"Cert.lv" vadītāja Kaškina skaidro pašreizējo kiberdrošības situāciju Latvijā
Latvijā kiberapdraudējuma līmenis joprojām ir augsts, bet vairs nesasniedz 2022. gadā pieredzēto, intervijā aģentūrai LETA atzina informācijas tehnoloģiju (IT) drošības incidentu novēršanas institūcijas "Cert.lv" vadītāja Baiba Kaškina. Pēc viņas teiktā, šobrīd draudu līmenis visās jomās nav samazinājies, bet esam iemācījušies daudz labāk ar to tikt galā un liela daļa uzbrukumu tiek atvairīti automatizēti. Latvija ir demonstrējusi ļoti pārliecinošu kibernoturību, un līdz šim fiksētie uzbrukumi nav radījuši ne būtisku, ne paliekošu ietekmi uz sabiedrību, intervijā norādīja "Cert.lv" vadītāja.
Kā šobrīd var raksturot situāciju kiberdrošības jomā? Kā situācija ir mainījusies kopš Krievijas iebrukuma Ukrainā?
Protams, ka situācija 2022. gadā, kad sākās pilna mēroga Krievijas iebrukums Ukrainā, mainījās dramatiski un par to arī daudz esam runājuši. Mēs joprojām uzskatām, ka Latvijā ir augsts kiberapdraudējuma līmenis, lai arī tas šobrīd nav tik augsts, kā tas bija 2022.gadā. Tad kiberapdraudējuma līmenis daudzas reizes pārsniedza to līmeni, kādu bijām redzējuši iepriekš. Šobrīd draudu līmenis nav samazinājies visās jomās, bet tomēr esam iemācījušies daudz labāk ar to tikt galā, liela daļa uzbrukumu tiek atvairīti automatizēti, līdz ar to slodze gan mums, gan citām institūcijām pašlaik ir mazāka, bet turpinām intensīvi strādāt.
Latvija ir demonstrējusi ļoti pārliecinošu kibernoturību, un līdz šim fiksētie uzbrukumi nav radījuši ne būtisku, ne paliekošu ietekmi uz sabiedrību. Šī gada pirmajā ceturksnī apdraudējumu ir bijis nedaudz mazāk kā pagājušā gada pirmajā ceturksnī - par 3%.
Kādi līdz šim ir bijuši kritiskākie periodi un nopietnākie kiberuzbrukumi Latvijas kibertelpā? Vai tie ir saistīti ar kādiem ģeopolitiskajiem notikumiem pasaulē/Latvijā?
Skatoties uz lielāku laika periodu, tad, protams, 2022. gada pirmā puse un gads kopumā ir bijis viens no kritiskākajiem periodiem. CERT-EU ir apkopojis statistiku par valstīm, pret kurām ir tikuši vērsti Krievijas režīmu atbalstošo haktīvistu uzbrukumi, un Latvija ierindojās otrajā vietā aiz Polijas absolūtos skaitļos, neskatoties uz valsts lielumu vai interneta resursu daudzumu. Tas arī ir viens no pierādījumiem, ka 2022. gadā pārbaudījumi bija ļoti nopietni.
Šobrīd mēs vairs neesam topa augšgalā, jo haktīvistu uzbrukumi ir vienmērīgāk vērsti pret visām NATO un Eiropas Savienības dalībvalstīm, ne vairs izteikti pret Poliju un Baltijas valstīm. Ja runājam par vēsturiski kritiskiem periodiem, tad ir jāpiemin arī 2020. gads un Covid-19 pandēmijas sākums. Arī tas ļoti būtiski mainīja veidu, kā cilvēki strādā - attālinātais darbs un attālināts bizness. Šajā periodā aktivizējās visi kiberuzbrucēji, kas mēģināja situāciju izmantot savā labā, pastiprināti meklējot gan vājās vietas sistēmās, gan attālinātās piekļuves pieslēgumos, gan organizējot dažādas kampaņas, kas bija saistītas ar vakcinēšanos. Ir vērts atcerēties, ka arī šis ir bijis ļoti smags periods kiberdrošības vēsturē.
Vai kopumā var teikt, ka Baltijas valstis ir vienādā kiberapdraudējuma līmenī?
