CERT.lv: Draudu medības kā obligātā veselības pārbaude – jāveic regulāri, pat ja nekas nesāp

Kopš Krievijas iebrukuma Ukrainā 2022. gadā ir strauji pieaudzis kiberuzbrukumu daudzums un intensitāte Latvijā. Atsevišķos gadījumos uzbrukumu biežums ir četrkāršojies, dažbrīd pat septiņkāršojies. Krievijai gatavojoties militārai agresijai, tās atbalstītas kiberoperācijas un pirmie mēģinājumi iekļūt mērķa sistēmās gan Baltijas valstīs, gan Ukrainā notika jau 2021. gadā. Viena no aktuālākajām pēdējā laika tendencēm – kiberuzbrucēju mērķis ir privātie uzņēmumi, kas nodrošina pakalpojumus valsts sektoram. Tādā veidā, uzlaužot to informācijas sistēmas, uzbrucēji var piekļūt pat tādām kritiskām infrastruktūrām kā satiksme vai enerģētika.

Tādēļ jau trešo gadu arvien kāpinām Latvijas spējas veikt operatīvas plaša mēroga tā sauktās draudu medības, ar augstu efektivitāti identificējot un neitralizējot uzbrucēju klātbūtni un darbības publiskā un privātā sektorā. Kā vērtīgs draudu medību blakus produkts ir datos balstīts organizāciju kiberdrošības stāvokļa un piekopto prakšu novērtējums ar ceļa karti drošākai nākotnei.

Vietējās un starptautiskās tendences kiberdrošībā tiks detalizētāk apspriestas CERT.LV rīkotajā konferencē “CyberChess 2024”, kas notiks Rīgā no 1. līdz 3. oktobrim.

Laikā, kad Krievijas pilsoņu iebraukšana Latvijas teritorijā ir ārkārtīgi ierobežota, spiegošana tās klasiskajā formātā mūsu valstī ir ievērojami apgrūtināta. Tādēļ piedzīvojam un tuvākā nākotne arvien piedzīvosim pastiprinātus draudus digitālajā vidē no agresīvās kaimiņvalsts kiberoperācijām. Pastāv dažādu veidu kiberuzbrukumi. Viens no hakeru mērķiem ir ilgstoši palikt nepamanītiem un, pirms tie tiek pieķerti, iegūt maksimālu informācijas apjomu, kuru pēcāk izmantot dažādiem nolūkiem. Nereti šādu kiberuzbrukumu mērķa organizācija pamana pat vairāk nekā pēc pusgada, it īpaši, ja uzņēmuma vai iestādes kiberdrošības prakses ir nepilnīgas vai tām nav veltīta pietiekoša uzmanība. Tātad  ir pieļauts sekmīgs kiberuzbrukums, tā darbības un sekas nav pamanītas ilgstošā laikā. Savukārt citi uzbrukumi ir mērķēti uz infrastruktūras sagraušanu, haosa un rezonanses veicināšanu sabiedrībā. Šie uzbrukumi īpaši aktivizējas brīžos, kad Latvija sniegusi tiešo atbalstu Ukrainas valdībai un pieņēmusi Krievijai nepatīkamus lēmumus. Kiberuzbrukumus ir svarīgi savlaicīgi atklāt un novērst; ideāli, ja to spējam izdarīt jau plānošanas fāzē. Un tieši šajā procesā būtisku lomu spēlē draudu medības un tā saucamā draudu izlūkošana.'

Kas ir draudu medības

Draudu medības ir dziļi tehnisks, bet arī stipri organizatorisks process, kurā tiek, pirmkārt, identificētas publiskā vai privātā sektora iestādes, kuras prioritāri pakļaujamas šādai drošības stāvokļa novērtēšanai; otrkārt, tiek analizētas konkrētās iestādes datorsistēmu konfigurācijas īpatnības – gan lietotāju datori, gan serveru sistēmas, gan tīkla iekārtas. Tiek meklētas pazīmes, kas varētu liecināt par sistēmas potenciālu ievainojamību vai par jau kompromitētas sistēmas faktu. Tad, izpētot iegūtos datus un veicot arī statistisko analīzi, lai meklētu "nezināmo", var izdarīt secinājumus par to, kādā stāvoklī ir mērķa infrastruktūra. Ja sistēma ir kompromitēta, notiek aktīva cīņa ar uzbrucējiem, cenšoties to klātbūtni likvidēt. Gadījumos, kad sistēmas uzturētas atbilstoši drošības izaicinājumam un nav konstatēts, ka tas būtu kompromitētas, draudu medības palīdz identificēt konkrētas problēmas un sistēmas nepilnības, kuras var palīdzēt kiberdrošības sargātajiem tās savlaicīgi novērst un nepieļaut, ka tās izmanto uzbrucēji, lai piekļūtu uzņēmuma vai valsts iestādes datiem. Tātad draudu medības palīdz padarīt Latviju par uzbrucējiem neparocīgu mērķi.

Iegūtā informācija pēc draudu medībām tiek iesniegta mērķa infrastruktūras turētājam un kalpo kā ceļvedis jeb karte.

