Intervija ar Arni Pukstu,
Nacionālā Veselības dienesta Informācijas sistēmas drošības pārvaldnieku
Kā Jūs izvēlējāties strādāt šajā jomā un kur apguvāt šo profesiju?
Būtībā šī ir starpnozaru profesija – ir jāpārzina informācijas tehnoloģijas un jāorientējas juridiskos jautājumos. Jāsaprot IT cilvēku valoda un jāspēj sarunāties ar juristiem viņu valodā.
Speciālistiem ar juridisko izglītību nepieciešami padziļināti kursi par informācijas tehnoloģijām, jo ir jāuzrauga IT speciālisti. Savukārt IT speciālisti var apgūt jurisprudences pamatus, piemēram, koledžā.
Pirmā izglītība man ir saistīta ar IT jomu, otrā – ar jurisprudenci. Pats esmu gandrīz 10 gadus bijis lielas informācijas sistēmas administrators un līdztekus arī nedaudz praktizēju kā jurists. Latvijā pašreiz mūs - sertificētu personas datu aizsardzības speciālistu - ir ļoti maz. Esam pat nodibinājuši Latvijas sertificēto personas datu aizsardzības speciālistu asociāciju.
Man jau vidusskolas laikā bija doma studēt informācijas tehnoloģijas vai jurisprudenci, taču ar draugiem izlēmām iet studēt vadībzinātnes, lai arī īsti neizpratām, kas tas ir. Iestājos LU Ekonomikas vadības fakultātē. Universitātē bija iespēja strādāt ar datoru, sērfot internetā, kas skolas laikā man nebija pieejams. Tā arī padziļināti apguvu IT jomu. Pēc otrā kursa bija iespēja specializēties, un es izvēlējos novirzienu ekonomikas informātikā. Maģistrantūrā studēju vadības informācijas sistēmas. Pēc bakalaura grāda iegūšanas sapratu, ka tomēr gribu mācīties arī jurisprudenci, un iestājos Juridiskajā koledžā. Ieguvu pirmā līmeņa augstāko profesionālo izglītību, kas ir ļoti piemērota programma, kurā man kā IT cilvēkam bija iespējams apgūt nepieciešamās zināšanas jurisprudencē. Tālāk studēju, lai iegūtu bakalaura grādu, un pašlaik mācos jurisprudenci maģistrantūrā.
Vai arī tagad nepieciešams papildus mācīties?
Protams, jo jauni apdraudējumi informācijas sistēmām rodas visu laiku. IT joma attīstās. Man ir starptautiskais CSM (Sertificēts informācijas sistēmu menedžeris) sertifikāts. Noderīgi ir arī starptautiski auditoru kursi. Tepat Latvijā ir iespējams apmeklēt kursus „Sertificēts Profesionālais Ētiskais urķis”. Tajos tiek apskatītas jaunākās tendences cīņā pret hakeriem un viņu metodes. Jāseko līdzi jaunumiem par apdraudējumiem, kas parādās internetā, arī pašam.
Kādi ir informācijas drošības vadītāja galvenie pienākumi?
Jebkura saimnieciskā darbība tā vai citādi ir saistīta ar informācijas tehnoloģijām, tādēļ IT infrastruktūras drošība ir ļoti svarīga jebkurai jomai. Piemēram, ja tiek paralizēta IT sistēma lidojumu kontroles centrā, tas apstādina gan gaisa satiksmi, gan daudzu saistīto jomu darbu. Turklāt internetā pašlaik ir pieejama informācija, ar kuras palīdzību cilvēks pat ar minimālām zināšanām var ietekmēt informācijas resursu darbību vai pat sabojāt to.
Informācijas sistēmu drošības pamatā ir trīs pamatjautājumi: pieejamība (informācijas resursam jābūt pieejamam tikai tad, tādam un tādā apjomā, kādā tas ir nepieciešams), integritāte (informācijai jābūt uzticamai, nesagrozītai un nenoliedzamai) un konfidencialitāte. Informācijas drošības vadītājs cenšas panākt drošību, sakārtojot juridiskos jautājumus un lietojot IT instrumentus. Ir „drošības lietas”, kas var tikt uzstādītas automātiski, piemēram, paroles garums, sarežģītība un nomaiņas biežums, un ir neautomatizējamas „drošības lietas”, kad jāseko līdzi lietotāju paradumiem. Piemēram, cik lielā mērā viņu darbības atbilst viņu profilam. Katrs no mums veic noteiktas darbības darba uzdevumu izpildei, kuras var saukt par mūsu tipiskām darbībām, bet ir īpaši instrumenti, ar kuru palīdzību var sekot līdzi lietotāju paradumiem un „uzķert” brīžus, kad lietotāja rīcība kļūst netipiska.