Plašs un objektīvs salīdzinājums mums nav pieejams, bet mēs regulāri apmaināmies ar informāciju. Joprojām katrā valstī CERT/kiberdrošības centri kiberapdraudējuma incidentus skaita atšķirīgi, līdz ar to nav vienotas metodoloģijas, ko varētu ērti salīdzināt. Apdraudējuma raksturs visās Baltijas valstīs ir ļoti līdzīgs. Tā kā mēs visi gan Latvijā, gan Lietuvā, gan Igaunijā aktīvi atbalstām Ukrainu, tad ir pietiekami liels īpatsvars ar uzbrukumiem no prokrievisko haktīvistu grupām. Tāpat ir ļoti jūtami uzbrukumi, kas jau ir valstu sponsorēti, konkrēti Krievijas un Baltkrievijas sponsorēti, kā arī krāpniecības kampaņas ir pietiekami līdzīgas Baltijas reģionā, lai arī ne vienmēr tās ir vienlīdzīgi tēmētas uz visām valstīm. Protams, valstīs ir atšķirīga likumdošana, politiskie notikumi un dienaskārtība. Piemēram, mums Valsts ieņēmumu dienestam deklarācijas var sākt iesniegt 1.martā, un tad arī bija ļoti daudz pikšķerēšanas gadījumu tieši Valsts ieņēmumu dienesta vārdā. Tāpat saistībā ar politiskajiem notikumiem uzbrukumi var būt atšķirīgi un tēmēti tikai uz vienu no Baltijas valstīm. Ja, piemēram, kāda valsts paziņo par īpašu atbalstu Ukrainai vai nosoda kādas darbības no Krievijas, Baltkrievijas puses, tad arī var sekot lielāki uzbrukumi tieši konkrētai valstij vai konkrētai nozarei. Tas bieži ir novērojams. Taču ir arī gadījumi, ka Latvija un Lietuva tiek sajauktas, piemēram, [Ukrainas prezidents Volodimira] Zelenska kungs viesojās Rīgā, bet uzbrukumi tika vērsti pret Lietuvu.
Lielākais kiberapdraudējums nāk no Krievijas un Baltkrievijas?
Tas ir ļoti atkarīgs no uzbrukumu veida. Ja mēs runājam par komerciāli motivētiem uzbrukumiem, kas joprojām ir lielākā daļa no visiem apdraudējumiem, tad izcelsme nav skaidra un zināma. Tā arī ir ļoti grūti identificējama, jo uzbrucēji var ļoti labi slēpties, tie var būt starptautiski grupējumi, kas nav viennozīmīgi saistīti ar kādu valsti vai reģionu. Šo uzbrukumu grupā nevar nepieminēt šifrējošo izspiedējvīrusu uzbrukumus, kas joprojām ir ļoti aktīvi un postoši, kas faktiski var iznīcināt kompānijas, kas nav pietiekami sagatavojušās, vai būtiski ietekmēt to darbību.
Otra grupa ir haktīvistu uzbrukumi, kas parasti ir ļoti kaitinoši, taču daudz mazāk destruktīvi, vismaz mūsu reģionā. Šīs kampaņas parasti nav destruktīvas, bet vairāk ietekmes, informācijas operācijas, kas parasti ir nesekmīgas, bet var gadīties, ka uzbrukums ir sekmīgs, un tad nu tas no uzbrucēju puses tiek pasniegts kā milzīga uzvara, lai arī patiesībā kompromitēts ir tikai viens e-pasts vai neliela daļa no infrastruktūras. Šādos gadījumos uzbrucēji lielās ar saviem sasniegumiem, un tas ir veids, kā var identificēt, ka tas ir saistīts ar Krieviju vai Baltkrieviju atbalstošo haktīvistu grupējumu. Ir arī uzbrukumi, kurus var saistīt ar kādu citu valsti. Par uzbrukumiem, kas saistīti ar valstu sponsorētiem dienestiem, ir vēl grūtāk runāt, jo uzbrucēju identificēšana ir vēl sarežģītāka un arī politiski jūtīgāka.
Ņemot vērā ģeopolitisko situāciju, protams, ka mūsu lielākā uzmanība ir vērsta uz darbībām, kas saistītas ar Krievijas dienestiem.
Pret ko biežākie uzbrukumi ir vērsti?
Skaitliski lielākās krāpšanas kampaņas ir vērstas pret gala lietotājiem, mazajiem un vidējiem uzņēmumiem. Krāpšanas kampaņu un šifrējošo izspiedējvīrusu skaits ir liels un ir arī daudz upuru, tiek zaudētas lielas naudas summas. Tie ir finansiāli motivētie uzbrukumi. Savukārt haktīvistu uzbrukumi, informācijas operācijas ir vērstas pret pilnu spektru - var būt gan valsts iestādes, gan kritiskā infrastruktūra, tāpat jebkurš uzņēmums, kuram ir kādi resursi internetā, var kļūt interesants haktīvistiem. Labā ziņa ir tā, ka šādiem uzbrukumiem parasti nav būtiskas un paliekošas ietekmes.
