“Mans viedtālrunis nekad nav bijis pieslēgts internetam.” Kārlis Streips par kiberdrošību 11
Ziemassvētku rītā agri, agri no rīta Nešvilas iedzīvotājus Tenesī štatā pārsteidza milzīgs sprādziens. Kāds cilvēks nakts tumsā bija novietojis atpūtas izklaides spēkratus uz ielas. Vispirms policija Nešvilā saņēma ziņojumu par it kā apšaudi attiecīgajā teritorijā.
Reiz policija tur nonāca, no spēkratiem atskanēja metāliska sievietes balss ar aicinājumu nekavējoties evakuēt visus apkārtējos iedzīvotājus, jo pēc 15 minūtēm sprāgs bumba. Policija tā arī izdarīja un, kad nudien tā uzsprāga, tikai trīs cilvēki guva mērenus ievainojumus, bet neviens negāja bojā.
Nākamajās dienās policija atklāja ļaundari, un, konstatējot, ka vissmagāk bojāta bija ēka, kurā bija telefona un cita veida komunikāciju centrāle, par vienu no versijām izvirzīja domu, ka cilvēkam, iespējams, bija iebildumi pret 5G telekomunikāciju sistēmas ieviešanu Nešvilā.
Ir zināms, ka viņš pats sprādzienā gāja bojā.
Jautājums par 5G nav konkrēti saistīts ar kiberdrošības jautājumiem, lai gan tas uzrāda, ka mūsdienu elektroniskajā vidē cilvēki var satraukties par ne to vien.
Attiecībā uz kiberdrošību kā tādu, neesmu nekāds īpašs speciālists. Manā izpratnē personīgā kiberdrošība nozīmē nopirkt vīrusa aizsardzības pakalpojumus, nekad, nekad neatvērt neko, kas atsūtīts no nezināmas e-pasta adreses u.tml.
Pāris reizes ar mani ir sazinājušies hakeri ar apgalvojumu, ka viņi ir ielauzušies manā datorā. Abos gadījumos policija ātri vien izokšķerēja, kurš cilvēks tas bijis, un ar to arī viss bija pateikts.
Mobilo telefonu jomā man ir viedtālrunis, kuram es ļauju būt neviedam. Tas nav un nekad nav bijis pieslēgts internetam.
Pirmkārt, es visu dienu pavadu pie datora, vakaros skatos televīziju, un ekrānu ziņā ar to man pilnībā pietiek. Otrkārt, nekad neesmu varējis saprast, ko kāds tajā mazajā telefona lodziņā spēj saķīķerēt. Man ir liels datora monitors, arī ar to man pietiek.
Cita joma, kurā nācies domāt par personīgo kiberdrošību, ir saistāma ar faktu, ka pēdējo dienu laikā man pienākuši vairāki e-pasti, kuros teikts, ka sākot ar šā gada 31. janvāri daudz intensīvāk sāks pārbaudīt kredītkaršu lietošanu interneta vidē ar tā dēvētās stingrās lietotāja autentifikācijas palīdzību. Runa ir par jaunu Eiropas Savienības regulu par tēmu.
Pirms pāris gadiem stājās spēkā jauna Eiropas privātuma regula, kuras galvenais efekts bija apstāklī, ka piepeši laikraksti Amerikā, kuru mājaslapas apmeklēju regulāri, paziņoja, ka tā kā es biju Eiropas Savienībā, tie, diemžēl savus pakalpojumus nevarēja piedāvāt.
Juristi intensīvi meklēja alternatīvus variantus, bet pagaidām čau. Laikraksta The Chicago Tribune gadījumā tas prasīja gandrīz divus gadus, iekams juristi izdomāja, kā rīkoties tālāk.
Savukārt attiecībā uz drošību karšu maksājumos, jau esmu pieredzējis situācijas, kurās pēc informācijas ievadīšanas, parādās atsevišķs lodziņš no kredītkartes kompānijas ar lūgumu, ievadīt vēl pāris datus.
Tā laikam arī ir tā stingrā autentifikācija, un tāpēc šajā ziņā neparedzu, ka iestāsies kaut kādas nepārvaramas grūtības.
Plašākā nozīmē esmu žurnālists, kurš daudz lasa un pēta, un tāpēc, piemēram, es zinu, ka pirms pāris nedēļām Amerikas drošības instances atklāja masīvu hakošanas uzbrukumu pret dažādām valsts iestādēm, kuru gandrīz noteikti organizēja Krievijas specdienesti, un kurš, cik varēja spriest, bija turpinājies visnotaļ daudzu mēnešu garumā, nevienam to nepamanot.
