CERT.LV: Kiberuzbrukumu veiksmes pamatā – nepietiekama lietotāju sistēmu aizsardzība

Sabiedrība
Sargs.lv/Cert
Hakera ilustrācija
Foto: pixabay.com

2021. gadā globālā kibertelpa piedzīvoja pamatīgu viļņošanos, kas bija sajūtama arī Latvijā. Saskārāmies gan ar virkni kritisku ievainojamību (MS Exchange serveru, Print Spooler, Log4j u.c.), gan iespaidīgiem kiberuzbrukumiem ārvalstu uzņēmumiem, tā, vērtējot 2021. gadu kiberjomā, norāda Informācijas tehnoloģiju drošības incidentu novēršanas institūcija "CERT.LV".

Visbiežāk uzbrucēju veiksmes pamatā bija nepietiekama sistēmu aizsardzība – novecojis programmnodrošinājums un vājas paroles, kas vēlreiz pierāda to, ka preventīviem pasākumiem ir liela nozīme. 2021. gadā papildu apdraudējumus radīja arī pandēmijas ietekmē sadrumstalotā IT infrastruktūra, kurā būtiski pieauga atsevišķu darbstaciju drošības un lietotāju kiberhigiēnas paradumu nozīme.

Īpaši aktīvi un izdomas bagāti pērn bija telefonkrāpnieki, zvanot cilvēkiem un izliekoties par banku darbiniekiem, gan arī “aizņemoties” iedzīvotāju mobilo telefonu numurus.

Pasaulē novērotie piegāžu ķēžu uzbrukumi aktualizēja drošības jautājumu arī Latvijā. Tas iezīmē izaicinājumus gan Latvijas uzņēmumiem, kas nodrošina produkciju globālajam tirgum, gan Latvijas uzņēmumu un organizāciju sadarbībai ar informācijas un komunikācijas tehnoloģiju (IKT) piegādātājiem un uzturētājiem.

Attālinātās piekļuves tehnoloģijas joprojām uzbrucēju redzeslokā

Uzbrucēji bieži izmantoja situācijas, kad darbinieki strādā attālināti., izmantojot  tādas tehnoloģijas kā RDP (Remote Desktop Protocol), VPN (Virtual Private Network) un tiešsaistes sanāksmju un tērzēšanas platformas. Noziedznieki, pielietojot dažāda veida uzbrukumus, tajā skaitā jaunatklātas ievainojamības, uzstājīgi meklēja iespējas iekļūt uzņēmumu un organizāciju iekšējā tīklā, lai nošifrētu iekārtas un pieprasītu maksu par datu atgūšanu, vai nesankcionēti izgūtu informāciju.

Šifrējošo vīrusu uzbrukumi tika piedzīvoti gan privātajā, gan publiskajā sektorā. Visbiežāk pie kompromitētām sistēmām noveda nevis jaunatklātu ievainojamību izmantošana, bet pietiekamas aizsardzības trūkums resursiem. Tas izpaudās kā vājas paroles un novecojis programmnodrošinājums ar vairākus gadus publiski zināmām ievainojamībām, kuras bija iespējams novērst, savlaicīgi veicot programmatūras atjaunināšanu.

Uzbrucēji ķērās arī pie sen zināmām konfigurācijas nepilnībām plaši lietotos produktos, piemēram, neierobežotas Macros izmantošanas MS Office programmatūrā. Primārais risinājums cīņai ar šādiem uzbrukumiem ir iekārtu konfigurācija atbilstoši labajai praksei, lietotāju izglītošana un sistēmu ievainojamību novēršana, sekojot līdzi atjauninājumiem.