Ja uzņēmums sāk darboties no nulles, informācijas drošības vadītājs izstrādā visu drošības sistēmu un noteikumus. Ja organizācija jau darbojas, tai ir savi iekšējie noteikumi un normas, tad tās ir jāpārskata un jāaktualizē atbilstoši likumdošanai. Ja uzņēmumā rodas jauns projekts vai darbības virziens, izstrādātie drošības noteikumi ir jāmaina atbilstoši šiem jaunumiem.Tuvs darbs šim ir tas, ko dara iekšējais auditors. Viņš pārbauda, vai izstrādātā sistēma darbojas reālajā dzīvē. Mazos uzņēmumos šo darbu dara informācijas drošības vadītājs viens pats.
Šajā darbā visu laiku jāseko līdzi jaunumiem likumdošanā. Nav tāda brīža, kad var teikt, ka viss ir pabeigts. Var tikai tiekties uz pilnību, jo neviens nespēj radīt kaut ko tādu, ko kāds cits cilvēks nevarētu „uzlauzt”, tāpēc drošības pārvaldība vienmēr būs process, nevis rezultāts. Turklāt drošības jautājums ir saistīts ne tikai ar IT. Mūsdienās būtisks apdraudējums ir arī sociālās inženierijas, kas izmanto psiholoģijas zināšanas, lai manipulētu ar cilvēkiem un izdabūtu no viņiem nepieciešamo informāciju, tāpēc arī par šiem jautājumiem darbinieki jāizglīto.
Kāda ir Jūsu darba ikdiena?
Ja pieņem, ka viss ir kārtībā – visi normatīvie akti ir sakārtoti un nav ārēju likumdošanas izmaiņu, ikdienas darbs pārsvarā saistīts ar risku pārvaldību (apskatu forumus un citas vietnes, kur var iegūt informāciju par jauniem apdraudējumiem) un lietotāju pārbaudi. Veicu plānotas un neplānotas sistēmas drošības un lietotāju pārbaudes. Testa veidā tiek simulēti uzbrukumi.
Pēc noteikumiem vienreiz gadā jāveic visu darbinieku apmācības par drošības jautājumiem. Man ikvienam, viņam saprotamā valodā jāizskaidro ar drošību saistītie jautājumi. Ja tiek pieņemts jauns darbinieks, viņš iepazīstas ar noteikumiem, bet vienmēr ir vērts veikt papildu pārbaudi par to, kā viņš tos ievēro. Reizēm jāsimulē situācijas, kad „klients” it kā lūdz kādu informāciju, kuru darbinieks nevar sniegt.
Veicu arī darbinieku aptaujas par drošības jautājumu pārzināšanu. Ja gribam iegūt patiesu pārskatu par esošo situāciju, svarīgi, lai aptaujas būtu anonīmas. Tas palīdz saprast, kādā IT drošības līmenī esam un kurā virzienā jāstrādā.
Jāseko līdzi arī dažādiem pieejamajiem drošības atjaunojumiem un jāizvērtē, kāds būs risks, ja šos atjaunojumus izmantos un kāds – ja nē. Tas ir būtiski, jo reizēm drošības atjauninājums var apturēt izstrādātās programmas darbību.
Pašreiz esmu iesaistīts arī liela, ar veselības datiem saistīta projekta izstrādē un ieviešanā, kura lietotāji būs visi Latvijas iedzīvotāji. Tas nozīmē, ka drošības jautājumi šeit ir īpaši nozīmīgi un mana līdzdalība ir būtiska.
