0,00 EUR

Grozs ir tukšs.

0,00 EUR

Grozs ir tukšs.

E-BILANCES JURIDISKIE PADOMIBJP RAKSTIKā uzņēmumā ieviest kiberdrošības politiku un praktiskus IT risinājumus

Kā uzņēmumā ieviest kiberdrošības politiku un praktiskus IT risinājumus

Ikars Kubliņš

Žurnāla oktobra numurā varējāt lasīt apskatu par jaunā Nacionālās kiberdrošības likuma noteikto regulējumu, ar kuru Latvijā ievieš atjaunotās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas 2022/2555 (NIS2)1 prasības. 1 Eiropas Parlamenta un Padomes direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva). Šajā rakstā detalizētāk iedziļināmies, kādi saistībā ar kiberdrošību ir uzņēmumu pienākumi. Advokātu biroja TGS Baltic eksperti vebinārā informēja par…


Lai turpinātu lasīt, iegādājies abonementu

BilancePLZ ar 7 dienu izmēģinājumu par 1€

24,99 /mēnesī
Ikmēneša abonements
  • Bezlimita pieeja VISIEM portāla un žurnāla rakstiem 1 lietotājam
  • E-žurnāls BILANCE
  • Iekļauts juridisko padomu saturs
  • 7 dienu izmēģinājums tikai par 1€ (ar automātisku turpināšanu)
0,74€ /dienā

BILANCE internetā
+ BilancePLZ

269 /gadā
12 mēnešu abonements
  • Bezlimita pieeja VISIEM portāla un žurnāla rakstiem 3 lietotājiem
  • E-žurnāls BILANCE
  • Iekļauts juridisko padomu saturs
  • Dāvanā 100+ semināru videotēka vairāk nekā 5000 € vērtībā!

Jau ir abonements?
Pieslēdzies

Pierakstīties
Paziņot par
0 Komentāri
jaunākie
vecāki populārakie
Iekļautās atsauksmes
Skatīt visus komentārus
Kā uzņēmumā ieviest kiberdrošības politiku un praktiskus IT risinājumus
Ilustrācija: © Lustre Art Group – stock.adobe.com

Žurnāla oktobra numurā varējāt lasīt apskatu par jaunā Nacionālās kiberdrošības likuma noteikto regulējumu, ar kuru Latvijā ievieš atjaunotās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas 2022/2555 (NIS2)1 prasības.

1 Eiropas Parlamenta un Padomes direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva).

Šajā rakstā detalizētāk iedziļināmies, kādi saistībā ar kiberdrošību ir uzņēmumu pienākumi. Advokātu biroja TGS Baltic eksperti vebinārā informēja par dokumentāciju, kas saistībā ar kiberdrošību būs jāievieš uzņēmumu (likuma subjektu) lietvedībā un ikdienas praksē, kā arī IT eksperts ieteica konkrētus tehniskus risinājumus kiberdrošības prasību izpildei. Šie praktiskie padomi noderēs ikvienam uzņēmumam, arī tiem, kuri nav likuma subjekti.

Alīna Lepere, TGS Baltic vecākā juriste, zvērināta advokāta palīdze
Alīna Lepere,
TGS Baltic vecākā
juriste, zvērināta advokāta palīdze
Foto: Kristaps Liepa

Uzņēmuma rīcībā esošie dati jāaizsargā vairākos līmeņos, uzsvēra Alīna Lepere, TGS Baltic vecākā juriste, zvērināta advokāta palīdze. Pirmais no tiem – fiziskā drošība (apsardze, signalizācija). Otrais – juridiskā drošība – daudzi uzņēmumi izmanto tādus juridiskus instrumentus kā darba līgumi, kas nosaka darbinieku uzvedības normas, neizpaušanas līgumus ar sadarbības partneriem, privātuma politikas u.c. Trešais ir IT risinājumi, kas mūsdienās ir neaizstājami rīki informācijas pasargāšanai no nonākšanas nevēlamu personu pārziņā. Nereti pieņemam, ka esam parūpējušies par informācijas drošību, tomēr tas nav ticis izdarīts līdz galam, secināja juriste. 