Īstenojās prognoze par pielāgotākiem uzbrukumiem

Pandēmijai turpinoties, arvien lielākai daļai iedzīvotāju dažādas ikdienišķas aktivitātes nācās pārcelt tiešsaistē, piemēram, preču vai pakalpojumu iegādi. Savukārt citi tiešsaistē meklēja iespēju uzlabot savu finansiālo stāvokli. To veicināja gan brīvi finanšu līdzekļi, kas netika iztērēti atvaļinājumu braucienos, gan kriptovalūtu pieaugošā pieejamība, kas plašākai sabiedrībai pavēra piekļuvi dažādām mikroinvestīciju platformām un jauniem finanšu spekulāciju virzieniem.

Lietotāju zināšanu un pieredzes trūkumu krāpnieki nelaida garām, izmantojot plašu uzbrukumu spektru. Tika izkrāpti maksājumi, izmantojot viltus tirdzniecības vietnes un krāpnieciskas investīciju platformas, kā arī izgūti maksājumu karšu piekļuves dati, izmantojot viltus preču piegādes servisus vai zvanot no viltotiem numuriem un uzdodoties par bankas vai tiesībsargājošas organizācijas pārstāvi un draudot ar finansiāliem zaudējumiem vai sodiem par pārkāpumiem.

Uzbrucēju rīcībā bieži vien bija informācija, kas ļāva veikt personalizētu uzbrukumu, piemēram, upura vārds, uzvārds, vecums, kontaktinformācija. Šie dati visbiežāk tika iegūti no publiski pieejamiem profiliem sociālajos tīklos vai no dažādām datu noplūdēm, piemēram, Facebook (2021. gadā) vai LinkedIn (2012. gadā) lietotāju datu noplūdes.

Pieaugot krāpnieku aktivitātei, pieauga arī nepieciešamība pēc drošākiem datu aizsardzības mehānismiem, piemēram, otrā autentifikācijas faktora izmantošanas. Taču uzticama drošības līmeņa sasniegšanai nepietiek tikai ar paļaušanos uz tehniskiem risinājumiem, nepieciešama arī iedzīvotāju izpratne par šo drošības mehānismu darbību, lai novērstu situāciju, kad krāpnieku pieprasītais otrais faktors bez kavēšanās tiek apstiprināts.

Kā papildu rīku apdraudējumu novēršanai iespējams izmantot CERT.LV piedāvāto DNS Ugunsmūri https://dnsmuris.lv/, ko bez maksas var lietot ikviens iedzīvotājs, uzņēmums un organizācija.

Gada pārsteigums – krāpnieciski zvani no viltotiem numuriem

Krāpnieki pilnveidoja uzbrukumu metodes un sāka izmantot zvanītāja identitātes viltošanu krāpnieciskos telefona zvanos. Uzbrucēji viltoja gan banku telefona numurus un uzdevās par banku darbiniekiem, gan dažādu mobilo operatoru klientu numurus, un zvanot uzdevās par tiesībsargājošu iestāžu pārstāvjiem, lai it kā brīdinātu zvana saņēmēju par viņa vārdā izdarītu pārkāpumu un piedraudētu ar sodu, ja netiks veiktas zvanītāju (krāpnieku) pieprasītās darbības.

Jaunā situācija radīja sašutumu un neizpratni, kad ļaunprātīgi izmantoto mobilo telefonu numuru lietotāji saņēma telefona zvanus no svešiniekiem ar pārmetumiem, kāpēc tie ir zvanījuši un rīkojušies tik nekrietni, kā arī būtiski apgrūtināja tiesībsargājošo iestāžu darbu.

Nerisināta šī problēma var radīt drošības riskus, radot traucējumus, piemēram, zvanu centrāļu vai glābšanas dienestu darbībā. Problēmas risinājums būtu jāmeklē ja ne visas Eiropas, tad vismaz nacionālajā līmenī, smeļoties pieredzi un piemērus no citām valstīm, kas arī ir saskārušās ar līdzīgiem izaicinājumiem.

Nepieciešami pilnveidojumi publiskā sektora IKT resursu izmantošanā

Situācijas pilnveidošana nepieciešama arī publiskajā sektorā izmantoto žurnalēšanas pierakstu centralizācijas un monitoringa risinājumu (SIEM) izmantošanā, lai savlaicīgi varētu konstatēt reālus apdraudējumus.

