Clear 13.2 °C
P. 19.07
Digna, Jautrīte, Kamila
Kaut gan veiksmīgi kiberuzbrukumi ir reti un gadās, ka uzbrucēji trāpa ne sākotnējā mērķī, ikvienu šo gadījumu kiberuzbrucēji izmanto savu spalvu spodrināšanai un Latvijas iestāžu nomelnošanai.
Kaut gan veiksmīgi kiberuzbrukumi ir reti un gadās, ka uzbrucēji trāpa ne sākotnējā mērķī, ikvienu šo gadījumu kiberuzbrucēji izmanto savu spalvu spodrināšanai un Latvijas iestāžu nomelnošanai.
Foto: Karīna Miezāja / Latvijas Mediji

Uzbrukumi Latvijas lidostām, "Pasažieru vilcienam" un Rīgas domes Mājokļu un vides departamentam – tie ir tikai daži no kiberuzbrukumu piemēriem kopš Krievijas atkārtotā iebrukuma Ukrainā. 2022. gadā bija par 40% vairāk kiberuzbrukumu nekā 2021. gadā un valsts iestādēm uzbrukumu skaits dubultojās.

Reklāma

Tendence rāda, ka kiberuzbrukumu skaits turpina pieaugt arī 2023. gadā. Par laimi, valsts struktūru kiberaizsardzības sistēmas ar uzbrukumiem tiek galā labi.

Mērķēts arī pa Saeimu

Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas ("Cert.lv") vadītāja Baiba Kaškina jau aprīlī norādīja, ka kopš kara sākuma kiberuzbrukumi mērķēti pa 23 ES dalībvalstīm. No visiem kiberuzbrukumiem 22% virzīti Polijas virzienā, bet 16% – Latvijas virzienā, kas bijis otrs lielākais uzbrukumu skaits. Kaimiņiem Igaunijai un Lietuvai nācies tikt galā ar 8% visu kiberuzbrukumu. Savukārt "Microsoft" apkopojumā Latvija ierindojusies 4. vietā ar 4% no kopējā kiberuzbrukumu skaita.

Arī Latvijas Valsts radio un televīzijas centra valdes priekšsēdētājs Ģirts Ozols "Latvijas Avīzei" atklāja, ka pērnais gads bijis intensīvākais aizsardzības gads ne tikai LVRTC pakalpojumu vēsturē, bet visā Latvijas kibertelpā, turklāt nekas nav beidzies. Pērnvasar ilgstoši uzbrukts arī pašam LVRTC. "Šī gada pirmajos četros mēnešos pret LVRTC aizsargājamajiem resursiem ticis īstenots tāds apjoms DDoS (piekļuves atteices) uzbrukumu, kas ir vairāk nekā puse no visa pagājušā gada DDoS uzbrukumu skaita. Jāuzsver, ka janvārī vien notikušo DDoS uzbrukumu skaits sasniedza pagājušā gada trīs mēnešu vidējos rādītājus. 

Līdz jūlija vidum notikušo kiberuzbrukumu skaits sasniedzis jau 80% no pērn kopējā uzbrukumu skaita."

Jāpiebilst, ka, pēc "Cert.lv" datiem, šī gada 1. ceturksnī kopumā apdraudēti vairāk nekā 363 tūkstoši IP adrešu, kas ir vairāk nekā visā 2021. gadā kopā un trīsreiz vairāk nekā 2022. gada 1. ceturksnī. 2023. gada otrajā ceturksnī nākuši klāt vēl 335 tūkstoši apdraudējumu, tādējādi jau pusgadā apdraudējumu skaits krietni pārsniedzis visa 2022. gada rādītājus.

Savukārt "Tet" 2022. gadā konstatējis 4353 DDoS uzbrukumus sevis pārraudzītajiem servisiem, kas ir par 30% vairāk nekā gadu iepriekš. "Tet" valdes loceklis un galvenais tehnoloģiju direktors Dmitrijs Ņikitins norādīja, ka DDoS uzbrukumu skaits strauji pieaudzis tieši pēc šī gada 9. maija un viens no mērķiem bija CSDD. Tāpat apjomīgs uzbrukums augustā atvairīts Saeimai pēc tam, kad tā pasludināja Krieviju par terorismu atbalstošu valsti.

