2022. gads Latvijas kibertelpā
2022. gadā CERT.LV reģistrēto un apstrādāto incidentu skaits pieauga par 40%. Valsts pārvaldes sektorā IT sistēmu ievainojamību meklēšana augusi 7 reizes, bet kopējais uzbrukumu apjoms – četrkāršojies. 2022. gads Latvijas kibertelpā pamatoti uzskatāms par izaicinājumiem bagātāko un kiberuzbrukumiem intensīvāko periodu visā CERT.LV pastāvēšanas vēsturē kopš 2011.gada.
Lielākajā daļā gadījumu kiberapdraudējuma avots ir bijusi Krievija. Sabiedrībai redzamāki un ikdienā jūtamāki bija Krievijas agresīvo režīmu atbalstošo haktīvistu veiktie piekļuves lieguma jeb DDoS uzbrukumi. Toties par būtiskākiem un ar potenciālu ietekmi ilgtermiņā uzskatāmi Krievijas koordinētie uzbrukumi valsts informācijas sistēmām un kritiskai infrastruktūrai. Tie veikti, lai mēģinātu iegūt informāciju, kas varētu sniegt politiskas, militāras vai ekonomiskas priekšrocības, kā arī sagatavotu vidi destruktīvu kiberoperāciju realizēšanai nākotnē. Krievija agresīvajā karā pret Ukrainu ir nepārprotami demonstrējusi mēģinājumus pielietot kiberoperācijas ne tikai informācijas ieguvei, bet arī militāro operāciju atbalstam.
Lāči un hiēnas
Paaugstināta kiberuzbrucēju aktivitāte bija vērojama vēl pirms februārī notikušā Krievijas iebrukuma Ukrainā. Tā izpaudās galvenokārt kā informācijas vākšanas mēģinājumi, veicot ievainojamību meklēšanu Latvijas IT resursiem. Sākoties karadarbībai Ukrainā, būtiski palielinājās pret Latvijas infrastruktūru vērsto ielaušanās mēģinājumu skaits. Maijā šiem uzbrukumiem piepulcējās arī DDoS uzbrukumi.
Reaģējot uz sabiedrības un politiķu aicinājumu veikt padomju pieminekļa demontāžu Uzvaras parkā, intensīvus DDoS uzbrukumus Latvijas infrastruktūrai veica “Killnet” un citi līdzīgi Krievijas agresīvo režīmu atbalstoši haktīvistu grupējumi. Lai arī apjomīgi, šie uzbrukumi bija kvalificējami kā huligānisms un lielākoties neradīja jūtamu ietekmi. Izņēmuma gadījumi bija saistāmi ar organizācijām, kuras parasti nav DDoS uzbrukumu mērķi un to sagatavotības un aizsardzības līmenis bija zems, piemēram, labdarības organizācija Ziedot.lv, kas palīdzēja vākt līdzekļus pieminekļa nojaukšanai Uzvaras parkā un Ukrainas atbalstam.
Valsts un kritiskās infrastruktūras IKT resursiem tika nodrošināta augsta noturība, pret DDoS uzbrukumiem, sadarbojoties LVRTC, SIA TET un CERT.LV. Veiksmīgi koordinējot aizsardzības stratēģiju, infrastruktūra tika mērķtiecīgi sagatavota šādu uzbrukumu atvairīšanai.
Gada pēdējos mēnešos Krievijas haktīvisti DDoS uzbrukumus papildināja ar Telegram kanālos publicētiem ziņojumiem par uzlauztām vietnēm un nopludinātiem datiem. Publicētā informācija piesaistīja sabiedrības uzmanību, taču tikai viens no publiski minētajiem uzbrukumiem (Valsts darba inspekcijas e-pasta kontam) bija reāls. Pārējos gadījumos par nopludinātu informāciju tika pasniegti publiski pieejami dokumenti.
Paralēli labi pamanāmajiem DDoS uzbrukumiem Latvijas kibertelpā tika realizētas arī vairākas Krievijas drošības dienestu atbalstītas kiberoperācijas - “Whispergate”, “Ghostwriter”, “Gamaredon” un “Turla”.
