Kiberdrošība
NBS
- Prioritāte – tās struktūras, kuras "karo" jau šobrīd – izlūkošana, pretizlūkošana, kiberoperācijas. Mums nepieciešamas savas ofensīvās kiberspējas. Integrētā Kiber, Intel, Psyops, EW vienība. Mums nepieciešams savu Echelon analogs.
- NBS jābūt būtiskam inovāciju virzītājam. Vajadzīgs Izraēlas Talpiot un Unit8080 analogs. Vajadzīgs AM un NBS galvenais inženieris.
Vispārēji
1. “Zero trust security” jeb nulles ticamības politika.
Esošās situācijas apraksts.
Arvien vairāk ierīču tiek pastāvīgi pieslēgti globālajam tīmeklim. Arvien vairāk lietotņu izmanto mākoņu pakalpojumus. Arvien vairāk tiek izmantotas mobilās lietotnes. Līdz ar to vairs nevar paļauties uz tradicionālo perimetra aizsardzību.
Nepieciešamā rīcība.
Nepieciešams pāriet uz obligātu autentifikāciju ierīču un lietotāju līmenī, lai katra ierīce, katra lietotne un katrs lietotājs tiek autentificēs valsts iestāžu tīklos un lietotnēs un neautorizētās ierīces/lietotnes/lietotāji netiek pielaisti. Vēlams ar “dzelzisko” (hardware) atslēgu. Kā variants – atslēga ir mobilais tālrunis.
Pentagon to unveil zero-trust cyber strategy https://www.defensenews.com/cyber/2022/11/08/pentagon-to-unveil-zero-trust-cyber-strategy/
2. eID kā universāls 2 faktoru identifikators. Dalība FIDO ("Fast IDentity Online") alianse (https://fidoalliance.org/)
Esošās situācijas apraksts.
Šobrīd mūsu vietējās sistēmas izmanto eID, bet mēs ikdienā lietojam ļoti daudz vispārējā lietojuma programmu, piem. to pašu Windows, kam nav Latvijas eID atbalsta. Līdz ar to jāizmanto vai nu citu pakalpojumu sniedzēju dzelziskā identifikācija, piem. Yubikey, Feithian, Google titan key u.c. vai nu jālieto mazāk drošie līdzekļi. Ja Latvijas eID paliek par standarta identifikatoru, tad visiem Latvijas iedzīvotājiem būtu pieejams universāls eID identifikācijas rīks, kas strādātu ar ļoti plašu privāto risinājumu klāstu, kaut vai ar gmail.
Nepieciešamā rīcība.
LVRTC kā eID atslēgu nodrošinātajam veikt darbības, lai eID tiktu iekļauts FIDO atbalstīto rīku klāstā.
3. eID čipā integrētās šifrēšanas atslēgas. Publisko atslēgu repozitorijs.
Esošās situācijas apraksts.
Šobrīd Latvijas eID nav integrētas individuālās šifrēšanas atslēgas kā tas ir piem. Igaunijā. Līdz ar to nav arī pieejas unikālai atslēgai ko var izmantot dažādās lietotnēs savas informācijas šifrēšanai.
Nepieciešamā rīcība.
Integrēt eID šifrēšanas atslēgas.
4. SPF, DKIM, DMARC un MTA-STS e-pastu drošībai. Iespēja fiziskām un juridiskām personām iegūt karti ar šifrēšanas un paraksta atslēgām kā arī izmantot sekundārās ģenerētās atslēgas ar eID karti. Lai pasargātu citus saņēmējus un sava uzņēmuma vai organizācijas reputāciju, būtiski ir nodrošināt iespēju citiem pārliecināties par saņemtā e-pasta autentiskumu, ja tas izsūtīts jūsu uzņēmuma vai organizācijas vārdā, kā arī liegt iespēju trešajām pusēm izsūtīt šādus e-pastus. Šeit izmantojamas DMARK, SPF, DKIM un MTA-STS tehnoloģijas.
Esošās situācijas apraksts.
E-pastu standarta risinājumi nenodrošina saņēmējam pārliecināties par nosūtītāja identitāti. E-pastu var relatīvi viegli viltot. Kaitnieks var izlikties par citu personu un lūgt saņēmējam veikt kaitniekam nepieciešamās darbības, piemēram atsūti datora paroli vai veikt pārskaitījumu uz bankas kontu.
Nepieciešamā rīcība.
