Holgers Spons: Pagājušajā gadā kiberdrošības konferencē ASV, kas gan notika jau pēc vēlēšanām, viena no apspriestākajām tēmām bija iespēja “uzlauzt” balsošanas mašīnas. “Hakeriem” tika iedotas balsošanas mašīnas ar mērķi tās uzlauzt. Uzlauztas tika visas. Līdz ar to tās vairs nav tikai mašīnas. Tā ir kļuvusi par acīmredzamu iespēja “uzlauzt demokrātiju”. Vai mēs to esam pamanījuši? Es teiktu, ka dažos gadījumos esam pamanījuši, bet dažos neesam. Taču vēl interesantāks ir jautājums - kurš kaut ko darīs, lai to apstādinātu?
Ir eksperti, kuri apgalvo, ka šis jau ir hibrīdkarš. Militārajā izpratnē tam var piekrist - notiek spekulācijas ar informāciju un neīstām personām, kā arī mediju ietekmēšana.
Taču miltārpersonas nebūs tās, kas šo situāciju labos. Un ko mēs tagad darīsim? Ignorēt to vairs nevar...
Ieva Treija: Kāpēc tieši vēlēšanu kontekstā būtu īpaša uzmanība jāpievērš kiberdrošībai?
- Vēlēšanu procesā tiek iegūts liels daudzums trešās personas datu, kas nozīmē, ka miljoniem cilvēku personīgās un profesionālās dzīves ir pakļautas riskam. Kādam ir pieejami dati gan par cilvēku seksuālo orientāciju, reliģiskajiem uzskatiem, izglītību, gan arī par to, vai viņam ir ierocis un suns. Visa šī informācija tiek analizēta, kategorizēta un var tikt izmantota konkrētu cilvēku grupu sasniegšanai, ņemot vērā pieejamo informāciju par viņu. Un ir jāapzinās, cik lielā mērā nepatiesās ziņas, ja vien izplatītas īstajā laikā un īstajos kanālos, var ietekmēt masu viedokli. Ja, piemēram, rīt ir balsošana un šodien tiek izplatītas nepatiesas ziņas, tad valdībai vispār nav iespēju reaģēt uz izplatīto informāciju!
Ja mēs kādreiz visur pasaulē gribēsim izmantot elektronisko balsošanu, mums ir jābūt pilnīgi pārliecinātiem, ka esam izpildījuši savu mājasdarbu procesa aizsargāšanā.
Vēlētājiem ir jābūt pārliecinātiem, ka viņu balss ir tikusi pieņemta un nav pazaudēta. Kāda matemātiska kļūda ir pieņemama? Ja mēs iedomājamies, ka ir 100 miljoni balsotāju un viens procents ir pieļaujamā kļūda, tad viens procents no šiem 100 miljoniem ir diezgan daudz cilvēku, kuru viedoklis nebūs uzklausīts. Tāpat - kā tu vari būt drošs, ka balsis ir saskaitītas pareizi un neviens nav piekļuvis sistēmai un ietekmējis iznākumu?
Igaunijas Kiberdrošības ekselences centra pārstāvji, uzstājoties kiberdrošībai veltītā konferencē ''Cycon'', tā arī teica - mums ir cilvēki, informācija par viņiem un viņu uzticība. Ja kādreiz mēs to pazaudēsim, tad mums būs problēma - mēs būsim mūsu cilvēkus pievīluši. Domāju, ka daudzu valstu valdības tā nedomā - viņi slēpjas un padara lietas sarežģītas un necaurredzamas.
- Kurš ir ieinteresēts nedrošības uzturēšanā?
- Tās lielākoties ir valstis, kas mēģina iejaukties kādas citas valsts iekšpolitikā. Ja skatāmies uz Eiropas Savienību (ES), mēs visi sēžam vienā laivā. Tajā pašā laikā mēs katrs esam neatkarīga valsts un vide, un mēs tādi vēlamies palikt. Manuprāt, ES šobrīd ar to cīnās. Neko nav iespējams norādīt ne vāciešiem, ne spāņiem, ne francūžiem!
- Kam būtu jārūpējas par esošās situācijas mainīšanu, labošanu?
- Tas ir labs jautājums. Manuprāt, tai ir jābūt konkrētās valsts valdības problēmai, taču tai būtu jāprasa palīdzība, ja tāda ir nepieciešama.
Valdībai ir jāpieliek maksimāli lielas pūles un jābūt ieinteresētai nosargāt informāciju par savas valsts iedzīvotājiem, jo tā ir iedzīvotāju ievēlēta. Un šīm interesēm būtu jābūt nemainīgām neatkarīgi no partijas, kas šobrīd ir pie varas.
