“Par drošību!” jaunajā gadā ir atpakaļ ar jaunu stāstu mūsu rakstu sērijā – “Drošībnieka profils”. Šeit mēs iepazīstam motivējošus Latvijas cilvēkus, kuriem drošība ir pirmajā vietā. Dažādas personības, unikāli pieredzes gājumi un neskaitāmi drošības aspekti. Nils Putniņš jau no 9 gadu vecuma sāka iepazīt plašo informācijas klāstu, ko piedāvā dati, datori un vēlāk jau kiberdrošība. Tālākajā rakstā iepazīsim Drošības profesionāļu asociācijas biedru Nilu Putniņu tuvāk.
Kā Jūs nonācāt līdz drošībai? Vai tas bija bērnības sapnis vai apstākļu sakritība?
Bērnībā aktīvi apmeklēju Limbažu galveno bibliotēku, jo internets, īpaši mājsaimniecībās, tolaik vēl nebija viegli pieejams. Būdams deviņus gadus vecs (ap divtūkstošo gadu sākumu), tieši bibliotēkā pirmo reizi iepazinu internetu – bezmaksas pieeja datoriem un tīmeklim pavēra iespējas izzināt digitālo pasauli. Sākumā vienkārši pētīju tā sniegtās iespējas, iepazinu WAP portālus, kas tajā laikā kļuva pieejami arī mobilajos tālruņos, un tas mani ieinteresēja – sāku domāt, kā šādas lapas un citus interneta servisus varētu izveidot pats.
Drīz vien atklāju IRC (Internet Relay Chat) un tā populārākos tā laika serverus – chat.delfi.lv, chat.1188.lv un citus. Tie kļuva ne tikai par vietu, kur iepazīties ar līdzīgi domājošiem cilvēkiem, bet arī par vidi, kur varēju mācīties no tehnoloģiski pieredzējušākiem lietotājiem. Pētot un diskutējot domubiedru grupās, sāku veidot savas pirmās tīmekļa vietnes, skriptus mIRC klientam, kas automatizēja dažādus uzdevumus, un ar laiku attīstīju arvien sarežģītākus projektus.
Apmēram 14 gadu vecumā izveidoju savu pirmo pelnošo pakalpojumu – servisu, kas ļāva lietotājam būt tiešsaistē pat pēc datora izslēgšanas. Atgriežoties, varēja apskatīt visas saņemtās ziņas un turpināt saraksti, kas mūsdienās šķiet pašsaprotami, bet tolaik bija vērtīgs risinājums. Līdz ar šo pieredzi nāca arī pirmās drošības problēmas – pieauga pakalpojuma popularitāte, un parādījās lietotāji, kas mēģināja to izmantot sev izdevīgāk, apejot maksas ierobežojumus vai veicot dažādus uzbrukumus.
Toreiz vēl neapzinājos, bet tieši tajā brīdī sākās mans ceļš kiberdrošībā – nācās mācīties, kā aizsargāties pret SQL injekcijām, XSS uzbrukumiem un droši apstrādāt datus. Pamazām izpratu principus, kas šodien veido OWASP drošības pamatus un ir neatņemama daļa no modernas kiberdrošības prakses.
Vai varat īsumā izstāstīt, kāds ir Jūsu pieredzes gājums? Kas Jums liekas kā svarīgākie pagrieziena punkti Jūsu pieredzē?
Viens no svarīgākajiem pagrieziena punktiem manā dzīvē bija entuziasms – deviņdesmito gadu beigās tehnoloģijas bija kas pilnīgi jauns un neparedzams, līdzīgi kā šobrīd Mākslīgais intelekts. Man paveicās sastapt pieredzējušākus un līdzīgi domājošus cilvēkus, kuri bija gatavi dalīties ar zināšanām – gan programmēšanas valodu apguvē, gan konkrētu tehnoloģiju un risinājumu izstrādē. Šī neformālā kopiena izveidojās kā ārpusskolas pulciņš ar vairākiem neoficiāliem “privātskolotājiem” (īpašs paldies Arnoldam Zvejniekam).
Aptuveni 16 gadu vecumā šī aizraušanās pārvērtās pirmajā darba pieredzē – sākotnēji kā ārštata darbs Baddog SIA reklāmas aģentūrā, vēlāk jau kā pilnalaika darbs uzņēmumos Burzum un, ironiskā kārtā, arī Trojas Zirgs SIA. Šis bija nozīmīgs pavērsiens, jo ļāva padziļināti izprast tīmekļa vietņu tehnoloģijas un to straujo attīstību, kas turpinās vēl šodien.
