zane beļavska - lr mod - normatīvie akti kiberdrošībā - @ ltrk + dss.lv = hakeri un digitala...
TRANSCRIPT
![Page 1: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/1.jpg)
Normatīvais regulējums kiberdrošības jomā
Zane Beļavska, Aizsardzības ministrijas
Nacionālās kiberdrošības politikas koordinācijas nodaļas vecākā eksperte«Hakeri, digitālās ekonomikas riski un iespējas» 2016.gada 9.augusts
![Page 2: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/2.jpg)
Eiropas Savienības regulējums
2013.gada ES Kiberdrošības stratēģija:-palielināt ES noturību pret kiberuzbrukumiem-ES industriālo un tehnoloģisko resursu attīstība kiberdrošības jomā-vienota ES starptautiska kiberdrošības politika
Tīklu un informācijas drošības (NIS) direktīva (2016)
Publiskā un privātā sektora partnerība kiberdrošības jomā (cPPP) (2016)
Ārpus ES un EEZ esošo valstu kiberspēju celšana
2
![Page 3: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/3.jpg)
Nacionālais regulējums
IT drošības likums – no 2011. gada februāra
MK noteikumi Nr. 442 (Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām)-Sadala sistēmas 2 kategorijās;-Sistēmas, kas neatbilst prasībām tiks slēgtas;-Ārēji drošības auditi un ielaušanās testi.
Latvijas kiberdrošības stratēģija 2014-2018 (2014) - Rīcības plāns
3
![Page 4: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/4.jpg)
Atbildīga ievainojamību atklāšana
Zane Beļavska, Aizsardzības ministrijas
Nacionālās kiberdrošības politikas koordinācijas nodaļas vecākā eksperte
«Hakeri, digitālās ekonomikas riski un iespējas» 2016.gada 9.augusts
![Page 5: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/5.jpg)
Atbildīga ievainojamību atklāšanas politika nosaka kārtību kādā ikviens var ziņot par informācijas sistēmās atrastām nepilnībām – ievainojamībām un atspoguļo iesaistīto pušu tiesības un pienākumus, veicot ievainojamību atklāšanu un to novēršanu.
5
![Page 6: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/6.jpg)
Politikas mērķis un nepieciešamība
Stiprināt drošību komplicētā virtuālā vidē Atklāt un mazināt esošās ievainojamības,
to ļaunprātīgu izmantošanu Iesaistīt pētniekus un augstas
kvalifikācijas speciālistus valsts kiberdrošības uzlabošanai
Veicināt iesaistīto pušu tiesisko aizsardzību Veicināt interesi un izpratni par
kiberdrošību
6
![Page 7: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/7.jpg)
Kas ir atbildīga ievainojamību atklāšana?
Iesaistītās puses1)Resursu turētāji
2) Pētnieki, ētiskie hakeri, lietotāji
7
Procesa elementi1) Ziņošana2) Koordinācija3) Novēršana4) Publiskošana
![Page 8: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/8.jpg)
KOMUNIKĀCIJA
8
Procesa kārtība
![Page 9: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/9.jpg)
KOMUNIKĀCIJA
9
Procesa kārtība
![Page 10: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/10.jpg)
Procesa nosacījumi
Resursa turētājam
Novērst ievainojamībasNeiesūdzēt tiesāIevērot termiņusNoteikt komunikācijas mehānismusPublicēt pēc novēršanasPateicība?
Ziņotājam
Meklēt tikai minimālos pierādījumus Ziņot laicīgi un drošā veidāNepublicēt pirms novēršanasNeveikt sociālās inženierijas, DDOS uzbrukumus
10
![Page 11: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/11.jpg)
Integrēšana IT drošības likumā
Likuma 6.1.panta esošā redakcija par drošības nepilnībām nosaka:
tās novērst, ja atklāj pati iestāde vai CERT.LV;
tās novērst 90 dienu laikā.