Tā ļauj noteikt prioritātes un izprast, kurām nepilnībām svarīgi pievērst uzmanību nekavējoties. Tāpat tas palīdz uzņēmuma vadībai demonstrēt nepieciešamību ieguldīt kiberdrošībā, pamatojot to ar datiem, nevis tikai pieņēmumiem. Kā redzam pēc pēdējā laika mediju ziņām, privātā sektora uzņēmumi nav pasargāti no kiberdraudiem un tos arī skar informācijas noplūdes.

Regulāras pārbaudes ir būtiskas ne tikai cilvēka veselībai, bet arī informācijas sistēmām. Tāpat kā cilvēkam ieteicams veikt vispārēju veselības pārbaudi reizi gadā, pat ja nav acīmredzamu simptomu, arī sistēmas nepieciešams regulāri pārbaudīt, lai savlaicīgi identificētu un novērstu potenciālās problēmas. Šīs pārbaudes palīdz pamanīt jebkādas novirzes vai problēmas agrīnā stadijā, kad tās ir vieglāk ārstējamas vai labojamas. Gan cilvēka, gan sistēmas veselība ir jāvērtē, balstoties uz objektīviem datiem, nevis pieņēmumiem vai subjektīvām sajūtām.

Kiberuzbrukumi skar arī privātos uzņēmumus

Ja mēs analizējam draudu medībās konstatētās tendences, tad patiešām spējīgi uzbrucēji pēdējo 4–5 gadu laikā fokusējas arvien biežāk uz privāto sektoru. Atsevišķos gadījumos pats uzņēmums ir augstas vērtības mērķis, citos tas ir vieglāks ceļš, kā tikt līdz augstas vērtības mērķiem, kas ir šī uzņēmuma klienti un partneri.

Jo agrāk draudus identificē, jo labāk, bet ne vienmēr infrastruktūras turētājiem tas izdodas.

Trūkst vajadzīgo rīku, metožu un procedūru, lai tas vispār tā būtu izdarāms. Tāpēc, kad CERT.LV pakalpojumi ir attiecināmi uz noteiktas kategorijas privāto sektoru, sniedzam savu atbalstu, lai, pirmkārt, gūtu ieskatu, kāds ir uzņēmuma esošais kiberdrošības stāvoklis, un, otrkārt, palīdzētu šos draudus atklāt un likvidēt. CERT.LV veic arī papildu analīzi, lai varētu atklāt, kas ir uzbrucēji, ar ko tie varētu būt saistīti, kādi ir to motīvi, vai viņiem ir izdevies iegūt kādus datus. Šādām bezmaksas draudu medībām mērķa uzņēmumus identificējam paši sadarbībā ar valsts drošības iestādēm. Tie nereti tiešā veidā saistīti ar valsts infrastruktūras apkalpošanu vai pārvalda lielu Latvijas iedzīvotāju datu apjomu. Bet, protams, CERT.LV labprāt sniegs padomu arī mazajiem vai vidējiem uzņēmumiem. Tāpat līdzīgi pakalpojumi tiek piedāvāti no atsevišķu Latvijas kiberdrošības uzņēmumu puses.

Draudu medībās ir arī vieta mākslīgajam intelektam

Tas, ar ko varam rēķināties turpmākajā nākotnē, – kiberuzbrukumu skaits tikai pieaugs. Tajā skaitā no Krievijas puses. Un Latvija būs viens no galvenajiem šo uzbrukumu mērķiem. Pretinieks izmantos visus iespējamos rīkus, lai piekļūtu mūsu informācijas sistēmām, zagtu informāciju un censtos sistēmas sagraut. Tādēļ CERT.LV savlaicīgi sadarbojas ar partneriem NATO dalībvalstīs, tajā skaitā Kanādas bruņotajiem spēkiem, lai proaktīvi pasargātu gan Latvijas, gan Kanādas valsts infrastruktūras un katru iedzīvotāju kibervidē.

Taču ir vēl viena nākotnes tendence, kuru varam prognozēt un kura aktīvi darbosies gan aizstāvju, gan uzbrucēju pusē. Ļoti ticams, ka nākamajos 5 līdz 10 gados mākslīgā intelekta rīki draudu medību procesu padarīs efektīvāku un ātrāku. Es atļaujos apšaubīt tās spekulācijas, kuras apgalvo, ka cilvēku līdzdalība kļūs pavisam minimāla nākotnē. Es piekristu drīzāk tam, ka cilvēki, pateicoties mākslīgā intelekta rīkiem, kļūs efektīvāki. Mēs, automatizējot darbības, ātrāk spēsim atpazīt draudu "rokrakstu", savlaicīgāk identificēt un pat nepieļaut vājus drošības uzstādījumus. Taču, iespējams, kļūs efektīvāki arī uzbrucēji, ar mākslīgā intelekta palīdzību atrodot veidu, kā sistēmas ātrāk "apmānīt". Viens ir skaidrs – savstarpējās sacensības fakts nemainīsies un gan mums katram individuāli, gan valstij un privātajam sektoram kopumā jādomā par savu kiberpratību un jārīkojas, lai pretstāvētu izaicinājumam.

Kļūda rakstā?

Iezīmējiet tekstu un spiediet Ctrl+Enter, lai nosūtītu labojamo teksta fragmentu redaktoram!

Iezīmējiet tekstu un spiediet uz Ziņot par kļūdu pogas, lai nosūtītu labojamo teksta fragmentu redaktoram!

Saistītie raksti

Vairāk

Svarīgākais šobrīd

Vairāk

Interesanti