• pieredze IS drošības politikas un standartu izstrādē, ieviešanā un pārvaldībā;
• pieredze IS drošības risku analīzē un auditēšanā;
• pieredze IS drošības incidentu risināšanā un ārkārtas gadījumu plānu izstrādē;

Pienākumi:

• izstrādāt, ieviest un pārvaldīt IS drošības politiku un standartus, ņemot vērā FKTK prasības;
• veikt regulāru IS drošības risku analīzi un iekšējos IS auditus;
• izstrādāt ārkārtas gadījumu rīcības plānu un datu noplūdes profilakses risinājumus;
• ieviest un uzturēt uzņēmuma IS aizsardzības, integritātes un pieejamības nodrošināšanai nepieciešamos tehniskos rīkus;
• veidot un uzturēt IS drošības dokumentāciju, pārskatus un atskaites;

Piedāvājam:

• radošu un dinamisku darbu vienā no lielākajām apdrošināšanas kompānijām Latvijā;
• motivējošu atalgojuma sistēmu un veselības apdrošināšanu;

IS drošības speciālists

Kapēc ir nepieciešams veikt Mājaslapas drošības auditu?

Ikvienas interneta mājaslapas drošība ir apdraudēta, jo ik katru dienu tiek atrastas jaunas mājaslapu ievainojamības, kas rada draudus mājaslapu īpašniekiem. Atrastās mājaslapu ievainojamības un to iespaidā radušies caurumi dod iespēju uzbrucējam izmainīt lapas saturu, izvietot mājaslapā vīrusus, savākt Jūsu vai Jūsu klientu datus un veikt citas neautorizētas darbības.

Kā tiek veikts Mājaslapas drošības audits?

• Jūs aizpildat Mājaslapas drošības audita pieteikumu;
• Ar Jums sazinās sertificēts IT drošības eksperts lai noskaidrotu nepieciešamo informāciju, kura nepieciešama drošības audita veikšanai;
• Tiek noslēgts konfidencialitātes līgums informācijas neizpaušanā, starp IT Audita centru UNDP un Jūsu uzņēmumu;
• Tiek sastādīts Jūsu mājaslapas drošības audita veikšanas plāns;
• Tiek uzsākta mājaslapas drošības audits un skenēšana izmantojot jaunāko IT drošības programmatūru un drošības standartus (Veicot XSS ievainojamību un MySQL Insert atklāšanas testus);
• Vienas nedēļas laikā pēc mājaslapas drošības audita pabeigšanas Jūs saņemat drošības audita slēdziena atskaiti ar rekomendācijām problēmu novēršanai izdrukātā veidā.

Pieteikt Mājaslapas Tehnisko Auditu

Kibernoziedzība Latvijā

Latvijas kibernoziedzība ir viena no senākajām

“Diemžēl jāatzīst, ka Latvijas kibernoziedzība ir viena no senākajām un aktīvākajām postpadomju telpā. Kopā ar Krieviju un Ukrainu Baltijas kibernoziedzība (pamatā Latvija un Igaunija) veido vienotu “ekosistēmu”, kura funkcionē ciešā savstarpējā kontaktā,” norāda Gostevs.

Kibernoziedzība Latvijā saistās ar uzbrukumiem lietotāju interneta bankām, maksājuma karšu datu izmantošanu, surogātpasta izsūtīšanu

“Latvijas kibernoziedznieki lieto tradicionālos nodarījumu modeļus: noziegumi, kas saistīti ar uzbrukumiem lietotāju interneta bankām, maksājuma karšu datu izmantošanu, surogātpasta izsūtīšanu, “melno” hostingu veidošanu un uzturēšanu citu grupējumu vajadzībām, DDoS-uzbrukumu organizēšanu un kibernoziedzības rezultātā iegūtās naudas atmazgāšanu. Pamatā ar Latvijas kibernoziedznieku upuriem kļūst Rietumeiropas un ASV iedzīvotāji.” Tiek lēsts, ka Kibernoziedzība Latvijā nemazināsies tuvākajā laikā.

Klients izsludina mājaslapas izstādes konkursu, uzvar kāda izstrādes kompānija un no šī brīža klients ir atkarīgs no IT izstrādes kompānijas godaprāta, kā arī kompetences.