Šo uzbrucēju arsenālā ietilpst ne tikai mērķēti pikšķerēšanas uzbrukumi ar saņēmējam atbilstoši sagatavotu tekstu, bet arī uzbrukumi piegādes ķēdēm, kas orientēti uz valsts pārvaldes un kritiskās infrastruktūras uzņēmumu pakalpojumu sniedzējiem. Neizpalika arī dezinformācijas kampaņas un citas informācijas ietekmes operācijas, kuras uzbrucēji realizēja pret Latviju tieši “GhostWriter” ietvaros.
Atsevišķos gadījumos kiberuzbrukumi bija veiksmīgi. To iemesls nebija sarežģītu uzbrukumu izmantošana, bet gan laikus neuzstādīti atjauninājumi vai tīklā pieejamas nedroši konfigurētas sistēmas un iekārtas, par kurām uzturētājs vai pakalpojumu sniedzējs bija aizmirsis.
Tas kārtējo reizi apliecināja, ka uzbrucējs primāri koncentrējas uz vieglāko mērķi, kā arī nepārprotami norādīja, ka Latvijai jādara pēc iespējas vairāk, lai tā būtu maksimāli “ciets rieksts” agresoram.
Ja netiek pa durvīm, jākāpj pa logu
2022. gada laikā tika konstatēti pieci gadījumi, kuros tika kompromitēti IT risinājumu izstrādes uzņēmumi. Uzbrucēju mērķis bija piekļūt šo uzņēmumu klientu datiem un sistēmām.
Vairumā gadījumu šie uzbrukumi bija sekmīgi tāpēc, ka izstrādes uzņēmumi neievēroja kiberdrošības labo praksi savas iekšējās infrastruktūras plānošanā un uzturēšanā. Paviršā attieksme bija vērojama arī attiecībā uz klientu drošību – ērtības labad tika apieti vai ignorēti drošības principi, kas tika praktizēti klientu infrastruktūrā, tādējādi tika radīti “caurumi” klientu aizsardzībā.
Kompromitēto uzņēmumu starpā vairākiem bija auditoru izsniegti ISO27001 atbilstības ziņojumi. Ņemot vērā šajos uzņēmumos ignorētās drošības prakses, kas sekmēja to kompromitēšanu, jāsecina, ka auditoru darbs veikts pavirši vai nepietiekamā apjomā, procesā neiekļaujot praktiskas pārbaudes.
Lai novērstu riskus, ko rada šādas neatbilstības, valsts kritiskās infrastruktūras un aizsardzības iepirkumiem jānodrošina ietvars, kurā iespējams pārliecināties par pakalpojumu sniedzēja drošības procesiem un labās prakses ievērošanu.
Noputējis Ferrari un atslēga zem paklājiņa
Vairākos incidentos tika konstatēts, ka uzņēmumam vai iestādei ir iegādāts tehnoloģisks risinājums draudu analīzei un aizsardzības pilnveidošanai, taču tas tiek izmantots tikai daļēji vai arī netiek izmantots nemaz, jo trūkst zināšanu par to, kā šo risinājumu integrēt esošajā infrastruktūrā, un trūkst izpratnes par to, kā interpretēt jauniegūtos datus.
Vairākkārt nācās arī konstatēt, ka salīdzinoši vieglu pieeju mērķa infrastruktūrai uzbrucējiem sniedza nepilnības iestādes vai uzņēmuma IKT pārvaldības procesos. Lai arī formāli aprakstītas, bet bieži vien praksē netika ieviestas kontroles procedūras. Tas rezultējās novecojušās, aizmirstās vai kļūdas pēc publiskajam tīmeklim pieslēgtās sistēmās. Iestādes un uzņēmumi nespēja pamanīt šīs sistēmas un nevarēja laikus identificēt apdraudējumu. Situāciju skaudrāku padarīja vājas paroles un nesamērīgi plašās piekļuves tiesības, kas tika piešķirtas vāji aizsargātiem kontiem.
