Izstrādā koordinētas kiberievainojamību atklāšanas procesu valsts un pašvaldību iestādēs

Ar informatīvo ziņojumu “Par koordinētas ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē” ir uzsākta koordinētas ievainojamību atklāšanas procesa ieviešana valsts pārvaldē, paredzot iespēju Latvijas valsts un pašvaldību iestādēm brīvprātīgi iesaistīties koordinētas ievainojamību atklāšanas procesā.

Palielinoties tehnoloģiju daudzveidībai un skaitam, arvien grūtāk ir izsekot un novērtēt to atbilstību drošības prasībām. Tāpat digitālā vide nemitīgi attīstītās un drošības risinājumi, kas sniedza aizsardzību, šobrīd var nebūt pietiekami. Sistemātiska drošības nepilnību atklāšana ir dārgs process, kas prasa augsti kvalificētus un labi atalgotus speciālistus, taču to trūkums īpaši jūtams valsts pārvaldē.

Koordinēta ievainojamības atklāšana ir strukturēts process, kurā par ievainojamību tiek ziņots noteiktā kārtībā, dodot iespēju iestādei diagnosticēt un novērst ievainojamību, pirms informācija par ievainojamību tiek izplatīta publiski. Tā dod iespēju iesaistīties ikvienam interesentam, kuram ir attiecīgas zināšanas (ētiskajam hakerim, pētniekam vai sistēmas lietotājam), un veikt drošības nepilnību atklāšanu, ziņošanu, novēršanu un informācijas publiskošanu.

KIAP ir vēsturiski pazīstams kā Responsible Disclosure vai arī kā Coordinated Vulnerability Disclosure. Pasaules praksē KIAP ir ieviesuši daudzi starptautiski uzņēmumi, kā, piemēram, Google, Microsoft, Facebook u.c.

Ieviešot KIAP, tiek stiprināta iestāžu kiberdrošība, atklājot un mazinot esošās drošības nepilnības un novēršot to ļaunprātīgu izmantošanu, tāpat KIAP stimulētu valsts un pašvaldību institūcijas pievērst uzmanību savu informācijas un komunikācijas tehnoloģiju resursu drošībai.

Kā lietot ievainojamību ziņošanas platformu?

CERT.LV ir ievainojamību ziņošanas platformas pārzine, izstrādātāja un uzturētāja. Platformas funkcionalitāte tiek papildināta, reaģējot uz platformas lietotāju vajadzībām un ievērojot noteikto uzdevumu efektīvu izpildi.

Saites ir publicētas gan www.cert.lv, gan koordinētas ievainojamību atklāšanas procesā reģistrēto iestāžu mājaslapās.

Platforma ir pieejama tiešsaistē 24/7 un tā atbalsta efektīvu, pārskatāmu ziņojumu apstrādi un iesaistīto pušu sadarbību, kuras saturs ir pieejams latviešu valodā.

Kas var ziņot?

• persona, kura atklājusi ievainojamību;
• ievainojamības atklājējs var deleģēt kādu citu personu, kas iesniedz ziņojumu;
• drošības pakalpojumu sniedzējs, konsultants, CERT.LV darbinieks, kas to pamanījis ievainojamību veicot drošības izvērtējumu vai ielaušanās testus;
• valsts vai pašvaldību institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs Informācijas tehnoloģiju drošības likuma 6.prim pantā noteiktajos gadījumos;
• jebkura cita iestāde/organizācija, kuras pārvaldībā ir ievainojamā sistēma;
• CERT.LV var saņemt informāciju par ievainojamību no trešās puses (citas CERT komandas, sadarbības partneriem, u.tml.).

Ievainojamību ziņošanai aicināts reģistrēties platformā kā drošības pētniekam un iesniegt ziņojumu.

Ja ziņotājs nevēlas reģistrēties ievainojamību ziņošanas platformā, ir iespēja nosūtīt ziņojumu brīvā formā uz e-pasta adresi cvd@cert.lv.

Valsts un pašvaldību iestādes var brīvprātīgi pieņemt lēmumu par iesaistīšanos koordinētas ievainojamību atklāšanas procesā un noteikt resursus, uz kuriem ievainojamību ziņošana attiecināma.

Apkopojums par ieguvumiem valstij, iestādēm, drošības pētniekiem un sabiedrībai no vienoti koordinēta KIAP ieviešanas.

Ieguvumi valstij:

1. samazinās kopējās identificēto ievainojamību novēršanas pasākumu izmaksas un palielinās novēršanas pasākumu efektivitāte;
2. koordinētā veidā tiek saņemta un reģistrēta informācija par nepilnībām un ievainojamībām, kas dod iespēju apkopot un analizēt datus;
3. iespēja mazināt reputācijas zaudēšanas riskus;
4. valsts netiešā veidā veicina IKT drošības ekspertu kopienas veidošanos un pašu pētnieku izaugsmi.

Ieguvumi iestādei

1. iestāde saņem informāciju par identificētām nepilnībām un ievainojamībām, kas attiecas uz iestādes sistēmām un infrastruktūru;
2. iespēja mazināt reputācijas zaudēšanas riskus;
3. iespēja sadarboties ar drošības pētniekiem, tādējādi, bez papildu investīcijām, uzlabojot sistēmu un vides drošību;
4. tiek nodrošināts CERT.LV atbalsts iestādes un pētnieka sadarbībai gadījumos, kad: a) nepieciešama ievainojamības detalizēta izpēte; b) pētnieks lūdz iespēju veikt detalizētākas sistēmas/infrastruktūras pārbaudes sava pētījuma vajadzībām.

Ieguvumi drošības pētniekam:

1. visām iestādēm vienādas prasības ievainojamības ziņošanai;
2. ir iespējams vienā paziņojumā norādīt uz vairākām iestādēm vai infrastruktūru kopumā;
3. vienkopus pieejama informācija par to, kuras iestādes piedalās KIAP un kādus resursus tiek rekomendēts testēt
4. informācija par ievainojamību novēršanas gaitu;

Ieguvumi sabiedrībai:

1. valsts sektors rāda priekšzīmi privātajam sektoram un veicina arī privātā sektora atvērtību KIAP jautājumā;
2. brīvprātīga iesaiste šobrīd ļauj pakāpeniski sagatavoties NIS2 direktīvas ieviešanai, kad KIAP kļūs par obligātu;
3. skaidri definēts veids, kā ziņot par drošības nepilnībām, kas palīdz uzlabot saziņu starp ievainojamības atklājēju un valsti, nebaidoties par sodu un nepieciešamību tērēt nesamērīgi daudz laika ziņošanai.

CERT.LV tiek noteikta kā iestāde, kura īsteno KIAP koordināciju Latvijā, tādēļ un iestādēm ir pienākums sadarboties ar CERT.LV ievainojamību atklāšanas un novēršanas procesā.