Tikai tad ir iespējama nacionālās identitātes aizstāvēšana. Tad neviens kaimiņš nenorādīs, kas ir jādara - visu procesu kontrolēs konkrētās valsts valdība. Militārie dienesti var būt palīgi. Viņi saprot informācijas izplatīšanas principus, spiegošanu, apvērsumu organizēšanu, jo šie koncepti ir 100 gadus veci. Militārie dienesti šos konceptus ir gan izmantojuši paši, gan arī pret tiem cīnījušies.
- Jūs šobrīd pārstāvat NATO. Kāda varētu būt šīs drošības alianses loma?
- NATO 2016. gadā pirmo reizi atzina kibertelpu par operatīvo darbību vietu tāpat kā zemi, gaisu un ūdeni.
Tas nozīmē, ka valstis un to vadītāji ir vismaz sapratuši šo iepriekš izklāstīto jautājumu nozīmīgumu. Tāpat visas dalībvalstis vienojās, ka vājākajām alianses partnerēm ir nepieciešama citu valstu palīdzība atbilstoša kiberdrošības līmeņa nodrošināšanā. Tas ir labs sākums. Ja kāda valsts ir piedzīvojusi kiberuzbrukumu, NATO ir kapacitāte nosūtīt tai speciālistus, kas varētu palīdzēt. Uzbrukums var būt ne tikai tiešs, bet arī izmantojot medijus vai citus informācijas resursus. Tāpat, ja kāda valsts jūtas apdraudēta, tā var pieteikties palīdzības saņemšanai.
- Cik aktīvas ir dažādu valstu valdības palīdzības pieprasīšanā?
- Dažādos eksperimentos šī palīdzība ir izmēģināta, bet reālās situācijās izmantota ļoti maz. Mums vēl daudz darba jāiegulda, lai mēs spētu nodrošināt darbu kibertelpā tādā pašā līmenī kā citās telpās. Un mums jārīkojas ātri, jo, iespējams, mums nav nemaz tik daudz laika, lai saprastu, ko mums patiesībā vajadzētu darīt. Var būt arī par vēlu.
- Kas ir kibertelpa?
- Mums trūkst oficiālas definīcijas šim terminam, tāpēc bieži atgriežamies pie diskusijām par to, kas tas ir. Es teiktu, ka tā ir cilvēku izveidota telpa. Katra iekārta, kam ir kaut kāda informācija, ir savstarpēji savienota ar citu. Tā, iespējams, pieder kādai organizācijai, tomēr tā ir arī kopējās kibertelpas daļa.
Tātad kibertelpa ir informācija, cilvēki un aktīvi, kas darbojas elektroniski un satur vai apstrādā informāciju, kā arī atbalsta aktivitāti, ko mēs vēlamies veikt.
- Ja mums trūkst definīcijas, droši vien mums trūkst arī likumu.
- Jā, tā ir. Vajadzīgs ļoti ilgs laiks, lai tos izstrādātu, tāpēc incidentiem vienmēr ir pozitīvas sekas. Piemēram, ''Titānika'' noslīkšana mudināja izveidot aizbergu brīdināšanas sistēmu. Kas attiecas uz kibertelpu - mums nav laika, lai pie risinājumiem nonāktu dabīgā ceļā. Juristiem ir jāpasteidzas, jo mums ir vajadzīgas vadlīnijas. Tas nav apvainojums, bet izskatās, ka vai nu mēs pārspīlējam ar regulējumu, vai pievēršam tam pārāk maz uzmanības.
Piemēram, daudzās valstīs ir diskusija par uzlaušanas instrumentiem (hacking tools - angļu val.). Ja tiek izmantoti ētiski, tad tie ir spēcīgi instrumenti, lai norādītu uz problēmām. Ja šie instrumenti nonāk ļaundara rokās, tad var tikt izmantoti iznīcināšanai vai sabojāšanai. Vai šo var savietot juridiski korektās robežās? Es neesmu drošs. Tāpēc mums jābūt uzmanīgiem, jo juridiski varam aizliegt darboties tiem cilvēkiem, kuri patiešām var mums palīdzēt. ''Tesla'' ir labs piemērs. Pirms dažiem gadiem tā devās pie “hakeru” kopienas, iedeva auto un teica - lūdzu, parādiet, kas ar to nav kārtībā. Tas juristiem būtu jāatļauj, tāpēc šobrīd viņiem ir ļoti sarežģīts uzdevums.
Vēl viens piemērs - spiegošana. Tā ir pazīstama tūkstošiem gadu. Mainās tikai metodes, kā tas tiek darīts. Piemēram, šobrīd notiek kiberspiegošana, kas starptautiskajā likumdošanā oficiāli ir aizliegta. Taču visi ar to nodarbojas, tāpēc attieksme ir iecietīga. Patiesībā tā būtu nekavējoties jānovērš, bet tas nekad nenotiks.
