ERAF 2.1.1.1. aktivitāte „Atbalsts zinātnei un pētniecībai” (otrā kārta)
Projekts „Metodes un tehnoloģijas IT drošības incidentu atklāšanai un analīzei”
Noslēgtās vienošanās par projekta īstenošanu Nr.2013/0033/2DP/2.1.1.1.0/13/APIA/VIAA/027
Projekta vispārīgais mērķis: sekmēt zinātnes un ražošanas integrāciju un pētniecības rezultātu komercializāciju informācijas tehnoloģiju nozarē.
Projekta specifiskais mērķis: realizējot projektu tiks radīta jauna tehnoloģija, kas atvieglos un paātrinās drošības incidentu un apdraudējumu atklāšanu. Radīto tehnoloģiju ir plānots izmantot LU MII sniegtajos pakalpojumos – drošības incidentu izmeklēšanai LU MII struktūrvienībā CERT.LV. Jaunā tehnoloģija palīdzēs ātrāk izmeklēt jau notikušos incidentus kā arī preventīvi atklāt un novērst potenciālus uzbrukumus. Tādejādi tiks sniegti kvalitatīvāki pakalpojumi LU MII klientiem.
Projekta ietvaros tiks: tiks izstrādāts rīks IT drošības incidentu atklāšanai, kas tiks praktiski aprobēts LU MII struktūrvienībā CERT.LV un ļaus paaugstināt drošības incidentu atklāšanas efektivitāti (izstrādi no prototipa līdz pilnībā pabeigtai rīka versijai plānots novest 2 gadu laikā pēc projekta beigām). Tiks arī izstrādātas jaunas metodes, zināšanas un tehnoloģijas (intelektuālā īpašuma forma, daļa no tās tiks patentēta), kas LU MII ļaus zināšanu un tehnoloģiju pārneses formā: a) gūt komerciālu ieguvumu no izstrādātās tehnoloģijas licencēšanas IT firmām vai līgumdarbu piesaistes no šīm firmām uz šajā projektā radītajām tehnoloģijām balstītas programmatūras izstrādei; b) paaugstināt savu zinātniski pētniecisko potenciālu iesaistoties jaunos ES pētniecības projektos.
Īstenošanas vieta: Rīga, LU MII.
Projekta izpildes ilgums: 18 mēneši.
Projekta kopējās attiecināmās izmaksas: 278 702 LVL, no tā ERAF finansējums 203 808 LVL un LUMII ieguldījums 74 894 LVL.
Projekta zinātniskais vadītājs: vadošais pētnieks Juris Vīksna
PROJEKTĀ RISINĀTĀ PROBLĒMA
Viens no būtiskiem IT nozares darbības virzieniem ir IT drošības nodrošināšana un drošības incidentu novēršana. IT drošības incidentu novēršanas institūcija CERT.LV tika nodibināta 2008. gadā kā LU MI struktūrvienība. CERT.LV darbojas LR Aizsardzības ministrijas pakļautībā IT drošības likuma ietvaros, un tās galvenie uzdevumi ir uzturēt un aktualizēt informāciju par IT drošības apdraudējumiem, sniegt atbalstu IT drošības incidentu novēršanā, sniegt atbalstu valsts institūcijām un uzņēmumiem IT drošības jomā, izstrādāt rekomendācijas par aktuālo IT risku novēršanu.
IT drošības incidentu analīze un preventīva incidentu atklāšana pamatā balstās uz tīkla pārraudzības datu analīzi, izmantojot šim nolūkam specializētus tīkla pārraudzības datu analīzes rīkus, kā arī saņemot incidentus raksturojošu/identificējošu informāciju no citu valstu CERT organizācijām. Šī datu analīze šobrīd tiek veikta pamatā izmantojot nekomerciālus brīvpieejas rīkus (NFDUMP, NfSen, ProcDOT, u.c.) Šo rīku funkcionalitāte lielā mērā ir pietiekama jau reģistrētu drošības incidentu izmeklēšanai, bet ne tik noderīga preventīvai incidentu atklāšanai, kas nav šo rīku pamatfunkcionalitāte.
Problēmas rada arī dažādu datu avotu integrācija, lielais datu apjoms, kādēļ nepieciešama laba datu filtrācija un prioretizācija, tomēr visbūtiskākā problēma ir automatizētu metožu trūkums incidentu atklāšanai. Līdzīga veida problēmas faktiski ir aktuāla daudzām CERT institūcijām un rezultātā vairākas no tām ir izstrādājušas pašas savus rīku komplektus – piemēram, ProcDOT ir CERT.at izstrāde datu integrācijas problēmu risināšanai. Projekta ietvaros ir paredzēts izstrādāt jaunas metodes un tehnoloģijas preventīvai incidentu atklāšanai, kas paaugstinātu gan pašas CERT.LV darbības efektivitāti, gan arī radītu jaunu un inovatīvu intelektuālo īpašumu, kas veicinātu LU MII konkurētspēju zinātniskās pētniecības jomā. em analogiem.