Eksperts par LVM kiberuzbrukumu: Drošības risinājumi nav tikuši līdzi tehnoloģijām

Parasti vājā vieta kiberdrošībā lielos un salīdzinoši daudzgadīgos uzņēmumos ir tas, ka tehnoloģijas ir attīstījušās, bet aizsardzības risinājumi nav pilnveidoti, norādīja informācijas tehnoloģijas (IT) drošības uzņēmumu grupas "Possible Security" vadītājs Kirils Solovjovs, komentējot kiberuzbrukumu AS "Latvijas valsts meži" (LVM).

Solovjovs norādīja, ka līdz šim Latvija, varbūt sakritības pēc, bijusi diezgan izolēta no lieliem mērķētiem uzbrukumiem, kas veikti ar mērķi nopelnīt naudu. Viņš piebilda, ka šajā gadījumā uzbrucēja profils liecina par motivāciju gūt peļņu.

Viņaprāt, šis ir viens no skaļākajiem šāda veida gadījumiem, ja ne pēdējo gadu laikā, tad visā Latvijas vēsturē. Lai gan iepriekš ir bijuši kiberincidenti ar būtisku ietekmi, šis gadījums, pēc viņa teiktā, ir kaut kas jauns.

Solovjovs skaidroja, ka uzbrucējs, kurš publiskojis informāciju par veiksmīgu uzbrukumu, kibernoziedzības tīklos ir aktīvs kopš pagājušā gada beigām. Līdz šim viņš vērsies pret organizācijām Krievijā, Brazīlijā un Nigērijā, bet šomēnes šim sarakstam pievienojusies arī Latvija. Parasti šādās vietnēs informācija tiek publicēta ar mērķi to pārdot vai arī vairot konkrētā nelegālā hakera reputāciju.

Runājot par kiberdrošību lielos un vienlaikus ilggadīgos uzņēmumos, Solovjovs uzsvēra, ka bieži vien tehnoloģijas ir attīstījušās, kamēr aizsardzība nav attīstīta. Nereti joprojām tiek izmantotas novecojušas konfigurācijas vai vecas, vienkāršas paroles.

Viņš norādīja, ka būtiski ir izprast, cik ļoti pēdējo 20 gadu laikā mainījusies izpratne par kiberdrošību. Lielās organizācijās, kur vēsturiski nav bijusi kvalitatīva drošības pārvaldība, nereti netiek pilnvērtīgi izsekots tam, vai visas agrākās ievainojamības ir novērstas. Šādās organizācijās iespējams sastapt sistēmas bez nepieciešamajiem atjauninājumiem, novecojušas konfigurācijas un paroles, kas neatbilst mūsdienu drošības prasībām.

Ja pirms 30 gadiem sešu vai astoņu simbolu parole tika uzskatīta par drošu, tad mūsdienās par to vairs nevar runāt.

Komentējot, kā šāds atgadījums varēja notikt valsts uzņēmumā, viņš norādīja, ka valstī kiberdrošība ir organizēta ar likumu un Ministru kabineta noteikumiem, bet uzraudzība nav tiešā padotībā. Viņš skaidroja, ka valsts iestādes atbild likuma priekšā par to, ka nodrošina minimālās prasības. Ja šāda uzlaušana ir notikusi, var pieļaut, ka kāda no minimālajām prasībām nav tikusi pilnvērtīgi ievērota, tomēr precīzas atbildes sniegs izmeklēšana.

Ja valsts iestāde vai komersants, arī tad, ja tas ir valsts īpašumā, neievēro kiberdrošības prasības, nav daudz efektīvu instrumentu, kā to piespiest darīt, norādīja Solovjovs. Viņš skaidroja, ka tiek veikti drošības testi, kurus paredz normatīvie akti, un atsevišķos gadījumos tiek pārbaudīta visa iestāde, izmantojot tā dēvētos sarkanās komandas testus, kuros tiek simulēts pilnvērtīgs kiberuzbrukums. Šādos testos speciālisti, kuri darbojas uz līguma pamata, veic tās pašas darbības, ko potenciāli veiktu īsts uzbrucējs.

Pēc Solovjova teiktā, šādi testi ļauj atklāt daudzas ievainojamības, tomēr jāņem vērā, ka iestāžu ir daudz un šādu pārbaužu veikšana ir sarežģīta.

Vienlaikus viņš uzsvēra, ka būtiska problēma ir arī tas, ka pēc ievainojamību konstatēšanas nepastāv efektīvi mehānismi, kas organizācijas piespiestu tās novērst. Solovjovs atturējās komentēt konkrēto situāciju LVM, norādot, ka viņam nav zināms, vai uzņēmumā iepriekš veikti drošības testi, vai tajos konstatētas problēmas un vai bijuši sniegti ieteikumi to novēršanai. Tomēr kopumā, pēc viņa teiktā, praksē nereti sastopamas situācijas, kad drošības testi netiek veikti vai arī pēc to veikšanas organizācijas nesasteidz konstatēto trūkumu novēršanu.