Ilga Vaļko, TGS Baltic juriste
Ilga Vaļko,
TGS Baltic juriste
Foto: Kristaps Liepa

Nacionālās kiberdrošības likumā un no tā izrietošo Ministru kabineta (MK) noteikumu „Noteikumi par minimālajām kiberdrošības prasībām” projektā (oktobra beigās vēl nebija pieņemti) minēti četri dokumenti, kas uzņēmumiem jāsagatavo, lai tie atbilstu kiberdrošības prasībām. Vēl viena dokumenta nepieciešamība no normatīvajiem aktiem izriet netieši, informēja Ilga Vaļko, TGS Baltic juriste. 

Paredzēts, ka šie dokumenti veidojami un uzturami elektroniskā formātā, tomēr nebūtu ieteicams dokumentus apvienot vienā, kā to pieļauj MK noteikumu projekts. „Praktiskāk būtu skaidri nodalīt katru no šīm vienībām, lai nebūtu viens pārlieku garš fails, kur viss salikts vienuviet. Katra dokumenta saturs arī ievērojami atšķirsies,” ieteica I. Vaļko. Minētie dokumenti ir:

  • Kiberdrošības politika, 
  • IKT resursu un informācijas sistēmu katalogs, 
  • Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns, 
  • Kiberincidentu pārvaldības politika,
  • Kiberincidentu žurnāls.

Kiberdrošības politika

Kiberdrošības politika ir viens no nozīmīgākajiem dokumentiem jebkura uzņēmuma drošības pārvaldībā, kas detalizēti nosaka, kā tiek nodrošināta informācijas sistēmu un datu aizsardzība, kā arī kādus konkrētus drošības pasākumus uzņēmums veic, lai novērstu kiberriskus. Šādu politiku galvenokārt izmanto, lai paredzētu atbildību, resursus un procedūras, kuras nepieciešams ievērot gan ikdienā, gan krīzes situācijās. Svarīgi, lai šis dokuments nebūtu tikai juridisks teksts uz papīra, bet gan reāli izmantojams vadlīniju kopums, kas palīdz uzņēmuma darbiniekiem saprast savus uzdevumus un pienākumus.

Politikas galvenais uzdevums ir sniegt skaidrību darbiniekiem, kuriem kiberdrošība ir daļa no ikdienas pienākumiem. Tam jābūt saprotamam visiem iesaistītajiem, neatkarīgi no viņu tehniskās kompetences līmeņa. Ja dokuments ir pārlieku sarežģīts vai strukturēts tādā veidā, ka tas nav viegli uztverams, pastāv risks, ka darbinieki nespēs tam efektīvi sekot. Tā kā kiberdrošības pārvaldība ir visu iesaistīto atbildība, būtiski, lai politika būtu praktiski izmantojama ikdienas darbā, nevis tikai izstrādāta atbilstības nolūkos.

IKT resursu un informācijas sistēmu katalogs

Lai kiberdrošības politika darbotos, papildus jāveido informācijas sistēmu un resursu katalogu. Šis katalogs sniedz detalizētu pārskatu par visiem IKT resursiem, kurus uzņēmums izmanto – informācijas sistēmas, serverus, tīklus u.c. Tas ļauj skaidri definēt, kāda veida informācija tiek apstrādāta katrā sistēmā un kādi drošības pasākumi ir jāievieš, lai nodrošinātu tās aizsardzību. Katram uzņēmumam šāds katalogs būs atšķirīgs, jo tas ir cieši saistīts ar konkrētā uzņēmuma darbības specifiku un izmantotajiem risinājumiem. 

Sistēmas katalogā tiek noteiktas arī drošības klases – konfidencialitātes, integritātes un pieejamības līmeņi (A, B vai C), kur katra klase tiek vērtēta pēc konkrētām prasībām. MK noteikumu projektā ir iestrādāta tabula ar vadlīnijām, kā izvērtēt katras informācijas sistēmas drošības klasi. Šo klasifikāciju izmanto, lai noteiktu ieviešamos drošības pasākumus. 