Vai varētu raksturot, kā izskatās kiberuzbrukums, piemēram, vidējam uzņēmumam?
Šifrējošie izspiedējvīrusi ir ļoti nepatīkams uzbrukuma veids. Uzņēmējam ir jāaizsargā visa sava infrastruktūra, jādomā gan par mājaslapas aizsardzību, gan attālināto piekļuves pieslēgumu aizsargāšanu, gan klientu/lietotāju datu aizsargāšanu, gan infrastruktūras atjaunošanu utt. Uzbrucējam pietiek atrast vienu lietu, kas ir palaista garām, - viena pavirša parole, viena neatjaunināta sistēma -, un ar to, ja nav papildu aizsardzības mehānismu, var pietikt, lai uzbrucējs iekļūtu infrastruktūrā. Ja uzbrucējs ir kāds no šifrējošo izspiedējvīrusu grupējumiem, tad mērķis parasti ir saprast, kāda ir infrastruktūra, kur glabājas svarīgākie dati, kur rezerves kopijas, vai pie tām ir iespējams piekļūt. Ja jā, tad tiek organizēta datu šifrēšana un, kad dati ir sašifrēti, tad uzbrucēji informē uzņēmēju, ka saviem datiem tas tiks klāt tikai, ja samaksās konkrētu summu. Šajā brīdī ir svarīgi saprast, vai rezerves kopijas ir vai nav pieejamas. Ja rezerves kopijas ir kādā citā vietā, ir pieejamas un nav sašifrētas, tad tas ir veids, kā uzņēmums var atkopties nemaksājot. Ja rezerves kopiju nav un nav citu veidu, kā atšifrēt datus, tad uzņēmējam ir ļoti neapskaužama situācija - jāizvēlas sākt visu no sākuma vai maksāt noziedzniekiem. Mēs, protams, iesakām nemaksāt, bet saprotam, ka realitātē ir gadījumi, ka izvēle ir ļoti skarba. Senāk ir bijuši arī gadījumi, ka dati vienalga netiek atgūti, pat samaksājot. Pēdējā laikā, lai cik ironiski nebūtu, noziedznieki cenšas uzlabot savu reputāciju, un, ja esi gatavs samaksāt, tad saņem arī ļoti labu servisu un palīdz ātri atjaunoties. Tas gan nenozīmē, ka pēc pāris mēnešiem šo uzņēmumu nevarētu nošifrēt vēlreiz. Šādas situācijas ir neapskaužamas, un izvēles, kas jāizdara uzbrukuma upuriem, ir smagas. Tādēļ ir ļoti labi, ja ir pieejamas rezerves kopijas, ir iespēja piesaistīt papildu IT speciālistus, kas palīdz atjaunot infrastruktūru un uzņēmuma darbību, pie reizes veicot papildu drošības pārbaudes, lai saprastu, kā uzbrucēji vispār iekļuva infrastruktūrā, kāpēc incidents notika un ko darīt, lai tas neatkārtotos. Šo jautājumu risināšanā arī CERT.LV noteikti var palīdzēt. Ja ir noticis šifrējošā izspiedējvīrusa uzbrukums, mēs varam palīdzēt saprast, kā uzbrucējs ir iekļuvis infrastruktūrā.
Cik kopumā Latvijas uzņēmumi ir nodrošinājušies pret uzbrukumiem?
Kibernoturības līmenis ir ļoti atšķirīgs gan uzņēmumiem, gan iestādēm, kā arī ir ļoti atšķirīgs dažādos segmentos. Pateikt vidējo temperatūru slimnīcā ir ļoti grūti. Ir nozares un uzņēmumi, kas par to ļoti nopietni domā, bet diemžēl ir arī pretējais variants. Kopumā mēs redzam, ka situācija uzlabojas, īpaši pēc 2022.gada, kad pastiprināti tiek runāts par kibernoturību, par nepieciešamību pēc rezerves kopijām, aizsardzību pret piekļuves lieguma uzbrukumiem. Redzam, ka arvien mazāk ir sekmīgu uzbrukumu, kas varētu viegli tikt novērsti. Ja uzbrucējs ļoti mērķtiecīgi meklē iespēju uzbrukt konkrētam uzņēmumam, diemžēl var gadīties, ka tas viņam arī izdodas, taču, ja tiek ar botu palīdzību automatizēti meklēti upuri, tad sekmīgo uzbrukumu skaits samazinās.