- Vai mēs kontrolēsim viņus vai viņi kontrolēs mūs?
- Mēs neesam tikuši galā ar pagātnes problēmām, kas mums ir zināmas jau gadu desmitiem. Labākais piemērs - ļaunā programmatūra, par kuras eksistenci mēs zinām jau kopš pirmā datora parādīšanās. Un
joprojām kāds var nozagt datus un pieprasīt izpirkuma maksu par to atgūšanu. Tāpat, manuprāt, nekad nepazudīs programmatūras ievainojamība.
Nākamais piemērs lietu internets (IOT, internet of things - angļu val.). Tas savieno visu ar visu pārējo. Pašlaik iekārtas ir pārāk mazas, pārāk mazjaudīgas, ar vāju dizainu un nepieļaujami zemu drošības līmeni. Ar IOT mēs nokļūstam nākotnē, kas nav droša. Un kļūs tikai sliktāk. Un visi brīnīsies, kā tas varēja notikt? Atskanēs atbilde - mēs taču jums teicām, ka tā būs! Pirmie signāli jau ir redzami. Konferencē Lasvegasā eksperts rādīja saziņas protokolu, sakaņā ar kuru bija jānotiek informācijas apmaiņai starp IOT ierīcēm ļoti vienkāršā un saprotamā formā. Un tas ir apbrīnojami, ka šī saziņa ir atvērta un viegli pieejama. Ja mēs turpināsim iet šajā virzienā, es pat negribu iedomāties, kas var notikt.
- Kā mums pietrūkst, lai atrisinātu visus šos izaicinājumus?
- Gan valdībai, gan uzņēmumiem, gan cilvēkiem ir tikai viena problēma - drošība ir šķērslis attīstībā. Lai radītu kaut ko drošu, tas palēninās ražošanas procesu. Tajā neviens nav ieinteresēts, jo nepieciešams izveidot gudrākus risinājumus, lai apsteigtu savus konkurentus. Pagaidām gadās tikai: ”Ups, šo mēs nebijām paredzējuši!” Taču ar laiku šim “ups” var būt daudz nopietnākas sekas. Mums vairs nepietiek ar esošajiem risinājumiem, piemēram, antivīrusa programām.
Tās antivīrusa programmas, ko mēs izmantojam uz datora, mēs nevaram izmantot mobilajā telefonā, jo tās “nogalina” akumulatoru. Tāpēc ir nepieciešamas jaunas.
Pirms dažiem gadiem, kad aktuālas kļuva diskusijas par iespēju uzlauzt pašbraucošo automašīnu sistēmas, ražotāji paziņoja, ka uzstādīs antivīrusa sistēmas. Ja jūs saprotat kaut ko no tehnoloģijām, tad jums ir skaidrs, ka tās šobrīd pat nespēj pasargāt datorus. Un tagad Jūs tās gribat uzstādīt automašīnām?
Nākamā problēma ir sistēmas atjaunošana. Kas to darīs? Daudziem cilvēkiem joprojām ir veci telefoni ar neatjauninātu sistēmu. Tas pats var notikt ar automašīnām. Tātad tā nav atbilde un ir jābūt kaut kam citam, ko var darīt. Turklāt sistēmas kļūst tik sarežģītas, ka tas vairs nav viena uzņēmuma spēkos rūpēties par visu drošību. Labākais pirmērs ir viedtālrunis. Cik daudz operētājsistēmu un tehnoloģiju ir mobilajā telefonā? Un ražotājs nevar būt atbildīgs par operētājsistēmu drošību. Savukārt tas, kurš ir atbildīgs par operētājsistēmu, nezina neko par to, kas vēl ir telefonā, un tas viņam arī nav jāzina. Tātad, ja uzbrukums notiek ne tavam līmenim, tu neko nevari darīt. Te svarīga ir savstarpēja sadarbība.
Tas, kas, manuprāt, šobrīd vajadzīgs, ir daudz ētiskāka pieeja visiem drošības uzstādījumiem. Mums ir jāsasniedz tas līmenis, ko reiz aprakstīja viens no uzņēmuma ''Cisco'' vadītājiem. Viņš teica: ja uzņēmuma darbinieks atrodas slimnīcā intensīvās terapijas palātā, pamostas un redz, ka viņa pārstāvētā uzņēmuma iekārtas viņu šobrīd uztur pie dzīvības, - viņš mierīgi varēs aizmigt vai arī viņam būs jādzīvo pastāvīgās bailēs? Domāju, ka tas ir līmenis, kas mums visiem kopīgi ir jāsasniedz. Tad mēs vismaz varēsim apgalvot, ka esam darījuši visu labāko, ko esam varējuši darīt. Iespējams, ar to nepietiks, bet mēs vismaz būsim mēģinājuši.