IT drošības audits

IT drošības audita prakses piemērs

Laba prakse būtu tāda, ka klients izstrādes laikā pieaicina IT drošības ekspertu, kurš veic visas informācijas sistēmas drošības pārbaudes procedūras un ziņo klientam, kurš savukārt komucē ar izstrādātāju un novērš šīs problēmas.

IT drošības audita atklājumi

Jaunākajā IT drošības auditā, klienta interneta aplikācijā, tika atklātas XSS ievainojamības, kopā sešās vietās un tika atrasti faili uz klienta produkcijas servera, kuros varēja nolasīt informatīvās sistēmas informāciju, kā ceļus uz sistēmas dzinēju. Kopumā viens testa cikls aizņem 4 stundas un tajā laikā programmatūra veic virs 200 000 pieprasījumiem uz klienta informatīvo sistēmu.

Interneta aplikāciju testēšanas posmi

Interneta / Web aplikācijas testēšana ietver, bet nav ierobežota ar šīm, sekojošām aktivitātēm.

• Ievades pārbaude – Testi ietver operacionālās sistēmas komandu injekciju, skriptu injekciju, SQL injekciju, LDAP injekciju un XSS ievadi.
• Izvadīto datu apstrāde – Testi ietver speciālu zīmju parsēšanu un aplikācijas kļūdu izvades informāciju
• Pieejas kontroles pārbaude - IT drošības auditā tiek pārbaudīta piekļuve administrācijas interfeisam, tiek pārbaudītas iespēja izmainīt formas datus, mēģinājumi iegūt pieeju caur URL pieprasījumiem, mēģinājumi piekļūt caur lietotāju sīkfailiem (cookies).

IT drošības eksperti no ASV

ASV IT drošības eksperti eksperti Latvijā uzturēsies trīs dienas un to laikā tiksies ar Satiksmes ministrijas, Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV), Aizsardzības ministrijas un Nacionālo bruņoto spēku pārstāvjiem, kā arī vairākiem elektronisko sakaru un citu tautsaimniecībā svarīgu nozaru uzņēmumiem, kuru darbībā būtisku lomu ieņem informācijas tehnoloģijas.

IT drošības eksperti

Šī vizīte ir viens no Satiksmes ministrijas un Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas centieniem stiprināt starptautisko sadarbību informācijas tehnoloģiju drošības jomā, ņemot vērā informācijas tehnoloģiju apdraudējumu pārrobežu raksturu.

IT drošības eksperti organizē apmācības

IT drošības veicināšanas nolūkos otrdien, 24. maijā, Eiropas Tīklu un informācijas drošības aģentūra (ENISA) Rīgā organizēs Latvijas valsts institūciju un atsevišķu elektronisko sakaru nozares uzņēmumu pārstāvju apmācības par mācību organizēšanu reaģēšanai uz dažāda apmēra informācijas tehnoloģiju drošības incidentiem. IT drošības eksperti no ASV solās palīdzēt uzlabot Latvijas IT drošību.

esidross.lv

“esidross.lv” veidots kā pieaugušo izglītošanas portāls, kurā iecerēts publicēt informāciju un rakstus par IT drošības jautājumiem, kas paredzēti plašai sabiedrības daļai, ikdienas datora lietotājiem, kā arī cilvēkiem, kuri nav IT speciālisti.
CERT.LV vadītāja Baiba Kaškina ir pārliecināta, ka jaunais portāls varētu palīdzēt ievērojami uzlabot situāciju ikdienas IT lietotāju vidū, liekot tiem vismaz aizdomāties par savu datu drošību.
“Līdz šim Latvijā nebija vienota resursa, kur ikviens lietotājs, nebūdams IT speciālists, varētu viegli saprotamā valodā iepazīties ar informāciju par to, kā pasargāt sevi un savus līdzcilvēkus no krāpniekiem elektroniskajā vidē. Mēs gribējām radīt vietni, kur to varēs izdarīt,” saka Baiba Kaškina. Viņa gan piebilst, ka pārliecināt lietotājus noteikti nebūs viegli, jo vairums no tiem vēl joprojām attiecas pret sava datora un datu drošību visai vieglprātīgi: “Cilvēki šausminās, kad medijos lasa ziņas par kārtējo zagšanas vai krāpnieku mēģinājumu piesavināties līdzekļus no sveša konta, bet paši turpina rakstīt savus PIN kodus uz bankas kartēm.”
Vienisprātis ar B.Kaškinu ir arī CERT.LV attīstības projektu vadītājs Egils Stūrmanis, kurš norāda, ka daudzi vēl joprojām nesaprotot – maciņš jau sen kā vairs neatrodas kabatā, bet gan banku elektroniskajos kontos. Un pie visiem banku pūliņiem aizsargāt savus klientus no tiem daudzajiem krāpnieku paņēmieniem, kurus kriminālā pasaule mēģina izdomāt ik dienu, vissvarīgākais ir pašu IT lietotāju zināšanas par datu drošību. “Fakti rāda, ka aptuveni 90% no gadījumiem, kad internetā izkrāpta nauda, pie vainas ir pašu lietotāju nezināšana vai neuzmanība datu uzglabāšanā. Tātad, problēma ir nevis banku sistēmās, bet gan lietotāju zināšanās par datu drošību,” saka Egils Stūrmanis.

