc shēmām
un visticamāk darba devējam par tiem pat neziņos. Shēmu uzdevums - noskaidrot,
kā atklāt draudu situāciju un kā, neapdraudot iesaistīto darbinieku, likvidēt
incidentu. Ja par to nav domāts, tad firmā ieguldītajiem tehnikas un
programmatūras miljoniem nav nekādas vērtības.
Datu ticamība
Vissarežģītākā lieta ir ticamības nodrošināšana. Ticamība pašlaik
internetā pieejamajai informācijai ir visai relatīva, jo bez pareizrakstības
kļūdām, kas, piemēram, reģistros, var ievērojami kropļot datus, iespējami arī
tīšprātīgi sagrozījumi. Ir paroļu sistēma, kas liedz neatļautas piekļuves
iespēju. Tomēr tā nav nopietns šķērslis hakeriem. Daudz lielāku drošumu sniegs
elektroniskais paraksts, kas tikai informācijas tiešajam autoram dos iespēju
mainīt sākotnējo tekstu.
Līdz šim autentisko informāciju glabā rezerves kopijas veidā, lai
to varētu salīdzināt un vajadzības gadījumā atjaunot. (Bet vai tas tiek
darīts?)
E-Latvijas kontekstā ir ļoti svarīgi, lai sistēmu veidotāji
apzinātos, kā viņi nodrošinās IS drošuma pamatpostulātu ievērošanu. Lai nenotiek
tā, ka serveris ar reģistru atrodas caurstaigājamā kabinetā kādā pagaldē, kā
tas jau dažkārt ir bijis. Ir svarīgi, lai, veidojot IS, būtu skaidrs, kas būs
tās uzturētājs un vai viņš spēs šo darbu veikt kvalitatīvi.
Pagaidām Latvijā ir tikai viena gandrīz ideāli uzturēta valsts
sistēma. Tas ir Valsts uzņēmumu reģistrs, kura IS izveidoja un uztur augsti
kvalificēta privātfirma Lursoft. Nevar noliegt, ka privāto firmu
profesionālisms ir ievērojami augstāks, jo IT ir viņu tiešais darbs.
Izstrādājot e-Latvijas pamatus, tas būtu jāņem vērā. Jāparedz visu
sistēmu kvalitātes monitoringa izveide, kas, protams, ir tikai elementāri
nepieciešamais pasākums. Biznesa cilvēku līdzdalība, nepieļaujot monopolu,
nodrošinātu augstākas garantijas ne tikai IS drošuma pamatpostulātu
ievērošanai, bet arī optimālas pakalpojumu cenas, lai attīstītos gan IT
sistēma, gan arī bizness.
Laura KALINKA
11. septembrī IT dzimtenē ASV zaudējumus cieta arī IT sistēmas. Ko
šie notikumi atklāja IT speciālistiem? Pasaules tirdzniecības centra bojāeja
izgaismoja aksiomu: nedrīkst ignorēt drošuma teoriju. SP uzklausīja Digitālās
ekonomikas attīstības centra (DEAC) direktora Jāņa KAĢA viedokli.
Amerikas notikumi parādīja, ka amerikāņi bija aizmirsuši to, ko
paši labi zināja: jau 80 gadu ASV nekustamā īpašuma apdrošināšanas kompānijas
no visiem kaitējumiem, kas rada zaudējumus, par kuriem īpašniekam maksā
atlīdzību, vienmēr kā pirmo ir minējušas lidmašīnas uzkrišanu. Tikai pēc tam
seko uguns, ūdens, zemestrīces, viesuļvētras radītie zaudējumi. Arī IT labās
prakses rekomendācijas ir vispārzināmas; tās ietver prasības, lai saglabātu
sistēmu funkcionēšanas spējas: sistēmas pieejamību, integritāti (veselumu),
datu ticamību. Ja šie ieteikumi tiktu izpildīti, tad gan terorisma, gan citās
ārkārtas situācijās posta tiktu nodarīts daudz mazāk.
Ne augstu gaisā, bet dziļi zemē
IT iekārtu izvietošana augstceltnēs ir raksturīga tieši ASV.
Terora akti apliecināja, cik šī prakse ir bīstama. Kopumā varētu teikt, ka
pasaulē ap 90 procentu IT tehnikas ir novietotas nepiemērotās telpās: neder
tādu ēku pirmie stāvi, kas pakļauti plūdiem un gruntsūdeņu svārstībām, neder
vitrīnām līdzīgi plaši logi, jo tie nav aizsargājami pret ļaunprātīgu rīcību,
kas var tehniku iznīcināt fiziski. Pietiek pretglobalizācijas aktīvistam
iesviest degmaisījuma pudeli, izraisot kaut tikai lokālu ugunsnelaimi, vai narkomānam
nozagt kādu no aparatūras sastāvdaļām, lai to realizētu melnajā tirgū, un
sistēmas veselums tiek sagrauts.