LVRTC pārraudzītajām sistēmām pērn katrs uzbrukums ilga vidēji 10 stundas, bet ilgākais uzbrukums bija 160 stundas. Šogad notikušais ilgākais uzbrukums pārsniedza pat divus mēnešus. Savukārt apjomīgākais uzbrukums bija 79 gigabitu sekundē (Gb/s). Visilgākie uzbrukumi pērn bija jūnijā un decembrī. Bet visapjomīgākie – augustā, novembrī un decembrī. Savukārt "Tet" atklāja, ka jaudīgākie uzbrukumi bija aprīlī (ar jaudu līdz 83 Gb/s) un augustā, kad izdevies apturēt 120 Gb/s jaudīgu uzbrukumu Saeimai. Skaitliski visvairāk uzbrukumu bija oktobra beigās un novembra sākumā.

Vervē gan brīvprātīgos, gan profesionālus hakerus

Kā "Latvijas Avīzei" pastāstīja "Cert.lv" kiberdrošības eksperts Gints Mālkalnietis, pēc kara sākuma īpaši pieaudzis jau minēto piekļuves atteices jeb DDoS uzbrukumu skaits, kas pirms tam bijis ļoti rets uzbrukumu veids un lielākoties vērsts finanšu institūciju virzienā vai kādu savstarpējo rēķinu kārtošanai jauniešu vidū, tostarp skolās un datorspēļu eksostēmā. Tieši tā – bieži vien varēja novērot situācijas, kad DDoS uzbrukuma autors esot kāds skolnieks no kādas ne pārāk atļautas interneta mājaslapas. Bet kopumā šis uzbrukumu veids bijis ļoti nepopulārs.

Reklāma
Reklāma

Paskaidrojot – piekļuves atteices uzbrukuma laikā tīkls tiek pārplūdināts ar milzīgu informācijas pieprasījumu skaitu, kas noslogo serverus un sistēmu, pa ko uzbrukums ir mērķēts, tādējādi palēninot sistēmu vai to pilnībā apturot. 

Parasti uzbrūk no vairākiem avotiem, bet kontrolēti, tādējādi panākot lielāku efektivitāti.

Ģirts Ozols stāsta, ka DDoS uzbrukumos šobrīd aktuāli ir t. s. "carpet bombing" tipa uzbrukumi, kad tiek uzbrukts nevis vienai sistēmai, bet gan visiem kāda uzņēmuma, valsts vai pašvaldības publiskajiem resursiem. Līdz ar to atvairīt tos ir grūtāk, nepieciešama lielāka aizsardzības sistēmu kapacitāte, un sistēmām ir jābūt savlaicīgi pieslēgtām pie aizsardzības pakalpojuma.

Kas mainījies kopš kara sākuma? Mālkalnietis skaidro, ka DDoS uzbrukumi ir samērā vienkārši veicami. Kara sākumā krievu vidū parādījās daudz ideoloģisko uzbrucēju, kuri pakļāvās Kremļa aģitācijai un propagandai dažādos Krievijas sociālajos tīklos un "Telegram" vietnē. Šajās vietnēs viņi aicināti bez maksas veikt uzbrukumus jau iepriekš sagatavotās lietotnēs. Tas ļāvis uzbrukumos piedalīties arī pavisam mazizglītotiem cilvēkiem, jo lietotnēs pietiek nospiest vienu pogu, viņiem nemaz nezinot, kad un kam uzbrukums domāts. 

Ļoti bieži uzbrukumus koordinēja, piemēram, "Killnet" grupa savos "Telegram" kanālos.

Starp citu, "Cert.lv" seko līdzi dažādiem kanāliem, kuros iespējams pirms laika uzzināt iespējamos uzbrukumus. Tas dažbrīd ļauj iestādes brīdināt par uzbrukumiem, kas tuvojas. "Visam sekojam līdzi, analizējam ļaunatūru paraugus, kas nonāk līdz mums. Mums ir savs sensoru tīkls, kas saņem datus par to, kādi uzbrukumi tiek veikti. Analizējam izpildbotu datu plūsmu un veicam daudz ko citu," norāda "Cert.lv" kiberdrošības eksperts.

Ne vienmēr uzņēmumi aizdomājas par kiberaizsardzību. "Cert.lv" kiberdrošības eksperts Gints Mālkalnietis atminas, ka pie "Cert.lv" vēršas uzņēmumi ar jau gataviem risinājumiem cerībā, ka institūcija pārbaudīs risinājuma drošību. "Tas ir pavisam ačgārni un nepareizi, par drošību ir jādomā pašā sākumā, nevis beigās. Kiberaizsardzība nav tas, kas jāpieskrūvē jau gatavam auto."

