InCSR

Lai gan kiberuzbrukumi mūsdienās nav nekas jauns, līdz ar globālās pandēmijas izplatību to īpatsvars strauji palielinās. Tiesībsargājošās iestādes un dažādas starptautiskās organizācijas jau vairākkārt ir paudušas bažas par tempu, kādā kibernoziedznieki attīsta savus uzbrukums, izmantojot bailes un neziņu, ko rada COVID-19 izraisītā nestabilā sociālā un ekonomiskā situācija. Turklāt viņu mērķis ne vienmēr ir gūt peļņu. Ļaundari nesmādē arī sensitīvus datus un labprāt izmanto iespēju radīt dažādu sistēmu darbības traucējumus.

Agnese Gerharde, COBALT zvērināta advokāta palīdze

Jāņem vērā, ka globālā pandēmija ir veicinājusi cilvēku paļaušanos uz informācijas tehnoloģiju sistēmām, jo darbs aizvien biežāk norisinās ārpus ierastām darba vietām, piemēram, mājās. Tieši šī apstākļu radītā nepieciešamība nodrošināt darbiniekiem iespēju strādāt attālināti ir veicinājusi kiberrisku palielināšanos visvairāk. Jo pielāgoties jaunajiem apstākļiem vajadzēja ātri. Neziņa bija un joprojām ir liela. Tāpēc kļūdas pieļāva un turpina pieļaut gan darba devēji, gan darbinieki. Kibernoziedznieki tās vienkārši izmanto savā labā.

Pieredze rāda, ka regulāri drošības pasākumi būtiski palīdz mazināt drošības riskus un ļaunatūru jeb dažādu programmatūru, ko noziedznieki izmanto ļaunprātīgu darbību veikšanai elektroniskajā vidē (piemēram, lai inficētu datorus un citas ierīces), nelabvēlīgās sekas. Tādēļ katram uzņēmumam atbilstoši savai darbības jomai un riskiem būtu jāizstrādā kiberdrošības un kiberrisku pārvaldības procedūras, kas, kā minimums, ietver attālināta darba īstenošanas vadlīnijas, skaidru rīcības plānu drošības incidenta gadījumā, piekļuves un rezerves kopiju izveides politiku un vadlīnijas darbiniekiem kiberhigiēnas ievērošanai.

Tiesībsargājošo iestāžu un Eiropas Savienības Kiberdrošības aģentūras (ENISA) novērojumi liecina, ka COVID-19 laikā kiberdraudi ir nemainīgi, bet to saturs – pielāgots. Piemēram, kopš pandēmijas sākuma ir palielinājies viltoto tiešsaistes iepirkšanās vietņu un negodprātīgo tirgotāju skaits, pikšķerēšanas un citu krāpniecības gadījumu skaits, kad tiek izspiesti personas dati un veicināta ļaunatūru lejupielāde. Turklāt pikšķerēšanai labvēlīgas vides radīšanai un ļaunatūru izplatības veicināšanai aizvien biežāk tiek izmantoti domēni, kas ietver atslēgvārdus “COVID” vai “coronavirus”.*

Uz kiberriskiem ir attiecināma arī plašā viltus ziņu izplatība, jo aiz tām nereti “slēpjas” dažādas ļaunatūras. No tām, līdzīgi kā no citiem kiberuzbrukumiem, pilnībā nav pasargāts neviens – tās skar gan lielos, gan mazos uzņēmumus, gan arī valsts un pašvaldību iestādes. Tādēļ organizāciju prioritāšu augšgalā jābūt ne vien rūpēm par darbinieku labsajūtu un drošību, bet arī ar kiberdrošību saistītajiem jautājumiem.

Turklāt ir jāņem vērā, ka kiberuzbrukumi var negatīvi ietekmēt ne tikai organizācijas saimniecisko un finansiālo darbību vai reputāciju. Tie var būtiski apdraudēt arī iedzīvotāju drošību un pat dzīvību. Tāpēc ir vērts atcerēties, ka, neievērojot Vispārējās datu aizsardzības regulas (VDAR) prasības, var saņemt arī ievērojamu naudas sodu, ja noziedznieki kiberuzbrukuma rezultātā ir piekļuvuši personas datiem.

