Kiberdrošība

Līdz ar pieaugošo informācijas un komunikāciju tehnoloģiju izmantošanu sabiedrībā, valsts pārvaldē un ekonomikā, to nelikumīga izmantošana, bojāšana, paralizēšana vai iznīcināšana var radīt draudus valsts un sabiedrības drošībai, sabiedriskajai kārtībai un ekonomiskai darbībai, kā arī kavēt valsts ekonomikas tālāku izaugsmi. Kibertelpa ir viegli izmantojama, lai nodarītu kaitējumu indivīdam, sabiedrības grupai vai valstij kopumā. Kibertelpas drošība un katra lietotāja zināšanas par kiberdrošību ir pamats, lai mēs, uzturoties kibertelpā, justos droši un aizsargāti. Lai mazinātu un novērstu riskus un apdraudējumus kibertelpā, nepieciešama vienota izpratne un koordinēta Latvijas kiberdrošības politika, kas aptver visas iesaistītās nozares, valsts un privāto sektoru.

Visaptverošās valsts aizsardzības sistēmā katrai – gan valstiskai, gan nevalstiskai organizācijai, kā arī privātajam sektoram un iedzīvotājiem ir skaidri definēta loma krīzes situācijā. Arvien lielāka loma tiek piešķirta kiberdrošībai kā visaptverošās valsts aizsardzības sistēmas elementam, pievēršot uzmanību ne tikai kiberdrošības pārvaldības uzlabošanai un starptautiskās sadarbības veicināšanai, bet arī sabiedrības izpratnes līmeņa celšanai.

Aizsardzības ministrija ir atbildīga par kiberdrošības politikas veidošanu un īstenošanu Latvijā, taču valsts kiberdrošības pārvaldība balstās uz savstarpēju sadarbību, kur katra valsts institūcija pilda savas funkcijas, tai skaitā kibertelpā, veicot tiešu sadarbību ar citām institūcijām un privāto sektoru vai vienotā sadarbības formātā Nacionālās informācijas tehnoloģiju drošības padomes ietvarā. Aizsardzības ministrija nodrošina padomes, kā arī Digitālās drošības uzraudzības komitejas darbu.

2024. gada 20. jūnijā Saeima pieņēma Nacionālās kiberdrošības likumu (NKDL). Tā mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības, kas paredz panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā.

Likums attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Likuma 20. un 21. pantā ir noteikti kritēriji, pēc kuriem tiek definēta publiskā un privātā sektora organizācijas piederība kādai no minētajām grupām. 

Publiskā un privātā sektora organizācijām, uz kurām likums attiecas:

• līdz 2025. gada 1. aprīlim jānosaka savs statuss un jāreģistrējas;
• līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks;
• līdz 2025. gada 1. oktobrim jāiesniedz pirmais pašvērtējuma ziņojums.

Tāpat būtisko un svarīgo pakalpojumu sniedzējiem publiskajā un privātajā sektorā būs jāsniedz regulārs kiberdrošības pašvērtējums, obligāti jāziņo par atklātajiem kiberapdraudējumiem, jāizstrādā riska pārvaldības un darbības nepārtrauktības plāns un jāievēro citas kiberdrošības prasības.

Nacionālais kiberdrošības likums paredz no 2024. gada 1. septembra izveidot jaunu institūciju – Nacionālo kiberdrošības centru. Tas darbosies kā vienotais kontaktpunkts kiberdrošības jautājumos, veiks nacionālo kiberdrošības prasību ieviešanas pārraudzību, kā arī izstrādās nacionālās kiberdrošības rīcībpolitikas iniciatīvas. Centra funkcijas īstenos Aizsardzības ministrija sadarbībā ar Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienību CERT.LV. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras uzraudzības iestāde būs Satversmes aizsardzības birojs.

Uzraudzības iestādes būs tiesīgas veikt subjektu dokumentu un informācijas un komunikācijas tehnoloģiju infrastruktūras pārbaudes un nepieciešamības gadījumā uzdot veikt korektīvus pasākumus, lai novērstu konstatētās nepilnības, izteikt brīdinājumu, apturēt pakalpojumu darbību līdz neatbilstību novēršanai vai piemērot sankcijas.

