Elīna Vīksne,
vecākā eksperte, AMNacionālās kiberdrošības
politikas koordinācijas nodaļa.
Kibertelpā nav tādas informācijas
sistēmas, kurā nebūtu atrodams kāds
drošības caurums vai nepilnība. Katrs
šāds trūkums ir iespēja kādam izmantot
sistēmas vājumu ļaunprātīgiem
nolūkiem. Atbildīgs drošības nepilnību
atklāšanas process (AA process) dod
iespēju šādu trūkumu meklēšanā iesais-
tīties ikvienam godprātīgam pētniekam,
IT drošības entuziastam vai, kā visbiežāk
sakām, —hakerim. Taču nelikumīga
piekļuve informācijas sistēmai ir
salīdzināma ar ielaušanos privātīpašumā,
un tāda rīcība ir krimināli sodāma.
Turklāt doma par hakeri, kurš ielaužas
sistēmās un meklē tajās drošības
trūkumus, pirmajā brīdī šķiet, mazākais,
neprātīga. Taču dažādas iniciatīvas ar
tieši šādu mērķi aizvien biežāk tiek
veicinātas kā privātajā, tā valsts sektorā.
Šī gada pavasarī ASV Aizsardzības de-
partaments izziņoja programmu «Uzlauz
Pentagonu», kuras ietvaros aicināja hakerus
pieteikties ievainojamības jeb drošības ne-
pilnību meklēšanai. Programmas ietvaros
25 dienu laikā hakeri varēja testēt un meklēt
ievainojamību ASV Aizsardzības departa-
menta piecos publiskajos resursos:
defense.gov
,
dodlive.mil
,
dvidshub.net, myafn.net
un
dimoc.mil
. Programmas rezultāti bija ie-
spaidīgi — 1410 programmas dalībnieki sa-
gatavoja 1189 ievainojamības ziņojumus, no
kuriem 138 tika novērtēti kā unikāli. Sekojot
veiksmīgajai «Uzlauz Pentagonu» program-
mai, ASV armija 11. novembrī izziņoja, ka
drīzumā plāno īstenot programmu «Uzlauz
armiju», kurā hakeri tiks aicināti testēt armi-
jas rekrutēšanas mājaslapas un datu bāzes,
kuras uztur personisku informāciju par ar-
mijas esošo un topošo personālu.
Lai arī ASV aizsardzības resors ir priekš-
gājējs šādu programmu ieviešanai publiskajā
sektorā, paredzams, ka tuvākajā laikā sekos
līdzīgas iniciatīvas arī no citu sektoru valsts
institūcijām. Bet kas pamudināja ASV izai-
cināt savas valsts sistēmas un to drošību,
turklāt aicinot to darīt cilvēkus no malas?
No kurienes šāda revolucionāra pieeja?
Jāatzīst, ka šī pieeja pati par sevi nav nekāds
jaunums un ASV valsts institūciju aizsāktās
iniciatīvas starptautiski ir pazīstamas kā
Responsible Disclosure Policy
(atbildīgas at-
klāšanas politika). Līdzīgas programmas,
kas atļauj hakeriem testēt sistēmas un ziņot
par atklāto ievainojamību, privātajā sektorā
jau gadiem ilgi ir īstenojušas tādas kompā-
nijas kā
Microsoft
,
Google
,
Facebook
un
daudzas citas. Valstiskā līmenī Nīderlande
2013. gadā kļuva par pirmo valsti, kas visap-
tverošā veidā veicina un atbalsta AA pro-
cesa ieviešanu kā valsts, tā privātajā sektorā.
Spēles noteikumi
AA process paredz, ka hakeris veic dro-
šības nepilnību meklēšanu, testējot institū-
cijas resursus un cenšoties pārvarēt dažādus
aizsardzības mehānismus. Kad hakerim ar
savām darbībām ir sekmīgi izdevies iekļūt
tur, kur viņam pēc būtības nevajadzētu no-
nākt, viņš par atklāto ziņo institūcijai vai uz-
ticamam koordinatoram, piemēram, Nacio-
nālajamkiberdrošības centramvai
CERT
ko-
mandai. Lai hakera darbības skaitītos AA
procesa ietvarā, viņam jāievēro divi galve-
nie principi. Pirmkārt, lai pierādītu atklāto
drošības nepilnību, hakeris nodara mazāko
iespējamo kaitējumu un ievāc pēc iespējas
mazāk pierādījumu. Otrkārt, hakeris par
atklājumu ziņo tieši konkrētā resursa īpaš-
niekam vai uzticamajam koordinatoram,
nevis žurnālistam, kaimiņam vai ieraksta
informāciju kādā sociālajā tīklā. Tādā veidā
hakeris dod institūcijai laiku un iespēju no-
vērst atklāto drošības nepilnību. Kad atklā-
tie caurumi ir aizlāpīti, institūcija un hakeris
var vienoties par informācijas publiskošanu.