CERT.LV veiktie ielaušanās testi demonstrēja, ka SIEM dati netiek pienācīgi analizēti vai tiek analizēti novēloti, tādējādi apdraudējums netiek savlaicīgi pamanīts. Svarīgi apzināties ne tikai nepieciešamību ieguldīt līdzekļus kvalitatīvu tehnoloģisku risinājumu iegādē un ilgtermiņa uzturēšanā, bet arī kvalificēta personāla piesaistē, kas spētu efektīvi izmantot tehnoloģisko risinājumu sniegtās iespējas, interpretēt apkopoto informāciju un nodrošināt atbilstošu rīcību.

Lai arī incidenti, kas skartu iedzīvotājiem būtiskus pakalpojumus un kuru ietekmi iedzīvotāji būtu izjutuši, Latvijā līdz šim novēroti nelielā apjomā, paredzams, ka šādu incidentu kļūs arvien vairāk.

Tas norāda uz nepieciešamību pastiprināt IKT pakalpojumu uzraudzību un veicināt IKT iepirkumu specifikāciju kvalitātes paaugstināšanu, neaizmirstot, ka sistēmas ir nepieciešams droši uzturēt arī ilgtermiņā pēc to nodošanas ekspluatācijā.

Kas sagaidāms 2022. gadā?

Pieaugot sadzīves, biznesa un publiskās pārvaldes digitalizācijas apjomam, ir būtiski palielinājusies sabiedrības atkarība no digitāliem risinājumiem un tehnoloģijām.

Digitālās vides aizsardzība pret kiberuzbrukumiem kļūs arvien nozīmīgāka un reizē izaicinājumiem piepildītāka. Svarīgi šiem izaicinājumiem sagatavoties laicīgi, neatstājot rīcību uz pēdējo brīdi, kad jau iestājušies apdraudējumi ar potenciāli būtiskām sekām.

Tā kā attālinātais darbs lielā daļā sabiedrības ir atnācis uz palikšanu, tad organizācijām un uzņēmumiem kiberdrošības uzlabošanai jāraugās uz individuālu, savstarpēji neatkarīgu atsevišķu iekārtu kiberdrošības risinājumu izveidi.

Daudzkārt pieminētais Zero Trust modelis ir viens no virzieniem, kā to veicināt, papildus iespējojot arī daudzfaktoru autentifikāciju visur, kur tas ir iespējams. Svarīgi gan uzsvērt, ka tieši katra indivīda kiberhigiēnas izpratnes stiprināšana ir viens no kiberdrošības stūrakmeņiem jaunajos darba apstākļos.

Valsts kibertelpas stiprināšanai un ar kiberdrošību saistītu jautājumu koordinācijas nodrošināšanai, jo īpaši jaunā Eiropas Savienības regulējuma (NIS2 direktīvas) kontekstā, līdz gada vidum Latvijā paredzēts izveidot Nacionālo kiberdrošības centru.

Centra uzdevumos ietilps nacionālās kiberdrošības politikas veidošana, plašāka starptautiskā sadarbība, rekomendāciju sniegšana kiberdrošības jautājumos, kā arī rekomendāciju izpildes un prasību ievērošanas uzraudzība.

Lai uzlabotu kopējo valsts kiberdrošības līmeni, paredzēta sadarbības veicināšana starp publisko un privāto sektoru, sekmējot individuālu Latvijas kiberdrošības ekspertu iesaisti valsts pārvaldes sistēmu kiberdrošības nepilnību atklāšanā. Tā būs iespēja izmantot Latvijas ekspertu specifiskās zināšanas nacionālās kiberdrošības stiprināšanā, veicinot pētnieku kopienas un individuālu ekspertu izaugsmi, sekojot koordinētas ievainojamību atklāšanas principiem.

