Kiberdrošība

Papildu informācija un saistītās ziņas par kiberdrošību

Lai iepazīstinātu publiskā un privātā sektora organizācijas ar Nacionālajā kiberdrošības likumā noteiktajām prasībām, kā arī skaidrotu kārtību, kas organizācijām būs jāīsteno attiecībā uz kiberdrošības pārvaldību, Aizsardzības ministrija septembrī organizēs deviņus tiešsaistes informatīvus seminārus. Vairāk informācijas šeit.


Līdz ar pieaugošo informācijas un komunikāciju tehnoloģiju izmantošanu sabiedrībā, valsts pārvaldē un ekonomikā, to nelikumīga izmantošana, bojāšana, paralizēšana vai iznīcināšana var radīt draudus valsts un sabiedrības drošībai, sabiedriskajai kārtībai un ekonomiskai darbībai, kā arī kavēt valsts ekonomikas tālāku izaugsmi. Kibertelpa ir viegli izmantojama, lai nodarītu kaitējumu indivīdam, sabiedrības grupai vai valstij kopumā. Kibertelpas drošība un katra lietotāja zināšanas par kiberdrošību ir pamats, lai mēs, uzturoties kibertelpā, justos droši un aizsargāti. Lai mazinātu un novērstu riskus un apdraudējumus kibertelpā, nepieciešama vienota izpratne un koordinēta Latvijas kiberdrošības politika, kas aptver visas iesaistītās nozares, valsts un privāto sektoru.

Visaptverošās valsts aizsardzības sistēmā katrai – gan valstiskai, gan nevalstiskai organizācijai, kā arī privātajam sektoram un iedzīvotājiem ir skaidri definēta loma krīzes situācijā. Arvien lielāka loma tiek piešķirta kiberdrošībai kā visaptverošās valsts aizsardzības sistēmas elementam, pievēršot uzmanību ne tikai kiberdrošības pārvaldības uzlabošanai un starptautiskās sadarbības veicināšanai, bet arī sabiedrības izpratnes līmeņa celšanai.

Aizsardzības ministrija ir atbildīga par kiberdrošības politikas veidošanu un īstenošanu Latvijā, taču valsts kiberdrošības pārvaldība balstās uz savstarpēju sadarbību, kur katra valsts institūcija pilda savas funkcijas, tai skaitā kibertelpā, veicot tiešu sadarbību ar citām institūcijām un privāto sektoru vai vienotā sadarbības formātā Nacionālās informācijas tehnoloģiju drošības padomes ietvarā. Aizsardzības ministrija nodrošina padomes, kā arī Digitālās drošības uzraudzības komitejas darbu.

Nacionālās kiberdrošības likums

2024. gada 20. jūnijā Saeima pieņēma Nacionālās kiberdrošības likumu (NKDL). Tā mērķis ir stiprināt kiberdrošību Latvijā, kā arī ieviest pārskatītās Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīvas (NIS2) prasības, kas paredz panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā.

Likums attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Likuma 20. un 21. pantā ir noteikti kritēriji, pēc kuriem tiek definēta publiskā un privātā sektora organizācijas piederība kādai no minētajām grupām. 

Publiskā un privātā sektora organizācijām, uz kurām likums attiecas:

  • līdz 2025. gada 1. aprīlim jānosaka savs statuss un jāreģistrējas;
  • līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks;
  • līdz 2025. gada 1. oktobrim jāiesniedz pirmais pašvērtējuma ziņojums.

Tāpat būtisko un svarīgo pakalpojumu sniedzējiem publiskajā un privātajā sektorā būs jāsniedz regulārs kiberdrošības pašvērtējums, obligāti jāziņo par atklātajiem kiberapdraudējumiem, jāizstrādā riska pārvaldības un darbības nepārtrauktības plāns un jāievēro citas kiberdrošības prasības.

Vairāk par Nacionālās kiberdrošības likumu

Nacionālais kiberdrošības centrs

Nacionālais kiberdrošības likums paredz no 2024. gada 1. septembra izveidot jaunu institūciju – Nacionālo kiberdrošības centru. Tas darbosies kā vienotais kontaktpunkts kiberdrošības jautājumos, veiks nacionālo kiberdrošības prasību ieviešanas pārraudzību, kā arī izstrādās nacionālās kiberdrošības rīcībpolitikas iniciatīvas. Centra funkcijas īstenos Aizsardzības ministrija sadarbībā ar Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienību CERT.LV. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras uzraudzības iestāde būs Satversmes aizsardzības birojs.

Uzraudzības iestādes būs tiesīgas veikt subjektu dokumentu un informācijas un komunikācijas tehnoloģiju infrastruktūras pārbaudes un nepieciešamības gadījumā uzdot veikt korektīvus pasākumus, lai novērstu konstatētās nepilnības, izteikt brīdinājumu, apturēt pakalpojumu darbību līdz neatbilstību novēršanai vai piemērot sankcijas.

Likums stāsies spēkā 2024. gada 1. septembrī. Aizsardzības ministrija organizēs informatīvus seminārus to nozaru pārstāvošajām organizācijām, uz kurām šī likuma prasības attiecas.

Nacionālā informācijas tehnoloģiju drošības padome

Lai koordinētu ar informācijas tehnoloģiju drošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu, saskaņā ar Informācijas tehnoloģiju drošības likuma pantu ir izveidota Nacionālās informācijas tehnoloģijas drošības padome (turpmāk – padome). Padome tiekas gan slēgtā (tikai locekļi), gan atvērtā formātā. Padomes ietvarā arī tiek ziņots par Latvijas Kiberdrošības stratēģijas 2023. – 2026. gadam ieviešanas plāna uzdevumu izpildi.

