2019. gads Latvijā no kibedrošības skatpunkta
2019. gads Latvijā kibervidē kopumā pagājis salīdzinoši mierīgi, lielu un postošu incidentu ar būtiskām sekām valsts mērogā nav bijis. Tomēr vidēji un mazi incidenti ir notikuši un notiek visu laiku, traucējot interneta lietotāju mieru un pārbaudot modrību. Īpaši pamanāmas un plašu rezonansi arī medijos izraisījušas dažādas krāpnieciska rakstura kampaņas, kas periodiski “uzliesmojušas” visa gada garumā. Pie tādām pieskaitāmas, piemēram, uz SMART-ID lietotājiem orientētās kampaņas, kā arī krāpšana interneta vidē, pārliecinot lietotājus iesaistīties viltus kriptovalūtu biržās ar “ātru” peļņu, vai ievilināšana viltus interneta veikalos ar pārāk labiem piedāvājumiem, lai tā būtu patiesība.
No šīm tendencēm iespējams secināt, ka Latvijas interneta lietotāja pirktspēja pieaug, līdz ar to arī uzbrucējiem un krāpniekiem interneta vidē kļūstam arvien interesantāki un tie velta laiku ticamākai uzrunāšanai un teksta sagatavošanai arī Latviešu valodā.
2018. gada beigās CERT.LV prognozēja vairākas tendences, kas varētu būt aktuālas kibervidē 2019. gadā. Noslēdzot aizejošo gadu, vēlamies atskatīties uz šīm prognozēm – vai un kādā mērā tās ir piepildījušās?
Vai piepildījušās 2019. gada kiber-prognozes?
Autentifikācijas risinājumi: piepildījusies prognoze par drošāku autentifikācijas mehānismu ieviešanu, piemēram, divfaktoru autentifikācijas (SMART-ID, kodu kalkulatoru) plašāku izmantošanu, bankām atsakoties no mazāk drošajām kodu kartēm. Diemžēl jaunu drošības risinājumu, tāpat kā jebkuru jaunu tehnoloģiju ienākšana mūsu ikdienā, nesa līdzi arī jaunus izaicinājumus. Autentifikācijas risinājumu gadījumā šie izaicinājumi bija saistīti ar nepietiekamu lietotāju izpratni par to darbības pamatprincipiem. Tas, diemžēl, atspoguļojās arī jaunās krāpnieciska rakstura kampaņās, kas šo lietotāju pieredzes un zināšanu trūkumu centās izmantot savā labā.
Šādas uz SMART-ID lietotājiem orientētas pikšķerēšanas kampaņas lielā apjomā tika novērotas 2019. gada vasaras beigās un rudens sākumā. Intensīvākajā posmā ik nedēļu bija vērojama jaunas kampaņas parādīšanās. Krāpnieki izmantoja gan e-pastus, gan īsziņas, kurās, uzdodoties par banku, aicināja lietotājus atjaunotu savus datus vai pārliecināties par sava konta drošību, sekojot krāpnieciskai saitei un ievadot savu konta piekļuves informāciju. Tika veikti arī krāpnieciski telefona zvani un lietotājs aicināts telefoniski sniegt šo informāciju. Taču jāatceras, ka bankas nekad neuzrunā klientus šādā veidā un nelūdz atklāt sensitīvus datus. Arī jebkura nepieciešamība nosaukt vai ievadīt vairākus drošības kodus, ja vien tobrīd neveicat apzinātu pirkumu, jāuztver piesardzīgi, jo iespējams, ka tādejādi izpildāt krāpnieku organizētu pārskaitījumu no sava konta.
Fiksēti arī veiksmīgi divfaktoru apiešanas gadījumi, piemēram, Office 365 autentifikācijai, aktivizējot autentifikācijas mehānismu brīdī, kad lietotājs pievērš procesam maz uzmanības, piemēram, naktī, un neiedziļinoties veic telefonā atsūtītā pieprasījuma apstiprināšanu, tādejādi sniedzot piekļuvi savam kontam kādam, kurš to ir neatļauti pieprasījis.
Personalizēti un labāk pielāgoti kiberuzbrukumi: 2018. gada beigās prognozējām un 2019. gadā to arī novērojām, ka uzbrukumi un kampaņas kļūs pārdomātākas, rafinētākas un uzbrucēji meklē aizvien jaunus ceļus, kā veiksmīgāk realizēt uzbrukumus un kā sasniegt pēc iespējas lielāku auditoriju.
Kā piemērs minams, krāpnieku centieni apiet vai izmantot nepilnības sociālā tīkla Facebook un Google meklētāja reklamēšanās nosacījumos, manipulējot ar lietotāju uzticību saturam (arī reklāmām), ko viņi redz leģitīmās, uzticamās vietnēs (Facebook, Google). Facebook šādā veidā tika reklamētas investīcijas kriptovalūtā. Lai apietu sociālā tīkla filtru (reklāmdevējam jāsaņem speciāla atļauja), krāpnieki reklamēja viltus ziņas fiktīvos ziņu portālos, kuros sabiedrībā pazīstamas personas it kā iesaka investīcijas kriptovalūtā. Savukārt Google meklēšanas rezultātu augšgalā, apsteidzot oriģinālo vietni, nonāca krāpnieciska vietne, kas veiksmīgi pārdeva fiktīvas Latvijas Nacionālās operas un baleta izrāžu biļetes, pie kam par augstāku cenu.