Katrs mērķis ir svarīgs
Lai arī karadarbība Ukrainā pieklusināja krāpnieciskās aktivitātes Latvijas kibertelpā, tās ne brīdi nemitējās pavisam un maijā atsākās ar jaunu sparu. Finansiāli motivētu uzbrucēju mērķi nebija tikai uzņēmumi. Tāpat kā citus gadus, arī pērn tika novērota viļņveidīga krāpnieku aktivitāte, kas bija mērķēta uz iedzīvotāju datu izvilināšanu un finanšu līdzekļu izkrāpšanu.
Neīstenojās pagājušajā gadā izteiktā prognoze par mākslīgā intelekta izmantošanu sarežģītu krāpniecisku uzbrukumu veikšanā. Tā vietā uzbrucēji izmantoja jau ierastas un labi pārbaudītas metodes.
Krāpnieciskās loterijās tika solītas pievilcīgas balvas, kuru saņemšanai iedzīvotāji tika aicināti viltus vietnēs ievadīt savu maksājumu karšu datus. Draudīgos zvanos it kā banku vai tiesībsargājošo iestāžu vārdā krāpnieki centās izvilināt personīgu informāciju vai panākt, ka zvana saņēmējs apstiprina krāpnieku iniciētas darbības, piemēram, ievadot Smart-ID kodu. Izmantojot gan telefona zvanus, gan reklāmas sociālajos tīklos ar atsaucēm uz plaši pazīstamiem uzņēmumiem un personībām, krāpnieki centās ievilināt iedzīvotājus viltus investīciju platformās, lai, solot pasakainu peļņu, izkrāptu finanšu līdzekļus. Krāpnieki ievietoja maksas reklāmas arī Google, tādējādi panākot, ka viltus banku vietnes parādās kā pirmie meklēšanas rezultāti.
Ko darīt 2023. gadā?
Esošajos ģeopolitiskajos apstākļos jārēķinās, ka Latvija un tās infrastruktūra gan publiskajā, gan privātajā sektorā ļoti iespējams būs arī 2023. gada kiberuzbrukumu mērķis tādām valstīm kā Krievija, Baltkrievija, retāk Ķīna, kas veic ofensīvas kiberoperācijas pret Latviju.
Ar neasu nazi maizi nenogriezīsi
Uzbrucēji arvien biežāk kompromitētu sistēmu kontrolei izmanto leģitīmu, dažkārt arī kriptogrāfiski parakstītu programmatūru, nevis datorvīrusus un cita veida ļaunatūru.
Rezultātā palielinās dažādu uzraudzības sistēmu (SIEM, EDR, XDR un citu) nozīmīgums, kas tandēmā ar pārdomātu IT drošības politiku un kompetentu personālu ļaus stāties pretī jaunajiem kiberdrošības izaicinājumiem un uzbrucēju metodēm.
Noteikti ir jāpārzina savas infrastruktūras pamatkonfigurācija (baseline). Tāpat jāsaprot, kādas aktivitātes un konfigurācija sistēmās ir uzskatāmas par normālām. Šī informācija ļauj savlaicīgi pamanīt novirzes, kas varētu liecināt par potenciālu uzbrucēju klātbūtni.
Svarīgi ir arī savlaicīgi veikt atjauninājumus un atslēgt visu lieko funkcionalitāti, mazinot uzbrukumam eksponēto laukumu (attack surface).
Incidentu izvērtēšanai nepieciešama analītiskā informācija, lai saprastu, kas ir noticis, un novērstu līdzīgus uzbrukumus nākotnē. Tā kā uzbrucēju aktivitātes bieži tiek pamanītas tikai pēc ilgāka laika, incidentu izmeklēšanas vajadzībām jānodrošina auditācijas pierakstu uzglabāšana no sistēmām nodalītā vidē vismaz 6 mēnešus.