Kiberdrošības jomā iesaistītās institūcijas

Informācijas tehnoloģiju drošības stiprināšanai ir izveidota Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV, Latvijas Universitātes Matemātikas un informātikas institūta sastāvā, kas darbojas Aizsardzības ministrijas pakļautībā Informācijas tehnoloģiju drošības likuma ietvaros. Satversmes aizsardzības birojs uzrauga informācijas tehnoloģiju kritisko infrastruktūru. Savukārt par aizsardzības nozares informācijas tehnoloģiju drošību rūpējas Militāro informācijas tehnoloģiju drošības incidentu novēršanas komanda jeb MilCERT. Zemessardzes Kiberaizsardzības vienība tika izveidota 2013. gadā, un tās galvenais mērķis ir sniegt atbalstu krīzes vai apdraudējuma situācijā IT drošības incidentu novēršanā un radušos seku pārvarēšanā kibertelpā.

Kiberdrošības stratēģija

Latvijas kiberdrošības stratēģija 2014.-2018. gadam bija pirmais politikas plānošanas dokuments kiberdrošības jomā. Šī stratēģija fokusējās uz normatīvās bāzes izstrādi un informācijas un komunikācijas tehnoloģiju drošības sistēmas izveidi.  2019. gadā Ministru kabinets apstiprināja Latvijas kiberdrošības stratēģiju 2019.-2022. gadam, bet 2023. gada martā tika apstiprināta jaunākā Latvijas kiberdrošības stratēģija 2023.-2026. gadam. Nacionālā kiberdrošības stratēģija definē galvenos nacionālās kiberdrošības politikas rīcības virzienus laika periodam līdz 2026. gadam, nodrošinot “Latvijas kiberdrošības stratēģijā 2019–2022” noteikto darbības virzienu pēctecību Latvijas kiberdrošības stiprināšanai, kā arī raksturo Latvijas kiberdrošības situāciju un  identificē nākotnes izaicinājumus. Būtiska loma ir arī dažādu iesaistīto pušu iesaistīšanai stratēģijas veidošanā un uzdevumu izpildē, veidojot drošu, atvērtu, brīvu un uzticamu Latvijas kibertelpu.

Stratēģijā izvirzīti pieci rīcības virzieni periodam līdz 2026. gadam:

  • Kiberdrošības pārvaldības pilnveidošana;
  • Kiberdrošības veicināšana un izturētspējas stiprināšana;
  • Sabiedrības izpratne, izglītība un pētniecība;
  • Starptautiskā sadarbība un tiesiskums kibertelpā;
  • Kibernoziedzības novēršana un apkarošana.

Normatīvie akti

Latvijā ir izveidota normatīvo aktu bāze informācijas tehnoloģiju drošības jomā, kas regulāri tiek pilnveidota, ņemot vērā aktuālās tendences kiberdrošības jomā.

Sadarbība un apņemšanās

2015. gadā Igaunijas, Latvijas un Lietuvas Aizsardzības ministrijas parakstīja Saprašanās memorandu par sadarbību kiberdrošības jautājumos.

2016. gadā NATO Varšavas samita laikā kibervide tika atzīta par operacionālo vidi, un Latvija, tāpat kā citas dalībvalstis, parakstīja NATO Kiberaizsardzības apņemšanos, lai veicinātu kopējo kiberaizsardzības noturību. 2023. gadā tika pārskatīts  Kiberaizsardzības apņemšanās mehānisms, kas tiek izmantots NATO dalībvalstu kiberaizsardzības spēju izvērtēšanai, kā arī nepieciešamo uzlabojumu konstatēšanai. Tāpat 2023. gadā tika apstiprināta Latvijas dalība NATO virtuālo kiberincidentu atbalsta mehānisma darbībā, kas ļauj saņemt un sniegt virtuālu atbalstu kiberincidentu novēršanā citām dalībvalstīm.

2017. gadā Aizsardzības ministrija parakstīja vienošanos par sadarbību kiberdrošības jautājumos ar Latvijas Informācijas un komunikācijas tehnoloģijas asociāciju.

2021. gadā tika noslēgta vienošanās starp Latvijas un Polijas aizsardzības ministriju, ar mērķi izveidot sadarbības ietvaru un procedūras starp abu valstu militāro informācijas tehnoloģiju incidentu reaģēšanas komandām. 

Sadarbībā ar ārvalstu partneriem CERT.LV īsteno mērķtiecīgas draudu medību operācijas valsts pārvaldes un kritiskās infrastruktūras informācijas un komunikāciju tehnoloģiju resursos. CERT.LV vadītās draudu medību operācijas tiek īstenotas arī sadarbībā ar Kanādas, Beļģijas, ASV, ES Kiberdrošības aģentūras - ENISA un citu partneru iesaisti. 

Mācības

Latvija piedalās vairākās starptautiskās kiberkrīžu mācībās, tai skaitā CyberEurope un BlueOlex.

CyberEurope ir kiberincidentu un krīžu pārvaldības mācības, kas mērķētas uz valstu starpinstitucionālo un starpvalstu sadarbību, Eiropas līmeņa krīzes gadījumā. Savukārt BlueOlex mācības tiecas spēcināt ES dalībvalstu koordināciju un savstarpējo komunikāciju kiberkrīžu gadījumā.

Tāpat Latvija piedalās NATO CCDCOE (NATO Kolektīvās kiberaizsardzības izcilības centra) organizētājās mācībās Locked Shields, Crossed Swords, kā arī NATO organizētajās mācībās Cyber Coalition. Vienlaikus kiberkrīžu elementi tiek ietverti arī nacionālajās mācībās NAMEJS un AMEX, kā arī tiek organizētas specifiski kiberkīžu mācības Medus Pods.