Lai mazinātu šo nezināšanu lietotāju vidū, tad arī izveidots portāls “esidross.lv”. Tajā būs padomi, kā veidot drošas un grūti uzlaužamas paroles, kā aizsargāt savus datus un datoru, kā veikt drošu failu apmaiņu un maksājumus internetā, kā arī daudzas citas tēmas. Portālu izveidoja un turpinās attīstīt CERT.LV sadarbībā Latvijas datoru drošības incidentu risināšanas komandu un ieinteresēto organizāciju sadarbības iniciatīvas grupu (LV-CSIRT grupa) un NIC.lv.

Drošības audits – pārbaudītais klienta datorparks

Drošības audita pakalpojumi

Drošības audita metodoloģijas

Izmantotā metodoloģija – OSTMM (angļu val. Open Source Security Testing Methodology Manual, latv.val. ’metodoloģija manuālās ielaušanās testa veikšanai).

Pēc drošības audita Jūs saņemsiet atskaiti

• Informatīvo sitēmu testēšanas protokolus;
• Detalizētu informāciju par atklātajām nepilnībām
  • Kritiskums
  • Apraksts
  • Iespējamie ļaunprātības izmantošanas veidi un to sekas
• Ieteikumus tālākajai darbībai
• Kopsavilkumu par drošības audita rezultātiem

Drošības audita pamata mērķis ir novērtēt Informatīvās sistēmas drošības riskus, kas var skart jebkuru uzņēmumu, kurš ir saistīts ar IT, kā arī novērtēt kontroles pasākumus vai pretlīdzekļus, ko uzņēmums ieviesis, lai mazinātu šos riskus.

VID lietas izmeklētāji nelūgs apcietināt Valsts ieņēmumu dienesta Elektroniskās deklarēšanas sistēmas datu noplūdes lietā aizturēto Latvijas Universitātes Matemātikas un informātikas institūta Mākslīgā intelekta laboratorijas pētnieku Ilmāru Poikānu, kurš plašākai sabiedrībai pazīstams ar segvārdu Neo.

NEO Ilmārs Piokāns

Hakera Neo, Poikāna advokāts, bijušais Korupcijas novēršanas un apkarošanas biroja priekšnieks Aleksejs Loskutovs ziņu aģentūrai LETA apstiprināja, ka uz tiesu viņa klientam šodien nebūs jābrauc.

Sīkāka informācija par Neo lietu tiks sniegta preses brīfingā, kas šodien ap plkst.17 notiks Rīgā, Kongresu nama apkārtnē. Tā informēja Valsts policijas preses pārstāve.

Policijas vadība norādīja, ka aizturētajam piemērots aizdomās turamā statuss. Viņu tur aizdomās par nelikumīgām darbībām ar fiziskās personas datiem un automatizētas datu apstrādes sistēmas resursu ietekmēšanas ierīcēm, ja tas izraisījis smagas sekas. Par pēdējo nodarījumu var sodīt ar brīvības atņemšanu uz laiku līdz desmit gadiem vai ar naudas sodu līdz 200 minimālajām mēnešalgām.

