IT drošības seminārs "Esi drošs" martā
Datums: 2022. gada 24.marts
Laiks: 13.00 – 17:00
Vieta: TIEŠRAIDĒ
Mērķauditorija: Valsts un pašvaldību iestāžu atbildīgās personas par IT drošību, pamatpakalpojumu sniedzēji, digitālo pakalpojumu sniedzēji, kā arī citi interesenti, kuri darbojas IT drošības jomā.
Darba valoda: latviešu
Programma:
1. Semināra atklāšana - Baiba Kaškina, CERT.LV
2. Kiberdrošības aktualitātes ģeopolitiskā saspīlējuma apstākļos - Varis Teivāns, CERT.LV
3. Valsts un pašvaldību vietņu ievainojamību ziņošana - Sanita Vītola, CERT.LV
4. Zero Trust Framework modeļa ieviešana un izmantošana - Jānis Giniborgs, Aigars Jaundālders, dots.
5. Droša autentifikācija. Smart-ID. - Sanita Meijere, SK ID Solutions AS Latvijas filiāle
6. Kritisko sistēmu lietotāju riski - Arvis Berkolds, Tet drošības risinājumu konsultants
7. Piegāžu ķēžu uzbrukumi - Andrejs Konstantinovs, CERT.LV
8. CERT.LV statistika par iedzīvotāju paradumiem internetā - Madara Krutova, CERT.LV
1. Semināra atklāšana - Baiba Kaškina, CERT.LV (PDF)
2. Kiberdrošības aktualitātes ģeopolitiskā saspīlējuma apstākļos - Varis Teivāns, CERT.LV (PDF)
Atbildes uz semināra laikā uzdotajiem bet neatbildētajiem jautājumiem:
2.1. Es baidos, ka uzbrukumi tiek sagatavoti slepenā režīmā, izmantojot e-pasta sarakstus, ko izveidojuši, piemēram, NVO. Kāda ir jūsu pieeja, lai novērstu šādus riskus proaktīvi?
Jāpārbauda servisi, kas Jūsu infrastruktūrā ir pieejami no interneta. Šim mēķim varat izmantot, piemēram, https://www.shodan.io/, un tad attiecīgi izvērtējiet, vai tas tiešām ir nepieciešams. Bieži vien attālinātā darba nolūkiem ir atvērts RDP (Remote Desktop Protocol) uz visu internetu. Ja darbinieki ir no Latvijas, tad noteikti varat ierobežot piekļuvi tikai no Latvijas IP adrešu apgabaliem, vai vēl labāk, nodrošiniet piekļuvi tikai caur VPN.
Pārbaudīt uzņēmuma/organizācijas mājaslapu:
1.) kādi darbinieku e-pasti tajā ir pieejami; ja ir, tad maksimāli šo sarakstu minimizēt;
2.) regulāri veikt mājaslapas CMS un tās spraudņu (plugins) atjaunināšanu.
Lietot vairāku faktoru autentifikāciju visur, kur vien tas iespējams, kā arī paroles vismaz 14 simbolus garas un unikālas.
Pieteikties paziņojumu saņemšanai par Jūsu domēnu gadījumā, ja kāda no Jūsu domēna e-pasta adresēm pārādās publiski zināmā datu noplūdē: https://haveibeenpwned.com/DomainSearch
2.2. Kas ir GIT repozitoriji?
Platforma programmu koda un failu izmaiņu vadībai koplietošanas vajadzībām: https://en.wikipedia.org/wiki/Git
2.3. Ko darīt tiem, kam MS Office macros ir pamatoti izmantots darba vajadzībām? Izolēt?
Izmantot digitāli parakstītus dokumentus ar macros: https://docs.microsoft.com/en-us/office/troubleshoot/excel/digital-signatures-code-signing
2.4. Sakiet, lūdzu, vai un kas būtu jādara, lai iegūtu pārliecību par atvērtā koda lietojumprogrammu drošumu. Piemēram, 7zip.
Programmu atvērto kodu ir iespējams auditēt un pārbaudīt. Protams, adekvāta rezultāta iegūšanai pārbaudes jāveic personai ar pietiekošu kvalifikāciju. Tāpat aicinām sekot līdzi attiecīgajā programmatūrā atklātajām ievainojamībām un to ietekmei, piemēram, https://www.cvedetails.com
2.5. Tas lix atjauninās …grūti šo sarakstu apstrādāt automātiski, piem., ar mkt (mikrotik) skriptiem!
Iesakām lietot failus, kas lejuplādējami https://www.nic.lv/lix: "local.net", "local_ipv6.net.", sākot no ######ACCT. PART######" uz leju.
Par nepieciešamajām izmaiņām un ieteikumiem, rakstīt gix@nic.lv.
