Kiberdrošības riski arvien aktuālāki

Attālinātais darbs palielina kiberdrošības riskus

Attālināta darba lomas pieaugums palielina lietotāju ievainojamību no kiberdrošības viedokļa, jo arvien vairāk darbinieku savus darba pienākumus veic no mājām, bez tiešas kolēģu klātbūtnes un atbalsta personāla, t.sk. IT speciālistu, pieejamības, un nereti bez korporatīvo datortīklu sniegtās aizsardzības. Tas palielina ne tikai pašu indivīdu, bet arī iestāžu, kurās tie ir nodarbināti, kiberdrošības risku.

CERT.LV informē, ka 2020. gadā salīdzinājumā ar periodu pirms pandēmijas kiberuzbrukumu skaits Latvijas privātpersonām mājsaimniecībās audzis par 15–30% [1].

Turklāt pieaudzis uzbrukumu skaits attālinātajā darbā izmantotajām virtuālo privāto tīklu (Virtual Private Network) un attālinātās piekļuves (Remote Desktop Protocal) tehnoloģijām. Tādējādi būtiski palielinājusies datorlietotāju izglītotības nozīme kiberdrošībā.

Pieauga arī piekļuves atteices (distributed denial-of-service) uzbrukumu skaits finanšu institūcijām un lielajiem uzņēmumiem, kuros tika pieprasīta izpirkuma maksa par uzbrukumu pārtraukšanu.

Kiberdrošības incidenti

2020. gadā pasaulē notika arī vairāki lieli kiberdrošības incidenti. Piemēram, 2020. gada augustā Jaunzēlandes fondu birža saskārās ar piekļuves atteices uzbrukumu [2], kas nozīmīgi ietekmēja tās spēju apkalpot klientus, jo klientu piekļuve kādai tās informācijas sistēmai tika apturēta divas dienas pēc kārtas. Šis incidents rāda, ka finanšu sistēmai nozīmīgas iestādes darbību var ietekmēt ar samērā sen zināmu uzbrukuma veidu – piekļuves atteices uzbrukumu.

2020. gada nogalē tika atklāts, iespējams, pēdējā desmitgadē lielākais kiberdrošības incidents. Tika kompromitēta ASV kompānijas SolarWinds [3] programmatūras produktu atjauninājumu piegādes sistēma (tās klienti lejuplādēja un uzstādīja uzbrucēju modificētus programmatūras atjauninājumus), kas padarīja klientu informācijas sistēmas pieejamas uzbrucējiem. Tā kā šī programmatūra tiek diezgan plaši lietota, tika skarti vairāk nekā 18 tūkst. klientu, t.sk. vairākas ASV valdības iestādes. Šāda mēroga uzbrukumam ir potenciāls radīt sistēmisku ietekmi, t.sk. arī uz finanšu sistēmu, jo uzbrukumā kā piekļuves kanāls uzņēmumu sistēmām tika izmantota plaši lietota programmatūra. Arī iepriekšējā Finanšu stabilitātes pārskatā norādīts, ka ir svarīgi pievērst pastiprinātu uzmanību valstij vai reģionam specifiskas plaši lietotas programmatūras kiberdrošības noturībai, jo tieši šādiem plaši lietotiem programmatūras produktiem ir potenciāls tikt izmantotiem kā piekļuves kanāliem plaša uzņēmumu un institūciju loka informācijas sistēmām ar potenciāli sistēmiskām sekām.

Nozīmīgi kiberdrošības incidenti notikuši arī šogad. Piemēram, maija sākumā uz gandrīz nedēļu tika paralizēta ASV naftas tranzīta kompānijas Colonial Pipeline cauruļvada darbība, jo tās IT sistēmas apdraudēja izspiedējvīruss [4]. Tā kā šīs kompānijas naftas produktu cauruļvads ir viens no lielākajiem degvielas apgādes kanāliem ASV austrumkrastā, īslaicīgā tā darbības apturēšana radīja patērētāju paniku un degvielas cenu kāpumu vairākos ASV štatos. Kaut arī Colonial Pipeline piekrita maksāt izpirkuma maksu, lai atjaunotu cauruļvada darbību, iesaistoties ASV tiesībsargājošajām iestādēm, daļu no noziedzniekiem samaksātā izpirkuma izdevās atgūt.

Savukārt nedaudz vēlāk maijā cits šifrējošais izspiedējvīruss uz brīdi paralizēja Īrijas veselības aprūpes IT sistēmas darbību [5]. Uzbrucēji gan vēlāk atbrīvoja veselības aprūpes IT sistēmu bez izpirkuma maksas, taču sistēmas paralīze radīja nozīmīgas grūtības plānveida pacientu uzņemšanā un dažās nozarēs arī esošos pacientu aprūpē, kā arī uzbrucēju rīcībā palika iespējami jutīga par veselības aprūpes sistēmas pacientiem.