Pašreizējās Amerikas gadījumā tas ir vismaz daļēji tāpēc, ka aizejošais ASV prezidents Tramps grūti saprotamu iemeslu dēļ ar Krieviju un tās caru visu četru gadu garumā čupojās, nekad nevienu sliktu vārdu par caru neteica.
Nav pārsteigums, ka caram un viņa pakalpiņiem tas sūtīja signālu, ka viņi varēs nodarboties ar saviem nedarbiem, un vismaz Amerikā gailis pakaļ nedziedās.
Kā nekā, 2016. gadā Kremļa specdienestiem izdevās uzlauzt serverus, nozagt milzīgu kaudzi iekšēju e-pastu un, ļoti iespējams, tā nodrošināt, ka vēlēšanās togad šauri uzvarēja Tramps, nevis Hilarija Klintone.
Tuvāk mājām, lielākais kiberuzbrukums, kādu personīgi atceros, bija Tallinā 2007. gadā, kad pašvaldība nolēma no pilsētas centru uz kādu attālāku kapsētu pārcelt 2. pasaules kara laika pieminekli.
Tam sekoja visai masīvi uzbrukumi pret dažādām Igaunijas valsts iestādēm, un tobrīd speciālisti uzskatīja, ka tas bija nepieredzēti detalizēts un izsmalcināts uzbrukums. Protams, datoru un informācijas pasaulē, 2007. gads ir senvēsture. Minētajos uzbrukumos Amerikā speciālisti arī ir secinājuši, ka tie bija daudz smalkāki nekā pirms četriem gadiem.
Latvijas kiberdrošības stratēģija 2019.-2022. gadam kiberdrošību skaidro šādi: “Kiberdrošība ir visaptverošs valsts aizsardzības sistēmas elements.
Visaptverošā valsts aizsardzībā, kur katrs sabiedrības loceklis tiek organizēts, lai aizsargātu valsti pret visa veida uzbrukumiem, gan militāriem, gan nemilitāriem, kiberaizsardzībai ir aizvien lielāka nozīme, ņemot vērā sekas, kādas valstij un sabiedrībai var nodarīt pret to vērsts kiberuzbrukums.
Kiberdrošības politikas vīzija ir droša, atvērta, brīva un uzticama kibertelpa, kurā ir garantēta valstij un sabiedrībai būtisku pakalpojumu droša, uzticama nepārtraukta saņemšanas un sniegšana un indivīda cilvēktiesības tiek ievērotas kā fiziskajā, tā virtuālajā vidē.”
Eiropas līmenī, šogad 16. decembrī Eiropas komisija un Eiropas Augstais pārstāvis ārpolitikas un drošības politikas jautājumos prezentēja jaunu kiberdrošības stratēģiju: “Stratēģijā atrunāta būtisku pakalpojumu drošība, piemēram, slimnīcās, energotīklos un dzelzceļos, kā arī arvien pieaugošo tīmeklim piesaistīto ierīču skaits mūsu mājās, birojos un fabrikās. Veidosim kolektīvu spēju, reaģēt uz lieliem kiberuzbrukumiem. Sadarbosimies ar partneriem visā pasaulē, lai nodrošinātu starptautisku drošību un stabilitāti kibertelpā.”
Atbildīgā aģentūra šajā jomā ir Eiropas Savienības tīkla un informācijas drošības aģentūra. Tā sniedz atbalstu dalībvalstīm, kā arī ES iestādēm un uzņēmumiem, tajā skaitā pārraugot 2019. gadā pieņemtās kiberdrošības regulas prasību ieviešanu un ievērošanu.
Vēl te var pieminēt tā dēvēto NESAS standartu (tīkla tehnikas drošības nodrošināšanas shēma), kuru 2008. gadā proponēja telekomunikāciju uzņēmums Ericsson un izstrādāja organizācija GSMA (Globālā mobilo komunikāciju sistēma).
Mērķis šim standartam ir nodrošināt ietvaru, kurā noteikt drošības principus mobilo telekomunikāciju industrijā, nosakot pamata līmeni, kurā tie ir jānodrošina.
Huawei ir viens no uzņēmumiem, kuri ir nokārtojuši visas attiecīgās prasības un saņēmuši vajadzīgo sertifikātu.