RIPE NCC saraksts pieejams šeit: https://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
2.6. Paši izmantojam DNS ugunsmūri, jautājums, kā varam darīt ar filiālēm citās Baltijas valstīs, lai nebūtu liela aizkave dns pieprasījumu apstrādei. Vai LT un EE ir līdzīgi pakalpojumi?
Par pakalpojumu pieejamību un izmantošanas nosacījumiem Lietuvā un Igaunijā aicinām sazināties ar attiecīgo valstu CERTiem.
2.7. https://glv-ix.lv/customer/details. Redzu, ka CERT.LV ir viens no lietotājiem. Vai kāds var nokomentēt šīs iniciatīvas ieviešanas nepieciešamību gala lietotājam iestādei?
GLV-IX var pieslēgties organizācijas, kas uztur Border Gateway Protocol maršrutēšanu ar savu autonomo sistēmu (AS). Gala lietotājs būs pieslēgts caur Elektronisko sakaru komersantu (ESK) vai organizāciju, kas uztur savu AS.
Pieslēdzoties GLV-IX galvenie ieguvumi ir :
- lokālās datu plūsmas apmaiņa starp GLV-IX dalībniekiem Latvijas robežās, uzlabojot datu plūsmas tehniskos parametrus, piemēram, aizturi;
- pieslēgumi GLV-IX daļēji rezervē tradicionālos pieslēgumus ESK, nodrošinot datu apmaiņu ar visiem GLV-IX dalībniekiem, ja pieslēgums ESK nestrādā;
- iespēja pasargāties no datu plūsmas iziešanas ārpus Latvijas robežām;
- Latvija tiek padarīta par pašpietiekamu tīklu ārēju apdraudēju gadījumā .
Papildu informācija pieejama šeit: https://glv-ix.lv/public-content/about
3. Valsts un pašvaldību vietņu ievainojamību ziņošana - Sanita Vītola, CERT.LV (PDF)
Atbildes uz semināra laikā uzdotajiem bet neatbildētajiem jautājumiem:
3.1. Vai varam runāt par ievainojamību atklāšanu, ja par mēģinājumu atklāt ievainojamības draud kriminālatbildība?
Ar ievainojamību atklāšanas procesa ieviešanu valsts pārvaldē virzīsimies uz visu iesaistīto pušu labāku izpratni, kas ir un kas nav atļauts, un kā jāsadarbojas, lai nerastos pārpratumi un konfliktsituācijas.
Kā norādīts informatīvajā ziņojumā - koordinētas ievainojamību atklāšanas procesā (KIAP) netiek plānots attaisnot rīcību, kas radījusi būtisku kaitējumu vai smagas sekas, par ko paredzēta atbildība Krimināllikuma 241. pantā par patvaļīgu piekļūšanu automatizētai datu apstrādes sistēmai vai 243. pantā par automatizētas datu apstrādes sistēmas darbības traucēšanu un nelikumīgu rīcību ar šajā sistēmā iekļauto informāciju.
Ar KIAP ieviešanu paredzam, ka programmā iekļautajiem testējamajiem resursiem būs precīzi noteikti principi piekļūšanai un tas, kādas darbības atļauts veikt. Nodarīta kaitējuma gadījumā joprojām ir iespējams celt apsūdzību pret kiberdrošības pētnieku.
3.2. Kā nodrošināt vispārējo lietotāju rakstīto incidentu ziņošanas kvalitāti?
KIAP ietvaros plānojam izveidot piemēru, kā noformēt incidenta ziņojumu.
Ziņošanas kvalitāti var uzlabot, sadarbojoties un ziņojuma saņēmējam ar ziņotāju pārrunājot, kāda informācija papildus ziņotajam būtu nepieciešama.
3.3. Vai jūs plānojat taksonomijas normalizāciju ar citu valstu CERTiem?
NIS2 direktīvas piedāvājums paredz, ka CERTiem būs jāizmanto vienotu koordinētas ievainojamību atklāšanas taksonomiju (Art 10(4) (c)), ko arī plānojam izmantot pēc NIS2 apstiprināšanas.
3.4. Vai KIAP kaut kā paredzēts iesaistīt mācību iestādes, kurām ievainojamību meklēšana sistēmās varētu būt interesanta kā mācību procesa daļa?
KIAP nav plānots kā atsevišķi nodalīt tieši mācību iestādes, tomēr nebūs nekāda ierobežojuma piedalīties arī šīm iestādēm.
Saraksts ar resursiem, kurus atļauts testēt, varētu veicināt studentu/pētnieku iesaisti, kā arī mazināt nepieciešamo laiku, lai atrastu vidi, kur savas iegūtās zināšanas pārbaudīt praksē.