Kā pēdējo divu gadu laikā ticis novērots, šādos pielāgotos un personalizētos uzbrukumos (iejaukšanās biznesa sarakstē; e-pasti grāmatvedēm uzņēmuma vadītāja vārdā utt.) aizvien biežāk cieš tieši mazie un vidējie uzņēmumi (MVU). To vidū bieži izplatīts maldīgs pieņēmums, ka koksnes ražošanā vai lauksaimniecībā nav iesaistītas informācijas tehnoloģijas, līdz brīdim, kad tiek kompromitēta e-pastu sarakste vai nošifrēts grāmatvedības dators. Šos uzskatus varētu skaidrot ar nepietiekamu izpratni par informācijas tehnoloģiju nozīmi uzņēmuma vai organizācijas darbībā, un neskaidrību, kādus datus un kā sargāt.
Lai mazinātu upuru skaitu MVU vidū 2019. gadā CERT.LV sadarbībā ar NIC.LV un Latvijas Tirdzniecības un rūpniecības kameru organizēja izglītojošus seminārus par kiberdrošību, un plāno šos seminārus turpināt arī 2020.gadā.
Ko gaidīt 2020. gadā?
Centieni kompromitēt lietotāju sistēmas kļūs dārgāki, laikietilpīgāki un samērā mazefektīvāki, salīdzinot ar sociālās inženierijas paņēmieniem, jo IT sistēmu tehniskais drošības līmenis turpinās strauji attīstīties.
Abstrakti izsakoties, - kādēļ gan tērēt resursus un laiku, organizējot sarežģītas operācijas, lai ielauztos labāk apsargātajā bankā valstī, tā vietā, lai vienkārši izmantotu cilvēka dabas īpatnības – bailes, kaunu, vai slinkumu. Piemēram, izsūtot tūkstošiem e-pastu, kuros apgalvots, ka ļaundaris ielauzies lietotāja datorā un nofilmējis upuri apmeklējam pieaugušajiem domātās vietnes. Rezultātā iegūtais mantiskais laupījums, iespējams, ir tāds pats kā aplaupot banku, tikai ar mazākiem ieguldījumiem. Tādēļ uzbrucēji turpinās mēģināt pārliecināt lietotājus steigā pieņemt nepārdomātus lēmumus, piemēram, piedalīties kārdinošās loterijās vai ievadīt sensitīvus piekļuves datus dažādām sistēmām utt.
Papildu sociālajai inženierijai, noziedznieku “saldais ēdiens” arī turpmāk būs kiberhigiēnas neievērošana, piemēram, vienas un tās pašas vai pārāk vienkāršas paroles izmantošana, kā arī labās prakses ignorēšana iekārtu konfigurēšanā, piemēram, ražotāja noklusējuma paroles nenomainīšana, pieslēdzot viedierīci mājas vai korporatīvajam tīklam.
Šajā situācijā lietotāju un darbinieku izglītošanai ir kritiska nozīme, jo tikai izglītoti un zinoši lietotāji spēs pamanīt un atpazīt uzbrukuma mēģinājumu, kā arī nepieļaut tā veiksmīgu realizēšanu.
Arvien vairāk uzmanības uzbrucēji pievērsīs IoT (lietu interneta) iekārtām, jeb visām mazajām atsevišķas atbalsta funkciju veicošajām iekārtām, piemēram, viedajām spuldzītēm, durvju zvaniem, termostatiem, mājas mīluļu barošanas ierīcēm, kuras lietotāji vieglprātīgi pieslēdz internetam un kuru ražotāju ieviestie drošības standarti neatbilst drošības izaicinājumiem interneta vidē.
Saistībā ar drošības standartiem ražotājiem - vērojama iniciatīva gan no Eiropas Komisijas puses, kas 2019. gada vidū nāca klajā ar uzsaukumu Kiberdrošības sertifikācijas darba grupas (Stakeholder Cybersecurity Certification Group (SCCG)) izveidei [1], kā arī 2019. gada beigās ar pilotprojektu lietu interneta iekārtu (IoT) sertifikācijas shēmai nāca klajā nozares pārstāvju apvienība EUROSMART [2], un ieteikumus IoT sertifikācijai publicēja arī nozares pārstāvju apvienība Digitaleurope [3].
Attēls: Pixabay.com
1 - https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-certification-framework
2 - https://www.eurosmart.com/eurosmart-iot-certification-scheme/
3 - https://www.digitaleurope.org/resources/defining-the-way-forward-for-iot-security-and-certification-schemes/
CERT.LV - Informācijas tehnoloģiju drošības incidentu novēršanas institūcija Latvijā, dibināta 2006.gadā, ir „Latvijas Universitātes Matemātikas un informātikas institūta” (LU MII) struktūrvienība, kas darbojas Latvijas Republikas Aizsardzības ministrijas pakļautībā IT drošības likuma ietvaros. CERT.LV misija ir veicināt informācijas tehnoloģiju drošību Latvijā.
Kopš 2018.gada CERT.LV ir atbildīga par projekta „Latvijas kiberdrošības spēju uzlabošana” (INEA/CEF/ICT/A2017/1528784) īstenošanu Latvijā. Projekts tiek līdzfinansēts no Eiropas Savienības Eiropas infrastruktūras savienošanas instrumenta.