Darboties spējīga kiberdrošības prakse uzņēmumā – svarīgāk kā nekad iepriekš

Published On: February 9th, 2023

2022. gads finanšu pasaulē ir bijis satricinājumiem un pavērsieniem bagāts, sākot ar ģeopolitiskās situācijas destabilizāciju Krievijas sāktā kara dēļ, tam pavadošo energoresursu krīzi, straujo inflāciju. Tas noveda pie gan pie izmaiņām centrālo banku monetārajā politikā, gan lielu kriptovalūtu risinājumu un kriptovalūtu biržu sabrukumu. Viss minētais neapšaubāmi atstājis iespaidu ne tikai uz globālo ekonomiku, finanšu nozari un finanšu tehnoloģiju uzņēmumiem, bet arī uz kiberdrošību, izgaismojot arvien jaunus riskus, kā arī aktīvāk realizējot jau zināmos, bet iepriekš mazāk iespējamos riskus.

Kiberdrošības jautājumi jau daudzus gadus ir bijuši finanšu tehnoloģiju uzņēmumu aktualitāte un arvien pieaugošās tehnoloģiju spējas un ļaunie nodomi ik gadu rada jaunus riskus un apdraudējumus. Kopumā, lai nodrošinātu uzņēmuma nepārtrauktību un kiberdrošības risku mazināšanu, visefektīvākais ir izveidot visaptverošu IT drošības politiku atbilstoši labajām praksēm, piemēram ISO27000, un realitātē arī nodrošināt un uzturēt tās praktisku darbību. Šajā gadījumā labāk mazāk formālu dokumentu, bet tādu, kas pielīdzināti reālai situācijai un var tikt īstenoti praksē. Pretējā gadījumā, tas uzņēmuma vadībai var radīt maldinošu sajūtu, ka IT drošība ir augstā līmenī, bet tas realitātē tāda tā ir “tikai uz papīra”. Uzņēmuma vadītājiem iesaku IT drošības nodaļai uzdot jautājumu un noskaidrot to, cik procenti no IT drošības politikas prasībām tiek realizētas praksē. Ja tas ir mazāks par 80%, tad ir iemesls bažām par reālu uzņēmuma spēju aizsargāt sevi pret kiberdrošības draudiem.

Šajā kontekstā nevar nepieminēt Krievijas hakeru grupējumu “Killnet”, kas publicējis sarakstu ar saviem uzbrukuma mērķiem finanšu nozarē, kur var atrast arī lielu daļu Latvijas finanšu tehnoloģiju uzņēmumu. Tāpēc īpaši šobrīd ir būtiski spēt nodrošināt sistēmu, pakalpojumu un darbinieku aizsardzību pret tādiem potenciālajiem saasinājumiem kā ļaunatūras uzbrukumi, pikšķerēšana, izkliedētais pakalpojuma atteikuma uzbrukums (DDOS) un sociālā inženierija. Vairumā gadījumu uzņēmumos jau ir rīki, ar kuriem nodrošināt pietiekamu aizsardzības līmeni, tomēr ne vienmēr šie rīki ir sakonfigurēti vai uzstādīti pietiekami efektīvi, ņemot vērā aktuālo situāciju. Nedrīkstētu pieļaut situāciju, kurā rīks ir uzstādīts, bet gadiem netiek uzraudzīts, uzturēts un atjaunota tā konfigurācija. Tas var radīt maldinošu sajūtu par it kā drošības esamību, kas patiesībā var izrādīties neefektīva. IT drošības komandām vajadzētu pārskatīt rīku klāstā esošos risinājumus un nodrošināt, ka tie ir darboties spējīgi un aktuāli. 

Nedaudz cita situācija ir decentralizēto finanšu (DeFi) jomā, kur uzbrucēju lielākais mērķis ir atrast ievainojamības viedajos līgumos (Smart contracts) vai ar tiem saistītajās tehnoloģijās, un, izmantojot tos neparedzētā veidā, nopludināt kriptoaktīvus. 2022. gadā  desmit lielākajos minētā veida uzbrukumos tika nopludināti kriptoaktīvi 2.1 miljardu ASV dolāru vērtībā, savukārt skaļākajā no tiem, aizpludināti kriptoaktīvi 612 miljonu ASV dolāru vērtībā. Tas ir DeFi industrijas anti-rekords gan viena lielākā gadījuma, gan kopumā gada laikā aizpludināto kriptoaktīvu vērtībā. Tā iemesla dēļ finanšu tehnoloģiju uzņēmumiem, kas darbojas blokķēdes un decentralizēto finanšu jomā, veidojot risinājumus, jāstrādā pēc nedaudz cita procesa un metodēm, lai novērstu šādus iespējamos kiberdrošības riskus. Atšķirībā no tradicionālās programmatūras izstrādes procesa, viedo līgumu gadījumā, būtiski pirms tā izvietošanas blokķēdē, nodot to neatkarīgam, specializētam auditoram. Viņš var izvērtēt viedā līguma izejas kodu un norādīt uz potenciālajām problēmām tā darbībā vēl pirms tas izvietots publiski un blokķēdes tehnoloģijas specifikas dēļ nav vairs izņemams. Šāds audita pakalpojums sastāda papildu izmaksas, bet noteikti daudz mazākas kā potenciāli viedā līguma uzbrukuma gadījumā zaudēto kriptoaktīvu vērtība.

