Valsts organizācijas un uzņēmumi joprojām nepievērš pietiekošu uzmanību IT drošības jautājumiem

Tas nozīmējot, ka iestādes un uzņēmumi pakļauj sevi ievērojamiem kiberapdraudējumiem.

Kā aģentūrai LETA norāda aptaujas organizētāji, aptaujas rezultāti pārliecinoši parādīja, ka augstāk minētajam jautājumam netiek pievērsta pietiekoši liela uzmanība, jo 65% no visām aptaujātajām organizācijām, kas nodrošina e-pakalpojumus ārējiem lietotājiem, norādīja, ka šo pakalpojumu piekļuves kontrolei (lietotāju autentifikācijai) izmanto vienīgi lietotājvārdus un paroles, savukārt 56% no visām organizācijām, kuru iekšējās sistēmas ir pieejamas lietotājiem attālinātai izmantošanai no mājām, attālinātās piekļuves kontrolei izmanto vienīgi lietotājvārdus un paroles.

Lai arī liels skaits organizāciju norādīja, ka tajās ir paroļu pārvaldības noteikumi (76%), tikai nelielā daļā gadījumu var uzskatīt, ka tie atbilst nozares labās prakses piemēriem un rekomendācijām.

Turklāt 96% organizāciju, kuras nodrošina savu iekšējo sistēmu pieejamību lietotājiem attālinātai izmantošanai no mājām un kā vienīgo autentifikācijas mehānismu šai piekļuvei izmanto lietotājvārdus un paroles, vispār vai nu nav paroļu pārvaldības noteikumu, vai tie ir nepilnīgi.

CERT.LV vadītāja Baiba Kaškina skaidro, ka paroles kā autentifikācijas metode mūsdienās tiek izmantotas visur - sākot no vienkāršām interneta lapām līdz pat konfidenciālu finanšu informāciju saturošām banku sistēmām, bet šobrīd tiešsaistes pasaulē paroles kā vienīgais autentifikācijas veids ne vienmēr spējot nodrošināt vajadzīgo drošības līmeni, to pierādot arvien biežāk publiski izskanošie ziņojumi par lietotāju datu zādzību gadījumiem.

Analizējot mūsdienu kiberapdraudējumu raksturu, esot jāsecina, ka neatkarīgi no pieejamā naudas un cilvēkresursu apjoma neviena organizācija nespēj sevi efektīvi pasargāt pret ārējiem riskiem, kamēr vien tā izmanto paroli kā vienīgo vai pietiekamo lietotāju autentifikācijas mehānismu. Pat ja kāda organizācija spētu novērst visus savā kontrolē esošos tehnogēnos riskus, lietotāju paroles aizvien būtu iespējams izmānīt no pašiem lietotājiem, nozagt citos resursos (kur lietotāji izmanto to pašu paroli) un izzināt citādos veidos, ko organizācija nespēj kontrolēt.

Latvijas uzņēmējiem un organizācijām esot aktīvāk jādomā par mūsdienu riska profilam piemērotu autentifikācijas mehānismu izmantošanu, tostarp attiecībā uz daudzfaktoru autentifikācijas izmantošanu, kur ar paroli vien nepietiek, lai piekļūtu pie tās sistēmām. Vienlaikus to nevar padarīt par traucēkli ikdienas sistēmu izmantošanā, kas tiek minēts kā visbiežākais traucēklis klasiskajiem daudzfaktoru autentifikācijas mehānismiem, piemēram, banku izmantotiem kodu kalkulatoriem.

Viens no galvenajiem kiberuzbrukumu veidiem ir pikšķerēšana, kas vērsta uz IT sistēmu lietotājiem - uzņēmumu un organizāciju darbiniekiem - lai faktiski izvilinātu no tiem sistēmu paroles. 79% no visām aptaujātajām organizācijām pēdējo divu gadu laikā neesot veikušas sociālās inženierijas pārbaudes iekšējo lietotāju grupām ar mērķi noskaidrot noturīgumu pret autentifikācijas datu un citas jutīgas informācijas izpaušanu. Šīs organizācijas faktiski dzīvojot neziņā par savu lietotāju sagatavotības līmeni šādu uzbrukumu identificēšanā. Pieredze liecinot par to, ka lielākā daļa lietotāju nav spējīgi bez iepriekšējas sagatavošanas atklāt un nobremzēt pret tiem vērstos kiberuzbrukumus.

Aptauja tika veikta ar mērķi pievērst Latvijas organizāciju un uzņēmumu pārstāvju uzmanību lietotāju identitātes aizsardzībai, jo lietotāju identitāte bieži vien ir kiberuzbrucēju primārais mērķis. Aptauja tika veikta, lai apzinātos reālo situāciju un veicinātu IT drošību Latvijā.

Aptauja tika veikta laika posmā no šī gada 5. februāra līdz 20. februārim, un uzaicinājums piedalīties aptaujā tika nosūtīts 547 valsts iestāžu, ministriju, valsts kapitālsabiedrību, pašvaldību, privāto kapitālsabiedrību, izglītības iestāžu un citu organizāciju pārstāvjiem.

CERT.LV ir informācijas tehnoloģiju (IT) drošības incidentu novēršanas institūcija. CERT.LV uzdevums ir veicināt IT drošību Latvijā.