Ik mēnesi Latvijas interneta resursiem notiek visdažādākā veida kiberuzbrukumi – sākot no pikšķerēšanas kampaņām, kad iedzīvotājiem un dažādu organizāciju darbiniekiem izkrāpj piekļuves datus, beidzot ar apjomīgiem pakalpojuma piekļuves atteices uzbrukumiem. Šādos apstākļos visiem ir būtiska informācijas sistēmu uzturēšana drošā vidē, kā arī to kiberaizsardzība.
Gandrīz piecus gadus valsts iestāžu informācijas sistēmas, bet kopš šī gada arī pašvaldību un kapitālsabiedrību informācijas sistēmas var izmantot VAS Latvijas Valsts radio un televīzijas centra (LVRTC) nodrošinātos Valsts elektronisko sakaru pakalpojumu centra (VESPC) pakalpojumus. Šie pakalpojumi valsts un pašvaldību iestādēm, kā arī valsts kapitālsabiedrībām pieejami bez Publiskā iepirkumu likuma piemērošanas – proti, pietiekami ātri un ar krietni mazāku birokrātisko slogu, nekā tas būtu, organizējot publisku iepirkumu. Par VECPC pakalpojumiem Dienas Bizness izjautāja LVRTC Biznesa attīstības daļas vadītāju Kārli Siliņu.
Kam primāri Valsts elektronisko sakaru pakalpojumu centrs sniedz pakalpojumus?
Valsts elektronisko sakaru pakalpojumu centrs sniedz pakalpojumus pirmkārt valsts iestādēm un institūcijām, kas ir definētas Elektronisko sakaru likumā. Ņemot vērā to, kā mainījusies kibersituācija Latvija un reģionā, pakalpojumu saņēmēju klāsts paplašināts līdz valsts un pašvaldību kapitālsabiedrību lokam, jo arī virkne kapitālsabiedrību sniedz pakalpojumus un uztur informācijas sistēmas, kurās tiek glabāti sensitīvi dati, kuru integritāte ir ārkārtīgi svarīga. Tie ir dažādi reģistri un informācija, kas nodrošina valsts suverenitāti, jo suverenitāte jau sen vairs nav tikai fiziskas robežas. Tieši šī iemesla dēļ pakalpojumi valsts institūcijām un iestādēm ir primāri vai saraksta augšdaļā.Tāpat sistēmu nepārtraukta pieejamība ir būtiska iedzīvotāju ikdienas vajadzību nodrošināšanai. Piemēram, nevaram iedomāties, ka kāds no sadzīves pakalpojumiem nav pieejams kiberuzbrukuma dēļ.
Starp citu, katrai ministrijai taču bija - ir savi serveri? Vai šobrīd viss jau ir vienuviet?
Vēl viss nav vienā vai tikai dažās vietās, bet centralizācija ir viens no galvenajiem vektoriem IKT jomā tieši šobrīd. Tā ir taisnība, ka, sākoties digitalizācijai 90-tajos, valstī bija sabūvēti daudzi sakaru centri, bija mazi datu mākoņi, kas darbojās lokāli. Neviena no šīm vienībām, atsevišķi strādājot, nepārtrauktību un mērogojamību nodrošināt nevarēja. Bija arī Valsts kontroles analīze par to, ka, katram atsevišķi rūpējoties gan par datu nepārtrauktību, gan drošību, tas viss ir dārgāk un nesasniedz rezultātu. Efektu var panākt tikai centralizēti. Pirms vairākiem gadiem VARAM, kas ir valsts IKT politiku veidojošā iestāde un pārraugošā ministrija, arī noteica, ka valstī ir nepieciešams centralizēt IKT sistēmas. Tika izveidoti četri kompetenču centri, kas var sniegt Valsts elektronisko sakaru pakalpojumu centra pakalpojumus. LVRTC to dara jau piekto gadu.
Noteikt jau var, bet kas motivē realizēt?
