Pērn Latvijas kibertelpa piedzīvojusi līdz šim nepieredzēti daudz kiberuzbrukumu

Pērn "Cert.lv" reģistrēto un apstrādāto incidentu skaits pieaudzis par 40% salīdzinājumā ar 2021.gadu, savukārt valsts pārvaldes sektorā IT sistēmu ievainojamību meklēšana augusi septiņas reizes, bet kopējais uzbrukumu apjoms četrkāršojies.

Lielākajā daļā gadījumu kiberapdraudējuma avots ir bijusi Krievija. Sabiedrībai redzamāki un ikdienā jūtamāki bija Krievijas agresīvo režīmu atbalstošo "haktīvistu" veiktie piekļuves lieguma jeb DDoS uzbrukumi. Toties par būtiskākiem un ar potenciālu ietekmi ilgtermiņā uzskatāmi Krievijas koordinētie uzbrukumi valsts informācijas sistēmām un kritiskai infrastruktūrai. Tie veikti, lai mēģinātu iegūt informāciju, kas varētu sniegt politiskas, militāras vai ekonomiskas priekšrocības, kā arī sagatavotu vidi destruktīvu kiberoperāciju realizēšanai nākotnē. Krievija agresīvajā karā pret Ukrainu ir nepārprotami demonstrējusi mēģinājumus pielietot kiberoperācijas ne tikai informācijas ieguvei, bet arī militāro operāciju atbalstam.

Paaugstināta kiberuzbrucēju aktivitāte bija vērojama vēl pirms februārī notikušā Krievijas iebrukuma Ukrainā. Tā izpaudās galvenokārt kā informācijas vākšanas mēģinājumi, veicot ievainojamību meklēšanu Latvijas IT resursiem. Sākoties karadarbībai Ukrainā, būtiski palielinājās pret Latvijas infrastruktūru vērsto ielaušanās mēģinājumu skaits. Maijā šiem uzbrukumiem pievienojās arī DDoS uzbrukumi.

Reaģējot uz sabiedrības un politiķu aicinājumu veikt padomju pieminekļa demontāžu Uzvaras parkā, intensīvus DDoS uzbrukumus Latvijas infrastruktūrai veica "Killnet" un citi līdzīgi Krievijas agresīvo režīmu atbalstoši haktīvistu grupējumi. Lai arī apjomīgi, šie uzbrukumi bija kvalificējami kā huligānisms un lielākoties neradīja jūtamu ietekmi. Izņēmuma gadījumi bija saistāmi ar organizācijām, kuras parasti nav DDoS uzbrukumu mērķi un to sagatavotības un aizsardzības līmenis bija zems, piemēram, labdarības organizācija "Ziedot.lv", kas palīdzēja vākt līdzekļus pieminekļa nojaukšanai Uzvaras parkā un Ukrainas atbalstam.

Valsts un kritiskās infrastruktūras IKT resursiem tika nodrošināta augsta noturība, pret DDoS uzbrukumiem, sadarbojoties ar VAS "Latvijas valsts radio un televīzijas centrs" (LVRTC), SIA "Tet" un "Cert.lv". Veiksmīgi koordinējot aizsardzības stratēģiju, infrastruktūra tika mērķtiecīgi sagatavota šādu uzbrukumu atvairīšanai.

Gada pēdējos mēnešos Krievijas kiberaktīvisti DDoS uzbrukumus papildināja ar "Telegram" kanālos publicētiem ziņojumiem par uzlauztām vietnēm un nopludinātiem datiem. Publicētā informācija piesaistīja sabiedrības uzmanību, taču tikai viens no publiski minētajiem uzbrukumiem -uzbrukums Valsts darba inspekcijas e-pasta kontam - bija reāls. Pārējos gadījumos par nopludinātu informāciju tika pasniegti publiski pieejami dokumenti.

Paralēli labi pamanāmajiem DDoS uzbrukumiem Latvijas kibertelpā tika realizētas arī vairākas Krievijas drošības dienestu atbalstītas kiberoperācijas - "Whispergate", "Ghostwriter", "Gamaredon" un "Turla".

Šie uzbrucēji organizēja mērķētus pikšķerēšanas uzbrukumus ar saņēmējam atbilstoši sagatavotu tekstu, kā arī uzbrukumus piegādes ķēdēm, kas orientēti uz valsts pārvaldes un kritiskās infrastruktūras uzņēmumu pakalpojumu sniedzējiem. Tāpat veiktas dezinformācijas kampaņas un citas informācijas ietekmes operācijas, kuras uzbrucēji realizēja pret Latviju.

Atsevišķos gadījumos kiberuzbrukumi bija veiksmīgi. To iemesls nebija sarežģītu uzbrukumu izmantošana, bet gan laikus neuzstādīti atjauninājumi vai tīklā pieejamas nedroši konfigurētas sistēmas un iekārtas, par kurām uzturētājs vai pakalpojumu sniedzējs bija aizmirsis.

Tas kārtējo reizi apliecināja, ka uzbrucējs primāri koncentrējas uz vieglāko mērķi, kā arī nepārprotami norādīja, ka Latvijai jādara pēc iespējas vairāk, lai tā būtu maksimāli "ciets rieksts" agresoram, norāda "Cert.lv".