Es pats formāli nevienu darbinieku nevadu, bet man ir tiesības jebkuram liegt piekļuvi informācijas sistēmai, ja tiek pārkāpti normatīvie akti. Sadarbojos ar juristiem, projektu vadītājiem un vadību. Tā kā mūsu iestādei ir jāsagatavo dažādas atbildes uz iesniegumiem, jebkurš darbinieks jebkurā brīdī var palūgt manu padomu – vai vēstule nesatur iespējami sensitīvu informāciju, vai darbinieks ir tiesīgs sniegt šādu informāciju, cik lielā apjomā viņš to drīkst darīt u.tml. Jāspēj pēkšņi iedziļināties dažādos jautājumos. Manā gadījumā – par medicīnu. Taču tas ir ļoti interesanti, jo neveidojas rutīna. Jāņem vērā arī joma, kurā darbojas uzņēmums, jo no tā būs atkarīgas normas, kas jāievēro, un apdraudējumu specifika.
Kādas prasmes, īpašības ir nepieciešamas, lai labi veiktu šo darbu?
Jābūt lielai stresa noturībai un arī spējai uz visu paskatīties ar humoru var nodēt. Reizēm brīžos, kad kaut kas saiet greizi un gribas gandrīz vai pa logu lēkt ārā, jāspēj paskatīties uz problēmu no malas un neuztvert visu personīgi. Šādās reizēs svarīgi spēt distancēties un izvērtēt apdraudējuma būtiskumu. Jāsaprot, ka absolūta drošība nav iespējama, jo absolūti drošās programmas būs arī absolūti nelietojamas programmas.
Kādi ir vislielākie izaicinājumi šajā darbā?
Šajā darbā izaicinājumi nekad nebeidzas, jo informācijas tehnoloģijas nemitīgi attīstās. Kamēr tev pašam ir interese, vari „rakt”, cik dziļi un kvalitatīvi gribi. Attīstība ir atkarīga no tevis paša.
Jāatceras, ka šajā amatā pastāv arī kriminālās atbildības risks, kas saistīts ar sensitīvas un personīgas informācijas drošību.
Kas šajā darbā sagādā gandarījumu?
Nav rutīnas. Tas ir radošs un interesants darbs. Nav viena gatava šablona, pēc kura strādāt. Drošības jautājumi jāskata kontekstā ar uzņēmuma darbību. Man pašam patīk tas, ka var apvienot IT ar jurisprudenci.
Gandarījums rodas arī tad, kad apzinies, ka varēja izvērsties ļoti slikta situācija, bet, pateicoties dažām darbībām, rezultāts nebūt nebija tik slikts vai pārsniedz cerības. Patīkami vērot, kā cilvēkiem, pateicoties apmācībām un taviem skaidrojumiem, rodas izpratne un interese par drošības jautājumiem. Nav tā, ka cilvēki uzreiz tiek sodīti par pieļautajām kļūdām. Mērķis nav sodīt, bet novērst drošības apdraudējumu. Izskaidrojošais darbs prasa laiku, līdz darbinieki paši saprot, cik šie jautājumi ir svarīgi. Šis pilnīgi noteikti ir viens no mana darba pastāvīgajiem virzieniem.
Kādas izaugsmes iespējas ir šajā profesijā?
Informāciju tehnoloģijām attīstoties, nākotnē šī joma būs vēl nopietnāka un vajadzība pēc drošības speciālistiem būs visaptveroša. Pat, ja uzņēmums nolīgst ārpakalpojumu firmu, kas nodrošina IS drošības pārvaldību, pašā uzņēmumā jābūt speciālistam, kurš kontrolē, vai ārpakalpojuma sniedzējs ievēro visas drošības prasības.
Nākotnē šajā profesijā arī globālajā tirgū varēs dabūt darbu. Izaugsme nebūs saistīta ar amatu pakāpi, bet ar specializāciju un ienākumu līmeni.
Pašreiz var redzēt, kā rodas jauna darbības niša. Daudzi lieto internetu mobilajā telefonā, bet smartphone aizsardzība ir minimāla. Iespējams, ka ar laiku ikviens tehnoloģiju lietotājs konsultēsies ar drošības speciālistu.
Ko Jūs ieteiktu jauniešiem, kuri gribētu apgūt šo profesiju?
Jābūt interesei par IT lietām. Ne tikai lietotāja interesei, bet padziļinātai vēlmei izzināt šo jomu. Jāinteresējas arī par jurisprudenci. Otrs jautājums saistīts ar nepieciešamajām īpašībām šī darba veikšanai - jābūt komunikablam un arī nedaudz māksliniekam.
Jau pamatskolas laikā noteikti vajag interesēties par IT un jurisprudences jautājumiem.