"Protams, sākumā ietekme no šiem brīvprātīgajiem uzbrukumu dalībniekiem bija pietiekami būtiska un viņi spēja pakalpojumus traucēt, bet iestādes un uzņēmēji veikli saprata, ka piekļuves atteices uzbrukumi ir aktualizējušies. Arī Aizsardzības ministrija organizēja valsts iestāžu resursu aizsardzību un centralizēti iepirka aizsardzību. Privātiem uzņēmējiem bija jāizvērtē riski un nepieciešamība aizsardzību ieviest. Reizēm uzbrukumi beidzās ātrāk, nekā spēja ieviest aizsardzības mehānismus, bet gada laikā visiem bija par šo jādomā. Kopumā uzbrukumu līmenis un skaits ir pavisam citā līmenī, nekā bija pirms kara, bet ietekme ir praktiski nebūtiska, jo ir iemācījušies tikt ar tiem galā. Bieži redzam, ka uzbrukumi izsludināti, bet iestādes nekādu ietekmi nav jutušas," stāsta "Cert.lv" eksperts.

Otrs uzbrucēju veids ir profesionāļi, ja tos tā var nosaukt, kuri uzbrukumus veic par maksu pēc kādu Krievijas dienestu, politisko spēku vai pat privātpersonu pieprasījumiem. Tieši šo "profesionāļu" veiktie uzbrukumi parasti ir bīstamākie, jo uzbrukumiem pieslēgti specifiski resursi. 

Tomēr lieli un efektīvi uzbrukumi ir reti, kas liek domāt, ka nauda šiem mērķiem ir beigusies.

Tomēr jebkurā gadījumā profesionālie hakeri uzdarbojas biežāk nekā pirms kara. Ģirts Ozols no LVRTC sacīja, ka tieši apmaksāto un politiski motivēto "kiberkareivju" skaits palielinājies un uzbrukumi ir centralizēti. Vēsturiski uzbrukumi tikuši realizēti kā nespecifiski un uz kvantitāti, nevis kvalitāti balstīti. Tagad uzbrukumi pielāgoti vairāk konkrētiem resursiem un to konkrētai funkcionalitātei. Tieši tāpēc šad tad iestāžu mājaslapās var nebūt pieejama kāda funkcija, piemēram, arhīvs, kalendārs vai meklētājs, kuri kādu iemeslu dēļ prasa serverim vairāk resursu un attiecīgi rada augsni uzbrukumiem.

Reklāma
Reklāma

Jāpiebilst, ka LVRTC ir viens no svarīgākajiem zobratiem valsts iestāžu kiberdrošībā. Uzņēmumam kopš 2015. gada uzticēta iestāžu kiberdrošības nodrošināšana.

Kopējais apdraudēto unikālo IP adrešu skaits 2021., 2022. un 2023. gadā.

 

Klibo izpēte

"Tet" valdes loceklis Ņikitins norāda, ka kiberuzbrucēju mērķis parasti ir testēt aizsardzības sistēmu noturību, kā arī spiegot un iegūt sensitīvus datus. Savukārt DDoS uzbrukumu kontekstā bieži vien var runāt arī par t. s. PR mērķiem, lai propagandas nolūkos lielītos ar to, ka spējuši ietekmēt Latvijas iestāžu un uzņēmumu interneta resursus.

Tomēr, kaut gan uzbrucēju mērķis lielākoties ir valsts institūciju mājaslapas un sistēmas, konkrēti ar politiskiem mērķiem, realitātē uzbrukumus virza dažādos virzienos, bieži vien pat bez skaidra mērķa un pienācīgas mērķa priekšizpētes. Minētais uzbrukums "Pasažieru vilcienam" pērn uz neilgu laiku apturēja biļešu tirdzniecību gan paša "PV" uzturētajās sistēmās, gan arī "Mobilly" lietotnē, tomēr uzbrukums radīja vien īslaicīgu apgrūtinājumu klientiem bez tālākām sekām. Arī pagājušajā nedēļā notikušais veiksmīgais uzbrukums Latvijas depozīta sistēmas uzturētājam neradīja problēmas stratēģiski svarīgām sistēmām, bet radīja apgrūtinājumu klientiem. Savukārt uzbrūkot vietnei "mvd.riga.lv", kas ir Rīgas domes Mājokļu un vides departamenta mājaslapa, uzbrucēji kļūdījās ar mērķi – savos sociālajos tīklos tie bija droši, ka uzbrukuši Latvijas Iekšlietu ministrijai. 

Tāpat uzbrucēji lielījušies, ka uzlauzuši Valsts prezidenta kanceleju, no kuras noplūdinājuši publiskos iepirkumus, taču tie visi tāpat ir pieejami publiskai apskatei.