Tiešās valsts pārvaldes iestādēm SPF, DKIM un DMARC izmantošanu noteikt par obligātu. Iespējams arī daļai privāto noteikt šādu prasību. Piem. ja privātai sūta informatīvās vēstules klientiem.
DNSSEC izmantošanas paplašināšana.
Esošās situācijas apraksts.
DNSSEC (Domain Name System Security Extension, domēna vārdu sistēmas drošības paplašinājums) ir domēna vārdu sistēmas drošības paplašinājums, kas nodrošina DNS (Domain Name System) datu autentifikāciju un ļauj pārliecināties, ka DNS atbildes saturs nav mainīts. Proti, tas ļauj pārliecināties, ka lietotājs iet tieši uz to lapu, kuras adresi viņš ir ievadījis. Bez DNSSEC parakstīta domēna vārda lietotājs var tikt novirzīts uz kaitnieku vietni, kur var notikt personas datu zādzība (ja nozagta maksājumu informācija, tad arī naudas zādzība), uzstādīta ļaunatūra utt.
Nepieciešamā rīcība.
Ieviest DNSEC kā obligātu prasību visu valsts iestāžu (ieskaitot pašvaldības un valsts/pašvaldību kapitālsabiedrības) domēniem. Privātajiem domēniem noteikt prasību par obligātu, ja domēns veic jebkādu datu ievākšanu par lietotāju, izvieto maksājumu informāciju (piemēram, publicē bankas kontu) vai nosūta lietotājam sīkfailus (cookies).
5. Papildus šifrēšanas līmenis mobilajām saziņas aplikācijām, piem Signal. Arī iespēja ģenerēt eID lietotnē un publisko atslēgu repozitorijs.
Esošās situācijas apraksts.
Standartā Signal izmanto mobilajā ierīcē ģenerētos standarta šifrēšanas sertifikātus. Tos ir iespējams nozagt, ja kompromitēta ierīce.
Nepieciešamā rīcība.
Tā kā Signal ir atvērtā koda lietotne, tad to ir iespējams viegli integrēt ar citām aplikācijām, kur būtu iespējams lietot personīgās atslēgas. Līdz ar to var ziņojumiem pievienot vēl vienu šifrēšanas slāni, kas būtiski apgrūtinās uzlaušanu, jo jāuzlauž jau arī tās šifrēšanas atslēgas, kuras ir piem. eID kartē. Var pievienot arī parakstu ziņojumiem, kas ļaus saņēmējam pārliecināties par sūtītāja identitāti.
6. Lielākais drošībai – SIM kartes ar iestrādāto paraksta sertifikātu un šifrēšanas atslēgām.
Esošās situācijas apraksts.
Šobrīd mobilais eID Latvijā balstās uz serverī ģenerētiem sertifikātiem, kas nav tik droši kā eID kartes sertifikāti, kurus nozagt ir nesalīdzināmi grūtāk.
Nepieciešamā rīcība.
Integrēt paraksta un šifrēšanas sertifikātus SIM kartēs (līdzīgi kā šobrīd Igaunijā).
7. EID kā universāla RFID piekļuves karte.
Esošās situācijas apraksts.
Šobrīd dažādām iestādēm darbinieku un apmeklētāju kontrolei nepieciešams ieviest savas RFID kartes vai līdzīgi risinājumi. Daļu tas attur, daļa pret to izturas pavirši, ir sarežģīti piešķirt piekļuvi personai, ja tai nav iedota kāda pieejas karte (vai cita veida tokens).
Nepieciešamā rīcība.
Paplašināt eID funkcionalitāti, lai to varētu izmantot kā universālo piekļuves karti. Šāda karte vienmēr ir pie personas. Personai pieeju iedot ir viegli ievadot sistēmā personas datus, tālāk sistēma paņems nepieciešamās publiskās atslēgas no LVRTC servera.
8. Pārejā uz IPv6.
Esošās situācijas apraksts.
Globāli IPv4 adreses ir beigušās. Lai risinātu šo problēmu tiek izmantota adrešu translācija, kur viena IP adrese tiek izmantota daudziem lietotājiem, kas samazina drošību un identifikācijas iespējas.
Nepieciešamā rīcība.
Pāriet uz IPv6 valsts un pašvaldību sektorā. Primāri sistēmās, kur notiek darbības ar ierobežotās pieejamības informāciju
9. Uzbrūkošās kiberspējas.
Esošās situācijas apraksts.