Pieredze rāda arī to, ka kiberuzbrucēju interesi negaidīti var piesaistīt arī tādas iestādes vai uzņēmumi, kas līdz šim nav bijuši kiberuzbrucēju interešu lokā, īpaši gadījumos, ja tiem ir ievērojama loma tautsaimniecībā vai sabiedrībai būtisku pakalpojumu sniegšanā (biļešu un autostāvvietu apmaksas risinājumi, veselības aprūpe, enerģētika un transports). Pastiprināta uzmanība šo nozaru kiberdrošībai ir paredzēta arī ES NIS2 direktīvas regulējumā.
Aizdomu pilna attieksme
Lai mazinātu riskus, ko rada darbinieki, kas arī 2023. gadā turpinās strādāt attālināti no vides, kurā nav iespējams kontrolēt drošības līmeni, kā to var izdarīt korporatīvajos apstākļos, kā arī paaugstinātu kopējo drošības līmeni uzņēmuma vai organizācijas tīklā, rekomendējams ieviest zero-trust pieeju. Tā sniegtu kontrolētu piekļuvi korporatīvajiem resursiem tikai tad un tikai tādā apjomā, kā tas ir nepieciešams.
Tas mazinātu arī popularitāti atgūstošo šifrējošo izspiedējvīrusu apdraudējumu, liedzot vīrusam nekontrolēti izplatīties korporatīvajā tīklā.
Taču arī bez zero-trust pārdomāta tīkla segmentācija, ugunsmūra konfigurācija un uzbrukumam eksponētā laukuma samazināšana var būt pietiekami sākuma soļi, lai būtiski uzlabotu kiberdrošību mājsaimniecībā, uzņēmumā vai valsts pārvaldes iestādē.
Papildu aizsardzībai iesakām izmantot arī CERT.LV un NIC.LV (.lv domēna reģistra uzturētājs) izveidoto un uzturēto risinājumu - DNS ugunsmūri (https://dnsmuris.lv). Tas bez maksas pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam, lai pasargātu sevi vai savus darbiniekus no krāpniecisku vai ļaundabīgu vietņu apmeklēšanas. DNS ugunsmūrī ik dienu tiek ievietota informācija par vairāk nekā 400 kaitīgām vietnēm un tas jau ir pasargājis tūkstošiem Latvijas interneta lietotāju. Informācija par uzstādīšanu atrodama https://dnsmuris.lv/.
Bez prasmēm stūrēt - tālu neaizbrauksi
Taču tehnoloģiskie risinājumi bez zinošiem darbiniekiem nedos gaidīto rezultātu.
Kompetenti speciālisti nepieciešami gan sistēmu aizsardzības, pieejas kontroles un drošības automatizācijas risinājumu ieviešanai un iegūto rezultātu interpretēšanai, gan efektīvai drošības pārvaldībai. Arī individuālu darbinieku sagatavotībai ir liela nozīme, jo bieži tieši viņu rīcība noteiks, vai uzbrukums būs veiksmīgs – vai tiks atvērts pielikums, nospiesta saite – vai arī uzbrukums tiks atpazīts un novērsts. Kvalificēts un zinošs personāls ir kļuvis par izaicinājumu daudziem uzņēmumiem.
Atbilde slēpjas ne tikai atbilstošas kompetences darbinieku piesaistē, bet arī regulārā esošo darbinieku izpratnes veicināšanā un zināšanu pilnveidošanā, integrējot IT drošības pratības regulārās darbinieku apmācībās. Nedrīkst aizmirst arī par sistēmu uzturēšanā un drošības pārvaldībā iesaistīto darbinieku kvalifikācijas celšanu, jāveicina viņu aktīvu piedalīšanos semināros, mācībās un pieredzes apmaiņā.
Ieguldījumu valsts kopējās kiberdrošības stiprināšanā var sniegt ikviens, padarot savu kibervidi kaut nedaudz drošāku - regulāri uzstādot atjauninājumus, izmantojot daudzfaktoru autentifikāciju visur, kur vien tas iespējams, un nepieņemot sasteigtus lēmumus, kas saistīti ar datu vai finanšu drošību.
Lai mums visiem drošs 2023. gads kibertelpā!