Liela daļa uzņēmumu pēc Covid-19 pandēmijas un Krievijas sāktā kara pievērš vairāk uzmanības kibernoturībai, taču to nevaru apgalvot par visiem uzņēmumiem. Pēc esošās likumdošanas, mūsu klienti ir tikai daļa no privātā sektora - kritiskās infrastruktūras turētāji, pamatpakalpojumu sniedzēji un digitālo pakalpojumu sniedzēji. Pārējiem ziņošana un sadarbošanās ir bijusi brīvprātīga. Šobrīd Saeimā notiek diskusijas par jauno Kiberdrošības likumu, kas ieviesīs NIS2 direktīvas prasības par obligāto sadarbību, ziņošanu un minimālās drošības prasības daudz lielākam uzņēmumu skaitam no privātā sektora. Būs daudz darba, lai visu jauno klientūru apzinātu, apmācītu un celtu kopējo kiberdrošības līmeni. Jāpiebilst, ka jau līdz šim ir ļoti daudz darīts, lai centralizēti palīdzētu gan privātajam sektoram, gan valsts sektoram. Piemēram, publiskajam sektoram ir pieejama centrālā piekļuves lieguma uzbrukumu (DDoS) aizsardzība, ko nodrošina Aizsardzības ministrija, ir pieejami sensori, lai varētu ātrāk detektēt, ja notiek kādi uzbrukumi, ir DNS ugunsmūris, ko var izmantot jebkurš Latvijas interneta lietotājs, lai aizsargātos pret tām kampaņām, kuras jau zinām, kā CERT.LV piedāvājam arī dažādus ielaušanās un pikšķerēšanas testus iestādēm. Ir spektrs ar pakalpojumiem, kas šobrīd pieejams esošajiem klientiem, un līdz ar jauno likumu šie pakalpojumi būs pieejami daudz plašākai klientūrai.
Jaunais Nacionālās kiberdrošības likumprojekts paredz arī Nacionālo kiberdrošības centra izveidi, kura funkcijas jūs sadarbībā ar Aizsardzības ministriju īstenosiet. Kā noris gatavošanās kiberdrošības centra darbības sākumam? Vai būsiet gatavi?
Konceptuāla diskusija par to notika jau 2022.gadā. Līdz ar redzējumu par jauno likumu, tika prasīts arī papildu finansējums un štata vietas gan CERT.LV, gan Aizsardzības ministrijas Kiberdrošības departamentam. Labā ziņa, ka šis process tika uzsākts jau 2023.gada sākumā. Lai arī likuma pieņemšana vēl nav notikusi, paplašināšanās ir jau uzsākta. Šobrīd CERT.LV ir gandrīz 50 darbinieki, esam būtiski izauguši pēdējā pusotra gada laikā, izaugsme turpinās un ir paredzēti vismaz 66 darbinieki. Jau šobrīd jūtam, ka ar jauno kapacitāti varam izdarīt daudz vairāk, ko arī cenšamies darīt. Tas pats notiek Aizsardzības ministrijas pusē. Protams, ir grūtības atrast darbiniekus, tas nav nekāds jaunums, bet kopumā mums tiešām ir paveicies atrast labus kolēģus. Par to, vai būsim gatavi? Mums jābūt gataviem, darbosimies. Protams, ka ir lietas, kas vēl nav līdz galam pabeigtas un izstrādātas, bet pie šiem procesiem darbs notiek. Mēs fokusējamies uz to, lai varētu nodrošināt Drošības operāciju centru (SOC), kas arī ir viens no jaunajiem pienākumiem, kas izrietēs no likuma. Tāpat arī strādājam, lai jau iepriekš minētos pakalpojumus varētu nodrošināt plašākam klientu skaitam.
Kopumā mums veicas labi un cenšamies maksimāli darīt savas kompetences ietvaros.
Ja runājam par darbiniekiem, tad kā spējat konkurēt ar privāto sektoru?