Likums stāsies spēkā 2024. gada 1. septembrī. Aizsardzības ministrija organizēs informatīvus seminārus to nozaru pārstāvošajām organizācijām, uz kurām šī likuma prasības attiecas.

Nacionālā informācijas tehnoloģiju drošības padome

Lai koordinētu ar informācijas tehnoloģiju drošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu, saskaņā ar Informācijas tehnoloģiju drošības likuma pantu ir izveidota Nacionālās informācijas tehnoloģijas drošības padome (turpmāk – padome). Padome tiekas gan slēgtā (tikai locekļi), gan atvērtā formātā. Padomes ietvarā arī tiek ziņots par Latvijas Kiberdrošības stratēģijas 2023. – 2026. gadam ieviešanas plāna uzdevumu izpildi.

Kiberdrošības jomā iesaistītās institūcijas

Informācijas tehnoloģiju drošības stiprināšanai ir izveidota Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV, Latvijas Universitātes Matemātikas un informātikas institūta sastāvā, kas darbojas Aizsardzības ministrijas pakļautībā Informācijas tehnoloģiju drošības likuma ietvaros. Satversmes aizsardzības birojs uzrauga informācijas tehnoloģiju kritisko infrastruktūru. Savukārt par aizsardzības nozares informācijas tehnoloģiju drošību rūpējas Militāro informācijas tehnoloģiju drošības incidentu novēršanas komanda jeb MilCERT. Zemessardzes Kiberaizsardzības vienība tika izveidota 2013. gadā, un tās galvenais mērķis ir sniegt atbalstu krīzes vai apdraudējuma situācijā IT drošības incidentu novēršanā un radušos seku pārvarēšanā kibertelpā.

Kiberdrošības stratēģija

Latvijas kiberdrošības stratēģija 2014.-2018. gadam bija pirmais politikas plānošanas dokuments kiberdrošības jomā. Šī stratēģija fokusējās uz normatīvās bāzes izstrādi un informācijas un komunikācijas tehnoloģiju drošības sistēmas izveidi.  2019. gadā Ministru kabinets apstiprināja Latvijas kiberdrošības stratēģiju 2019.-2022. gadam, bet 2023. gada martā tika apstiprināta jaunākā Latvijas kiberdrošības stratēģija 2023.-2026. gadam. Nacionālā kiberdrošības stratēģija definē galvenos nacionālās kiberdrošības politikas rīcības virzienus laika periodam līdz 2026. gadam, nodrošinot “Latvijas kiberdrošības stratēģijā 2019–2022” noteikto darbības virzienu pēctecību Latvijas kiberdrošības stiprināšanai, kā arī raksturo Latvijas kiberdrošības situāciju un  identificē nākotnes izaicinājumus. Būtiska loma ir arī dažādu iesaistīto pušu iesaistīšanai stratēģijas veidošanā un uzdevumu izpildē, veidojot drošu, atvērtu, brīvu un uzticamu Latvijas kibertelpu.

Stratēģijā izvirzīti pieci rīcības virzieni periodam līdz 2026. gadam:

• Kiberdrošības pārvaldības pilnveidošana;
• Kiberdrošības veicināšana un izturētspējas stiprināšana;
• Sabiedrības izpratne, izglītība un pētniecība;
• Starptautiskā sadarbība un tiesiskums kibertelpā;
• Kibernoziedzības novēršana un apkarošana.

Normatīvie akti

Latvijā ir izveidota normatīvo aktu bāze informācijas tehnoloģiju drošības jomā, kas regulāri tiek pilnveidota, ņemot vērā aktuālās tendences kiberdrošības jomā.