3.5. Vai būs kādas CERT.LV vadlīnijas par ievainojamību atklāšanas metodēm, atklājēja sertifikāciju veikt ievainojamību atklāšanu, ziņojuma struktūru?
Tiek plānotas CERT.LV vadlīnijas par ziņošanas procesa organizēšanu un ziņojuma struktūru. Vadlīnijas plānojam papildināt pēc nepieciešamības.
Atklājēju sertificēšana nav plānota. Nākotnē ir iecere veidot ievainojamību ziņotāju reitingu (pozitīvās sadarbības un ziņojuma kvalitātes novērtējums).
4. Zero Trust Framework modeļa ieviešana un izmantošana - Jānis Giniborgs, Aigars Jaundālders, dots. (PDF)
Labojums - video materiāla noslēgumā redzamajam linkam jābūt ej.uz/MK_442
Atbildes uz semināra laikā uzdotajiem bet neatbildētajiem jautājumiem:
4.1. Zero trust ieviešana prasītu izmaiņas daudzās politikās, kā uzņēmumiem tam sagatavoties, jo vecajām politikām būtu vēl jāstrādā.
Ņemot vērā tvērumu, Zero trust ieviešana nebūs viena projekta ietvaros veicama un līdz ar to process būs pakāpenisks.
4.2. Sanāk, ka optimālā risinājumā, kur tehniskās pieejas automātiski piešķir HR sistēma, atliek tikai iekļūt šai vidē, izveidot jaunu "darbinieku", un faktiski "visas durvis tiks atvērtas automātiski"? Kā tiek nodrošināti šādi riski?
Riski tiek nosegti ar atbilstošām kontrolēm personāla uzskaites vidē. Jebkurš lieks darbinieks nozīmē, ka tam ir jāmaksā alga un pret šādiem viltus darbiniekiem ir dažādas kontroles.
4.3. Vai klients vidējais ir gana kompetents, lai adekvāti novērtētu savu kiberdrošības briedumu?
Brieduma modelis prasa pārzināt kiberdrošības pārvaldību. Ja šādu kompetenču nav, tad jāmeklē konsultantu palīdzība.
4.4. "liela daļa trafika ir šifrēta, (nevar antivīrusu kontroli veikt centralizēti)". Vai tiešām ir būtiska daļa datu plūsmas, kas notiek vispār nešifrēti?
Joprojām sistēmas mēdz būt konfigurētas tā, ka jebkādu problēmu gadījumā ar šifrēta kanāla izveidi, notiek pārslēgšanās uz nešifrētu. Uz lietotāju tīkla trafiku tas attiecas mazāk, bet starpsistēmu savienojumos (piemēram, e-pasta serveri) var būt sastopams biežāk.
4.5. Iekštīkls - ja tagad daudzi strādā no mobilajām ierīcēm attālināti - nekāda iekštīkla koncepcija vairs nestrādā.
Tieši tāpēc ir jāsaprot, kur tērēt drošības resursus. Nav vērts ieguldīt lielus līdzekļus perimetra aizsardzībā, ja tas jau tiek apiets dažādos veidos. Jāsargā konkrēti ieejas punkti - datu centri, aplikāciju pieejas, lietotāju gala iekārtas. Un jānodrošina, ka šeit nepastāv "sētas durvis".
5. Droša autentifikācija. Smart-ID. - Sanita Meijere, SK ID Solutions AS Latvijas filiāle (PPT)
Atbildes uz semināra laikā uzdotajiem bet neatbildētajiem jautājumiem:
5.1. Iepriekš ilgu laiku nebija iespējams pieslēgt pie Smart-ID viena konta vairākas bankas, vai arī vienas bankas vairākus kontus. Vai tas šobrīd ir iespējams?
Ja ir kvalificētais (baltais) Smart-ID, tad ar to var tikt jebkurā bankā, kura atbalsta piekļuvi ar Smart-ID un kuras klients Jūs esat. T.p. attiecas uz vairākiem kontiem. Ar Basic ir ierobežota piekļuve, jo katrai bankai jāpārliecinās par Jūsu identitāti klātienē, jo šajā gadījumā atbildība gulstas uz banku. Tāpēc vienmēr vieglāk sekot prezentācijā esošajā saitē video pamācībai, kā veikt konta maiņu uz kvalificēto kontu (nav jādodas uz banku, attālināts process, aizņem max pāris minūtes).
5.2. Vai ir paredzēts, ka ar Smart-ID varēs nākotnē autorizēties tik pat drošā pakāpē kā ar eParaksts mobile, lai varētu elektroniski parakstīt dokumentus?