Nākamais būtiskais pavērsiens bija studijas KEA augstskolā Dānijā, kur izvēlējos multimediju dizaina novirzienu. Dzīve ārpus Latvijas sniedza pavisam jaunu perspektīvu par to, kur esmu un kur vēlos būt. Paralēli studijām bija nepieciešams strādāt, lai nodrošinātu iztiku, un tā radās iespēja piedalīties projektos, kas saistīti ar nekustamajiem īpašumiem un lielajiem datiem (Big Data). Šajos projektos bija jāstrādā ar simtiem tūkstošu datu ierakstu, tos filtrējot, atlasot un efektīvi attēlojot bez aiztures – liels izaicinājums, kas veiksmīgi tika atrisināts. Tieši šeit sapratu, ka, lai arī multimediju dizains un front-end izstrāde ir interesanti, mans īstais aicinājums ir sistēmu un drošības risinājumu izstrāde.
Pēc atgriešanās Latvijā esmu strādājis vairākos lielos uzņēmumos – DELFI, Grenardi, AERODIUM, līdz pienāca trešais un līdz šim nozīmīgākais pavērsiens – darbs Tet (ex. Lattelecom), kur sāku kā ētiskais hakeris (paldies Oskaram Podziņam un Uldim Lībietim). Veiksmīgi realizēti iekšējie uzdevumi un komandējumi, tostarp arī Ukrainā, tikai apstiprināja, ka kiberdrošība ir īstais virziens.
Covid pandēmijas laikā vēl vairāk padziļināju zināšanas šajā jomā, ieguvu atbilstošus sertifikātus un turpināju attīstīties – strādājot Lietuvas uzņēmumos, kā vieslektors Valsts Policijas koledžā, Latvijas vienradzī Printful, un šobrīd – NATO Komunikāciju un Informācijas aģentūrā, vienlaikus attīstot arī savu uzņēmumu SEQ (https://www.offseq.com).
Kur Jūs mācījāties?
Lielākā daļa manu praktisko zināšanu ir iegūta neformālā ceļā, galvenokārt pašmācības un praktisku projektu rezultātā. Tas lielā mērā saistīts ar to, ka informācija par kiberdrošību manā sākotnējā attīstības posmā bija ierobežoti pieejama, un tikai pēdējā dekādē nozare ir kļuvusi daudz atvērtāka un strukturētāka.
Tāpēc primāri varu izcelt dažādu organizāciju sertifikātus, kas apliecina unnostiprina iegūtās prasmes, tostarp Offensive Security OSCP, NATO CCDCOE CIIP un WAADC, ISACA CISA, Clarified Security Red Team Operations, CybExer IT Systems Attack & Defense un citus. Šo zināšanu bāzi papildina arī aktīva dalība dažādās profesionālajās organizācijās, piemēram, CERT Drošības ekspertu grupā (DEG), LATA (Latvijas Atvērto Tehnoloģiju Asociācijā), LIKTA (Latvijas Informācijas un Komunikācijas Tehnoloģijas Asociācijā), Eiropas Kiberdrošības Organizācijā (ECSO), Nacionālajā Kiberdrošības Centrā (NCC-LV) un Drošības Profesionāļu Asociācijā (DPA). Tieši šīs kopienas un sadarbība ar nozares ekspertiem ir būtiski veicinājusi manu izaugsmi, un pateicoties tam, ir tapis arī šis raksts.
Formālās izglītības ziņā esmu apvienojis darbu ar mācībām – vidusskolu absolvēju Rīgas Tālmācības vidusskolā, pēc tam studēju Dānijā, un vēlāk apguvu kiberdrošības vadību Juridiskajā koledžā.
Kas Jums patīk visvairāk drošības nozarē?
Drošības nozares lielākā vērtība un izaicinājums ir dažādība. IT joma kopumā ir milzīga, un nav iespējams vienam cilvēkam apgūt pilnīgi visu, kas tajā ietilpst. Tas pats attiecas arī uz kiberdrošību, pat neieskaitot fizisko drošību un citas ar drošības nozari saistītās jomas.
