Kiberdrošības līmenis Latvijas pašvaldībās ir nepietiekams – vidēji divās no trim Latvijas pašvaldību interneta vietnēm ir augsti kiberdrošības riski, liecina biznesa konsultāciju uzņēmuma KPMG veiktais pašvaldību mājaslapu novērtējums.
“Veicot kiberdrošības novērtējumu 15 atšķirīga lieluma pašvaldību mājaslapām, konstatētas 227 dažādas nepilnības, kas liecina, ka neatkarīgi no pašvaldības lieluma un pieejamajiem finanšu un cilvēkresursiem visām mājaslapām ir ievainojamības, kas rada nopietnus kiberdrošības riskus.
Lai gan novērtējuma laikā dažām pašvaldību mājaslapām konstatētas četras vai piecas ievainojamības, atsevišķu pašvaldību vietnēs atklāto ievainojamību apjoms pārsniedzis pat 20. No kopējā skaita 6% veido augsta riska ievainojamības, kuras ir būtiski novērst nekavējoties, lai liegtu iespēju reālam uzbrucējam pārņemt kontroli pār mājaslapu vai padarīt resursu nepieejamu sabiedrībai. 46% ievainojamību raksturojamas kā vidēja līmeņa riski, un tādas atrodamas visu pārbaudīto pašvaldību vietnēs. Zīmīgi, ka, lai gan lielāko daļu jeb 48% atklāto ievainojamību var raksturot kā zema riska, eksperti norāda, ka vairākas zema vai vidēja riska līmeņa neatbilstības vienkopus var radīt augsta līmeņa risku.
Pārbaužu laikā atklāts, ka pietiktu pat ar viena datora jaudu, lai pārsniegtu informācijas pieprasījumu apjomu, ko mājaslapa spēj apstrādāt. Tas nozīmē, ka uzbrucējs viegli var padarīt pašvaldības resursu nepieejamu vai likt reālam lietotājam stundām ilgi gaidīt atbildi no sistēmas. Citas biežāk sastopamās ievainojamības saistītas ar nepietiekamu datu aizsardzību un nepilnībām autentifikācijas procesā.
Projektā tika veikta sociālās inženierijas uzbrukumu simulācija 162 darbinieku datoriem 15 dažādās pašvaldībās. Viņiem tika nosūtīts e-pasts ar kaitīgas vēstules pazīmēm, kurā tika lūgts “uzklikšķināt” uz e-pastā norādītās saites. Darbinieks tika uzrunāts vārdā, jo šī informācija ir brīvi pieejama pašvaldību mājaslapā. Sūtījums saturēja vairākas kaitīgas vēstules pazīmes: aizdomīgu sūtītāja adresi, parakstu un citas komponentes. Saturs tika izveidots tāds, lai darbinieks nepievērstu uzmanību vēstules detaļām un nospiestu uz pievienoto saiti. Uzbrucējam ir svarīgi likt lietotājam rīkoties, apiet organizācijas procedūras un instrukcijas vai ieinteresēt lietotāju ar saistošu piedāvājumu.
16% darbinieku, kuri piedalījās simulācijā, nepamanīja kaitīgās vēstules pazīmes un reāla uzbrukuma gadījumā būtu kļuvuši par uzbrucēja upuriem, 12% – uzklikšķināja uz pievienotās saites, bet 4% pat atbildēja sūtītājam. Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu sūtījumu. “Nav pilnīgi drošu sistēmu, bet ir sistēmas, kuras spēj efektīvi novērst risku un sniedz iespēju atvairīt uzbrukumu. Svarīgi apzināties, ka drošībai, īpaši digitālajā vidē, nav mērķa vai galapunkta, kas jāsasniedz. Tas ir process, kas regulāri jāpilnveido, un jādomā soli uz priekšu, lai mazinātu iespējamā uzbrukuma sekas. Domāt par drošību nekad nav par vēlu,” atgādina KPMG IT konsultāciju vadītājs Kaspars Iesalnieks.
“Dators ir tāds pats kā īstā dzīve. Tajā viens ir uzmanīgāks, cits ne,” saka Amatas pašvaldības izpilddirektors Māris Timermanis un pastāsta, ka grāmatvede saņēmusi e-pastu no viņa ar uzdevumu apmaksāt rēķinu. Viņa uzreiz piezvanījusi, tad dota ziņa datortīkla administratoram, viņš sazinājies tālāk ar speciālistiem, un sūtītājs bloķēts. “Pašvaldībā ir noteikta kārtība – izpilddirektors e-pastā nesūta rēķinus,” saka M.Timermanis, katram darbiniekam, kurš ikdienā strādā ar datoru, regulāri tiek atgādināts, ka nedrīkst atvērt aizdomīgus e-pastus. “Lai cik uzmanīgi būsim, vienmēr būs kāds, kuru izdosies apmuļķot. Ar kiberdrošību ir tāpat kā ar drošību uz ceļa. Visi zina, kā jābrauc, bet avārijas notiek. Kā policisti cīnās ar noziedzniekiem, tā augsti kvalificēti datoristi ar kiberuzbrukumiem. Ministrijas vērtējumam, ka pašvaldībās ir nekompetenti darbinieki, nav pamata. Tehnoloģijas attīstās, mums nepārtraukti jāmācās,” pārdomās dalās pašvaldības izpilddirektors un atgādina, ka katrs taču e-pastā saņem neskaitāmas reklāmas – vienu kāda ieinteresē, viņš atver, cits uzreiz izdzēš.
Amatas novada pašvaldības datortīklu administrators Dmitrijs Gormaļovs pauž pārliecību, ka pašvaldības datortīkli ir diezgan droši. Astoņu gadu laikā divreiz tie uzlauzti. Abas reizes to izdarījuši datorspeciālisti no Pakistānas – pašvaldības lapai virsū uzlika savu vēstījumu. “Stundas laikā viss tika atjaunots. Tas nebija nekas sarežģīts,” pastāsta D.Gormaļovs un uzsver, ka mājaslapas uzturēšanu veic ārpakalpojuma sniedzējs un regulāri tiek ieteikts, kas būtu jāuzlabo. “Mājaslapā nav personu datu, kurus varētu nozagt. Ļaundari var tikai sabojāt lapu,” atgādina datorsistēmas administrators.
Līgatnes novada domes priekšsēdētājs Ainārs Šteins uzsver, ka datortīkla administrators nepārtraukti seko, kas notiek tīklā. “Pašvaldībā ir veikts drošības audits. Darbinieki regulāri tiek instruēti gan par iespējamiem datorvīrusiem, gan citiem uzbrukumiem. Ja kāds sūtījums šķiet aizdomīgs, darbinieks uzreiz sazinās ar administratoru. Esam neliels kolektīvs, un visi ātri uzzina, ja ir kādas aizdomas. Ja arī kāds e-pasts šķiet aizdomīgs, labāk to drošības pēc nelasīt. Ja sūtītājam būs svarīgi, atsūtīs vēlreiz. Kurš gan nav saņēmis e-pastu, ka kļuvis miljonu mantinieks? Kāds arī to atver,” pastāsta A. Šteins un piebilst, ka viss atkarīgs no katra paša uzmanības. Domāt par drošību nekad nevar būt par daudz.
Komentāri