Ņemot vērā šī brīža saspīlēto ģeopolitisko situāciju Eiropā un nesenos kiberuzbrukumus Ukrainas valdības resursiem, informācijas tehnoloģiju drošības incidentu novēršanas institūcija “Cert.lv” ir apkopojusi ieteikumus Latvijas publiskā un privātā sektora iestādēm un uzņēmumiem. Ieteikumi izceļ tos kiberdrošības jautājumus, kuru pārvaldībai šobrīd vajadzētu pievērst pastiprinātu uzmanību, kā arī atgādina par kiberdrošības labās prakses pamatprincipiem.
Lai pasargātu publiskā un privātā sektora iestāžu un uzņēmumu datur drošību svarīgi ir sekot programmatūras atjauninājumiem un uzstādīt tos nekavējoties. Pat viena nokavēta diena var būt kritiska, uzsver “Cert.lv”.
Tāpat svarīgi ir novērot VPN vārtejas (red.VPN vārteja var būt maršrutētājs, serveris, ugunsmūris vai līdzīga ierīce ar interneta tīkla un datu pārraides iespējām), uzmanība jāpievērš VPN pieslēgumiem un gadījumos, kad tiek reģisrēts sekmīgs pieslēgums no ārvalstu vai netipiskiem tīkliem, to jāuzskata uzskatīt par incidentu.
Jāpievērš uzmanība tam, lai VPN tīkla savienojumi ir veidoti ar darba vajadzībām atbilstošām piekļuves tiesbām un tīkla segmentāciju. Nedrīkst pieļaut konfigurāciju, kurā ir iespējams nekontrolēti piekļūt visam organizācijas korporatīvajam tīklam un jebkurai iekšējai sistēmai tikai ar sekmīgu VPN savienojumu, bez papildus tīkla līmeņa ierobežojumiem.Turklāt nepieciešams ierobežot piekļuvi sistēmām tikai no Latvijas IP adrešu apgabaliem, ja to pieļauj sistēmas lietojums. Latvijas IP adrešu saraksts pieejams šeit: https://www.nic.lv/lix
Obligāti jāizmanto daudzfaktoru autentifikācija - jebkur, kur tas ir iespējams. Tas attiecas arī uz VPN servisu un jebkuru tīmekļa saskarni, kura pieejama publiskā interneta tīklā. Arī iestāžu sociālo tīklu kontiem jābūt aizsargātiem ar daudzfaktoru autentifikāciju. Jābūt izstrādātai konta atgūšanas procedūrai, kuru pielietot incidenta gadījumā. Kā arī jāpārskata sociālo tīklu administrēšanas politika - un jānoņem administratora / redaktora tiesības tiem darbiniekiem, kas iestādē vairs nestrādā.
Savukārt satura vadības sistēmas administratīvajai daļai (admin panelim) pēc iespējas vairāk jāierobežo piekļuve. Jāiespējo daudzfaktoru autentifikācija. Jāierobežo tīkli, no kuriem iespējams pieslēgties administratīvajai daļai, kā arī jāuzrauga privilēģētie konti (tajā skaitā administratoru konti), turpretī valsts un pašvaldību iestāžu tīmekļvietnēm un publiskā tīklā pieejamām informācijas sistēmām jāveic regulāri ielaušanās testi un drošības auditi, jānovērš nepilnības.
Bet paugstinātas drošības klasifikācijas (MK422) sistēmas jāuztur tādā infrastruktūrā, kura nodrošina pārbaudītu aizsardzību pret pārslodzes un sistēmas lietojuma uzbrukumiem (DDOS & Application layer attacks). Valsts pārvaldes iestādēm šādu pakalpojumu nodrošina Latvijas Valsts radio un televīzijas centrs (LVRTC), taču arī lielākie Latvijas datu centru un mitināšanas pakalpojumu sniedzēji piedāvā līdzīgus pakalpojumus.
Uzbrukumi valsts pārvaldes iestāžu tīmekļvietnēm visbiežāk tiek realizēti izmantojot jau publiski zināmas ievainojamības satura vadības sistēmās. Ukrainas gadījumā uzbrukumiem tika pakļauta satura vadības sistēma OctoberCMS, kura plaši tika pielietota Ukrainas valsts pārvaldes iestādēs. “Cert.lv” rīcībā esošā informācija liecina, ka OctoberCMS satura vadības sistēma Latvijā netiek plaši izmantota, taču šie paši riski attiecas uz visām satura vadības sistēmām, tajā skaitā populārajām Drupal, Wordpress un citām, tāpēc savlacīga atjauninājumu veikšana un papildu aizsardzība ir obligāta.
