Profilakse ir labāka nekā ārstēšana: jaunas tendences kiberdrošībā
foto: Publicitātes
Tet (ex-Lattelecom) Datu centru risinājumu nodaļas vadītājs Māris Sperga.
Bizness un ekonomika

Profilakse ir labāka nekā ārstēšana: jaunas tendences kiberdrošībā

Karlīna Timofejeva

Visā pasaulē notikušo kiberuzbrukumu skaits, kvalitāte un apjoms katru gadu strauji pieaug. Nav noslēpums, ka jau sen dažiem cilvēkiem un struktūrām šādas darbības kļuvušas par peļņu nesošu biznesu. Hakeru ideālistu laiks pamazām aiziet pagātnē – uz arēnu atnākušas organizētās noziedzīgās grupas, kas pēc starptautiskas statistikas datiem ir atbildīgas par vismaz pusi no visiem reģistrētajiem incidentiem.

Tā kā kibernoziegumu organizēšana joprojām turpinās, kļūst arvien grūtāk tos novērst. Kiberuzbrukumi ievērojami auguši gan skaita, gan apjoma ziņā, kā arī to ietekme uz uzņēmējdarbību. Saskaņā ar pēdējo ziņojumu Allianz risk Barometer 2019, incidenti, kas saistīti ar uzbrukumu IT infrastruktūrai, aizņem pirmo vietu visu globālu uzņēmējdarbības risku vidū.

Draudu avoti

Kiberdraudu klasifikācija ir nepateicīgs uzdevums, jo nepārtraukti tiek izdomāti jauni uzbrukumu veidi un metodes, bet kopumā, iespējamie draudu avoti var tikt apvienoti četrās makrogrupās:

Individuālie amatieru hakeru uzbrukumi - uzbrukumi, kuros iesaistīts viens uzbrucējs, kurš nav saistīts ar uzbrukuma objektu un veicis to  finansiālu apsvērumu dēļ. Parasti viņa mērķis ir iegūt konfidenciālu informāciju, ko pēc tam var pārdot uzņēmuma konkurentiem hakeru biržās vai no pakļautās hakeru uzbrukumam kompānijas vadības saņemt naudu par informācijas neizpaušanu. Atsevišķs individuālu uzbrukumu veids ir t.s. haktivisti. Tie ir noziedznieki, kas veic kiberuzbrukumus ideoloģisku iemeslu dēļ vai sociālo mērķu sasniegšanai un nemeklē pašlabumu (tipisks piemērs ir hakeru grupējums Anonymous).

Organizēti hakeru grupējumi - parasti tos nodarbina konkurenti vai cita ieinteresētā persona, lai kaitētu konkrētam uzņēmumam vai iegūtu konfidenciālus datus, kurus pēc tam izmanto, lai diskreditētu uzņēmumu, vai kā instrumentu konkurences cīņā.

"Valsts" hakeru grupējumi parasti pārstāv lielo valstu intereses un tiek finansētas no valsts budžeta. Valstis, kuras tradicionāli tiek uzskatītas par "hakeru īpašniecēm", ir, piemēram, Ķīna, Amerikas Savienotās Valstis, Krievija, Izraēla un Brazīlija.

Iekšējie hakeri - šajā gadījumā kibernozieguma veikšanā ir iesaistīti uzņēmuma darbinieki, kas veic nelikumīgas darbības, vai ir iesaistīti kibernoziegumos pret saviem darba devējiem. Liela kiberuzbrukumu efektivitāte uzņēmuma iekšienē ir saistīta ar to, ka tie ļauj apiet perimetra aizsardzību, kurā uzņēmumi parasti iegulda lielāko daļu (dažreiz līdz pat 80% vai vairāk) no kopējā IT drošības budžeta. Šāda veida draudi ir visbīstamākie.

Globālā statistika liecina, ka katrs uzņēmums var kļūt par kiberuzbrukumu objektu no jebkura no minētajiem draudu avotiem neatkarīgi no lieluma, tāpēc ir jāveido aizsardzības sistēma, lai atklātu vājās vietas un tās novērstu.

Lielākā daļa kiberuzbrukumu ir vērsta pret vairākām vājajām vietām, kas atrodamas bieži izmantotas lietojumprogrammās. To vidū ir interneta pārlūkprogrammas, biroja programmatūra, Adobe programmas (Flash, Reader) utt. Tāpēc īpaša uzmanība jāpievērš regulāru atjauninājumu instalēšanai un periodiskai diagnosticēšanai.

Kiberdrošības tendences

Pēdējo gadu tendences ir tādas, ka uzņēmumā nevar izveidot efektīvu kiberdrošības sistēmu bez aktīvas iesaistīšanās ne tikai no IT drošības departamenta vadītāja  (Chief Information Security Officer, CISO) vai informācijas tehnoloģiju direktora (Chief Information Officer, CIO) puses, bet arī bez dažādu IT nodaļu vadītājiem, jo informācijas tehnoloģijas iet caur visām mūsdienu kompāniju darbības sfērām. Visvairāk, protams, par kiberaizsardzības nodrošināšanu parasti atbild galvenais izpilddirektors (CEO), kura pakļautībā ir CISO. Viņš, savukārt, jau pārvalda riskus un pieņem lēmumus, lai tos novērstu.

Vēl viens svarīgs jautājums ir saistīts ar IT drošības budžeta aprēķinu. Katrā gadījumā rezultāts būs individuāls, bet pamatam var izmantot starptautiskus datus - piemēram, G2000 grupas uzņēmumi investē IT drošībā apmēram 2,8% no kopējās gada peļņas.