Pirmkārt, jāsaka paldies, ka tika pieņemts jaunais Atlīdzības likums 2022. gada vidū, kas tomēr atļauj piedāvāt daudz konkurētspējīgāku atalgojumu, nekā tas bija pirms tam. Otrkārt, protams, pateicoties piešķirtajam budžetam, kas arī dod iespējas samaksāt tik, cik drīkstam samaksāt. Treškārt, domāju, ka mums noteikti ļoti palīdz tas, ka darbs, ko mēs darām, ir ļoti jēgpilns. Daudzi kolēģi pie mums ir pārnākuši no privātā sektora, jo pie mums viņi redz reālu iespēju palīdzēt savai valstij, palīdzēt celt savas valsts kibernoturību un strādāt valsts drošības labā, paliekot IT jomā un darot to, kas viņiem patīk un interesē.
Latvijā 2013. gadā tika izveidota Kiberzemessardze. Kāds ir Kiberzemessardzes ieguldījums kiberdrošības uzturēšanā?
Es negribētu sniegt vērtējumu, bet drīzāk pievērsties mērķim, ar kādu Zemessardzes Kiberaizsardzības vienība ir izveidota, kas ir sniegt atbalstu krīzes situācijās CERT.LV un MilCERT. Tas ir lielais mērķis, pie kā tiek strādāts. Notiek dalība kopīgās mācībās, kas ir ļoti intensīvas. Lielākās bija "Locked Shields 2024", kas notika šī gada aprīlī. Tajās Latvijas un NATO apvienotā komanda ieguva 1.vietu. Visu mācību vadību uzņēmās Kiberaizsardzības vienība, bet, protams, piedalījās gan CERT.LV, gan privātā sektora pārstāvji no dažādām organizācijām. Tas ir tikai viens no piemēriem, jo dažādas mācības notiek visu gadu.
Ļoti svarīgi ir atzīmēt, ka tie cilvēki, kas ir Zemessardzes Kiberaizsardzības vienībā, ikdienā strādā uzņēmumos vai iestādēs, kur visbiežāk rūpējas par šo uzņēmumu, iestāžu infrastruktūras drošību. Viņi Kiberaizsardzības vienībā mācās, uzzina par apdraudējumiem, kā ar šiem apdraudējumiem cīnīties, un tas reāli viņiem palīdz labāk darīt savu ikdienas darbu, padarīt drošākus savus uzņēmumus un iestādes. Līdz ar to, stiprinot Zemessardzes Kiberaizsardzības vienības dalībnieku zināšanas, prasmes un izpratni, mēs faktiski stiprinām visus uzņēmumus un iestādes, kuros šie cilvēki strādā.
Kuri sektori kiberuzbrukumiem ir ievainojamākie?
Vienā sektorā var būt ļoti dažādi uzņēmumi un iestādes, kuros situācijas ir atšķirīgas. Viens no sektoriem, par ko ir uztraukums visās Eiropas Savienības dalībvalstīs, ir veselības sektors, jo tur ir ļoti sensitīvi dati un ir bijuši arī vairāki postoši uzbrukumi veselības sektoriem, piemēram, Īrijā, kur gandrīz visi sektora dati tika nošifrēti un atkopšanās prasīja ļoti ilgu laiku. Arī citās valstīs ir bijuši sekmīgi uzbrukumi veselības nozarei. Mēs strādājam ar lielākajām slimnīcām, bet plašas redzamības šajā sektorā mums pagaidām vēl nav, tā varētu palielināties līdz ar jauno likumu. Mēs nevaram apgalvot, ka pārredzam ļoti labi visu šo jomu, bet tas nenozīmē, ka situācija ir ļoti slikta. Jo kritiskāks ir sektors, jo tas ir iekārojamāks mērķis, tādēļ mēs strādājam ar šiem uzņēmumiem, lai tos atbilstoši sagatavotu.
Kāda kiberdrošības situācija ir valsts un pašvaldību iestādēm?
Par valsts un pašvaldību situāciju esam labi informēti, un es domāju, ka kopumā situācija ir diezgan laba. Protams, situācija arī atšķiras, bet labā ziņa, ka katrā no iestādēm un organizācijām ir persona, kas ir atbildīga par kiberdrošību, ar kurām tad arī strādājam un varam sazināties, ja notiek incidents.
Cik lielu daļu kiberdraudu izdodas novērst, vēl pirms sabiedrība ir jutusi ietekmi?
Procentuāli to ir grūti izrēķināt, bet skaidrs, ka vairāk nekā 99% to neviens neizjūt. Sabiedrība pilnīgi noteikti neizjūt, jo ir ļoti, ļoti maz incidentu, kurus sabiedrība pamana un par kuriem publiski runājam un analizējam. Lielākā daļa uzbrukumu tiek atvairīti automatizēti ar, piemēram, DDoS atvairīšanas mehānismiem vai mehānismiem, kas ir konkrētajās organizācijās.
