Pirms mēneša Satversmes aizsardzības birojs paziņoja, ka Latvijas kibertelpā vairākkārt spiegošanas nolūkā uzbrukumus veikusi tā pati Krievijas militārā izlūkošanas dienestu hakeru grupa, kas uzbruka arī Ķīmisko ieroču aizlieguma organizācijai un Pasaules antidopinga aģentūrai. Vai tā vainojama arī uzbrukumā Iekšlietu ministrijai – tas šobrīd netiek atklāts.
Iekšlietu ministrijas Informācijas centra pārziņā ir vairāk nekā simts informācijas sistēmu. Vēl līdz 2015.gadam katra padotības iestāde par tām rūpējās atsevišķi. Pirms trim gadiem tās visas apvienoja zem viena pārrauga – Informācijas centra, ļaujot ieraudzīt, kas īsti notiek iekšlietu nozares informācijas sistēmās. Un tieši tad arī drošības incidentu novēršanas institūcija CERT.LV atklāja, ka Iekšlietu informācijas sistēmas ir inficētas.
“Es varu apstiprināt to, ka CERT.LV to atklāja un attiecīgi arī rīkojās - mēs arī kā pārraugošā institūcija esam informējuši tālāk Satversmes aizsardzības biroju, un esam lūguši Satversmes aizsardzības birojam iekļaut šo te jautājumu Nacionālās drošības padomes dienaskārtībā,” raidījumam saka Aizsardzības ministrijas valsts sekretārs Jānis Garisons.
Kas tad bijis uzbrucējs, kas iemitinājis ļaunatūru un tādējādi, visticamāk, spējis darīt to pašu, ko inficēto datoru īstie lietotāji? Izanalizējot tehniskos parametrus, CERT.LV secinājis, tie sakrīt ar Krievijas federācijas drošības dienestu radītām programmatūrām. “Tas ir ne mūsu izdomājums, bet šie te tehniskie artefakti, kas ir atklāti un ir publiski izziņoti gan dažādām antivīrusu kompānijām, tai skaitā Kaspersky Lab, gan arī citu valstu certiem, citu valstu valdībām - tā kā šeit arī tas faktiski komentārs, ka tas nav nekas unikāls tikai Latvijai,” saka CERT.LV vadītājas vietnieks Varis Teivāns.
CERT.LV pārstāvis norāda, ka ir bijuši incidenti, kuros notikusi maldināšana arī ar tehniskiem artefaktiem - sagatavojot tos tā, ka tie var maldināt.
Iekšlietu ministrija šobrīd publiski neatklāj, cik nopietns kaitējums tai ir nodarīts un kādi tieši dati varētu būt nonākuši svešās rokās.
“Par to, vai šis 2015.gadā konstatētais datorvīruss turpina eksistēt sistēmā - šis ir viens no primārajiem jautājumiem, ar ko šobrīd eksperti strādā,” saka Iekšlietu ministrijas valsts sekretāra vietnieks Dimitrijs Trofimovs, “bet visi tie gadījumi, kas 15.gadā ir konstatēti, - vēlreiz - tās ir konkrētus darba stacijas, tas viss ir izņemts no aprites, (..) ar katru no tām notika padziļināta ekspertīze, lai jau ekspertīzē datordrošības jomā varētu analizēt, kas ir tas, kas ir palicis nepamanīts ar klasiskām pretvīrusu programmām.”
Tiklīdz spiegošanai paredzētā programma tika atklāta, tās analizēšanā, novērošanā, sistēmas attīrīšanā un drošības stiprināšanā iesaistījās gan drošības iestādes, gan CERT.LV, tā sniedzot atbalstu Iekšlietu ministrijai. Viss liecina, ka spiegu vīruss iekšlietu sistēmā darbojies vairākus gadus.
“Tāda tipa ļaunatūras - viņas gluži nav klasiskais vīrusus, ja tas ir kaut kas, pie kā strādā, lai to ļoti grūti būtu atklāt, uzbrucējs iegulda ievērojamus resursus, lai tas pēc iespējas ilgāk paliktu nepamanīts. Tie mērķi ir faktiski definējami uzbrucēju pusē - viņš var darīt visu ar to informācijas sistēmu, kas ir kompromitēta, ko var darīt tās leģitīmais lietotājs. Ja interesē kaut kādu datu iegūšana, veic datu iegūšanu, ja interesē citu sistēmu pārņemšana vai iesakņošanās lokālā tīklā - veic to. Tā kā tie scenāriji ir ļoti, ļoti dažādi un plaši un atkarīgi no uzbrucēja motīviem,” skaidro Teivāns.
