CERT.LV vadītāja: Latvija pakļauta tādiem pašiem kiberuzbrukumiem, ar kādiem saskārās Ukraina

Latvijā
Sargs.lv
CERT.LV vadītāja Baiba Kaškina
Foto: CERT.LV

Lai arī Latvijai līdz šim nav nācies saskarties ar liela mēroga kiberuzbrukumiem, šī brīža valsts kibertelpas apdraudējums vērtējams kā augsts. Potenciālajiem uzbrukumiem, kas varētu būt tādi paši, ar kādiem saskārās Ukraina, pakļautas ir Latvijas valsts pārvaldes iestādes un kritiskā infrastruktūra, tā intervijā “Sargs.lv” norāda Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV) vadītāja Baiba Kaškina. Viņa atzīmē – ja agrāk uzbrucēji slēpa pēdas, cenšoties neatklāt, no kuras vietas veikts kiberuzbrukums, tad tagad tas netiek darīts. Tādējādi skaidri redzams – uzbrukumu izcelsmes vieta ir Krievija un Baltkrievija.

CERT.LV novērojusi, ka, līdz ar pieaugošajiem kara draudiem Ukrainā, pēdējo mēnešu un nedēļu laikā ir būtiski augusi arī ļaundaru aktivitāte kibertelpā. Ja līdz pagājušā gada nogalei kiberapdraudējums bija vērtējams kā mērens, tad šobrīd tas jau ir augsts.

Institūcijas vadītāja skaidro, ka regulāri tiek saņemta informācija, ar kādiem kiberuzbrukumiem nācies saskarties Ukrainai. Lai arī pagaidām Latvijā līdz šim nav notikuši liela mēroga uzbrukumi, kas radītu nopietnas sekas, potenciālie uzbrukumi ir tie paši, kas redzami Ukrainā.

Šim apdraudējumam visvairāk pakļautas Latvijas pārvaldes institūcijas, organizācijas, kritiskā infrastruktūra. Konstatēti dažādi uzbrucēju centieni skenēt ievainojamības, paroļu minēšana, kā arī centieni kompromitēt valsts iestāžu darbinieku iekārtas un kontus, pret viņiem veicot mērķētus un ļoti labi sagatavotus uzbrukumus.

“Ļaundari taustās, min VPN vārteju paroles, skenē portus jeb mēģina uziet IT infrastruktūras vājās vietas. Ir arī mēģinājumi kompromitēt valsts iestāžu darbinieku iekārtas un kontus, tam izmantojot mērķētu e-pastu uzbrukumus pret, piemēram, konkrētas ministrijas personālu. Šādi uzbrukumi ir redzēti, un tie ir ļoti labi sagatavoti. Turklāt uzbrucējs e-pastu potenciālajam upurim nesūta no kāda Nigērijas prinča, bet no zināmiem cilvēkiem vai citu organizāciju sadarbības partneriem, kuru konti ir kompromitēti dienu vai divas iepriekš. Līdz ar to potenciālais upuris saņem e-pastu, kas ir par pareizo tēmu un no cilvēka, ko pazīst. Tādējādi varbūtība, ka vēstules pielikums tiks atvērts, ir ļoti augsta. Ja nav ieviestas papildus kontroles, kā antivīruss vai kas cits, kas liedz atvērt konkrēta veida pielikumus, tad diemžēl ir iespēja, ka, atverot pielikumu, dators tiks inficēts. Ja tas netiek pamanīts un nofiksēts uzreiz, tad visdrīzāk ceļš uz organizācijas datiem ir pilnīgi atvērts. Līdz ar to šis ir ļoti bīstams uzbrukums, kur modrība ir jāsaglabā pilnīgi viesiem – kā iestādes IT administratoriem, tā arī pašiem darbiniekiem,” skaidro B. Kaškina.

Tāpat iespējami arī piekļuves liegumu uzbrukumi valsts, finanšu, enerģētiskas vai kādu citu sektoru mājaslapām. Šāds uzbrukums ir ļoti redzams, jo, kad tas veikts, cietusī mājaslapa vai sistēma vienkārši nav pieejama. Tomēr, kad lapu atslēdz no ārzemju interneta tīkla, tā atkal var kļūt pieejama lokāli, līdz ar to ir varianti kā to risināt. Viens no tiem ir sistēmas infrastruktūra, kas nodrošina pārbaudītu aizsardzību pret pārslodzes un sistēmas lietojuma uzbrukumiem (DDOS & Application layer attacks), ko Valsts pārvaldes iestādēm nodrošina Latvijas Valsts radio un televīzijas centrs (LVRTC).

Vēl viens potenciālais uzbrukumus, ar ko var nākties saskarties arī Latvijai, ir mājaslapu izķēmošana reputācijas graušanai.

“Šāda incidenta paraugu arī redzējām Ukrainā. Tajā tika izmantota jau zināma ievainojamība un izķēmotas tās mājaslapas, kas izmanto vienu satura pārvaldības sistēmu. Šāds uzbrukums ir pavisam reāls arī Latvijā. Ja sistēmā ir kāda ievainojamība, kur tiek uzturētas mājaslapas – viena vai vairākas, tā tiek izmantota, mājaslapas saturu modificējot. Par upuri var kļūt kā valsts sektors, tā arī privātais. Jāteic, ka šāda uzbrukuma kaitējums nav liels, ja nu vienīgi ietekmēta reputācija,” norāda CERT.LV vadītāja.