Tomēr arī šādus uzbrukumus hakeru grupas izmanto, lai uzspodrinātu savas spalvas, kā arī celtu morāli. "Uzbrukumi mēdz būtu tīri psiholoģiski motivēti – ja izdodas kaut ko apgāzt, salauzt, tad var priecāties. Mazāk izglītotie to nezina, un viņiem liekas, ka viņu darbība nesusi rezultātu. Pavisam nesen DDoS uzbrukumi notika arī prezidenta vēlēšanu laikā, taču nekādas problēmas valsts iestāžu sistēmās novērotas netika. Uzbrukumi tika gaidīti Dziesmu un deju svētku laikā, taču svētkus acīmredzot pārtrumpoja Viļņā notiekošais NATO samits, kurš gan tika veiksmīgi traucēts. Acīmredzot tā uzbrucēju grupa nav tik liela, lai strādātu plašā frontē," norāda Gints Mālkalnietis.

LVRTC valdes priekšsēdētājs Ozols sacīja, ka atsevišķi grupējumi mēdz tēmēt uz konkrētiem valsts pārvaldes resursiem ar centieniem tajos rast ''vājos punktus'', lai padarītu tos nepieejamus. Kiberdraudu ziņā skaidri izkristalizējas šāda veida neleģitīmu aktīvistu detalizēta pieeja konkrētiem resursiem, balstoties uz to specifiku. Visbīstamākie uzbrukumi esot slāņotie uzbrukumi, kur sākotnējā specifika mēdz būt maldinoša. "Piemēram, aiz uzbrukuma, kurš ģenerē ļoti lielu nespecifisku datu pieplūdumu, mēdz slēpties skaitliski maz, bet tēmēti ielaušanās mēģinājumi ar mērķi gūt piekļuvi pie konkrētām sistēmām vai izgūt saistīto informāciju. Tādā veidā ar lielo ''troksni'' tiek mēģināts tikt cauri nepamanītiem un novērst uzmanību no uzbrukuma īstā mērķa, kas ir konkrētu ievainojamību precizēšana un "caurumu" izveide.

Runājot par slikto priekšizpēti, Ozols uzsvēra, ka uz to nedrīkst paļauties. "Lai arī cik šādu neinformētu atgadījumu varētu būt, joprojām ir jāsaglabā modrība, jo uzbrucējam mērķī ir jātrāpa tikai vienreiz, 

savukārt mums, pildot aizsardzības funkciju, ir vienmēr jāspēj būt soli priekšā un nodrošināt mūsu sargājamo resursu integritāti un pieejamību."

Ozols uzsvēra, ka veiksmīgos uzbrukumos priekšizpēte visbiežāk tiek veikta pat ļoti labi un, ja organizācija tam nav sagatavota, upuris pat ilgstoši var nezināt par to, ka tiek veiktas konkrētas darbības, lai piekļūtu resursam.

Reklāma
Reklāma

Kiberaizsardzība nedrīkst apstāties

Lielākais dažādu sistēmu ienaidnieks ir ievainojamību parādīšanās. Uzbrucējiem tās atrodot, var veikt tēmētus un efektīvus uzbrukumus. Tomēr gadās situācijas, kad kiberuzbrucēji īsti nezina, kā ievainojamību izmantot savā labā visefektīvāk. Gadās, ka pēc pirmā soļa speršanas atkārtoti uzbrukumi neseko. Taču uz to paļauties nevajadzētu, brīdina Mālkalnietis no "Cert.lv", norādot, ka vienmēr būs kāds gudrāks un saprātīgāks uzbrucējs, kas zina, pēc kā nāk.

Vitāli svarīgi uz ievainojamību parādīšanos reaģēt pēc iespējas ātrāk, lai šis ievainojamības perioda "logs" netiktu izmantots. "Varam izsūtīt brīdinājumus, ja zinām konkrētās versijas, izsūtām arī individuālus brīdinājumus, bet vislabāk ir sekot līdzi pašiem, mēs jūsu vietā neko labot nevaram. Bijuši gadījumi, kad jau ar gatavu produktu vēršas pie mums, aicinot mūs pārbaudīt drošību. Tas ir pavisam ačgārni un nepareizi, par drošību ir jādomā pašā sākumā, nevis beigās. 

Aizsardzība nav tas, kas jāpieskrūvē jau gatavam auto. Bet, ja viss ir sakārtots pareizi, tad atjauninājumi ir ātri uzliekami un nesāpīgi," 

stāsta "Cert.lv" eksperts.