Tāpat viens no būtiskākajiem kiberdrošības riskiem ir darbinieku kompetence un spēja droši darboties digitālā vidē, atpazīt uzbrukumu un sadarboties ar IT drošības komandu. Tam nepieciešamas regulāras apmācības un izveidota informācijas plūsma par potenciāliem draudiem. Tā piemēram, nepieciešams regulāri informēt par pikšķerēšanas e-pastu uzbrukumiem vai jauniem ļaunatūras veidiem. Kā labs apmācību veids ir veikt iekšēji kontrolētu sociālās inženierijas uzbrukumu, piemēram, izveidot kopiju uzņēmuma informācijas sistēmas mājaslapai, ar redzamām krāpnieciskām pazīmēm (nestandarta domēna vārds, saturs, u.c.) un nosūtīt ārēju e-pastu darbiniekiem ar lūgumu ielogoties un notestēt informācijas sistēmas versiju. Tālāk jau var analizēt to, cik darbinieki šādā veidā ir nodevuši savu lietotājvārdu un paroli, vai ir sekojusi procedūrā aprakstītās darbības pēc tam, lai informētu IT drošības nodaļu un veiktu paroles nomaiņu. Pēc pieredzes varu teikt, ka šis ir ļoti efektīvs veids, kā pacelt darbinieku zināšanas par krāpnieciskiem gadījumiem, kopumā paceļot kiberdrošību uzņēmumā. 

Industrijā jau šobrīd ir uzsākta prakse regulāri izglītot klientus par drošības un finanšu pratības jautājumiem, kas palīdz mazināt krāpniecisku darbību rezultātā zaudētos naudas līdzekļu apjomu. Jau šobrīd Fintech Latvija asociācijas biedri, kas pārstāv finanšu tehnoloģiju jomu, ir veikuši zināmus priekšdarbus, bet, ir skaidrs, ka raugoties nākotnē, pie šī jautājuma jāturpina strādāt. 2022. gadā no četru lielāko Latvijas banku klientiem ir izkrāpti naudas līdzekļi vairāk nekā 12 miljonu eiro apmērā, kas norāda un situācijas nopietnību. Lai arī šādi krāpnieciski gadījumi ir lietotāju nezināšanas rezultāts, tas tomēr rada nepatīkamas asociācijas arī ar pakalpojumu sniedzēju. Tas noved pie secinājuma, ka katram nozares uzņēmumam būtu jābūt ieinteresētam izglītot un informēt klientus, lai mazinātu krāpniecības ietekmi. Lai gan šis var likties kā ne tik svarīgs solis, tas ilgtermiņā var ievērojami uzlabot sadarbību ar klientiem, nodrošinot viņiem, izmantojot jūsu pakalpojumus, pozitīvu pieredzi. 

Apkopojot svarīgāko, lai nodrošinātu pēc iespējas efektīvāku kiberdrošības aizsardzību nepieciešams, izveidot praksē efektīvu IT drošības pārvaldības politiku, nevis uzturēt to tikai uz papīra, pārskatīt uzņēmuma rīcībā esošo rīku klāstu un uzturēt aktuālu to konfigurāciju, licences un versijas. Un tikai, ja tiek identificēts tas, ka ir trūkumi IT drošības politikā noteikto kontroļu nodrošināšanā, izvērtēt papildu jaunu rīku ieviešanu. Tāpat ne mazāk svarīgi ir regulāri informēt un apmācīt darbiniekus par kiberdrošības riskiem un aktualitātēm. Ja iespējams, tad teorētiskas apmācības papildināt ar simulētu uzbrukumu. Nevajadzētu aizmirst arī nepieciešamību izglītot un informēt klientus par krāpnieciskiem gadījumiem un finanšu pratību kopumā, lai novērstu ar uzņēmuma pakalpojumu lietošanu saistītu negatīvu pieredzi.

Latvijā ļoti veiksmīgi darbojas informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV. Iesaku visiem par IT drošību atbildīgajiem darbiniekiem izveidot sadarbību ar CERT.LV, lai gadījumā, ja ir noticis uzbrukums, iespējams sazināties un piesaistīt papildspēkus tā novēršanā. Tāpat, arī FLA, nozares asociācija, var kalpot kā papildu platforma, lai veicinātu diskusiju par šiem jautājumiem, ar mērķi stiprināt uzņēmuma “aizsargspējas”. Veidosim savos uzņēmumos atbildīgas kiberdrošības prakses, lai kopumā uzturētu augstu finanšu tehnoloģiju industrijas kibedrošības līmeni!

Nauris Bloks, Fintech Latvija asociācijas eksperts, DelfinGroup inovāciju vadītājs

Go to Top