Iekšlietu ministrijas sistēmās, piemēram, atrodami gan dati par visiem Latvijas iedzīvotājiem, gan arī krimināllietu izmeklēšanas materiāli, un virkne citas būtiskas informācijas. Pēc Trofimova teiktā, šīs sistēmas neesot uzlauztas. Bet valsts noslēpumu saturoši dokumenti inficētajās sistēmās netika apstrādāti.
Satversmes aizsardzības biroja amatpersona Iveta Maura de facto norādīja: “Uzsveram, ka minētā IT infekcija ir konstatēta publiskajā infrastruktūrā un nav nekādā mērā saistīta ar tādām informācijas sistēmām, kuras paredzētas klasificētas informācijas (valsts noslēpuma) apstrādei elektroniskā formā un, kuru akreditāciju veic Satversmes aizsardzības birojs.”
Lai arī ļaunatūra atklāta jau pirms trim gadiem, tomēr ar uzlabojumiem un sistēmu sakārtošanu Iekšlietu ministrijai tik raiti neiet. Ministrijai iedota papildu nauda problēmu novēršanai. Nesen kā izstrādāts un valdībā pieņemts arī rīcības plāns. Tikai tagad Informācijas centrā gaidāms nopietns drošības audits.
“Kontekstā ar visiem darbinieku skaita samazinājumiem, un efektivitātes jautājumiem, šis jautājums pilnīgi noteikti prasa iekšējo resursu, jo viens dokumentus mums prasa samazināt cilvēkus, bet dzīves realitāte mums nosaka to, ka mums ir jāstiprina šī kapacitāte, tāpēc, protams, iekšēji mēģinās un noteikti noteiksim šis te prioritātes, kādā veidā stiprināsim jau minēto datoru drošības virzienu,” saka Trofimovs.
Ministru prezidents Māris Kučinskis apliecina, ka jau pirms gada ar Iekšlietu ministriju bijušas visai smagas sarunas par kiberdrošības jautājumiem, taču pirms pāris mēnešiem tas atkal bijis Nacionālās drošības padomes darba kārtībā. Valdība bija piešķīrusi papildu līdzekļus sistēmas maiņai, tomēr gaidītā rezultāta aizvien nav. “Problēma nav nomainīt vienu datoru pret otru. Problēma, acīmredzot, ir pašā šajā te IT menedžmentā, tajā vadības sistēmā - kā tas tiek uzraudzīts, kontrolēts, un kā katrs cilvēks, kam ir piekļuve. Un tas varētu būt šis vājais posms, kas acīmredzot ir radikālāk jāmaina.”
Iekšlietu ministrijas pasākumu plāns paredz, par kiberdrošību atbildīgu profesionāļu piesaistīšanu, kā arī darbinieku apmācīšanu. Savukārt Informācijas centra vadītāja profesionalitāti ministrija neplāno pārvērtēt.
CERT norāda, ka šobrīd kopumā valsts iestādēs izpratne par kiberdošības nozīmi pieaug un kā divas ministrijas ar labākajiem panākumiem piemin Ārlietu un Aizsardzības ministrijas. Aizsardzības ministrija veikusi arī dažādas apmācības valsts iestāžu vadītājiem par kiberdrošības jautājumiem, jo, kā norāda Garisons, bieži vien nepietiek ar informāciju tehnoloģiju personālu: “ja nav izpratnes no vadības puses, [valsts iestādes] nav spējīgas ieviest šī te visas prasības.”
Aizsardzības ministrijā, piemēram, darbinieki datoram nedrīkst pievienot nepārbaudītas zibatmiņas vai darba datorā lietot sociālos tīklus, ja vien to neprasa darba pienākumi. Ierobežojumus attiecībā uz zibatmiņu lietošanu plāno arī Iekšlietu ministrija. Jo nepārbaudītu ierīču pievienošana nereti kļūst par datora inficēšanas iemeslu.
Satversmes aizsardzības birojs uzsver, ka iespējamo kiberuzbrucēju rīcībā ir ļoti lieli resursi. Un pilnībā drošas IT sistēmas nepastāv, taču būtiskākais priekšnoteikums ir veidot IT sistēmas tā, lai inficēšanas mēģinājumus varētu pēc iespējas ātrāk atklāt. Tiesa, jau šobrīd viens no lielākajiem riskiem valsts iestādēm ir katastrofālais IT drošības speciālistu trūkums.
opā
atkal cirks
>:-)