Interesanti, ka ievainojamības parasti sistēmās paslēpušās jau no sākta gala, kad programmētāji tās uzrakstījuši un izveidojuši, nevis atklātas tehnoloģiju attīstības rezultātā. "Cilvēki mēdz kļūdīties, kaut ko rakstot. Katrā programmatūrā, ko veido kāds programmētājs, ir kļūdas. Var būt funkcionālas kļūdas, kad kaut kas nestrādā uzreiz, un var būt kļūdas, kurās nepareizi izmanto kādu metodi, kas teorētiski drošu procesu padara daudz nedrošāku. Viss strādā, bet nav vajadzīgās aizsardzības vai parametru pārbaudes. Ievainojamības laika gaitā kāds vienkārši pamana. Protams, var teorētiski izdomāt pavisam jaunu uzbrukuma metodi, kas pakļautu ievainojamībai vecās sistēmas. Tad tiešām ir daudz kas jāpārtaisa."

Mālkalnietis uzsver, ka programmas un sistēmas jāveido viegli uzturamas un atjaunināmas, jo drošības uzturēšana ir nebeidzams process. Diemžēl bieži vien gadās situācijas, kad mazākas iestādes vai uzņēmēji par aizsardzību nedomā, jo uzskata, ka viņi nevienam nav interesanti, tomēr Mālkalnietis atgādina, ka interneta vidē visi ir saistīti. "Uzbrucēji izmantos visas vājākās vietas, iestādes, organizācijas. 

Nevajag domāt, ka uzbrucēju mērķis vienmēr būs ministrijas lieluma iestāde. Varat būt viens mazs nišas spēlētājs, kas darbojas ar kādu specifisku sistēmu, bet kuru izmanto daudzi. 

Tādus mērķus ir iecienījuši, jo šie mazie domā, ka viņi nav interesanti uzbrucējiem. Realitātē viņi ir viens no soļiem, kas ļaus sasniegt galveno mērķi. Pat ja jūs neesat upuris, tad jūsu klients gan var būt upuris."

Kā aizsargājas?

Iestādes un uzņēmēji parasti dažādu veidu aizsardzību iepērk ārpakalpojumā, kas nodrošina aizsargātās datu plūsmas nonākšanu līdz serveriem arī tad, ja serveru noslodze palielinās. Tomēr ne visi zina, ka LVRTC, kas nodrošina kiberaizsardzības pakalpojumus pussimtam valsts iestāžu, 2023. gadā uzsāka kiberaizsardzības pakalpojumu sniegšanu arī komercuzņēmumiem. Turklāt LVRTC bez maksas nodrošina DDoS aizsardzību iestādēm un kapitālsabiedrībām, kuras ir iekļautas aizsargājamo resursu sarakstā. Svarīgi, ka iestādēm un uzņēmumiem pašiem jāinicē iekļūšana šajā sarakstā.

Papildus DDoS aizsardzībai LVRTC nodrošina vēl virkni citu kiberaizsardzības metožu, piemēram, padziļinātu kiberincidentu noteikšanas un novēršanas pakalpojumu, kā arī mākoņpakalpojumu drošības un pārvaldības pakalpojumu. 

LVRTC ir izstrādājis arī pikšķerēšanas uzbrukuma simulācijas pakalpojumu. Šobrīd pakalpojums ir bez maksas un primāri paredzēts valsts iestādēm un pašvaldībām.

Kopumā LVRTC pēdējos piecus gadus ik gadu investējis ap pusmiljonu eiro drošības risinājumu un pakalpojumu pilnveidei, bet tuvāko trīs gadu laikā iecerēts investēt vēl četrus miljonus.

Uzbrūk no Krievijas

Vairākums uzbrucēju neslēpj savas saites ar Krieviju vai tās sabiedrotajiem, tomēr ar katru gadu arvien vairāk uzbrucēju nākot arī no Ķīnas u. c. Austrumu zemēm. Tomēr apjomu un intereses ziņā Ķīnu ar Krieviju salīdzināt nevarot.

"Tās sistēmas, ko bieži saucam par valsts finansētiem datorvīrusiem vai atvasinājumiem, nav viendabīgas. Tās taisa tehniski specifiski sagatavoti cilvēki. Citas veido vai nu no brīvi pieejamiem rīkiem dažādu ļaunatūru izveidei, vai iekļauj komerciālas datorvīrusu komponentes, kas nopirktas tumšajā tīmeklī (angļu val. "dark web"), ko izmanto jau savām ļaunatūrām, lai gan citi izmanto to pašu komponenti kredītkaršu zādzībām. Tās komponentes iet kopā kā "Lego" klucīši," stāsta Mālkalnietis.

Atmaskots

Mediju atbalsta fonda ieguldījums no Latvijas valsts budžeta līdzekļiem. Par publikācijas saturu atbild "Latvijas Avīze".

Reklāma
Reklāma
Reklāma
PAR SVARĪGO
Reklāma