Tāpat 2022.gada laikā tika konstatēti pieci gadījumi, kuros tika kompromitēti IT risinājumu izstrādes uzņēmumi. Uzbrucēju mērķis bija piekļūt šo uzņēmumu klientu datiem un sistēmām.

Vairumā gadījumu šie uzbrukumi bija sekmīgi tāpēc, ka izstrādes uzņēmumi neievēroja kiberdrošības labo praksi savas iekšējās infrastruktūras plānošanā un uzturēšanā. Paviršā attieksme bija vērojama arī attiecībā uz klientu drošību - ērtības labad tika apieti vai ignorēti drošības principi, kas tika praktizēti klientu infrastruktūrā, tādējādi tika radīti "caurumi" klientu aizsardzībā.

Kompromitēto uzņēmumu starpā vairākiem bija auditoru izsniegti atbilstības ziņojumi. Ņemot vērā šajos uzņēmumos ignorētās drošības prakses, kas sekmēja to kompromitēšanu, "Cert.lv" secinājis, ka auditoru darbs veikts pavirši vai nepietiekamā apjomā, procesā neiekļaujot praktiskas pārbaudes.

Lai novērstu riskus, ko rada šādas neatbilstības, valsts kritiskās infrastruktūras un aizsardzības iepirkumiem jānodrošina ietvars, kurā iespējams pārliecināties par pakalpojumu sniedzēja drošības procesiem un labās prakses ievērošanu.

Pērn vairākos incidentos tika konstatēts, ka uzņēmumam vai iestādei ir iegādāts tehnoloģisks risinājums draudu analīzei un aizsardzības pilnveidošanai, taču tas tiek izmantots tikai daļēji vai arī netiek izmantots nemaz, jo trūkst zināšanu par to, kā šo risinājumu integrēt esošajā infrastruktūrā, un trūkst izpratnes par to, kā interpretēt jauniegūtos datus.

Vairākkārt nācās arī konstatēt, ka salīdzinoši vieglu pieeju mērķa infrastruktūrai uzbrucējiem sniedza nepilnības iestādes vai uzņēmuma IKT pārvaldības procesos. Lai arī formāli aprakstītas, bet bieži vien praksē netika ieviestas kontroles procedūras. Tas rezultējās novecojušās, aizmirstās vai kļūdas pēc publiskajam tīmeklim pieslēgtās sistēmās. Iestādes un uzņēmumi nespēja pamanīt šīs sistēmas un nevarēja laikus identificēt apdraudējumu.

Lai arī karadarbība Ukrainā pieklusināja krāpnieciskās aktivitātes Latvijas kibertelpā, tās ne brīdi nemitējās pavisam un maijā atsākās ar jaunu sparu. Finansiāli motivētu uzbrucēju mērķi nebija tikai uzņēmumi. Tāpat kā citus gadus, arī pērn tika novērota viļņveidīga krāpnieku aktivitāte, kas bija mērķēta uz iedzīvotāju datu izvilināšanu un finanšu līdzekļu izkrāpšanu.

Neīstenojās pagājušajā gadā izteiktā prognoze par mākslīgā intelekta izmantošanu sarežģītu krāpniecisku uzbrukumu veikšanā. Tā vietā uzbrucēji izmantoja jau ierastas un labi pārbaudītas metodes, vēsta "Cert.lv".

Krāpnieciskās loterijās tika solītas pievilcīgas balvas, kuru saņemšanai iedzīvotāji tika aicināti viltus vietnēs ievadīt savu maksājumu karšu datus. Draudīgos zvanos it kā banku vai tiesībsargājošo iestāžu vārdā krāpnieki centās izvilināt personīgu informāciju vai panākt, ka zvana saņēmējs apstiprina krāpnieku iniciētas darbības, piemēram, ievadot Smart-ID kodu. Izmantojot gan telefona zvanus, gan reklāmas sociālajos tīklos ar atsaucēm uz plaši pazīstamiem uzņēmumiem un personībām, krāpnieki centās ievilināt iedzīvotājus viltus investīciju platformās, lai izkrāptu finanšu līdzekļus. Krāpnieki ievietoja maksas reklāmas arī "Google", tādējādi panākot, ka viltus banku vietnes parādās kā pirmie meklēšanas rezultāti.

"Cert.lv" norāda, ka esošajos ģeopolitiskajos apstākļos jārēķinās, ka Latvija un tās infrastruktūra gan publiskajā, gan privātajā sektorā ļoti iespējams būs arī 2023.gada kiberuzbrukumu mērķis tādām valstīm kā Krievija, Baltkrievija, retāk Ķīna, kas veic ofensīvas kiberoperācijas pret Latviju.

"Cert.lv" ir Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienība, kuras uzdevumi ir uzturēt vienotu elektroniskās informācijas telpā notiekošo darbību atainojumu, sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā vai koordinēt to novēršanu Latvijas IP adrešu apgabalos un ".lv" domēna vārdu zonā.