Kiberdrošības politika un IT sistēmu katalogs ir dinamiski dokumenti, kas tiek atjaunināti ikreiz, kad uzņēmumā notiek kādas izmaiņas. Ja tiek ieviesta jauna IT sistēma, noslēgts līgums ar jaunu ārpakalpojumu sniedzēju vai mainītas esošās infrastruktūras sastāvdaļas, šīs izmaiņas nekavējoties jāiekļauj gan politikā, gan katalogā. Tiklīdz ir mainījušies uzņēmuma resursi, ir nepieciešams pārskatīt arī kiberrisku novērtējumus un kiberrisku mazināšanas plānus, lai panāktu, ka uzņēmums joprojām atbilst augstākajiem drošības standartiem.

Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns

Liela nozīme ir arī kiberrisku pārvaldībai. Lai veiktu kiberrisku novērtēšanu, uzņēmums vispirms izstrādā metodoloģiju, kas ļauj identificēt un novērtēt iespējamos draudus, kas varētu ietekmēt informācijas sistēmu drošību. Šāda veida draudi var būt, piemēram, kiberuzbrukumi, vīrusi, datu noplūdes. Katram riskam tiek piešķirts nozīmīguma līmenis, kas palīdz noteikt prioritātes un rīcības plānus. Pēc tam tiek izstrādāts kiberrisku mazināšanas plāns, kurā tiek definēti konkrēti pasākumi (visbiežāk – tehnoloģiska rakstura), kas ir jāveic, lai novērstu vai minimizētu riskus. Plānā tiek noteikts atbildīgais darbinieks (kiberrisku pārvaldnieks), kā arī pasākumu veikšanas termiņi un biežums.

Tāpat kā kiberdrošības politika, arī kiberrisku novērtējums ir regulāri jāatjaunina (vismaz reizi gadā). Tehnoloģijas un draudi nepārtraukti attīstās, tādēļ kiberdrošības pārvaldniekiem ir svarīgi sekot līdzi jaunākajām tendencēm un analizēt, kā tās ietekmē uzņēmuma sistēmas. Piemēram, ja kāda iepriekš identificēta kiberriska nozīmīgums ir mainījies, tam jāpielāgo arī drošības pasākumi.

Papildu kiberrisku novērtējumam uzņēmums izstrādā arī darbības nepārtrauktības plānu, kas ietver pasākumus, lai nodrošinātu uzņēmuma darbības turpināšanos arī ārkārtas situācijās, piemēram, kiberdrošības incidenta gadījumā. Šāds plāns nosaka maksimāli pieļaujamo dīkstāves laiku katrai sistēmai, kā arī darbības atjaunošanas stratēģijas. Piemēram, finanšu iestādei dīkstāve var būt daudz kritiskāka nekā mākoņdatošanas pakalpojumu sniedzējam, tāpēc plāni tiek izstrādāti, ņemot vērā konkrētā uzņēmuma specifiku.

Kiberincidentu pārvaldības politika

Jebkurā uzņēmumā jābūt izstrādātām skaidrām procedūrām, kas nosaka, kā darbiniekiem jāreaģē uz kiberdrošības incidentiem. Darbiniekiem jāzina, pie kā vērsties, ja viņi saskaras ar iespējamu kiberuzbrukumu vai citām incidenta pazīmēm. Svarīgi ir arī definēt, kas tieši tiek uzskatīts par kiberincidentu un kā to atpazīt. Pēc incidenta novēršanas ir būtiski ne tikai veikt darbības, lai atjaunotu normālu darbību, bet arī izvērtēt, kas izraisīja šo incidentu un ko no tā var mācīties. Tas ļauj uzņēmumam ieviest uzlabojumus drošības pasākumos un samazināt līdzīgu incidentu iespējamību nākotnē. Incidents netiek vienkārši aizmirsts pēc tā atrisināšanas, bet gan analizēts un dokumentēts, saglabājot pierādījumus, ko iekļaut uzraudzības iestādēm nosūtāmajā ziņojumā. Pārvaldības politikā jānosaka iekšējā un ārējā komunikācija kiberincidenta gadījumā, jābūt skaidri noteiktiem, likumam atbilstošiem termiņiem, kādos jāsniedz ziņojums, kā arī, kuros gadījumos par incidentu jāziņo arī datu subjektiem, pakalpojumu saņēmējiem (atkarībā no incidenta nozīmīguma). 