Ideālas telpas ir tās, kas spēj nodrošināt ne vien pret mehānisku
iedarbību, bet arī pret dažādiem fizikāliem faktoriem. Pazemes celtnes ar
pietiekami biezām sienām, bez logiem un ar vienu, divām ieejām - tāda mājvieta
būtu jāizraugās visām nozīmīgākajām IS.
Fizikālie faktori
Viens no būtiskākajiem drošuma komponentiem ir elektromagnētiskā
aizsardzība. Elektromagnētiskā lauka svārstības informācijas nesējos ierakstīto
informāciju var daļēji vai pilnīgi bojāt. Visbiežāk cilvēki ir informēti tikai
par zaudējumiem, kas saistīti ar elektrobarošanas traucējumiem, ko rada zibens
vai zemestrīce. Pasaulē varētu būt tikai ap 10 datorcentru, kur ir aizsardzība
pret elektromagnētiskajiem traucējumiem. Terorisma aspektā šis jautājums kļūst
aktuāls: ir zināms, ka melnajos tirgos jau tiek piedāvātas iekārtas, kas ģenerē
īpašus impulsus un spēj paralizēt IT sistēmas pat kilometru attālumā.
Elektromagnētiskā iedarbe rada neatgriezeniskus zudumus - sagrauj
arī rezerves kopijas kā uz lentēm, tā arī uz cietajiem diskiem. Vienīgā izeja -
izmantot jaunas informācijas ieraksta sistēmas un back up ierakstus glabāt
aizsargātos seifos.
Ārkārtas situāciju mācības
Daļa fizisko ietekmju nojauc pirmo postulātu - pieejamību. Tā nav
lielākā nelaime: ja datoru sistēmas izveidē kaut cik ir ievērotas
pamatprasības, tad ir datu rezervēšanas (back up) un arhivēšanas sistēmas, kur
glabājas informācijas rezerves kopijas. ASV šis noteikums bija ievērots -
daudzām IT kompānijām rezerves kopijas bija izvietotas pat citos štatos, tāpēc
IS atjaunošana notika ļoti ātri.
Latvijā Ministru kabineta 106. noteikumi uzdod visām valsts
iestādēm šo prasību ievērot, bet to
dara ārkārtīgi lēni. Lai rezervēšanas iekārtas dotu īstu drošību, ir jāievēro
pamatnosacījums - tām jāatrodas iespējami tālāk no pamatsistēmas. Tās jāizvieto
īpašos seifos vai pazemē, kur ir aizsardzība, kas vājina kaitīgo starojumu.
Patiesi efektīva, tikai kvadrātmetru liela seifa izmaksas ir ap 10
000 latu. Latvijas firmas var atļauties seifu, kur glabāt rezerves lentes, bet
ne serverus. Visgudrāk un lētāk būtu slēpties zem zemes.
Valsts mērogā šāda aizsardzība pirmām kārtām ir nepieciešama
visiem valsts reģistriem. Pagaidām par to nav domāts. Konkrēti - ja telpās,
kurā darbojas IS, mobilā telefona signālam nav vājinājuma, tas nozīmē, ka
sistēma ir pilnīgi neaizsargāta.
Integritāte
Integrētā IS visas daļas strādā saskaņoti un saprot cita citu.
Integritāte ir visas sistēmas veseluma priekšnoteikums, kas ietver kā
tehniskos, tā informācijas resursus. Lai izprastu, kas nodrošina IS veselumu,
ir nepieciešams veidot IS funkcionālās
shēmas.
Tās palīdz noskaidrot, kādi tehnikas, cilvēku un komunikāciju
iekārtu resursi ir tie, bez kuriem ir traucēts sistēmas veselums. Šīs shēmas ir
vienlīdz svarīgas, kā sistēmu projektējot, tā arī veicot ikdienas vadību. Par
vājo punktu var kļūt jebkura lieta, kam nav rezerves varianta, jo bez tās IS
veselums sabrūk. Arī cilvēks var būt šāds punkts.
Detalizētā shēmā, kas dod iespēju pārliecināties, kā tiek
nodrošināts veselums, var atklāties, ka ir dublēti serveri, rezerves kopēšanas
iekārtas, bet sistēmas bojājumu varbūt radīs viena elektriskā rozete. Auditos,
arī attīstības projektēšanā, ir svarīgi noskaidrot vājo punktu. Ja audits
parāda, ka sistēmā kāda mezgla darbību pārzina tikai viens cilvēks vai tikai
vienai personai ir parole, kas ļauj
sistēmai piekļūt kādā no līmeņiem, tad šis trūkums ir līdzvērtīgs minētajai
rozetei. Vadītājiem, kas patiesi grib būt pārliecināti par sistēmu drošumu, ir
jāgādā par IS iekšējo auditēšanu, pieaicinot ekspertus no organizācijām, kas šo
darbu veic profesionāli, kam ir svaiga pieeja un kas tāpēc var asāk uztvert
trūkumus.