Ar mērķi panākt vienādi augsta līmeņa kiberdrošību visā Eiropas Savienībā, turpināsies darbs ar’pie NIS2 direktīvas (atcels Direktīvu 2016/1148). Izmaiņu mērķis ir uzlabot dalībvalstu noturību un spēju reaģēt uz incidentiem, kā arī novērst atšķirības kiberdrošības prasībās un kiberdrošības pasākumu īstenošanā. Tas tiks panākts, nosakot pamatu kiberdrošības riska pārvaldības pasākumiem un ziņošanas pienākumiem visās nozarēs, uz kurām attiecas direktīva, piemēram, enerģētikas, transporta, veselības un digitālās infrastruktūras jomā.

Lai risinātu ar piegādes ķēžu riskiem saistītos izaicinājumus un palīdzētu pienācīgi pārvaldīt ar piegādes ķēdēm un piegādātājiem saistītus kiberdrošības riskus, paredzēts veikt koordinētus nozaru piegādes ķēžu riska novērtējumus, lai apzinātu katras nozares kritiskos IKT pakalpojumus, sistēmas vai produktus, kā arī attiecīgos draudus un ievainojamības.

Paredzams, ka dalībvalstīm divu gadu laikā pēc direktīvas stāšanās spēkā savos tiesību aktos jāveic izmaiņas, tai skaitā jāparedz tiesiskās aizsardzības līdzekļi un sankcijas, lai nodrošinātu prasību izpildi. Savukārt uzņēmumiem jāparedz resursi, lai atbilstoši papildinātu iekšējos pārvaldības procesus un ieviestu nepieciešamās izmaiņas, kas nodrošinātu atbilstību prasībām.

Kaut arī piegāžu ķēžu uzbrukumi Latviju līdz šim skāruši maz, globālajā kibertelpā tie strauji iegūst popularitāti noziedznieku vidū, jo sniedz iespēju, kompromitējot vienas komponentes piegādātāju, kompromitēt virkni šī piegādātāja klientus un to izstrādātos produktus.

Latvijas uzņēmumiem, kas ražo produktus globālajam tirgum, jārēķinās ar iespēju kļūt par kiberuzbrucēju mērķi un pastiprināta uzmanība jāpievērš kiberdrošības jautājumiem, lai novērstu piegādes ķēdes kompromitēšanas uzbrukumus.

Nekur nepazudīs arī pikšķerēšanas (personas datu izkrāpšana) e-pasti un saites uz krāpnieciskām vietnēm. Jau tagad krāpniekiem ir pieejams milzīgs lietotāju datu apjoms, kas iegūts pikšķerēšanas kampaņās un datu noplūdēs un ļauj pielāgot krāpnieciskos e-pastus, īsziņas un telefona zvanus.

Ņemot vērā uzbrucējiem pieejamos datu apjomus un to, ka arī uzbrucēji cenšas izmantot jaunākās tehnoloģijas, piemēram, mākslīgo intelektu (AI) un mašīnmācīšanos lielu datu analīzei, jārēķinās, ka uzbrukumi varētu kļūt vēl personalizētāki un ticamāki.

Augot 5G popularitātei un pieejamībai, palielināsies arī internetam pievienoto sadzīves u.c. iekārtu skaits. Nepietiekami aizsargāts lietu internets (IoT) var pavērt draudiem ceļu no digitālās vides uz fizisko, piemēram, sekmējot ielaušanos kādā īpašumā.

Iegādājoties jaunu iekārtu, jāizvērtē iespējas šo iekārtu pienācīgi aizsargāt – vai ir iespējams nomainīt ražotāja iestatīto lietotājvārdu un paroli, vai ražotājs nodrošina iekārtu atjauninājumus, vai iespējams norādīt, ka atjauninājumiem jāuzstādās automātiski.

Katras jaunas iekārtas gadījumā rūpīgi jāapsver, vai tiešām šai iekārtai nepieciešams piekļūt no interneta, vai arī būs pilnīgi pietiekami, ja iekārta būs sasniedzama tikai iekšējā tīklā.

Dalies ar šo ziņu