Valsts policijas priekšnieks Valdis Voins žurnālistiem neslēpa policijas gandarījumu par Neo aizturēšanu, norādot – lai arī sākumā sabiedrība runāja, ka policija nekad šo noziegumu neatklās un vainīgos neaizturēs, tieši tas tagad ir noticis. To, vai Neo aizturēšanas brīdī bija pārsteigts, nedz Voins, nedz Kviesīts žurnālistiem nemācēja izstāstīt, vien piemetināja, ka vīrietis esot bijis mierīgs.

Policija pieļauj, ka ceturtdien, ja būs nepieciešams, aizturēto vedīs pie izmeklēšanas tiesneša, lai lemtu par drošības līdzekļa piemērošanu.

Policija nekomentē, vai aizturētais ir atzinis vainu viņam inkriminētajos noziegumos.

LTV raidījuma “De facto” Žurnālistei Ilzei Naglai policija ir piemērojusi liecinieka statusu un kratīšana viņas dzīvesvietā bija nepieciešama, lai pārbaudītu, vai viņas datorā nav nelikumīgi ielādētas datnes. Voins, atbildot uz žurnālistu jautājumu, kāpēc policija kratīja žurnālistes mājas, nevis darbavietu un kāpēc tas noticis vēlā vakara stundā, norādīja, ka, acīmredzot, procesa virzītājam bija pamatots iemesls tā rīkoties.

Voins arī norādīja, ka sankciju kratīšanai ir izdevis prokurors, savukārt trešdien to apstiprinājusi arī tiesa. Kviesītis piebilda – ja policija būtu rīkojusies nelikumīgi, tad iegūtajiem pierādījumiem nebūtu pierādījuma spēka.

Policija kategoriski noliedza, ka ar kratīšanu mēģināts ietekmēt preses brīvību vai ierobežot žurnālistes darbu.

Latvijas Universitātes Matemātikas un informātikas institūta izpilddirektore Ināra Opmane portālam “Delfi” apliecināja, ka otrdien policija veica kratīšanu institūta telpās. Policija izņēmusi arī kādas firmas serveri, kurš uz līguma pamata atradās institūtā. Poikāns šo serveri izmantojis.

Opmane stāsta, ka vīrietis institūtā strādāja aptuveni divus gadus un nodarbojies ar apstrādes programmatūru izstrādi. Izpilddirektore norāda, ka viņas rīcībā nav informācijas par Poikāna aizturēšanu, taču trešdien darbā viņš neesot ieradies. Viņa arī uzsvēra, ka nav informācijas, ka Poikāns tiešām ir Neo, un sīkāk notikušo komentēt nevēlējās. Tas, ka viņš varētu būt nodarbojies ar datu nopludināšanu, institūta darbiniekiem ir pārsteigums.

Jau vēstīts, ka informācija par iespējamo Neo aizturēšanu medijos parādījās trešdien, kad nāca klajā ziņas par kratīšanu Latvijas Televīzijas raidījuma “De facto” žurnālistes Naglas mājās. Ekonomikas policija žurnālistes mājās kratīšanu veikusi, uzskatot, ka viņai ir informācija par Neo. Policija izņēmusi žurnālistes privāto datoru un citus datu nesējus.

Par vērienīgu datu noplūdi no VID EDS kļuva zināms februārī – noplūda aptuveni 7,5 miljoni dokumentu ar valsts iestāžu un uzņēmēju finanšu datiem. Virtuālā persona Neo, kas sevi dēvēja par Ceturtās atmodas tautas armijas (4ATA) pārstāvi, ik pa dažām dienām publiskoja šajā datu sistēmā iegūtus algu sarakstus. Par notikušo pirmie ziņoja LTV raidījums “De facto”.

Neo skaidroja, ka sistēmu nav “uzlauzis”, bet gan izmantojis tajā esošo “drošības caurumu”. VID saistībā ar notikušo noplūdi disciplināri sodīja vairākus Informātikas pārvaldes darbiniekus, bet Finanšu ministrija paziņoja, ka sistēma ir uzlabota un iegūt datus no tās vairs nav iespējams.

Tāpat ierosināts arī kriminālprocess, ko izmeklē policija.

Premjers Valdis Dombrovskis sola, ka Valsts ieņēmumu dienests pārbaudi par Elektroniskās deklarēšanas sistēmas datu noplūdi pabeigs tuvākajās dienās.