• Informācijas tehnoloģiju drošības likums (pašreiz izstrādes stadijā ir jaunais Nacionālās kiberdrošības likums);
• Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 “Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”;
• Ministru kabineta 2011. gada 26. aprīļa noteikumi Nr. 327 “Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem”;
• Ministru kabineta 2015. gada 3. augusta noteikumi Nr. 422 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”;
• Ministru kabineta 2016. gada 1. novembra noteikumi Nr. 695 “Digitālās drošības uzraudzības komitejas nolikums”;
• Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 43 “Noteikumi par nosacījumiem drošības incidenta būtiski traucējošās ietekmes noteikšanai un kārtību, kādā piešķir, pārskata un izbeidz pamatpakalpojuma sniedzēja un pamatpakalpojuma statusu”;
• Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu”;
• Ministru prezidenta 2021. gada 8. janvāra rīkojums Nr. 2021/1.2.1.-1 “Par Nacionālo informācijas tehnoloģiju drošības padomi”;
• Ministru kabineta 2023. gada 4. jūlija noteikumi Nr. 368 “Informācijas sistēmu un to darbībai nepieciešamo informācijas un komunikācijas tehnoloģiju resursu un pakalpojumu attīstības aktivitāšu un likvidēšanas uzraudzības kārtība”;
• Ministru kabineta 2023. gada 28. februāra noteikumi Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības";

Sadarbība un apņemšanās

2015. gadā Igaunijas, Latvijas un Lietuvas Aizsardzības ministrijas parakstīja Saprašanās memorandu par sadarbību kiberdrošības jautājumos.

2016. gadā NATO Varšavas samita laikā kibervide tika atzīta par operacionālo vidi, un Latvija, tāpat kā citas dalībvalstis, parakstīja NATO Kiberaizsardzības apņemšanos, lai veicinātu kopējo kiberaizsardzības noturību. 2023. gadā tika pārskatīts  Kiberaizsardzības apņemšanās mehānisms, kas tiek izmantots NATO dalībvalstu kiberaizsardzības spēju izvērtēšanai, kā arī nepieciešamo uzlabojumu konstatēšanai. Tāpat 2023. gadā tika apstiprināta Latvijas dalība NATO virtuālo kiberincidentu atbalsta mehānisma darbībā, kas ļauj saņemt un sniegt virtuālu atbalstu kiberincidentu novēršanā citām dalībvalstīm.

2017. gadā Aizsardzības ministrija parakstīja vienošanos par sadarbību kiberdrošības jautājumos ar Latvijas Informācijas un komunikācijas tehnoloģijas asociāciju.

2021. gadā tika noslēgta vienošanās starp Latvijas un Polijas aizsardzības ministriju, ar mērķi izveidot sadarbības ietvaru un procedūras starp abu valstu militāro informācijas tehnoloģiju incidentu reaģēšanas komandām. 

Sadarbībā ar ārvalstu partneriem CERT.LV īsteno mērķtiecīgas draudu medību operācijas valsts pārvaldes un kritiskās infrastruktūras informācijas un komunikāciju tehnoloģiju resursos. CERT.LV vadītās draudu medību operācijas tiek īstenotas arī sadarbībā ar Kanādas, Beļģijas, ASV, ES Kiberdrošības aģentūras - ENISA un citu partneru iesaisti. 

Mācības

Latvija piedalās vairākās starptautiskās kiberkrīžu mācībās, tai skaitā CyberEurope un BlueOlex.

CyberEurope ir kiberincidentu un krīžu pārvaldības mācības, kas mērķētas uz valstu starpinstitucionālo un starpvalstu sadarbību, Eiropas līmeņa krīzes gadījumā. Savukārt BlueOlex mācības tiecas spēcināt ES dalībvalstu koordināciju un savstarpējo komunikāciju kiberkrīžu gadījumā.

Tāpat Latvija piedalās NATO CCDCOE (NATO Kolektīvās kiberaizsardzības izcilības centra) organizētājās mācībās Locked Shields, Crossed Swords, kā arī NATO organizētajās mācībās Cyber Coalition. Vienlaikus kiberkrīžu elementi tiek ietverti arī nacionālajās mācībās NAMEJS un AMEX, kā arī tiek organizētas specifiski kiberkīžu mācības Medus Pods.