Uzņēmuma viceprezidents kiberdrošības un privātuma nodrošināšanas jautājumos Mika Laude nesen kādā intervijā teica, ka tas nozīmē, ka “mūsu piedāvātais 5G bezvadu un galvenā tīkla aprīkojums ir veiksmīgi izturējis testēšanu, ir izstrādāts saskaņā ar vadlīnijām un pilnībā atbilst visām drošības prasībām. NESAS apliecinājums ir tikai viens no pierādījumiem, kas apstiprina uzņēmuma iekārtu atbilstību augstākajām drošības prasībām.”
Rīgā ir CERT.LV, kas ir informācijas tehnoloģiju drošības incidentu novēršanas iestāde ar mērķi veicināt informācijas tehnoloģiju drošību mūsu valstī. Tā ir Latvijas universitātes Matemātikas un informātikas institūta paspārnē esoša struktūrvienība, kuras galvenie uzdevumi ir “uzturēt un aktualizēt informāciju par IT drošības apdraudējumiem, sniegt atbalstu valsts institūcijām IT drošības jomā, sniegt atbalstu IT drošības incidentu novēršanā jebkurai fiziskai vai juridiskai personai, ja incidentā iesaistīta Latvijas IP adrese vai .LV domēns, organizēt informatīvus un izglītojošus pasākumus gan valsts iestāžu darbiniekiem, gan IT drošības profesionāļiem, gan citiem interesentiem.”
Man pāris reizes nācies intervēt CERT pārstāvjus, un nepārprotami viņi ir savas jomas visaugstākā līmeņa speciālisti. Ja cilvēks no CERT saka, ka nav iemesla uztraukties, tad neuztraucos. Ja saka, ka ir iemesls uztraukties, tad uztraucos.
Man vienmēr datorā ir bijusi vīrusu aizsardzības programma. Viens, ko iemācījos jau sen, ir fakts, ka nekad nav prāta darbs par šādām programmām uzdot jautājumus interneta vidē, jo atbildes nāks visdažādākās. Vieni teiks, ka attiecīgā programma ir pats perfektums, citi atkal, ka pēdējais draņķis.
Jau vairāku gadu garumā lietoju Kasperski, lai arī zinu, ka Amerikā valsts iestādēm ir aizliegts to lietot, jo, iespējams, Kasperskim ir pārāk ciešas saites ar Krievijas režīmu. Par to nezinu. Manā datorā sistēma nudien bloķē to, kas ir bloķējams, atsevišķos gadījumos atver jaunu lodziņu dažādu funkciju veikšanai, kurš it kā ir drošāks lodziņš nekā iepriekšējais. Kad pienāk laiks nopirkt abonementu nākamajam gadam, daru tā.
Būtībā man attiecībā uz kiberdrošību ārpus tā vienkārši nākas sakrustot pirkstus un cerēt, ka būs labi. CERT mājaslapā, piemēram, ir piedāvāts iegādāties “DNS ugunsmūri,” un tad piebilsts: “Lai nodrošinātu sev vai saviem klientiem šo papildu aizsardzību, jāizmanto NIC rekursīvie DNS serveri.” Tad uzskaitīti šie rekursīvie serveri, un tad šāds atzinums: “NIC DNS IP adresi vēlams mainīt maršrutētāja vai DHCP servera konfigurācijā, lai nav jākonfigurē pašu iekārtu IP adrešu iestatījumi.”
Nezinu, kas ir rekursīvs serveris, un pilnīgi noteikti nezinu, kā mainīt IP adresi maršrutētājā vai servera konfigurācijā. Ja kas, nezinu, kur atrodas mans maršrutētājs un kur atrodas mans serveris. Man jau sen ir bijis cilvēks, kurš, ja ar datoru rodas kaut kādas ķibeles, atnāk un to saved kārtībā, bet nezinu, ko viņš dara un kā viņš to izdara.
Un tāpēc secinājums man kā vidējam latvietim var būt tikai viens. Ja es sev iegādājos kārtīgu vīrusa aizsardzības programmu, un, ja es ik pa brīdim piedomāju pie parolēm, kādas lietoju internetā, tad tas būtībā ir viss, ko es kiberdrošības jomā varu darīt.
Priecājos, ka Latvijā, Eiropā un pasaulē ir lielas un dūšīgas iestādes, kuras cenšas šādus grēkus novērst daudz plašākā un lielākā līmenī. Laikam mums visiem pārējiem nākas vien turēt īkšķus un cerēt, ka būs labi.