Kiberincidentu žurnāls

Svarīgs elements kiberincidentu pārvaldībā ir incidentu žurnāls jeb reģistrs. Šis reģistrs ir vieta, kur tiek apkopota visa informācija par notikušajiem kiberincidentiem – gan mazajiem, gan lielajiem. Tas var būt vienkāršs Excel fails vai cita veida elektroniska uzskaites sistēma, kurā tiek ierakstīts katra incidenta konstatēšanas datums, notikuma laiks, veids (ielaušanās mēģinājums vai kas cits) un cēloņi (ārēju trešo pušu darbība, kļūda sistēmā, utt.), kā arī kiberincidenta ietekme. Incidentu reģistrā tiek arī norādīts, vai konkrētais incidents ir uzskatāms par nozīmīgu. 

Kā rīkoties, saskaroties ar kiberincidentu?

Tieši incidenta nozīmīguma izvērtēšana ir pirmais, kas jādara, saskaroties ar šādu situāciju. Ja incidents ir nenozīmīgs, ārējās informēšanas jomā uzņēmumam pietiek ar brīvā formā uzrakstīta e–pasta nosūtīšanu kiberincidentu novēršanas institūcijai. Ja incidents ir nozīmīgs, pienākumi ir stingrāk reglamentēti, prasot ievērot noteiktus termiņus. Agrīnais brīdinājums par incidentu novēršanas institūcijai ir jānosūta jau 24 stundu laikā, bet sākotnējais (detalizētāks) ziņojums – 72 stundu laikā. Ja incidents prasa ilgstošu (ilgāk par mēnesi) risināšanu, tiek iesniegti arī starpposma ziņojumi, lai iestādes būtu informētas par incidenta novēršanas gaitu. Pēc incidenta atrisināšanas jāiesniedz gala ziņojums. Ziņojumu formas pieejamas jau gatavas (iestrādātas MK noteikumu projektā).

2 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK.

Gadījumos, kad incidents skar personas datus, jāinformē ne tikai kiberincidentu novēršanas institūcija, bet arī Datu valsts inspekcija. Neskatoties uz to, ka kiberdrošības iestādes var informēt Datu valsts inspekciju, uzņēmumam joprojām ir pienākums ziņot arī pašam, ievērojot Vispārīgās datu aizsardzības regulas2 prasības.

Uzņēmumiem, kuru darbinieku skaits pārsniedz 250, manuālās apmācības var kļūt grūti izpildāms uzdevums. Tādēļ būtu efektīvi izmantot digitālās apmācību platformas vai vismaz izstrādāt saturu elektroniskā formātā.
Foto: © Oleksii – stock.adobe.com

Praktiskie IT drošības risinājumi

Mārtiņš Jurjāns, Primend Latvia vadītājs
Mārtiņš Jurjāns,
Primend Latvia vadītājs
Foto: Kristaps Liepa (TGS Baltic arhīvs), primed.lv

Par praktiskiem kiberdrošības risinājumiem uzņēmumu IT sistēmās pastāstīja Mārtiņš Jurjāns, Primend Latvia vadītājs. Kā uzsvēra eksperts, pirmais solis ir veikt sistēmas novērtējumu, lai saprastu, kādā kategorijā tā ietilpst, jo ne katrai sistēmai nepieciešami visi tehniskie risinājumi. Tas nozīmē, ka jāpārbauda konkrētā sistēma un jāveic tikai nepieciešamie pasākumi. Protams, pat ja sistēma nav tieši pakļauta regulējuma prasībām, bet iespējas to uzlabot pastāv un tas neprasa ievērojamu resursu patēriņu, to ieteicams veikt. Piemēram, datu rezerves kopēšana ir viens no būtiskākajiem IT drošības pasākumiem, kas jebkurai sistēmai nāks tikai par labu.