Savukārt jau daudz nopietnāks uzbrukums ir tad, ja ļaundari iefiltrējas sistēmās vai darbinieku tīklos un sašifrē datus. Arī ar šāda veida uzbrukumu nesen kā saskārās Ukraina.

“Tradicionāli šifrēšanu izmanto kibernoziedznieki, kuri prasa izpirkuma maksu. Ja uzbrucējiem samaksā, tad viņi iedod atslēgu, ar ko datus var atšifrēt. Savukārt, ja tas ir politiski motivēts uzbrukums, tad visticamāk nav nedz šifrēšanas atslēgas, nedz izpirkuma maksas pieprasījuma – ir vienkārši sašifrēti dati. Turklāt, ja šiem datiem nav izveidotas rezerves kopijas, tad viss darbs jāsāk no nulles. Šis ir ļoti postošs scenārijs, kas diemžēl ir ļoti reālistisks situācijā, ja uzbrucējam izdodas iegūt piekļuvi mūsu sistēmām vai mūsu tīkliem. Vienlaikus pastāv iespēja, ka, iegūstot piekļuvis datiem, uzbrucējs tos nešifrē, bet zog informāciju un spiego. Diemžēl daudzi prasa – ko darīt un kā aizsargāties, bet, ja iestāde nav domājusi par kiberdrošību pirms gada vai pieciem, tad kaut ko sākt darīt tikai šobrīd, ir jau par vēlu. To nevar paveikt vienā dienā,” uzsver B. Kaškina.

Viņa arī norāda – ja agrāk uzbrucēji viltoja IP adreses, lai slēptu savu atrašanās vietu, tad šobrīd faktiski tas vairs netiek darīt. Līdz ar to redzams, ka kiberuzbrucēji ir no divām Latvijas kaimiņvalstīm – Krievijas un Baltkrievijas.

“Kibertelpai militāra uzbrukuma īstenošanā ir ļoti liela loma, jo, pirmkārt, tas ir daudz vieglāk, nekā militārā kara darbība, kas ir acīmredzama, kurā nevar noliegt savu iesaisti, ja karavīri atrodas attiecīgajā vietā. Savukārt kibertelpā šo iesaisti var noliegt, un mēs arī redzam, ka tas tiek ļoti aktīvi un nekaunīgi darīts. Arī ar šiem uzbrukumiem ir pavisam reāli nodarīt postījumu. Šo uzbrukumu mērķi ir visdažādākie, kas ir cieši saistīti ar notiekošo reālajā telpā,” norāda B. Kaškina.

Vaicāta, kā  valsts iestādēm, organizācijām pasargāt sevi no potenciālajiem uzbrukumiem, institūcijas vadītāja saka – ja organizācijā IT drošības jautājumi ir sakārtoti un visas vajadzīgās kontroles ieviestas, tad nekas būtiski jauns nav jāievieš. Vienlaikus gan, kā norāda B. Kaškina, šis ir brīdis, kad valsts iestādēm un lielām organizācijām trauksmes līmenim kiberaizsardzības ziņā ir jābūt augstākam.

“Šīm iestādēm vajadzētu veltīt vairāk resursu, lai sekotu līdzi žurnālfailiem, jāpieliek vairāk pūļu, lai pārliecinātos, ka nav notikuši nekādi sekmīgu ielaušanās mēģinājumi. Tāpat iesakām iestādēm, kurās norit attālinātais darbs, ierobežot pieslēgšanās iespējas interneta adresēm, to nodrošinot tikai Latvijas robežās. Šīs VPN vārtejas ir viens no veidiem, kā uzbrucējs mēģina iekļūt organizācijā. Ierobežojot ģeogrāfisko reģionu, to izdarīt kļūst grūtāk. Ja kāds cilvēks ir citā valstī, tad atveram valsti, bet ne visu pasauli,” aicina Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas vadītāja.

Viņa gan piebilst – arī ar šādu vienu darbību nekas netiek atrisināts, tas ir tikai viens no daudzajiem padomiem, kas jāliek lietā.

Lai cilvēkiem atgādinātu kiberdrošības pasākumus, CERT.LV sagatavojusi būtiskākos ieteikumus valsts iestādēm, organizācijā un arī privātpersonām, kam vajadzētu pievērst lielāko vērību kiberdrošības nodrošināšanā, kā arī papildu aizsardzībai iesaka izmantot CERT.LV un NIC nodrošināto DNS ugunsmūri https://dnsmuris.lv/.

Informācijas tehnoloģiju drošības incidentu novēršanas institūcija arī aktīvi liek lietā tās sensoru tīklu, kas aktīvi tiek izmantots, lai monitorētu notiekošo Latvijas kibertelpā.

“CERT.LV, protams, ļoti nopietni uztver šos draudus un cenšamies paši sekot līdzi saviem padomiem,” saka institūcijas vadītāja.  

Dalies ar šo ziņu