Kibernoziedznieki kļuvuši radošāki, līdz ar to viņu uzbrukumi – sarežģītāki. Tas ir saistīts ar iedzīvotāju augošajām zināšanām.
Tagad ir jārēķinās ar to, ka kibernoziedznieki noskaidro arī cilvēku tālruņa numurus un zvana.
Piekļūst uzņēmēju sarakstei
Ir arī gadījumi, kad hakerim ir piekļuve e-pasta sarakstei starp diviem uzņēmumiem, kuru finansiālie darījumi viņam ir interesanti.
Laika gaitā uzbrucējs izpēta saraksti un vienam no partneriem nosūta vēstuli ar ļoti ticamu saturu.
„Tiek viltotas pavadzīmes, tiek paskaidrots, ka jūsu pasūtījums jeb konteiners jau ir uz kuģa. Ja nepieciešams, tiek noviltota arī fotogrāfija, kas to apliecina, pavadzīmes, dokumenti un bankas konts, kas visā tajā sarakstē liecina, ka tas ir tas mans partneris, ar ko es jau gadiem esmu strādājis vai mēnešiem. Bet bankas konts ir mainīts. Viss pārējais izskatās tāpat,” stāsta informācijas tehnoloģiju drošības incidentu novēršanas institūcijas Cert.lv vadītājas vietnieks Varis Teivāns.
Ja uzņēmuma pārstāvji vai grāmatveži to nepamana, tad naudu, protams, pārskaita. Kopā ar Valsts policiju “Cert” šogad ir apzinājuši vairākus desmitus šādu gadījumu. Tie zaudējumi, par kuriem ir zināms, kopumā pārsniedz 200 tūkstošus eiro. Ir arī virkne gadījumu, kad no lamatām izdevies izvairīties.
„Piemēram, vienā naftas tirdzniecības jeb tranzīta uzņēmumā bija šāds gadījums, kad viens pārskaitījums bija pusmiljons. Un to izdevās apturēt.”
Iepirktas kameras ar ievainojamību
Jaunus izaicinājumus rada arī tā dēvētais lietu internets. Spilgts piemērs ir videonovērošanas kameras, kuras iepirka kāda Latvijas valsts pakļautības iestāde. Iepirkumā iestāde iegādājās vairākus simtus kameru no Ķīnas ražotāja. Katra iekārta maksāja vairākus simtus eiro. Interneta kameru kvalitāte un galvenās funkcijas strādāja labi. Taču no drošības aspekta šīs kameras neizturēja nekādu kritiku.
„Ir konstatēts, ka ir virkne ievainojamību, kuras var izmantot attālināti pie noteikta scenārija. Respektīvi, kompromitēt to kameru, un uzbrucējs potenciāli spēj pārņemt savā vadībā šo ievainojamību dēļ.
Turklāt arī atradām, visticamāk, ražotāja speciāli ieliktu "backdoor", varētu teikt, ievainojamību, kas apzināti ir ielikta, lai varētu kādreiz pieslēgties, ja kādam tāda interese uzrodas, kas par šo ievainojamību zina,” atklāj Teivāns.
Vairāk nekā pusgadu strādājot ar Ķīnas “Cert” un izstrādātāju, ievainojamības novērsa. Varis Teivāns stāsta, kas notiktu, ja ievainojamības paliktu: „Sliktākais, ja iestādē iekšējā tīklā nebūtu padomāts par drošības aspektiem, tad varētu uzbrucējs caur kamerām nokļūt visā iestādes tīklā un kompromitēt iestādes datorus, varbūt arī tīkla infrastruktūru, pašas kameras, tātad novērošanas sistēmu kontrolēt. Iespējams, varētu veikt pretlikumīgas darbības fiziskā pasaulē, pateicoties tam, ka viņam ir kontrole IT vidē pār novērošanas sistēmu. Tās ir diezgan lielas iespējas kriminālām darbībām.”