Piekļuves tiesības un autentifikācija

MK noteikumu projektā būtisks temats ir piekļuves tiesības un to pārvaldība. Uzņēmumiem, jo īpaši tiem, kuri ir šī likuma subjekti, noteikti ir vairākas sistēmas. Ieteicams izveidot Microsoft Entra ID vienotu identitāti katram darbiniekam, kas ļautu piekļūt visām tam nepieciešamajām sistēmām, neatkarīgi no tā, vai tās ir Microsoft, Google, ERP, grāmatvedības vai mārketinga sistēmas, vai virtuālo privāto tīklu (VPN) risinājumi attālinātam darbam. Pārvaldīt vienu identitāti ir daudz vienkāršāk nekā vairākus kontus, tādējādi uzlabojot gan pārskatāmību, gan drošību. Vēlams izmantot arī daudzfaktoru autentifikāciju, kas jau tiek iekļauta daudzās sistēmās, piemēram, Windows, kur var izmantot biometriskos risinājumus (sejas atpazīšana vai pirkstu nospiedumi) vai autentifikācijas lietotnes (Smart ID u.c.). Augstākais drošības risinājums, kas piemērots kontiem ar administratoru tiesībām, ir FIDO2 fiziskās drošības atslēgas.

Noteikumu projekts paredz arī piekļuves tiesību piešķiršanas un dzēšanas auditu veikšanu un šo pierakstu glabāšanu 18 mēnešus. Lai gan nav obligāti ieviest konkrētu sistēmu, praktiski šāda risinājuma ieviešana ir gandrīz neizbēgama, jo auditācijas pieraksti būs nepieciešami incidentu izmeklēšanai. Tirgū pieejami dažādi risinājumi auditācijas pierakstu glabāšanai, bet viens no ekspertu biežākajiem ieteikumiem ir izmantot Microsoft Sentinel, jo šis mākoņpakalpojums neprasa lielas sākotnējās investīcijas, kā arī nodrošina automātisku konta bloķēšanu situācijā, ja tiek konstatēta masveida datu šifrēšana. Jāņem vērā, ka kiberuzbrukumi visbiežāk notiek ārpus darba laika (hakeri atrodas citās laika joslās), tādēļ jādomā par reakcijas mehānismiem, kad darbinieki nav pieejami. 

Datu rezerves kopēšana

Runājot par rezerves kopijām, MK noteikumu projektā ir noteiktas arī šo datu uzglabāšanas prasības (termiņi), kas var būt izaicinājums uzņēmumiem, kuri paši uztur savus datu centrus. Savukārt specializēti datu centri piedāvā risinājumus ar augstām drošības un tehniskajām prasībām (temperatūra, mitrums, u.c.), kas atbilst regulā noteiktajam, līdz ar to uzņēmumiem izmantot šādu ārpakalpojumu varētu būt vienkāršāk, nekā uzturēt pašiem savu infrastruktūru.

M. Jurjāns iesaka glabāt papildu rezerves kopijas vēl citā atrašanās vietā, lai nodrošinātu augstāku drošības līmeni. Jāņem vērā ka tādi mākoņdatošanas pakalpojumi kā, piemēram, Google vai Microsoft, kas nodrošina rezerves kopēšanas procesu, var neatbilst visām likumā noteiktajām prasībām. Tāpēc jāapsver papildu risinājumi. „Uzņēmēji, kuri domā, ka, izmantojot mākoņdatošanas pakalpojumu, nav jāveic datu rezerves kopēšana, maldās. Tā noteikti ir jāveic!” uzsver M. Jurjāns.

Kiberdrošības apmācības

Kiberdrošības apmācības ir būtiska uzņēmuma ikdienas sastāvdaļa, un tās jāplāno rūpīgi un ilgtermiņā. Noteikumu projektā apmācības iedalītas trīs galvenajās daļās. Pirmā no tām ir jauno darbinieku apmācības, kuras jāveic 30 dienu laikā pēc darba uzsākšanas. Nākamā sadaļa paredz regulāras apmācības visiem darbiniekiem, kas notiek reizi gadā. Trešais apmācību veids – tās, kas tiek rīkotas pēc iespējamajiem kiberincidentiem. 