Pašreizējā ES fondu plānošanas periodā līdz 2027. gadam ir skaidrs noteikums, ka valsts pārvaldē vairs jaunus dzelžus nepērk, lai izmitinātu savas informācijas sistēmas. Iestāde fokusējas uz savas sistēmas attīstību, bet izmitināšanu atstāj speciālistiem.
Proti, ministrijas vairs nepērk serverus, bet tikai lietotāju datorus?
Tieši tā, datorus iestāžu vai ministriju darbiniekiem sagādā darba devējs, bet datu drošība, sistēmu uzturēšana un kiberaizsardzība jānodrošina centralizēti, jo, būsim godīgi, esošo speciālistu trūkuma apstākļos organizācijām arvien sarežģītāk kļūst nodrošināt komandās visu IKT komponentu ekspertus. Jaunās, izstrādē esošās informācijas sistēmas, kas šobrīd tiek būvētas, ir paredzētas mākoņdatošanai, kas nozīmē, ka dati būs arī vieglāk savietojami. Arī pašā mākonī tiek paredzēta datu konteinerizācija, kas vienkāršoti nozīmē, ka sastrēguma stundās atsevišķām plūsmām ir lielāka vieta.
Vai tas nozīmē, ka beidzot būtu daudz vieglāk iespējams dažādas valsts sistēmas savietot programmatūras ziņā?
Protams, bet tas diemžēl nav vienas dienas uzdevums, jo arī informācijas sistēmas šobrīd valstī ir ļoti dažādas - dažas bārdainas, citas mūsdienīgi hipsterīgas, radītas īsos tempos un noteiktiem specifiskiem pielietojumiem. Ja visas valsts sistēmas ir izvietotas mākoņos jeb virtuālajos datu centros, tad programmu saskartnes ir daudz parocīgāk un lietotājam ērtāk veidojamas. Neizbēgami nākamais solis ir pašu datu klasifikācijas salāgošana. Piemēram, ielas nosaukums vienā sistēmā ir ar vienu klasifikatoru, bet citā - ar citu. Rezultātā, apmainoties datiem, var rasties divi ieraksti datu bāzē. Tas būs jāizslēdz pašām iestādēm. Lai kopumā visas sistēmas arī programmatūras līmenī būtu savietojamas, ir jāpaiet laikam. Mums vēl mantojumā ir sistēmas ar kodoliem no 90-tajiem. To ekspluatācijai pienāks beigas, un tās tiks nomainītas, bet tas nav iespējams uzreiz. Šobrīd VESPC pakalpojumus izmanto 27 iestādes un organizācijas, arī virkne kapitālsabiedrību, kopumā izmitinot teju pusotru simtu informācijas sistēmu. Tas apliecina, ka pakalpojuma attīstība ir uz pareizā ceļa.
Vai atstājat arī vietu privātiem uzņēmumiem darboties tirgū? Piemēram, pašvaldību mājaslapas, cik zinu, datus glabāja privātos serveros!
Jā, vēl aizvien tā ir. Runa ir par ministrijām un iestādēm, kurām noveco serveri. Ja ir pienācis laiks tos mainīt, tad jāmigrē uz centru mākoņplatformām, kur piedāvājam pilnu servisu, iekļaujot datu drošību, rezerves kopijas un visu citu.
Ja servera mūžs ir ap pieciem gadiem, tad tas nozīmē, ka visas valsts sistēmas būs pie jums līdz 2027. gadam?
Tas nozīmē, ka visas valsts sistēmas būs kādā no četriem valsts IKT kompetenču centriem, kas sniedz VESPC pakalpojumus. Mēs cīnāmies par katru klientu, bet pastāv izvēles brīvība - arī ministrijām un iestādēm. Jebkurai valsts pārvaldes iestādei ir iespēja salīdzināt šo centru piedāvājumu un izvēlēties labāko. Un iestādes to arī dara! Mūsu klienti ir pietiekami prasīgi un izvērtē visus aspektus, jo lēmums par informācijas sistēmu glabāšanu un aizsargāšanu ir ļoti nozīmīgs.
Kādēļ ir svarīgi, ka nozīmīgas informācijas sistēmas tiek glabātas valsts kontrolē esošos virtuālos un fiziskos datu centros?