Šobrīd Latvijā nav ofensīvo kibervienību. Ja mēs tikai aizsargāsimies, tad ienaidnieks mums uzspiedīs kauju tur un tad, kad pats vēlēsies. Mums ir jāuzbrūk un laicīgi jāiefiltrējas ienaidnieka rindās. CYBER vairs nestrādā pats par sevi. Tagad tā ir kombinācija no CYBER, INTEL, PSYOPS, SIGINT, EW, SPECOPS.
Nepieciešamā rīcība.
Attīstīt struktūras ar ofensīvām kibverspējām. Visdrīzāk uz AM kibervienību bāzes pēc analoģisko ASV bruņoto spēku vienību parauga.
10. Kvantu gadījuma skaitļu ģenerēšanas moduļu integrācija iekārtās (Dienvidkoreja ievieš).
Esošās situācijas apraksts.
Šobrīd gadījuma skaitļi šifrēšanai dažādās iekārtās tiek ģenerēti algoritmiski. Tātad pastāv iespēja uzlauzt algoritmu, kas var būtiski samazināt šifrēšanas efektivitāti.
Nepieciešamā rīcība.
Integrēt kvantu skaitļu ģeneratorus datoros un mobilajos tālruņos sistēmās, kur tiek apstrādāta ierobežotās pieejamības informācija. Kvantu gadījuma skaitļu ģenerators ģenerē īstos gadījuma skaitļus, kas nav algoritmiski iegūti un nevar tikt uzlauzti ar algoritma uzlaušanu. Tas paaugstinās visus iekārtu šifrēšanas kvalitāti. Bet, jāņem vērā, ka šis ir samērā rets uzbrukuma vektors.
11. Kvantu sakari.
Informācijas nodošana kvantu stāvokļu līmenī nodrošina aizsardzību nevis algoritma, bet fizikas likumu līmenī. Tiklīdz kāds mēģina nolasīt kvanta stāvokli, tas izmaina savu vērtību, līdz ar to saņēmējs var konstatēt, ka kāds ir mēģinājis nolasīt viņam domāto informāciju (uzplēstā vēstules konverta princips).
Esošās situācijas apraksts.
Lai cik labi būtu šifrēta informācija, tik un tā pastāv iespēja, ka var tikt pārtverta un atšifrēta.
Nepieciešamā rīcība.
Ieviest kvantu datu pārraides funkcionalitāti klasificētai informācijai, kur tas ir lietderīgi.
12. Pārejā uz kvantu drošo šifrēšanu (postkvantum kriptogrāfija).
Esošās situācijas apraksts.
Kvantu skaitļošanas attīstība paver iespējas samērā ātri uzlauzt līdz šim pastāvošos šifrēšanas algoritmus. Pat ja pilnvērtīgi kvantu datori neparādīsies tik drīz, pastāv pietiekami liela varbūtība, ka šobrīd jau tiek uzkrāta šifrētā informācija, kas vēlāk tiks atšifrēta.
Nepieciešamā rīcība.
Pāriet uz kvantu skaitļošanas drošu (portkvantum) kriptogrāfiju sensitīvajiem datiem un ierobežotās pieejamības informācijai.
13. Saistībā ar pēdējā laika bieži izskanējušām ziņām par telefonkrāpniekiem.
Esošās situācijas apraksts.
Šobrīd esošie tālruņu komutācijas veidi nav droši pret tālruņa numuru slēpšanu.
Nepieciešamā rīcība.
Nepieciešams izveidot risinājumu operatora pusē un mobilo lietotni lietotāja pusē, kas Latvijas numuriem ļautu pārbaudīt vai tas tiešām ir reāls Latvijas operatoru izsniegts numurs vai viltots. T.i. zvanot no Latvijas numura lietotnē parādīsies: 1) privātais numurs 2) uzņēmuma numurs 3) valsts/pašvaldības iestādes numurs 4) Latvijas priekšapmaksas karte 5) ārzemju numurs. Attiecīgi, ja kāds stādīsies priekšā kā Latvijas banka, bet lietotnē parādās “ārzemju numurs”, tad viegli varēs saprast, ka kaut kas nav tā. Skaidrs, ka strādās tikai viedtālruņos un tikai, ja aktivizēts datu savienojums, bet labāk tā nekā vispār nekā. Operatoru līmeņa verifikācija ar RCS vai STIR/SHAKEN protokolu.
Nav komentāru:
Ierakstīt komentāru