Uzņēmumiem, kuru darbinieku skaits pārsniedz 250, manuālās apmācības var kļūt grūti izpildāms uzdevums. Tādēļ būtu efektīvi izmantot digitālās apmācību platformas vai vismaz izstrādāt saturu elektroniskā formātā, piemēram, ievietojot to SharePoint platformā. Pēc darbinieka pieņemšanas darbā var piedāvāt šo materiālu noklausīties. Tāpat svarīgi izveidot vismaz pamatlīmeņa testus, lai pārliecinātos, ka darbinieki ir iepazinušies ar informāciju. Ja tests netiek nokārtots apmierinošā līmenī, nepieciešams organizēt papildus apmācības.

Digitālās apmācības ir arī iespēja prezentēt darbiniekiem uzņēmuma kiberdrošības politiku. Lai gan politiku var (un vajag) rakstīt viegli lasāmā un uztveramā formā, vēl labāku informācijas labāku uztveri veicinās vizuāli un praktiski piemēri, iesaka M. Jurjāns. 

E–pasta autentifikācija, datu šifrēšana, VPN 

Cits svarīgs aspekts uzņēmumā ir SPF, DKIM vai DMARC e–pasta autentifikācijas metožu ieviešana, kas pasargā uzņēmuma identitāti un samazina risku saņemt krāpnieciskus e–pastus, kas šķietami nāk no uzņēmuma domēna. Šo prasību pārbaude ir vienkārša un neprasa lielus resursus – piemēram, tāds bezmaksas rīks kā MX Toolbox ļauj pārbaudīt, vai domēns ir aizsargāts.

Svarīgi arī paredzēt drošību saistībā ar uzņēmuma tīkliem un mākoņdatošanas pakalpojumiem. Tīklu dalīšana (gan viesu un iekšējā, gan iekšējā un serveru tīkla nošķiršana), ugunsmūru un VPN risinājumu izmantošana attālināti strādājošajiem darbiniekiem ir kritiski svarīgi pasākumi, kas palīdz nodrošināt, ka uzņēmuma sistēmas tiek aizsargātas arī ārpus biroja telpām. VPN risinājumu ieviešana ir minimāla prasība (paredzēta arī topošajos MK noteikumos), īpaši būtiskajiem pakalpojumu sniedzējiem, taču svarīga ir arī galapunktu aizsardzība (endpoint protection) un darbinieku pratība.

Vēl viena standarta prasība uzņēmuma informācijas sargāšanā ir e–pastu un citu elektronisko saziņas rīku (piemēram, MS Teams vai jebkāda cita veida zvanu) šifrēšana, kā arī datu šifrēšana uz darbinieku datoriem (ko nodrošina, piemēram, Windows iebūvētie šifrēšanas rīki, kā BitLocker, vai Mac datoros pieejamie FileVault). 

Uzņēmumiem ir svarīgi domāt arī par mobilo ierīču pārvaldību, jo darbinieki bieži izmanto privātās ierīces, kas rada papildu drošības riskus. Vienlaikus jāatceras, ka mobilo ierīču pārvaldība nedrīkst apdraudēt darbinieku privātumu. Šajā gadījumā risinājums ir pārvaldīt tikai darbam izmantojamās aplikācijas, nevis visu mobilo ierīci, nodrošinot, ka darbinieka privātā informācija paliek neaizskarama, bet uzņēmuma dati ir aizsargāti. Jebkura datu kopēšana starp uzņēmuma un privātajiem kontiem būtu jāierobežo. „Diemžēl jāatzīst – būs lietas, kas darbiniekiem kļūs neērtākas. Drošību un ērtumu kaut kā jāspēj salāgot,” secina M. Jurjāns.

Publicēts žurnāla “Bilances Juridiskie Padomi” 2024. gada novembra (137.) numurā.

Lasiet arī:

BJP NUMURU E-ARHĪVS