Runa ir par glabājamo datu sensitivitāti. Privātam uzņēmumam pēc būtības patiesā labuma guvējs var mainīties. Tā ir realitāte, ar kuru jārēķinās, jo sevišķi patlaban. Datu nepareiza izvietošana ir valsts suverenitātes risks. Dati nepareizajās rokās mūs var padarītu ievainojamus.
Vai uzņēmumi arī var glabāt datus VESPC?
Mums ir ierobežojumi, jo ir valsts deleģējums un ir līdzekļi centru izbūvei, ko esam saņēmuši no ERAF. Tomēr tas nenozīmē, ka dzenam prom privātos klientus. Mums ir datu centri, kas ir nošķirts no VESPC, un tur datus glabāt var arī privāti uzņēmumi. Tāpat LVRTC ir optiskais tīkls datu pārraidei, kas tieši paredzēts arī komersantiem. Un, visbeidzot, tieši pie mums ir vislielākais elektronisko sakaru pakalpojumu centru kolokācijas jeb savienojuma punkts, kas mūsu pakalpojumus padara pievilcīgus gan pašmāju, gan lieliem ārvalstu komersantiem.
Kas tas ir par zvēru – DDoS uzbrukumi?
Pakalpojumu atteices uzbrukums jeb saīsinājumā DDos. Inficētas elektroniskās ierīces, datori, telefoni, gudrie ledusskapji ģenerē pieprasījumus kādai valsts interneta vietnei. To var būt tik daudz, ka vietne tiek pārslogota un apstājas. No mūsu puses ir īpaša tehnoloģija, kas pieprasījumu plūsmu attīra no sintētiskiem pieprasījumiem, un tā neļauj pārslogot valsts sistēmas. Jāatzīst, ka astoņu gadu laikā, kopš sniedzam šos pakalpojumus, arī būtiski mainījies kiberuzbrucēja profils un mainās arī uzbrukumu veidi. Pērn katrs uzbrukums ilga vidēji 10 stundas, bet ilgākais uzbrukums bija 160 stundas.
Kas ir uzbrucēji?
Uzbrucējs pamatā ir centralizēti vadīts, visbiežāk apmaksāts vai politiski motivēts kiberkareivis. Uzbrukuma budžets apmaksā gan kareivju darbu, gan noteiktu resursu izmantošanu – piemēram, komerciālos VPN. Tāpat viens no motivatoriem ir ziņkārība un vēlme pierādīt savas vai sava robota spējas. Uzbrukumi ir organizēti vadīti. Ja vēsturiski iepriekš pārliecinošais vairākums uzbrukumu tika realizēti kā nespecifiski, uz apjoma bāzes, tad šobrīd arvien vairāk sākam novērot centienus uzbrukumus pielāgot konkrētiem resursiem un to atsevišķai jeb konkrētai funkcionalitātei.
Kā tendenci redzam, ka pirms uzbrukumiem tiek veikta izpēte, tiek meklētas iestādes resursa vājās vietas. Tiek atrasta kāda funkcionalitāte organizācijas mājaslapā, piemēram, kalendārs, meklētājs, lapa, kura kādu iemeslu dēļ prasa serverim vairāk resursu, un tad uzbrukums tiek mērķēts tieši caur šo vietu, nevis visu resursu kopumā.
Klasiskās aizsardzības metodes, kad uzbrukums nāca no noteiktām valstīm, bija iespējams atslēgt konkrētos kanālus un ierobežot uzbrukumu, vairs nedarbojas. Iestāžu un komersantu drošībniekiem šis kļūst arvien izaicinošāk, tāpēc kiberdrošības pakalpojumi kļūst arvien pieprasītāki.
Kādi pakalpojumi ir pieprasīti?
