KPMG informēja, ka, veicot kiberdrošības novērtējumu 15 atšķirīga lieluma Latvijas pašvaldību mājaslapām, konstatētas 227 dažādas nepilnības. Tas liecinot, ka
neatkarīgi no pašvaldības lieluma un pieejamajiem finanšu un cilvēkresursiem visu pašvaldību mājaslapām ir ievainojamības, kas rada nopietnus kiberdrošības riskus.
Lai gan novērtējuma laikā dažām pašvaldību mājaslapām konstatētas 4 vai 5 ievainojamības, atsevišķu pašvaldību vietnēs atklāto ievainojamību apjoms pārsniedzis pat 20. No kopējā ievainojamību skaita 6% veido augsta riska ievainojamības, kuras ir būtiski novērst nekavējoties, lai liegtu iespēju reālam uzbrucējam pārņemt kontroli pār mājaslapu vai padarīt resursu nepieejamu sabiedrībai. 46% ievainojamību raksturojamas kā vidēja līmeņa riski, un tādas atrodamas visu pārbaudīto pašvaldību vietnēs.
„Tas nozīmē, ka ir ļoti liela iespēja pārņemt mājas lapas vadību, mainīt tajā informāciju, padarīt to nepieejamu ar ļoti vienkāršiem tehniskiem līdzekļiem. Visās pašvaldības tika identificētas vidēji vai viegla riska ievainojamības, kas arī rada risku datu drošībai, konfidencialitātei. Un šeit būtu arī jāuzsver arī tas, ka, ja mēs apvienojam vairākas zema līmeņa ievainojamības ar vidējām, tas var radīt augsta riska ievainojamības,” norāda KPMG konsultāciju vadītājs Kaspars Iesalnieks.
Zīmīgi esot tas, ka, lai gan lielāko daļu jeb 48% atklāto ievainojamību var raksturot kā zema riska ievainojamības, eksperti norāda, ka šāda tendence joprojām ir satraucoša. Vairākas zema vai vidēja riska līmeņa neatbilstības vienkopus var radīt augsta līmeņa risku.
Skaidro KPMG konsultāciju vadītājs: “Un šeit būtu jāuzsver arī tas – ja mēs apvienojam vairākas zema līmeņa ievainojamības ar vidējām, tas var radīt augsta riska ievainojamības. Līdz ar to tas jāskata kopumā. Diemžēl neviena no pašvaldību mājaslapām nebija pietiekami kiberdroša.
Drošības līmenis ir nepietiekams neatkarīgi no pašvaldības lieluma, darbinieku skaita vai finansējuma.”
Apkopojot novērtējuma rezultātus, secināts, ka lielākoties Latvijas pašvaldību tīmekļu vietnēs nepilnības saistās ar neatbilstošu lapu konfigurāciju jeb iestatījumiem – šādas problēmas konstatētas vairumā pārbaudīto pašvaldību mājaslapu. Pārbaužu laikā atklāts, ka pietiktu pat ar viena datora jaudu, lai pārsniegtu informācijas pieprasījumu apjomu, ko mājaslapa spēj apstrādāt.
Tas nozīmē, ka uzbrucējs viegli var padarīt pašvaldības resursu nepieejamu vai likt reālam lietotājam stundām ilgi gaidīt atbildi no sistēmas.
Citas biežāk sastopamās ievainojamības saistītas ar nepietiekamu datu aizsardzību un nepilnībām autentifikācijas procesā.
Arī Pašvaldību savienības vadītājs Gints Kaminskis uzsver, ka pašvaldību mājaslapu drošība ir kļuvusi nozīmīga. Tajās glabājās daudz un dažāda informācija, var būt arī sensitīvi dati. „Tie ir gana nopietni informācijas nesēji un tas vairs neaprobežojas ar vienu bildīti vai skaistu skatu no konkrētas vietas. Tie ir arī normatīvie akti, tie ir deputāti, gan struktūra, gan dokumenti, kas ir pieņemti, gan dokumentu arhīvs,” saka Kaminskis.
Vēl viens būtisks aspekts, kurā vērojama nepietiekama aizsardzība pret kiberdraudiem un kas raksturīgs gandrīz visām pašvaldībām, ir darbinieku informētība un izpratne kiberhigiēnas jautājumos. Projektā veikta sociālās inženierijas uzbrukuma simulācija 162 pašvaldību darbiniekiem, nosūtot e-pastu ar kaitīgas vēstules pazīmēm, kurā tika lūgts uzklikšķināt uz e-pastā norādītās saites. 16% darbinieku, kas piedalījās simulācijā, šīs pazīmes nepamanīja un reāla uzbrukuma gadījumā potenciāli būtu kļuvuši par uzbrucēja upuriem. 12% simulācijas dalībnieku uzklikšķināja uz pievienotās saites, bet 4% pat atbildēja sūtītājam.
Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem organizācijas atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu vēstuli.
"KPMG" IT konsultāciju vadītājs Kaspars Iesalnieks norāda, ka zināšanas par kiberdrošību var viegli uzlabot, regulāri organizējot praktiskas apmācības. Tāpat iespējams mazināt kiberriskus pašvaldībās, veicot efektīvu IT resursu pārvaldību, sekojot līdzi atjauninājumiem un veicot regulāras kiberdrošības pārbaudes.