Bez gudrām galvām neiztikt
Ir skaidrs, ka, pat dubultojot tehniku, kas nodrošina visas
sistēmas darbību, nevaram būt droši par tās veselumu, ja nav pievērsta īpaša
uzmanība cilvēku sagatavošanai. ASV pētījumi liecina, ka 80 procenti drošuma
problēmu ir saistīti ar konkrēto firmu darbiniekiem.
Kad par informācijas noplūdi uzzina Latvijā, pirmā administratoru
vēlme ir pastiprināt ugunssienu (firewall). Efektīvāk šīs situācijas varētu
novērst, vispirms izpētot, kāda loma ir pašu darbiniekiem. Tas mums jāmācās no
amerikāņiem. Pašlaik hakeriem nav pat jāpūlas izlauzties cauri ugunssienai, jo,
aptaujājot paziņu paziņas, nav grūti atrast kādu, kas strādā tur, kur
informāciju ērti var nolasīt no datora un nodot tālāk pa telefonu, neuzskatot
to par pārkāpumu. Lai nepieļautu iespēju lasīt datus no monitora ekrāna un
nodot tos tālāk, nepieciešamas iekārtas, kas filtrē, cenzē vai fiksē sarunas;
atļauto un neatļauto zvanu sistēmas.
Pieejas tiesību racionāla sadale prasa, ka pie visiem resursiem
pieejai ir jābūt vismaz diviem cilvēkiem. Īpaši jutīgajās sfērās ir jāizmanto
paņēmieni, kas liedz iespēju rīkoties vienpersoniski: dalītās paroles,
magnētiskās un čipkartes telpu slēgšanai vai pārejai no vienas telpas citā.
IS turētājiem ir jāizspēlē situācijas, kurās iespējamais ļaundaris
mēģina kaitēt. Piemēram, kas notiks, ja kādam IS darbiniekam tiek draudēts.
Vadībai ir jāveido preventīvās rīcības shēmas, kurās apdraudētie darbinieki
paši nav iesaistīti, jo draudu un stresa gadījumā viņi nedarbosies pēc shēmām
un visticamāk darba devējam par tiem pat neziņos. Shēmu uzdevums - noskaidrot,
kā atklāt draudu situāciju un kā, neapdraudot iesaistīto darbinieku, likvidēt
incidentu. Ja par to nav domāts, tad firmā ieguldītajiem tehnikas un
programmatūras miljoniem nav nekādas vērtības.
Datu ticamība
Vissarežģītākā lieta ir ticamības nodrošināšana. Ticamība pašlaik
internetā pieejamajai informācijai ir visai relatīva, jo bez pareizrakstības
kļūdām, kas, piemēram, reģistros, var ievērojami kropļot datus, iespējami arī
tīšprātīgi sagrozījumi. Ir paroļu sistēma, kas liedz neatļautas piekļuves
iespēju. Tomēr tā nav nopietns šķērslis hakeriem. Daudz lielāku drošumu sniegs
elektroniskais paraksts, kas tikai informācijas tiešajam autoram dos iespēju
mainīt sākotnējo tekstu.
Līdz šim autentisko informāciju glabā rezerves kopijas veidā, lai
to varētu salīdzināt un vajadzības gadījumā atjaunot. (Bet vai tas tiek
darīts?)
E-Latvijas kontekstā ir ļoti svarīgi, lai sistēmu veidotāji
apzinātos, kā viņi nodrošinās IS drošuma pamatpostulātu ievērošanu. Lai nenotiek
tā, ka serveris ar reģistru atrodas caurstaigājamā kabinetā kādā pagaldē, kā
tas jau dažkārt ir bijis. Ir svarīgi, lai, veidojot IS, būtu skaidrs, kas būs
tās uzturētājs un vai viņš spēs šo darbu veikt kvalitatīvi.
Pagaidām Latvijā ir tikai viena gandrīz ideāli uzturēta valsts
sistēma. Tas ir Valsts uzņēmumu reģistrs, kura IS izveidoja un uztur augsti
kvalificēta privātfirma Lursoft. Nevar noliegt, ka privāto firmu
profesionālisms ir ievērojami augstāks, jo IT ir viņu tiešais darbs.
Izstrādājot e-Latvijas pamatus, tas būtu jāņem vērā. Jāparedz visu
sistēmu kvalitātes monitoringa izveide, kas, protams, ir tikai elementāri
nepieciešamais pasākums. Biznesa cilvēku līdzdalība, nepieļaujot monopolu,
nodrošinātu augstākas garantijas ne tikai IS drošuma pamatpostulātu
ievērošanai, bet arī optimālas pakalpojumu cenas, lai attīstītos gan IT
sistēma, gan arī bizness.
Laura KALINKA