Tiks papildināts ar rīcību, ja drošības nepilnību konstatē trešā puse (persona)
Papildus tiks izstrādāti MK noteikumi, lai atrunātu precīzi:
pierādījumu fiksēšanu un informāciju, kas ir ziņojumā;
minimālo pierādījumu kopumu; komunikācijas aspektus; publiskošanas apjomu.
11
![Page 12: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/12.jpg)
Grozījumi Krimināllikumā
241.pants. Patvaļīga piekļūšana automatizētai datu apstrādes sistēmai(1) Par patvaļīgu piekļūšanu automatizētas datu apstrādes sistēmas resursiem, ja tas saistīts ar sistēmas aizsardzības līdzekļu pārvarēšanu vai ja tas izdarīts bez attiecīgas atļaujas vai izmantojot citai personai piešķirtas tiesības un ja ar to radīts būtisks kaitējums, —soda ar brīvības atņemšanu uz laiku līdz diviem gadiem vai ar īslaicīgu brīvības atņemšanu, vai ar piespiedu darbu, vai ar naudas sodu.
(2) [..]
(3) Par šā panta pirmajā daļā paredzētajām darbībām, ja tās vērstas pret automatizētu datu apstrādes sistēmu, kas apstrādā informāciju, kura saistīta ar valsts politisko, ekonomisko, militāro, sociālo vai citu drošību, izņemot gadījumos, kad ir ievēroti atbildīgas drošības nepilnības atklāšanas procesa nosacījumi un kārtība, – ”. —soda ar brīvības atņemšanu uz laiku līdz pieciem gadiem vai ar īslaicīgu brīvības atņemšanu, vai ar piespiedu darbu, vai ar naudas sodu, konfiscējot mantu vai bez mantas konfiskācijas.
12
![Page 13: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/13.jpg)
Izaicinājumi
Kārtības un nosacījumu ievērošana Resursa turētāju nespēja adekvāti reaģēt
uz ziņojumiem Komunikācija Laicīga ievainojamību novēršana Priekšstatu, stereotipu maiņa par
ievainojamību meklēšanu Apjomīgs skaidrojošais darbs, lai visiem
būtu skaidra izpratne
Riski ir un tie būs pastāvīgi... bet ieguvumi ir daudz lielāki
13
![Page 14: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/14.jpg)
Starptautiskā pieredze
Starptautiskās kompānijas: Google: Vulnerability Reward Program Microsoft: Coordinated Vulnerability
Disclosure Facebook
ISO/IEC 29147, ISO/IEC 30111 www.bugcrowd.com Nīderlandes valdība
14
![Page 15: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/15.jpg)
Nīderlandes Nacionālais kiberdrošības centrs jeb NCSC
Reaģē uz iesniegtajiem ziņojumiem Starpnieks ziņotājam un
organizācijai (ja nepieciešams) Atbalsta un sekmē atbildīgas
ievainojamību atklāšanas procesa ieviešanu
15
![Page 16: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/16.jpg)
NL prokurora atbalsta paziņojums
“Whenever a hacker gets in touch directly and safely with the owner of the IT-system regarding a discovered vulnerability and no data is manipulated or removed then there may be a case of RD. This means there is no reason for a criminal investigation and for a criminal prosecution”
16
![Page 17: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/17.jpg)
Pieredze Latvijā
Swedbank
Vairāki atsevišķi gadījumi CERT.LV pieredzē:
Valmieras pašvaldības hakatons Banku autentifikācija Vairākas valsts un pašvaldību
mājas lapas un informācijas sistēmas
Mobilās lietotnes «Rīgas satiksmes» mobilā lietotne
17
![Page 18: Zane Beļavska - LR MOD - Normatīvie akti kiberdrošībā - @ LTRK + DSS.LV = Hakeri un digitala ekonomika](https://reader035.vdocuments.pub/reader035/viewer/2022062223/587b4e451a28abff1a8b54d3/html5/thumbnails/18.jpg)
Paldies!
Zane Beļavska, Aizsardzības ministrijas
Nacionālās kiberdrošības politikas koordinācijas nodaļas vecākā eksperte
«Hakeri, digitālās ekonomikas riski un iespējas» 2016.gada 9.augusts