Kopumā mēs esam ļoti cienījami pretstāvējuši gan uzbrukumiem, kas saistīti ar Krievijas agresiju, gan cita veida uzbrukumiem. Ja runājam par pasargāšanu, tad ļoti cenšamies popularizēt DNS ugunsmūri, jo tā lietotāji tiek pasargāti no Latvijā aktīvajām krāpniecības kampaņām, tikko tās nonāk CERT.LV redzeslokā. Ja viens lietotājs mūs informē, tad dažu minūšu laikā kampaņa ir pārbaudīta un ievietota ugunsmūrī, un tālāk jau visi, kas lieto ugunsmūri un mēģinātu uzķerties, tiktu aizsargāti. Jaunajā likumā otrajā lasījumā ir iniciatīva noteikt, ka DNS ugunsmūris ir jāpiedāvā visiem elektronisko sakaru komersantiem saviem lietotājiem. Ja tas tiks pieņemts un Saeima to apstiprinās, tad būs ļoti būtisks pavērsiens, cik ātri un operatīvi varam aizsargāt interneta gala lietotājus no dažādām pikšķerēšanas un ļaunatūras izplatīšanas kampaņām, kas ir vērstas tieši pret Latvijas interneta lietotājiem. Pamatā mēs strādājam ar tām kampaņām, kas ir latviskotas un pielāgotas mūsu situācijai un uz kurām diemžēl cilvēki visbiežāk uzķeras. Interneta pakalpojumu sniedzēji jau šobrīd nodrošina, piemēram, nelegālo azartspēļu lapu bloķēšanu, nodrošina bloķēšanu lapām, kuras Patērētāju tiesību aizsardzības centrs atzinis par slēdzamām.
Mūsu iniciatīva ierosina, ka arī tās kampaņas, kuras ievietojam DNS ugunsmūrī, būtu obligāti jābloķē gala lietotājiem.
Šogad pirmajos trīs mēnešos no ļaundabīgu vietņu apmeklēšanas DNS ugunsmūris lietotājus pasargāja apmēram pusmiljons reižu. Lietotāju procentuālais īpatsvars šobrīd nav liels, bet jau šajā nelielajā skaitā mēs gandrīz pusmiljons reižu esam novērsuši, ka cilvēks sasniedz pikšķerēšanas vai ļaunatūras vietni. Tas liecina, ka diemžēl cilvēki joprojām klikšķina uz saitēm, kas viņiem tiek atsūtītas, un tas arī liecina, ka ugunsmūris ir efektīvs mehānisms, kā lielu daļu no komerciāli motivētiem incidentiem samazināt un apturēt.
Cik bieži ir mērķēti uzbrukumi kritiskajai infrastruktūrai, cik droša tā ir?
Par kritisko infrastruktūru runāt ir sarežģīti, jo tās saraksts ir klasificēta informācija un neviens vārdā nesauc uzņēmumus vai iestādes, kuras ir šajā sarakstā. Protams, jo sektors, uzņēmums vai iestāde ir svarīgāka un jo svarīgākus datus apstrādā, jo iekārojamāks mērķis tas ir uzbrucējiem, sevišķi tiem, kas ir valstu motivēti uzbrucēji. Ir likumsakarīgi, ka tieši šādām iestādēm un uzņēmumiem ir vairāk dažādu uzbrukumu mēģinājumu.
Vai novēroti kādi uzbrukumi vai priekšvēstneši saistībā ar Eiropas Parlamenta vēlēšanām?