IT drošība arī valsts uzņēmumos
Lai gan valsts iestādes sāk pievērst nopietnāku uzmanību IT drošībai, tas joprojām nav pietiekami. Cert.lv katru gadu veic vairākus simtus ielaušanās testu valsts iestāžu IT resursos. Pēdējo mēnešu laikā no aptuveni 120 pārbaudītajiem resursiem pusei bija kritiskas ievainojamības. Gandrīz visi testi veikti savlaicīgi vēl izstrādes vidēm.
„Un šajās izstrādes vidēs atrodot ievainojamības un tālāk koordinējot to novēršanu, izstrādātāji, iespējams, arī savas reputācijas sargāšanas vārdā mēģina noniecināt šīs ievainojamības, skaidrojot pasūtītājam, ka viss varētu būt pārspīlēts un nav tik traki. No tā mēs secinām, ka šī attieksme ir nepieciešama nopietnāka. Turklāt ir jācenšas ievērot labo praksi, kad mēs kā pasūtītājs ne tikai definējam drošības prasības, bet pēc tam tās arī pārbaudām,” saka Teivāns.
Tas jāparedz arī iepirkumā, viņš uzsver.
Tikai uz izpildītāju paļauties nedrīkstot. Atbildīgu ievainojamību atklāšanu valsts un pašvaldību iestāžu sistēmās vēlas veicināt ar likuma izmaiņām.
Ja problēmu atklāj trešā puse?
Līdz šim ir noteikts, kā rīkoties, ja ievainojamību atklāj pati iestāde vai “Cert”. „Un šobrīd mērķis ir papildināt likumdošanu ar to, ko tad darīt, ja ievainojamību atklāj trešā persona. Tas var būt drošības pētnieks, tas var būt kāds auditors, tas var būt nosacīti hakeris, tātad spektrs ir visai plašs,” saka Cert.lv vadītāja Baiba Kaškina.
Iecere paredz arī aizsardzību pētniekam, ja viņš ievērojis atbildīgas atklāšanas labo praksi.
„Viņam, pirmkārt, jānodrošina, ka ir log faili, kas norāda, ko viņš ir darījis, kā viņš ir darījis, lai varētu pierādīt, ka viņš nav pa starpu arī nokopējis vairāk datu, nekā stāsta, ka ir nokopējis. Un piekļūt šai nepilnībai vajag tikai minimālā apjomā, lai pierādītu, ka tā eksistē,” skaidro Kaškina.
Tad piecu dienu laikā par atklāto jāpaziņo Cert.lv. Šobrīd esot daudz gadījumu, kad pētnieki vēršas pie Cert.lv anonīmi. Tas esot tādēļ, ka likums viņus nekādā veidā neaizsargā. Ar pašreizējo regulējumu pretenziju gadījumā iestāde var vērsties arī policijā pret ievainojamības atklājēju. Pašreiz pētnieku neviens neaizsargā un viņu var notiesāt.
Taču Cert.lv pieredzē bija pozitīvi gadījumi, kad pētnieki atbildīgi atklāj ievainojamības: „Skaļākie gadījumi, kas, es domāju, bija diezgan pozitīvi izskanējuši, bija ievainojamība e-paraksta infrastruktūrā, kas tika atklāta pagājušā gada beigās un kas tika tiešām koordinēta, novērsta un pēc tam arī izziņota ar Cert.lv iesaisti un palīdzību.”
Tas bija pozitīvs piemērs, kur atbildīga ievainojamības atklāšana notika arī bez likumdošanas.
Taču, piemēram, Ilmāra Poikāna jeb Neo gadījums neesot bijusi atbildīga ievainojamības atklāšana.
Pirms dažiem gadiem viņš atklāja “caurumu” VID elektroniskajā sistēmā, dati no kuras tika publicēti.
„Viņš neinformēja iestādi par to, ko viņš ir atklājis, bet publicēja informāciju. Atbildīgas ievainojamību atklāšanas process likumā būtu precīzi aprakstīts un, ja pētnieks tam neseko, tad nekāda aizsardzība tur neiestājas,” norāda Kaškina.
Drīzumā šo priekšlikumu varētu skatīt arī valdībā.