Papildus DDoS aizsardzībai LVRTC nodrošina padziļinātu kiberincidentu noteikšanas un novēršanas pakalpojumu, kā arī mākoņpakalpojumu drošības un pārvaldības pakalpojumu, kas spēj samazināt nesankcionētas attālinātas kibernoziedznieku piekļuves iespējas resursiem, jo to turētājiem ir nepareiza resursa konfigurācija. Šādas nepilnības vai ievainojamības lietotāji nespēj laicīgi novērst, un šis pakalpojums ļauj klientiem identificēt problēmas un nepilnības agrīnā stadijā, vēl pirms noticis kritisks incidents. Šos pakalpojumus nodrošinām arī komercsektoram.
Redzot aizvien pieaugošos kiberapdraudējuma riskus, LVRTC ir izstrādājis pikšķerēšanas uzbrukuma simulācijas pakalpojumu, lai mūsu klientiem un jebkuram citam interesentam palīdzētu identificēt un mazināt ar pikšķerēšanas uzbrukumiem saistītos riskus, jo ir svarīgi regulāri trenēt darbiniekus jaunajiem apstākļiem, kad uzbrukums var nākt no pirmšķietami nevainīga e-pasta. Tāpēc ir svarīgi apmācīt, un arī šo mēs piedāvājam iestādēm un komersantiem.
Atliek lietotājs parastais! Vai arī šajā gadījumā ir runa tikai par valsts darbiniekiem?
Nē! Te nav nekādu ierobežojumu. Par kiberdrošību varam stāstīt visiem, varam apmācīt un parādīt. Primāri fokusējamies uz būtiskajiem pakalpojumu sniedzējiem, kuriem kiberdrošība noteikti ir svarīga.
Piemēram, vai varat minēt konkrēti?
Piemēram, jau minētais mākoņpakalpojumu drošības un pārvaldības pakalpojums nepieļauj novecojušu sistēmu ekspluatāciju, vismaz šādu rīcību neapzināti. Proti, pats sistēmas īpašnieks līdz galam nav informēts, ka viņa sistēma ir ievainojama. Sistēmas nereti ir ļoti komplicētas, un atjauninājumi var radīt riskus. Mēs, no iekšpuses monitorējot sistēmu, šādus iespējamos caurumus sistēmās ātri pamanām un varam par tiem brīdināt īpašnieku. Pats īpašnieks var izvērtēt riskus. Ja sistēma ir pilnībā noslēgta, tad nav būtiski, bet, ja tā ir atvērta ar ārēju piekļuvi, tad domāšanai laika nav daudz.
Kā jūs trenējat iemaņas atpazīt pikšķerēšanas uzbrukumus?
Cilvēkam vajag 16 reizes atkārtot, lai kaut kas nosēstos motorikas līmenī. Mēs trenējam darbinieku uzmanību. Šo uzdevumu pasūta konkrēta organizācija. Pielāgojam pikšķerēšanas uzbrukumu šīs organizācijas darba specifikai un elektroniskajai darba videi. Tad izsūtām pikšķerēšanas e-pastus darbiniekiem. Mūsu mērķis nav iegūt datus, un nekas slikts nenotiek, bet varam parādīt cilvēkiem viņu neuzmanību un uzskatāmi pastāstīt, kā būtu darīt pareizi. Pēc tam, kad darbinieki ir uzķērušies, ir daudz vieglāk izskaidrot, kādas sekas tas radītu, ja tas būtu pa īstam, ja datus būtu centies iegūt reāls pikšķerētājs. Mēs to darām no drošas, kontrolētas platformas. Pēc tam uzņēmums saņem arī atskaiti, cik no pikšķerēšanas e-pastiem ir sasnieguši mērķi, cik izdzēsti.
Cilvēki taču zina, ka nevajag atvērt neatpazīstamus e-pastus, solījumus par arābu prinča mantojumu vai vēl kādus brīnumus
Tā jau vairs nav, ka atsūta lielu baneri ar uzrakstu “Spied šeit”. Cenšas noķert ar mazām niansēm. Tiek prasīta rīcība, neļaujot iedziļināties, un dara to samērā rafinēti. Ir zināms, ka var pārtvert e-pastu sarakstes, var e-pastu veidot no līdzīgas personas vai iestādes. Krāpnieki bieži atdarina kaut ko reālu. Maģiskie stāsti par Arābijas princi, kas atstājis mantojumu, vairs nav modē. Tas jau ir atstrādāts materiāls, lai arī vēl aizvien sastopams. Cits jautājums ir – kā tā var gadīties, ka ienāk e-pasts, kas ļoti līdzinās nesen notikušai sarakstei.