Vēlēšanas šogad ir ļoti aktuāla tēma. Mūsu valstī pagaidām nav novērots neviens incidents, kas būtu tieši saistāms ar vēlēšanu sistēmām vai vēlēšanu drošību. Mēs kopā ar Valsts kanceleju un pārējām iesaistītajām iestādēm ļoti cītīgi strādājam, lai veiktu testēšanu visām sistēmām, kas tiks iesaistītas vēlēšanu norises atbalstam. Visa nepieciešamā testēšana ir pabeigta. Veiktajos testos neviena kritiska ievainojamība nav tikusi identificēta. Šogad mūsu sadarbība ar visiem piegādātājiem ir bijusi veiksmīga un visas atklātās problēmas ir tikušas laicīgi novērstas. Skaidrs, ka, tuvojoties vēlēšanām, var sagaidīt dažāda veida uzbrukumus. Domāju, ka tieši kiberuzbrukumi diez vai būs, vismaz varbūtība ir krietni zemāka. Daudz augstāka varbūtība ir dažādām dezinformācijas kampaņām, informācijas operācijām, arī dziļviltojumi ir tas, par ko visi baidās un domā, ka tie varētu parādīties. Tie ir satura jautājumi, un mēs tur tikai daļēji esam iesaistīti. Ar šiem jautājumiem pamatā strādā Valsts kanceleja. Mēs savas kompetences ietvaros esam klātesoši visās darba grupās, kas saistītas ar vēlēšanu organizēšanu gan no tehnoloģiskā viedokļa, gan no drošības viedokļa.
Ne tik sen īsā laika posmā "Balticom" un "Tet" translētajos kanālos ir parādījies Krievijas propagandas saturs. Vai ir noskaidroti šo uzbrukumu izraisītāji, un kā tas ir bijis iespējams?
Pirmais gadījums, kas saistīts ar "Tet", ir izpētīts un arī komentēts, bet otram gadījumam, kas notika 9.maijā ar "Balticom", izmeklēšana vēl turpinās un nav noslēgusies. Abus šos gadījumus vieno tas, ka tie ir bijuši piekļuves ķēžu kompromitēšanas gadījumi. Tiešā veidā tā nav bijusi Latvijas uzņēmumu kompromitēšana, bet ir tikusi kompromitēta sistēma, ko izmanto uzņēmums, lai saņemtu pārraidāmo saturu. "Tet" gadījumā konkrētajā situācijā tika pārtverti satelīta signāli un palaista pārraide no neleģitīma avota. Iejaukšanās notika tieši satelīta komunikācijā, kas raida Ukrainas kanālus, bet kas nepieder ne Ukrainai, ne Latvijai. Tiek uzskatīts, ka šis uzbrukums nav bijis tieši vērsts pret Latvijas infrastruktūru, bet esam bijuši vairāk kā blakusefekts, jo uzbrukums bija vērsts pret Ukrainas infrastruktūru un kanāliem, kurus raida Ukrainā. Pozitīvi ir tas, ka "Tet" uzreiz mainīja veidu, kā viņi informāciju saņem, un pārgāja uz informācijas saņemšanas veidu, ko ir grūtāk ietekmēt. Ir cerība, ka tieši šādā veidā incidents vairs neatkārtosies.
"Balticom" gadījumā mēs vēl nevaram visu komentēt, jo izmeklēšana turpinās. Šajā gadījumā tika kompromitēts piegādātāja serveris, kas fiziski atradās Latvijā, bet tika pārvaldīts no citas valsts un pieder citai valstij. Šis serveris tika kompromitēts un attiecīgi pārraidīja neleģitīmu saturu, ko tālāk translēja "Balticom".
Kā no tā izvairīties? Stāsts ir tas pats vecais par visām kiberdrošības labajām praksēm, bet, ja incidents notiek ārpus mūsu pārvaldītās infrastruktūras, tad ir daudzas lietas, kuras grūti ietekmēt. Tad ir jāvērtē sadarbības partneris, kāds ir viņa kiberdrošības brieduma līmenis un noturība un kā tas ir gatavs reaģēt incidentu gadījumos. Mums kā sabiedrībai kopumā ir jārēķinās, ka šādas provokācijas diemžēl nākotnē var turpināties. Kā jau minēju iepriekš, infrastruktūras saimniekam ir jānodrošina visa infrastruktūra simtprocentīgi, bet uzbrucējam atliek atrast vienu lietu - vienu "caurumu", neuzmanību, muļķību, problēmu, ko izmantot savā labā un realizēt uzbrukumu.
Kādi ir un vēl būs izaicinājumi saistībā ar mākslīga intelekta izmantošanu kiberaizsardzībā un gluži pretēji - kiberuzbrukumos?
Par šo jautājumu ir daudz diskusiju. Skaidrs, ka mākslīgais intelekts ir līdzeklis, bet tās nav brīnumzāles ne vienai, ne otrai pusei. Mākslīgo intelektu var izmantot gan, lai automatizētu un uzlabotu aizsardzības mehānismu, piemēram, padarītu bloķēšanas ātrākas un efektīvākas, gan, lai padarītu krāpšanas kampaņas ticamākas. Ar pārliecību var teikt, ka tas tiek un arī nākotnē tiks izmantots abos virzienos.