Runājot par atbildību, Solovjovs uzsvēra, ka

šādās situācijās galvenā atbildība jāuzņemas iestādes vai uzņēmuma vadītājam.

Viņaprāt, tas ir prioritāšu un budžeta jautājums. Ja pagājušā gadsimta deviņdesmitajos gados vai 2000. gadu sākumā vēl varēja runāt par zināšanu un speciālistu trūkumu, tad šobrīd galvenais ir nodrošināt atbilstošu pārvaldību, izveidot kompetentu komandu un piešķirt nepieciešamo finansējumu kiberdrošībai.

Viņš piebilda, ka ne vienmēr drošības testos iespējams atklāt visas problēmas, tomēr, ja ievainojamības bijušas pietiekami nopietnas, lai novestu pie publiski aprakstītajām sekām, tas liecina par būtiskām problēmām drošības sistēmā.

Komentējot, ko šis incidents liecina par kiberdrošības līmeni valsts uzņēmumos kopumā, Solovjovs norādīja, ka no viena gadījuma nevar izdarīt secinājumus par visu sektoru. Kiberdrošības pārvaldība nav centralizēta, un katra iestāde vai uzņēmums par to rūpējas individuāli. Tas, ka vienā uzņēmumā ir konstatētas problēmas, nenozīmē, ka tāda pati situācija ir citur, tomēr tas arī neizslēdz iespēju, ka atsevišķos uzņēmumos situācija var būt vēl sliktāka.

Solovjovs piebilda, ka, spriežot pēc publiski pieejamās informācijas, uzbrucējam vai uzbrucēju grupai sistēmām piekļuve bijusi ilgāku laiku - iespējams, vairāk nekā nedēļu. Šajā laikā izdevies iegūt un izvest ievērojamu datu apjomu. Viņaprāt, organizācijās būtu jādarbojas neatkarīgām drošības uzraudzības sistēmām, kas šādus notikumus savlaicīgi konstatē un aktivizē trauksmes mehānismus.

Runājot par pasākumiem, kas palīdz novērst kiberuzbrukumus, Solovjovs uzsvēra sarkanās komandas ielaušanās simulāciju nozīmi. Vienlaikus viņš norādīja, ka kiberdrošība ir komplekss un tehnisks jautājums, kas sākas ar precīzu informācijas sistēmu inventarizāciju, regulāru atjauninājumu ieviešanu, konfigurāciju pārskatīšanu un lietotāju apmācību.

Jau ziņots, ka brīvdienās konstatēts kiberdrošības incidents LVM informācijas tehnoloģiju infrastruktūrā. Kopš incidenta sākuma drošības apsvērumu dēļ ir atslēgtas un nav pieejamas LVM uzturētās ārējās informācijas tehnoloģiju sistēmas — "LVM GEO", karšu pakalpojumu sistēma, kā arī medību lietotne "Mednis". Tāpat ir atslēgtas vairākas LVM iekšējās sistēmas, kas nodrošina uzņēmuma informācijas apmaiņu ar LVM pakalpojumu sniedzējiem un uzņēmuma klientiem.

LVM akcentē, ka uzņēmuma IT komanda strādā ciešā sadarbībā ar "Cert.lv" un citām valsts atbildīgajām drošības iestādēm, risinot kiberdrošības incidenta radīto seku novēršanu.

"Cert.lv" apstiprināja, ka LVM infrastruktūru ir skāris kiberdrošības incidents. Sadarbībā ar uzņēmumu tiek veiktas visas nepieciešamās darbības, lai incidenta ietekmi novērstu, tāpēc daļa publisko pakalpojumu nav pieejami.

Tāpat "Cert.lv" uzsvēra, ka vēlēšanu sistēmu infrastruktūras uzturēšana nekādā veidā nav saistīta ar LVM infrastruktūru. Ar vēlēšanu sistēmām saistīto papildinājumu izstrāde no LVM puses ir sekmīgi pabeigta un nodota Valsts digitālās attīstības aģentūrai. Atbilstoši iepriekš plānotajam sistēmas vēl tiks pakļautas neatkarīgam drošības auditam, kuru veiks "Cert.lv" un SIA "Tet".

LVM apliecināja, ka uzņēmums ir vērsies Valsts policijā (VP) saistībā ar piedzīvoto kiberuzbrukumu. Vienlaikus iepriekš VP informēja, ka VP Kibernoziegumu apkarošanas pārvalde, balstoties uz publiski pieejamo informāciju, pēc savas iniciatīvas ir sākusi resorisko pārbaudi, lai noskaidrotu notikušā apstākļus un identificētu iespējamo personu, kura veikusi šīs darbības.

Savukārt zemkopības ministrs Uldis Augulis (ZZS) pauda, ka LVM darbinieku atbildību saistībā ar kiberdrošības incidentu vērtēs pēc seku novēršanas.