Vidēji divās no trim Latvijas pašvaldību interneta vietnēm ir augsti kiberdrošības riski, secināts biznesa konsultāciju "KPMG" veiktajā 15 pašvaldību mājaslapu novērtējumā, kas tapis sadarbībā ar Latvijas Pašvaldību savienību (LPS) un Vides aizsardzības un reģionālās attīstības ministriju (VARAM).
Pētījums: Divās no trim pašvaldību mājas lapām ir augsti kiberdrošības riski
Pētījumā tika veikts kiberdrošības novērtējums 15 atšķirīga lieluma pašvaldību mājaslapās un atklātas 227 dažādas nepilnības, kas, pētījuma autoru ieskatā, liecina, ka neatkarīgi no pašvaldības lieluma un pieejamajiem finanšu un cilvēkresursiem visu pašvaldību mājaslapām ir ievainojamības, kas rada nopietnus kiberdrošības riskus.
Publicētajā pētījumā atklāts, ka 10 no 15 pašvaldībām tika atklātas augsta līmeņa ievainojamības, kas norāda uz paaugstinātu hakeru, vīrusu vai citu ļaunprātīgu darbību risku. Savukārt visās 15 pašvaldībās tika konstatētas vidēja un zema riska ievainojamības.
Analizējot ievainojamību sadalījumu, tika secināts, ka dažās no pašvaldībām tika konstatētas četras līdz piecas ievainojamības, bet citās - 20 un vairāk. No kopējā ievainojamību risku augsta riska ievainojamības sastādīja sešus procentus. Vislielākais ievainojamību skaits tika atrasts mājaslapu konfigurācijas pārvaldībā, proti, izmantojot šādas ievainojamības, uzbrucējs var padarīt mājaslapu saturu nepieejamu, kā arī mainīt tās saturu.
Tāpat bieži tika konstatētas ievainojamības, kas saistītas ar kriptogrāfiju, autentifikāciju un informācijas vākšanu.
Projektā arī tika veikta sociālās inženierijas uzbrukuma simulācija 162 pašvaldību darbiniekiem, nosūtot e-pastu ar kaitīgas vēstules pazīmēm, kurā tika lūgts uzklikšķināt uz e-pastā norādītās saites. 16% darbinieku, kas piedalījās simulācijā, šīs pazīmes nepamanīja un reāla uzbrukuma gadījumā potenciāli būtu kļuvuši par uzbrucēja upuriem, proti, 12% simulācijas dalībnieku uzklikšķināja uz pievienotās saites, bet 4% pat atbildēja sūtītājam.
Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem organizācijas atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu vēstuli.
"KPMG" IT konsultāciju vadītājs Kaspars Iesalnieks norādīja ka zināšanas par kiberhigiēnu var viegli uzlabot, regulāri organizējot praktiskas apmācības un sociālās inženierijas simulācijas, kas palīdz sagatavot darbiniekus reālam uzbrukumam. Tāpat iespējams mazināt kiberriskus pašvaldībās, veicot efektīvu IT resursu pārvaldību, sekojot līdzi atjauninājumiem, pielietojot labās prakses principus kiberdrošības jomā un veicot regulāras kiberdrošības pārbaudes.