Mēs savā praksē līdz šim vēl neesam saskārušies ar tādu incidentu, kas būtu balstīts mākslīgā intelekta rīkos un tikai saistīts ar mākslīgo intelektu. Parasti mākslīgais intelekts tiek izmantots ticamākos tekstos krāpšanas kampaņām un ir bijušas aizdomas, ka tās ir veidotas ar mākslīga intelekta palīdzību.
Runājot par mākslīgā intelekta riskiem un uzbrukumiem, var minēt pēdējā laika skaļāko starptautisko incidentu, kur dziļviltojums "Zoom" zvanā pārliecināja uzņēmuma darbinieku pārskaitīt naudu. Ar mākslīgā intelekta rīka palīdzību tika uzģenerētas kāda uzņēmuma vairākas augstas amatpersonas, kuras "Zoom" sarunā pārliecināja grāmatvedi veikt maksājumu. Tas bija Lielbritānijas uzņēmums, un pārskatījuma apmērs bija 25 miljoni eiro.
Kā paši izmantojat mākslīgo intelektu?
Pagaidām diezgan piesardzīgi, jo līdz ar jaunajām tehnoloģijām, protams, ka ir arī dažādi jautājumi jānoskaidro, piemēram, par to, kā tiek izmantoti mūsu atdotie dati. Mēs pret to izturamies ļoti piesardzīgi un savus datus lielajos modeļos nevadām. Mēs arī esam publicējuši savā mājaslapā apskatu par to, kā droši izmantot mākslīgo intelektu, uzsverot informācijas sargāšanu, neuzķerties uz lietotnēm, kas piedāvā piekļuvi mākslīgajam intelektam, nepārliecinoties par viņu autentiskumu, neinstalēt pārlūkprogrammās papildinājumus, nepārliecinoties par to leģitimitāti. Ir daudz papildinājumu, kas nāk komplektā ar jau nevēlamu funkcionalitāti. Es domāju, ka šī tēma mums visiem būs aktuāla vēl ilgi. Arī aizliegšana nav recepte, un mēs neatbalstām mēģinājumus aizliegt lietot šīs tehnoloģijas. Skaidrs, ka, ja tehnoloģijas ir pieejamas, tad cilvēki tās lietos, bet ir jāsaprot, kas ir svarīgie aspekti, lai lietošana būtu droša un nekaitētu pašam lietotājam.
Tas nozīmē, ka līdz ar mākslīga intelekta attīstību jūsu dzīve ir kļuvusi grūtāka?
Es teiktu, ka pagaidām mēs to būtiski neizjūtam. Ne tikai mēs, bet arī nesen runājām starptautiskajā CERTu kopienā, ka pagaidām tas praktiski nav jūtams. Vai un kā tas mainīsies nākotnē, to rādīs laiks.
Kādu prognozējat kiberdrošības situāciju tuvākā gada laikā un arī ilgākā laika periodā?
Tas, protams, ir ļoti saistīts ar ģeopolitisko situāciju, ar to, kas notiek Ukrainas frontē, ar to, cik un kādā veidā NATO un līdz ar to arī mēs iesaistāmies šajā procesā. Tas noteikti atstās jūtamas sekas arī mūsu kibertelpā neatkarīgi no tā, kādā virzienā izmaiņas notiks. Par komerciālu motivētiem uzbrukumiem diemžēl jāsaka, ka jo valsts paliek turīgāka un iedzīvotājiem palielinās pieejamie naudas līdzekļi, arī uzbrucējiem paliekam iekārojamāki, tādēļ dažādas uzbrukuma kampaņas turpināsies un pastiprināsies. Runājot par haktīvistu uzbrukumiem, tie ir cieši saistīti ar politisko notikumu spektru, ar valstu sponsorētiem uzbrukumiem; pilnīgi noteikti interese neatslābs un tikai palielināsies. Mums ir jāstiprina sava noturība, jāmācās neiekrist un nekļūt par upuriem, jāmācās pieņemt, ka ir incidenti, kurus ir ļoti sarežģīti novērst, bet kuri nerada milzīgas sekas. Tie jāuztver ar vēsu prātu kā daļa no Krievijas hibrīdkara informācijas operācijām un nav jāceļ panika. Situācija ir stabila, un, ja nebūs būtisku izmaiņu ģeopolitiskajā situācijā, nesagaidām kiberuzbrukumu skaita lielas izmaiņas vienā vai otrā virzienā.