Jau tagad tas tā ir. Smart-ID ir kvalificēts elektroniskais paraksts, tas ir jāpieņem visām Eiropas Savienības valsts un pašvaldību iestādēm un tiesām utt.
5.3. SMART ID ir forši. Kāpēc bankas prasa arī personas kodu ievadīt autorizācijai?
Papildus drošībai, lai aizsargātu Jūsu naudu pikšķerēšanas uzbrukuma gadījumā.
5.4. Kāda ir SMART ID servisa garantētā piekļuve?
Ja ir domāta pakalpojuma pieejamība (availability / uptime), tad jā – 99%.
5.5. Vai ir pareizi Latvijas valsts institūcijām implementēt Igaunijas privāta kantora izveidotu risinājumu, ja Latvijā ir pieejams valsts elektroniskā paraksta risinājums?
Tā ir katras iestādes brīva izvēle. Šis risinājums ir atzīts visā Eiropas Savienībā no sertificētu auditoru puses un ļauj apkalpot attālināti 5x vairāk iedzīvotāju. Tad jautājums, kāpēc tiek izmantota Google vai Facebook autentifikācija…
5.6. Kādēļ SMART ID nav iespējams lietot CITADELE bankā Latvijā?
Citadele vēlas, lai tiek izmantots viņu risinājums, jo uzskata to par ekonomiski sev izdevīgāku.
5.7. Jautājums par izmaksu salīdzinājumu ar lvrtc eparakstu, cik tas ir dārgāks vai lētāks par to, kas par to maksā un cik? Kādām sistēmām Smart-ID var un t.sk. kurām sistēmām nevar pieslēgt kā otro autentifikācijas faktoru?
Smart-ID tiek pieslēgts caur API, var tikt izmantots jebkurai sistēmai, kur potenciālais klients veic integrāciju. Maksā pakalpojuma sniedzējs, piemēram, banka maksā par bankas klienta Smart-ID transakcijām. Izmaksas atkarīgs no transakciju apjoma. Diemžēl mums nav informācijas par LVRTC cenu politiku, tādēļ nevaram salīdzināt. Katrs gadījums tiek izskatīts individuāli. Īpašās cenu kategorijas ir medicīnas un izglītības iestādēm.
5.8. Kādas jaunas Smart-ID iespējas varam sagaidīt tuvākajā laikā?
Attālināta konta izveide nepilngadīgajiem, Smart-ID ārpus Baltijas.
5.9. Kādi pasākumi ir paredzēti, lai uzlabotu Smart-ID pakalpojuma stabilitāti? Joprojām ir pieejamības incidenti ar lielu ietekmi uz lielu lietotāju skaitu.
Incidenti ir ļoti reti un pieejamība gada ietvaros ir 99%. Tad, kad notiek incidenti, visi to pamana, jo pakalpojumu ik dienu lieto vairāk nekā puse Latvijas iedzīvotāju. Ja LVRTC notiek incidenti, to pamana daudz retāk. Salīdzinājumam – LVRTC 2021. bija 9 000 000 transakciju, Smart-ID Latvijā ik mēnesi ir 20 000 000 transakciju.
6. Kritisko sistēmu lietotāju riski - Arvis Berkolds, Tet drošības risinājumu konsultants (PDF)
7. Piegāžu ķēžu uzbrukumi - Andrejs Konstantinovs, CERT.LV (PDF)
Atbildes uz semināra laikā uzdotajiem bet neatbildētajiem jautājumiem:
7.1. Kam tad galu galā var ticēt, ja arī lielo softu ražotāju (kuru štatā noteikti ir kiberdrošības speciālisti) atjauninājumi var būt bīstami/inficēti?
Nāksies uzticēties, bet jāpieņem fakts, ka jebkuru sistēmu var uzlauzt un uzņēmumam tam būtu jau jābūt gatavam. Galvenais, lai uzņēmuma sistēmā ideāli strādātu neatkarīgas rezerves kopijas un tiktu uzturēti žurnālfaili, lai nepieciešamības gadījumā būtu iespējams identificēt notikušo un saprast, vai ir bijis uzbrukums.
7.2. Kad eparaksts aplikācija iemācīsies pati atjaunoties? Vai neizmantot administratora kontu? Katru reizi ir jāiet katru datoru atjaunināt.
Piekrītam, ka minētās funcionalitātes ir nepieciešamas, bet tas būtu jautājums LVRTC:
https://www.eparaksts.lv/lv/palidziba/ask_question
8. CERT.LV statistika par iedzīvotāju paradumiem internetā - Madara Krutova, CERT.LV (PDF)
Pasākums atbilst IT drošības likuma prasībām par CERT.LV organizētajiem IT drošības semināriem.
Jautājumu gadījumā aicinām rakstīt uz kursi.