Kiberdrošībā pastāv dažādi virzieni ar ļoti atšķirīgu pieeju un domāšanas veidu. Zilā komanda (Blue Team) specializējas aizsardzībā, monitorēšanā un uzbrukumu novēršanā, savukārt sarkanā komanda (Red Team) koncentrējas uz uzlaušanu, iekļūšanu un ievainojamību atklāšanu. Starp šiem diviem virzieniem atrodas violētā komanda (Purple Team), kas strādā sinerģijā, apvienojot abus skatpunktus un veicinot efektīvāku drošības testēšanu un uzlabošanu. Katrai no šīm komandām ir sava specifiska zināšanu bāze, iemaņas un pat domāšanas veids.
Pievēršoties tieši sarkanajai komandai, kurā pārsvarā darbojos arī es, pastāv dažādi specializācijas virzieni – uzbrucēju imitācija (Adversary Emulation), ielaušanās testēšana (Penetration Testing), reversā inženierija (Reverse Engineering), OSINT (atvērto avotu izlūkošana), digitālā kriminālistika (Forensics) un citi. Laika gaitā var apgūt dažādus virzienus un iemācīties tajos funkcionēt, taču, lai kļūtu par pilnīgu speciālistu, nepieciešams fokusēties uz konkrētu jomu un regulāri sekot līdzi tās attīstībai.
Piemēram, ielaušanās testēšanā (Penetration Testing) pastāv vēl dziļāka specializācija – vai ir prasmes uzlauzt konkrētas tehnoloģijas (ASP.NET, Java, PHP, Python u.c.), vai arī spējas strādāt ar dažādām vidēm un saprast to tipiskākās ievainojamības un konfigurācijas problēmas. Tāpat arī testēšanasmetodoloģijas var būt atšķirīgas – Black-box pieeja nozīmē darbu bez iepriekšējas informācijas par sistēmu, savukārt White-box testēšana ļauj piekļūt tās kodam un veikt detalizētu analīzi, tostarp dinamiskos drošības testus (DAST).
Šī nepārtrauktā attīstība, mācīšanās un jaunu pieeju izmēģināšana padara kiberdrošību īpaši aizraujošu. Īstie ļaundari (black-hat hakeri) nekad neapstājas – viņi pastāvīgi izstrādā jaunus uzbrukumu veidus, meklē ievainojamības un cenšas apiet aizsardzības mehānismus. Tāpēc arī drošības speciālistiem nepārtraukti jāuzlabo savas prasmes un jāpielāgojas jauniem draudiem, lai vienmēr būtu soli priekšā.
Kas ir tas notikums vai moments, kurš visspilgtāk ir palicis prātā no Jūsu pieredzes?
Viena no nozīmīgākajām pieredzēm manā dzīvē bija pievienošanās Zemessardzes 13. kājnieku bataljonam 2019. gada jūnijā, kur pēcpamatapmācības pabeigšanas un melnās beretes iegūšanas, tiku novirzīts vadības grupā. Tas ļāva paskatīties uz drošību no pilnīgi citas perspektīvas un izprast to ne tikai no kiberdrošības, bet arī no fiziskās un taktiskās drošības skatu punkta. Lai gan šobrīd darbojos citā vienībā, tieši 13. kājnieku bataljons bija vieta, kas palīdzēja mainīt skatījumu un paplašināt izpratni par aizsardzības nozīmi kopumā. (īpašs paldies Aleksandram Olehnovičam)
Par šo pieredzi esmu īpaši pateicīgs, un iesaku ikvienam, kam ir iespēja, to piedzīvot pašam.
Kas ir Jūsu galvenie darba pienākumi?
No NATO perspektīvas vadu un/vai piedalos NATO mācībās kā sarkanās vai zilās komandas eksperts. Veicu tīmekļa vietņu, infrastruktūras un aplikāciju ielaušanās testēšanu. Pārskatu drošības dizainu, lai nodrošinātu atbilstību NATO standartiem. Konsultēju projektus un sniedzu ieteikumus kiberdrošības jautājumos. Uzturu komunikāciju ar NATO un NCIA drošības struktūrām. Sagatavoju un prezentēju drošības ziņojumus gan tehniskajā, gan vadības līmenī.
No SEQ SIA perspektīvas — nodrošinām savus klientus ar augstas kvalitātes kiberdrošības pakalpojumiem, veicam ielaušanās testēšanu un drošības auditus. Šobrīd esam fināla posmos kiberdrošības risinājuma izstrādē, kas palīdzēs uzņēmumiem efektīvāk identificēt un novērst drošības riskus.