Tāpat jāpievērš uzmanība uzbrukumiem ar destruktīviem šifrējošiem / datu iznīcināšanas vīrusiem (WhisperGate). Arī šie uzbrukumi, kuri mērķēti pret valsts pārvaldes iestāžu iekštīkliem (ar augstu ticamību), tiek plānoti un realizēti savlaicīgi. Tas nozīmē, ka uzbrucējs ir kompromitējis mērķa iestādes tīklu jau iepriekš, taču uzbrukuma fakts ir pamanīts tikai brīdī, kad uzbrucējs uzsāk destruktīvas darbības. Šāda uzbrukuma agrīnās fāzes ir iespējams identificēt ar “Cert.lv” agrās brīdināšanas sistēmas starpniecību, kuras uzstādīšanai acinātas pieteikties valsts un pašvadību iestādes, kā arī pamatpakalpojumu un digitālo pakalpojumu sniedzējus. Aktīvai aizsardzībai “Cert.lv” iesaka izmantot “Cert.lv” DNS ugunsmūra pakalpojumu.
Savukārt uzbrukumiem, kas paredz piegādes ķēdes kompromitēšanai, īpaši svarīgi pievērst uzmanību tam, kā tiek pārvaldīta trešo pušu programmatūras un informācijas sistēmu lietošana un atjauninājumu verifikācija. Uzbrukumiem varētu tikt pakļautas: dokumentu vadības sistēmas, monitoringa sistēmas, grāmatvedības un noliktavu uzskaites sistēmas, veselības aprūpes atbalsta sistēmas valsts un privātā sektorā.
Tāpat darba iekārtām nodrošināt interneta plūsmu nepieciešams tikai caur uzticamu korporatīvo VPN tuneli, jo šādā veidā tiek iesaistītas uzņēmuma / iestādes aizsardzības sistēmas (IPS/Firewall/u.c), tāpat uz darba iekārtu jāatiecina visas korporatīvā tīkla drošības prasības, arī strādājot no mājām. Arī attālinātā darba veicēja mājas interneta pieslēguma maršrutētājam (rūterim) regulāri ir jāveic atjauninājumi, ja tādi ir pieejami, un jāpārliecinās par tā drošu konfigurāciju, konsultējoties ar savu interneta pakalpojumu sniedzēju.
Nedrīkst aizmirst par datu rezerves kopijām, tapēc vienmēr vajag pārliecināties, ka svarīgiem datiem, sistēmu un iekārtu konfigurācijām tiek veidotas rezerves kopijas. Vismaz vienai kopijai jābūt bezsaistē - uz ārēja, no tīkla atvienota diska, vai tādai, kura nav modificējama no potenciāli kompromitētā tīkla vai iekārtām. Rezerves kopijas, kuras atrodas ārpus iestādes infrastruktūras ir jāšifrē rezerves kopijas. Atšifrēšanas atslēgām jābūt pieejamām vismaz diviem iestādes darbiniekiem un tās jāglabā drošā vietā. Svarīgi arī pārliecināties, ka no rezerves kopijām var atjaunot nepieciešamos datus un noskaidrot, cik ilgs laiks tam nepieciešams.
Visbeidzot, iestādē esošās informācijas sistēma, iekārtas, servisus un programmnodrošinājums ir jāpārskata un jāpārliecinās, ka tām ir nozīmētas par drošību atbildīgās personas, un tās veic savus pienākumus.Vienmēr nepieciešams izslēgt vai izolēt nezināmās vai neuzturētās sistēmas, un nodrošināt spēju identificēt jaunu, nesankcionētu iekārtu parādīšanos pārvaldītajā tīklā.
Tāpat nepārtraukti jāpārliecinās, ka pārvaldītajā IKT infrastruktūrā tiek uzkrāti auditācijas pieraksti (žurnālfaili) pietiekamā apjomā un tie pieejami tik ilgi, lai būtu iespējama detalizēta incidenta izmeklēšana vismaz 12 mēnešu periodā.
"Cert.lv" ir Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība, kuras uzdevumi ir uzturēt vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu, sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā vai koordinēt to novēršanu Latvijas IP adrešu apgabalos un ".lv" domēna vārdu zonā.