AA process uzliek atbildību ne tikai hake-
rim korekti un precīzi ievērot spēles notei-
kumus. Atbildība ir arī institūcijām, proti,
tām jānovērš atklātās drošības nepilnības,
ievērojot saprātīgus termiņus, lai tiktu sa-
sniegts galvenais AA procesa mērķis —
drošākas sistēmas. Ja institūcija ir apņēmu-
sies ieviest AA procesu, tā nedrīkst ignorēt
saņemtos ziņojumus vai no tiem izvairīties.
Pareiza AA procesa kārtības ievērošana ir
kritiski svarīga, taču veiksmīga rezultāta ga-
dījumā tā sniedz neapšaubāmu ieguvumu.
Kāpēc hakeris dara to, ko viņš dara
Par Latvijas kibertelpas drošību ik die-
nas rūpējas
CERT.LV
, kas ar ētisko hakeru
darbu saskaras regulāri. Taču, kā norāda
CERT.LV
vadītājas vietnieks Varis Teivāns,
«cilvēki ir iespaidojušies no Holivudas fil-
mām, kur hakeris vienmēr ir kāds noziedz-
nieks vai dīvainis, kas tendēts uz kriminālām
darbībām. Tas varbūt varētu izskaidrot,
kāpēc latviešu valodā vārds «hakeris» ir no-
stiprinājies ar negatīvu pieskaņu». Tiesa,
hakeri ir dažādi. Ir sliktie hakeri, kuru rī-
cību vada ļaunprātīgi nodomi. Un ir labie
jeb tā sauktie ētiskie hakeri, kuru mērķis ir
veicināt kiberdrošību. Kirils Solovjovs, kas
ikdienā darbojas IT drošības jomā, bet brī-
vajā laikā iesaistās AA procesā, norāda, ka
viņa motivācija iesaistīties ir «iespēja atras-
ties zinātnes priekšējās līnijās, gūt ieskatu
tajā, kādas tieši šogad ir izstrādātāju biežāk
pieļautās kļūdas, kas var novest pie kiberdro-
šības krīzēm, iespēja apkopot savus atklāju-
mus un dalīties tajos ar citiem speciālistiem
un plašāku sabiedrību, iespēja izglītot lieto-
tājus, tādējādi darot visu pasauli drošāku».
Atbildot uz jautājumu, kuras sistēmas
pārbaudīt un kāpēc, Kirils norāda, ka «ārval-
stu sistēmām parasti ir interesantas izman-
totās tehnoloģijas, bet vietējām sistēmām
primārais faktors ir sistēmas potenciāls «no-
darīt man pāri», ja tajā būs kāda ievainoja-
mības iespēja. Tā varētu būt sistēma, ko pats
ikdienā izmantoju vai kas apstrādā manus
datus, vai galu galā sistēma, kuras drošības
nepilnību ļaunprātīga izmantošana var no-
vest pie izmaksām valsts budžetam, kas,
protams, tiek veidots no mūsu visu maksā-
tajiem nodokļiem».
Kas notiek Latvijā
Diskusijas par šāda procesa ieviešanu
Latvijā aizsākās Latvijas prezidentūras ES
laikā, un šobrīd jau ir izstrādāti grozījumi
Informācijas tehnoloģiju drošības likumā,
lai Latvijas valsts un pašvaldību sektorā ie-
viestu AA procesu. Apstiprinot grozījumus,
Latvija būtu pirmā valsts pasaulē, kas likumā
nostiprinātu iespēju ikvienam iesaistīties
drošības nepilnību atklāšanā un ziņošanā
par tām. Paralēli izstrādāti arī grozījumi Kri-
mināllikumā, lai pieļautu izņēmumu tajos
gadījumos, kad persona, AA procesa ietva-
ros meklējot drošības nepilnības, patvaļīgi
piekļūst resursiem, kur tai nav vajadzīgo tie-
sību. Likuma grozījumi paredz, ka Latvijā
ziņojumi par atklātajām drošības nepilnī-
bām tiks iesniegti
CERT.LV
(savukārt par
TēViJAS SARGS, NR.11, NOVEmBRiS, 2016
paldies hakeriem
jeb kas ir atbildīgs drošības nepilnību atklāšanas process
droš ība
14