Kādi ir lielākie un galvenie riski Jūsu darba vidē, kā ar viņiem cīnās?
[Red.- Autors uzsver, ka pauž savu personīgo viedokli]
Lielākais risks ir mērķtiecīgi uzbrukumi, kur pretinieki ilgstoši un sistemātiski mēģina iekļūt sistēmās. Lai to novērstu, tiek veikti regulāri ielaušanās testi, simulēti uzbrukumi un nepārtraukta uzraudzība. Vēl viens būtisks risks ir drošības ievainojamības klientu infrastruktūrā, ko identificē un novērš ar drošības auditiem un testēšanu. Cilvēkfaktors ir vēl viens nopietns drauds, jo darbinieku kļūdas vai sociālā inženierija var novest pie datu noplūdēm, tāpēc tiek veikti apmācību un izpratnes (kiberhigiēnas) celšanas pasākumi. Datu drošība un atbilstība regulām ir kritiska, tāpēc tiek ieviesti stingri piekļuves kontroles mehānismi un šifrēšanas risinājumi. Nenovēršams risks ir arī piegādes ķēdes uzbrukumi, ko mazina ar piegādātāju drošības pārbaudēm un rūpīgu riska novērtēšanu. Tomēr pats lielākais drauds ir kompānijas, kas uzskata, ka drošība viņus neskar — tās arī veicina milzu datu noplūdes, kas tiešā vai netiešā veidā ietekmē ikvienu.
Kā jūs vērtētu drošības nozari Latvijā? Kādas ir tās attīstības prognozes?
Drošības nozare Latvijā pēdējos gados ir ievērojami attīstījusies, īpaši pēc GDPR ieviešanas, kas lika uzņēmumiem un valsts iestādēm pievērst lielāku uzmanību datu aizsardzībai un kiberdrošībai. NIS2 direktīva būs vēl viens būtisks solis uz priekšu, jo tā paaugstinās drošības prasības kritiskās infrastruktūras un privātā sektora uzņēmumiem, veicinot labāku risku pārvaldību un incidentu ziņošanu.
Būdama daļa no Eiropas, Latvija daudzos kiberdrošības aspektos ir priekšā ASV, īpaši regulējumu un standartizācijas ziņā. Eiropas pieeja drošībai un privātumam ir stingrāka un strukturētāka, kas palīdz uzņēmumiem skaidrāk definēt un ieviest drošības prasības. Arī vietējās organizācijas arvien vairāk investēdrošības risinājumos, un eksperti no Latvijas piedalās starptautiskās iniciatīvās, kas uzlabo kopējo nozares kompetenci.
Prognozējams, ka tuvākajos gados pieprasījums pēc augsti kvalificētiem kiberdrošības speciālistiem tikai pieaugs, un uzņēmumi būs spiesti pielāgoties jaunajiem regulējumiem un apdraudējumiem. Šī tendence veicinās inovācijas un drošības pakalpojumu attīstību, nostiprinot Latvijas pozīcijas kā spēcīgam spēlētājam Eiropas kiberdrošības tirgū.
Kādi ir Jūsu hobiji?
Brīvajā laikā visvairāk patīk ceļot ar ģimeni, iepazīt jaunas vietas, cilvēkus un gūt neaizmirstamas emocijas. 2024. gada laikā esmu apmeklējis Franciju, Nīderlandi, Luksemburgu, Angliju, Spāniju un Šveici, neskaitot Beļģiju, kur šobrīd pārsvarā uzturos. Arī Covid pandēmijas laikā, kad ceļošanas iespējas bija ierobežotas, šo daudziem depresīvo laika posmu izmantoju, lai atklātu Latviju un tās slēptās burvības.
No sporta veidiem īpaši aizrauj rakešu sporti, jo īpaši teniss, kā arī cenšos regulāri apmeklēt trenažieru zāli. 2025. gadu uzsāku ar nelielas mājas trenažieru zāles iekārtošanu, lai fiziskās aktivitātes vienmēr būtu pieejamas. Tāpat vienmēr esmu atvērts uzspēlēt biljardu vai boulingu labā kompānijā. Laiku pa laikam esmu pierunājams arī uz ko adrenalīna veicinošāku.
Galu galā hobijs nav tikai konkrēta nodarbe – hobijs ir jebkas, ko dari labā cilvēku kompānijā. Novēlu katram atrast savu īsto aizraušanos un turēt to cieši!