Arābu prinča piemērs ir vairāk masveidīgs pasākums. Vai ir sastopamas krāpšanas, kas vērstas uz konkrētu personu?
Aizvien biežāk ir tieši šādas krāpšanas mēģinājumi arī korporatīvajā vidē. Šādos gadījumos kiberuzbrukums būs daudz rafinētāks. Tiek veikta priekšizpēte, tiek profilēti cilvēki, to uzvedība, un, ja ir šis mērķis iegūt konkrētus datus no konkrēta uzņēmuma, tad arī šādi rīkojas. Runa vairs nav par vieglu un ātru peļņu, bet par skaidru interesi, ko pasūtītājs vēlas sasniegt. Tam arī tiek veltīta nauda un resursi. Tieši šādā gadījumā organizācijas darbiniekam ir nepieciešama šī īpašā uzmanība un spēja atšķirt īsto no šķietamā. Turklāt runa ir ne tikai par e-pastiem, bet arī sociālo tīklu kontaktiem un sarunām. Mērķtiecīgs uzbrukums, kuru ilgstoši plāno, var būt arī izstiepts laikā.
Vai konsultējat par kiberdrošību kopumā, ne tikai veicat darbinieku apmācību, bet arī palīdzat ar tehnoloģiski pareizu darba organizāciju tīmeklī?
Jā! Tas ir vesels kopums, sākot no VPN pieslēgumiem un beidzot ar darbinieku uzmanību. Kiberdrošība nav tiešus ieņēmumus ģenerējoša lieta, bet pasargājoša lieta. Tieši šī iemesla dēļ vienam uzņēmumam kiberdrošības programmatūra neatmaksājas, nerunājot par to, ka viena daļa organizāciju nevar tādas atļauties. Tā arī ir mūsu pakalpojuma atslēga, jo varam šo aizsardzību nodrošināt vairāk nekā vienam klientam, būtiski pazeminot kiberdrošības izmaksas organizācijām. Arī izglītošanā ir tas pats. Ja ir jāizglīto IT sistēmu speciālisti un vēl papildus visi darbinieki, tam nav kapacitātes. Mūsu pakalpojumi gan valsts organizācijām, gan uzņēmējiem ļauj fokusēties uz saviem tiešajiem uzdevumiem, biznesu.
Vai var apgalvot, ka patlaban ir brīdis, kad par kiberdrošību ir jādomā īpaši? Proti, Ukrainas kara ietekme skar ne tikai valsts organizācijas, bet arī uzņēmējus?
Protams! Ukrainas karš kiberdrošības jomā nesākās 2022. gada 24. februārī, bet krietni ātrāk. Interese par Latvijas elektroniskajām ierīcēm arī ir bijusi jau ievadā. Metodes ir tās pašas. Meklē vecākus datorus vai telefonus, kuriem vairs nav atjauninājumu. Otrs vājais punkts ir cilvēki. Tā tas ir bijis iepriekš un arī pēdējā gada laikā, tikai šobrīd uzbrukumu ir krietni vairāk. Tas, ko vēlos uzsvērt, - karš nav tikai konvencionāls, bet arī digitāls, un digitālā jomā karam robežu nav. Tā ir neredzamā daļa. Kamēr viss iet un strādā, sabiedrībai šķiet, ka viss ir labi. Tas ir mānīgi. Tas, uz ko vēlos uzņēmējus aicināt, – izmantojiet mūsu piedāvāto palīdzību izglītot darbiniekus kiberdrošības jomā! Turklāt piebildīšu, ka mediju darbinieki ir fokusā un viņu datus cenšas iegūt. Pilnīgi noteikti pret žurnālistiem var tikt vērsti mērķēti un sagatavoti kiberuzbrukumi.