Minētie incidenti [6] apstiprina, ka kiberdrošības jomā jautājums nav par to, vai būs sekmīgs uzbrukums, bet gan kad un cik plašas sekas tas radīs. Tāpēc svarīgi laikus izstrādāt rīcības plānus, kā rīkoties sekmīga kiberuzbrukuma gadījumā, kā mazināt tā nodarīto kaitējumu un nepieļaut ilgstošu darbības paralīzi, un nodrošināt datu drošību un atjaunojamību to kompromitēšanas gadījumā. Īpaši svarīgi tas ir finanšu iestādēm, kuru informācijas sistēmas ir ļoti kompleksas un nereti satur arī novecojušas sistēmas, savukārt pandēmijas ietekme var aizkavēt to modernizāciju [7].

Plāno ieviest regulu finanšu sektora kiberdrošības noturībai

Lai veicinātu noturību pret kiberdrošības riskiem Eiropas Savienībā (ES), 2020. gada septembrī Eiropas Komisija (EK) nāca klajā ar regulas par finanšu sektora digitālās darbības noturību priekšlikumu [8] (Regulation on digital operational resilience for the financial sector, DORA), kas ir daļa no Digitālā finansējuma paketes [9].

Šis priekšlikums paredz plašāku un vienotāku pieeju kiberdrošības risku pārvaldībai ES finanšu sektorā. Kā svarīgākās pārmaiņas finanšu nozarei var izdalīt kritisko ārpakalpojumu sniedzēju pārraudzību, kiberdrošības noturīguma testēšanu (threat-led penetration testing), vienotāku un efektīvāku ziņošanu par kiberdrošības incidentiem, kā arī ciešāku sadarbību starp finanšu iestāžu uzraugiem, Eiropas uzraudzības iestādēm (EBI, EAAPI un IOSCO) un informācijas sistēmu drošības incidentu novēršanas institūcijām (piemēram, Latvijā – CERT.LV). Lai arī regulas projekts vēl nav pabeigts, tās stāšanās spēkā var prasīt vairāk nekā gadu un pēc tam tā vēl tiks papildināta ar sekundārajiem tiesību aktiem, regulas projekts vērtējams kā ļoti svarīgs solis reģiona kiberdrošības noturīguma veicināšanā. Protams, šis priekšlikums radīs nepieciešamību finanšu nozares uzraugiem attīstīt kapacitāti jauno uzdevumu veikšanā, kā arī finanšu iestādēm veikt turpmākus ieguldījumus kibernoturības nodrošināšanā. Taču šie ieguldījumi ir nepieciešami, lai nodrošinātu finanšu nozares pakalpojumu drošību un nepārtrauktību, kā arī palīdzēs mazināt sistēmisku risku iestāšanās varbūtību.

Atsauces

[1] CERT.LV darbības pārskats par 2020. gadu (https://cert.lv/lv/2021/04/cert-lv-darbibas-parskats-par-2020-gadu)

[2] New Zealand stock exchange halted by cyber-attack. 26.08.2020. (https://www.bbc.com/news/53918580)

[3] CERT.LV "Apjomīgā incidenta "SolarWinds" ietekme uz Latvijas kibertelpu" (https://cert.lv/lv/2021/01/apjomiga-incidenta-solarwinds-ietekme-uz-latvijas-kibertelpu)

[4] Vox, How a major oil pipeline got held for ransom (https://www.vox.com/recode/22428774/ransomeware-pipeline-colonial-darkside-gas-prices)

[5] Irish cyber-attack: Hackers bail out Irish health service for free (https://www.bbc.com/news/world-europe-57197688)

[6] Šajā rakstā ir izcelti tikai nozīmīgākie incidenti ar iespējamu sistēmisku ietekmi. Plašāks saraksts ar notikušajiem kiberdrošības incidentiem ir pieejams: https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents 

[7] ECB Financial Stability Review, May 2021, 63. lpp, (https://www.ecb.europa.eu/pub/pdf/fsr/ecb.fsr202105~757f727fe4.en.pdf).

[8] Priekšlikums Eiropas Parlamenta un Eiropas Padomes regulai par finanšu sektora digitālās darbības noturību (https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX:52020PC0595)

[9] Digitālā finansējuma pakete: Komisija izklāsta jaunu, vērienīgu pieeju, lai veicinātu atbildīgu inovāciju, no kuras iegūtu patērētāji un uzņēmumi (https://ec.europa.eu/latvia/news/digit%C4%81l%C4%81-finans%C4%93juma-pakete-komisija-izkl%C4%81sta-jaunu-v%C4%93rien%C4%ABgu-pieeju-lai-veicin%C4%81tu-atbild%C4%ABgu_lv)