Jāatzīmē, ka katram reģionam ir savas īpatnības, kas saistītas ar īpašām prasībām informācijas drošības nodrošināšanai. Tādējādi Eiropas Savienībā viena no galvenajām tendencēm ir nepieciešamība ievērot Vispārējo datu aizsardzības regulu (General Data Protection Regulation, GDPR), kas ietekmē datu apstrādes politiku.

Attiecībā uz šī jautājuma tehnoloģisko pusi šodien cīņā pret kiberdraudiem lielas cerības tiek liktas uz aizsardzības sistēmām ar mākslīgo intelektu (lai gan noziedznieki cenšas izmantot to pašu ideju).

Atsevišķa jauna joma ir lietu internets (IoT). Joprojām ir daudz darāmā, lai izstrādātu kopējus standartus un metodes IT drošības nodrošināšanai (kuras šodien praktiski netiek pielietotas). Tieši tāpēc lielākās nozares organizācijas, apzinoties steidzamo vajadzību, aktīvi strādā šajā virzienā.

Vēl viena svarīga tendence ir pieaugošā kiberaizsardzības sarežģītība, tāpēc arvien biežāk šis uzdevums tiek deleģēts profila uzņēmumiem kā ārpakalpojumu sniedzējiem.

Ko rāda pasaules pieredze

Pašlaik pasaulē notiek aktīvs process, lai izstrādātu kopīgas metodes efektīvu kiberaizsardzības sistēmu izveidošanai. Šajā sakarā lielu interesi izraisa vadošo starptautisko uzņēmumu pieredze, kas izmanto visefektīvākās metodes savu IT infrastruktūru pilnveidošanā. Šīs kompānijas pieliek daudz pūļu, lai to IT infrastruktūra atbilstu dažādiem starptautiskiem standartiem, tostarp minētajam GDPR, Kalifornijas aktam par patērētāju privātumu, ISO 27001, PCI-DSS u.c

Ikdienā tiek pieliktas ievērojamas pūles, lai diagnosticētu iespējamo sistēmu neaizsargātību un novērstu to atkarībā no riska pakāpes. Šīs pieejas būtība ir tāda, ka automātiskie kiberdrošības draudu diagnostikas rīki nepārtraukti veic ierīču monitoringu (ieskaitot maršrutētājus, disku masīvus, Wi-Fi tīklus). Diagnostikas gaitā tiek veikta ievainojumu meklēšana, kas ir reģistrētas publiski pieejamajās datu bāzēs, tiek atklātas kļūdas iekšējos un ārējos servisos. Pēc potenciālā apdraudējuma noteikšanas uzņēmumam ir jānosaka tās nozīmīgums saskaņā ar tā riska pārvaldības politiku. Ņemot vērā šo apdraudējuma riska līmeni, var prioritizēt veicamo darbību kārtību, cīnoties ar pašiem nozīmīgākajiem draudiem, mazāk svarīgos novēršot vēlāk.

Pamatojoties uz starptautiskajām tendencēm un labo praksi, pilnvērtīga IT drošības aizsardzība paredz arī vispārējo IT drošības revīziju, pastāvīgu darbinieku apmācību un kontrolētu preventīvu uzbrukumu veikšanu. Šādi pašu kontrolēti uzbrukumi palīdz identificēt korporatīvās IT sistēmas vājās vietas un atbilstoši tos novērst vai vismaz mazināt to ietekmi un iespējamību.

Par tādu pārbaudi var kļūt, piemēram, ielaušanās tests, izmantojot sociālās inženierijas instrumentus. Šādu pasākumu ietvaros uzņēmuma darbiniekiem tiek nosūtīti maldinoši e-pasta ziņojumi, kas imitē uzņēmuma dokumentus, bet faktiski satur kiberdraudus. Nosūtot šādus pikšķerēšanas e-pasta ziņojumus, var identificēt darbiniekus, kuri ir atvēruši saiti, lejupielādējuši failu vai aizpildījuši veidlapu. Ja šādu vēstuļu masveida izsūtīšanu veiktu hakeri, viņi varētu piekļūt uzņēmuma IT sistēmām, tāpat kā darbinieks, kurš saņēma vēstuli.

Izveidot rīkus, kas nodrošina aizsardzību pret kiberuzbrukumiem, tādus kā ugunsmūris, satura filtrācija, antivīrusi, spam filtri, sistēmu zonēšana u.t.t, ir tikai daļa no mūsdienīgas aizsardzības kompleksa. Ja tiek izveidota sistēma, ir jābūt instrumentiem, kas prot novērtēt izveidotas sistēmas darbību un identificēt gan uzbrukumu, gan tā vektoru.

Pilnvērtīgā cīņā pret kiberdraudiem palīdz SIEM (Security Information and Event Management) izmantošana, kā arī SOC (Security Operations Center) izveidošana. SIEM ir rīks, kas apkopo un analizē žurnālfailus un datu plūsmas, identificē anomālijas. Kad ir konstatētas anomālijas, SOC darbinieki izmeklē to cēloņus, mazina ietekmi un sniedz ieteikumus, lai novērstu to atkārtošanos.

Tikai izmantojot pilnvērtīgu aizsardzības kompleksu, kas ietver tehnoloģisko kopumu, procedūru un rīcības kārtību un darbinieku apmācību, var teikt, ka ir darīts viss, lai aizsargātu savu uzņēmumu no kiberincidentiem. Jāatceras, ka uzbrukumu tipi un vektori nepārtraukti mainās, tāpēc arī aizsardzības sistēmas ir nepārtraukti jāattīsta un jāpilnveido.