Drošības pasākumi uzlabo organizācijas pārvaldību

Lai novērstu dažādu ļaunatūru, tai skaitā šifrējošo izspiedējvīrusu, ietekmi un mazinātu sistēmu ievainojamību, svarīgi ir ievērot tā dēvēto kiberhigiēnu. Jo ar ugunsmūriem vien kibernoziedzniekus apturēt nav iespējams. Ir jāveido arī datu rezerves kopijas, regulāri jāveic operētājsistēmu un programmatūru atjaunināšana, jāizstrādā un regulāri jāpārskata kiberdrošības pārvaldības pamatdokumenti, tostarp lietotāju tiesības rakstīt un dzēst informāciju koplietošanas mapēs. Tāpat ir jāveicina darbinieku izpratne par kiberriskiem, jo līdzšinējā pieredze liecina, ka salīdzinoši visbiežāk kiberdrošības incidenti notiek cilvēku neuzmanības un nezināšanas dēļ.

Plašāka informācija par organizāciju kiberhigiēnu pieejama Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas “CERT.lv” kampaņas “Kiberdrošība darbavietā” tīmekļvietnē.

Kiberuzbrukumus nevar ignorēt

Ja tiek konstatēts drošības incidents, ir jāreaģē pēc iespējas ātrāk, lai novērstu tā tālāku izplatību un mazinātu kaitējumu. Šādos gadījumos lieti noder organizācijas iekšējās politikas un rīcības plāni, kas krīzes situācijā palīdz neapjukt.

Pirmkārt, lai veiktu atbilstošas kiberuzbrukuma novēršanas darbības, ir jānosaka, kāda tipa incidents ir noticis un kāda ir tā ietekme. Otrkārt, ir jāsaprot, vai uz organizāciju ir attiecināmas papildu prasības saskaņā ar normatīvajiem aktiem, kas regulē pamatpakalpojumu sniedzēju, digitālo pakalpojumu sniedzēju un kritiskās infrastruktūras īpašnieku vai pārvaldnieku darbību. Treškārt, ir jānoskaidro, vai šis incidents iekļauj personas datus.

Ko tālāk? Turpmāko rīcību lielā mērā nosaka kiberuzbrukuma veids un ietekme. Jo informēt par incidentu “CERT.lv” var jebkura organizācija un jebkurā laikā (dažkārt ieteicams par to informēt arī Valsts policiju). Taču noteiktos gadījumos komersantiem ir pienākums informēt “CERT.lv” vai citu atbildīgo institūciju par drošības incidentu** nekavējoties.

Personas datu aizsardzības pārkāpumi paredz tūlītēju rīcību

Viens no būtiskākajiem kiberriskiem ir drošības incidents, kas skar personas datus. Ja tiek konstatēts personas datu aizsardzības pārkāpums jeb drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, obligāti jāievēro VDAR prasības, un tās paredz tūlītēju reaģēšanu. Tas nozīmē, ka organizācijas datu pārzinim ir jābūt sagatavotam skaidram plānam, kā rīkoties šāda incidenta gadījumā.

Galvenās darbības, kas organizācijām ir jāveic pēc personas datu pārkāpuma fiksēšanas:

• pārkāpuma apstākļu konstatēšana un seku novēršana (pārkāpuma izvērtēšanu var veikt saskaņā ar Eiropas Datu aizsardzības kolēģijas pamatnostādnēm***);
• Datu valsts inspekcijas informēšana 72 stundu laikā no drošības incidenta fiksēšanas brīža;
• datu subjektu iespējama informēšana.

Gadījumā, ja šīs VDAR prasības netiek ievērotas, komersantam var tikt noteikts sods līdz pat 10 000 000 EUR apmērā vai 2% apmērā no uzņēmuma vai uzņēmumu grupas gada apgrozījuma.

Datoru vai ierīci nobloķējis šifrējošs izspiedējvīruss: kā rīkoties?

Viens no izplatītākajiem kiberuzbrukuma veidiem ir šifrējošie izspiedējvīrusi (ransomware), par kuru upuriem kļūst gan fiziskas, gan juridiskas personas. Tās ir ļaunatūras, kas bloķē datoru un mobilās ierīces vai šifrē noteiktus vai visus tajās esošos datus. Lai lietotājs atgūtu kontroli pār ierīci un datiem, šie vīrusi pieprasa izpirkuma maksu. Bieži tiek arī izteikti draudi publicēt iegūtos datus, ja tā netiks samaksāta noteiktā laikā, lai iebiedētu par iespējamiem VDAR pārkāpumiem.

Šifrējošie izspiedējvīrusi pēdējos gados ir kļuvuši īpaši populāri, jo tas kibernoziedzniekiem ir viegls un ērts peļņas gūšanas veids. Arī COVID-19 laikā tie ir viens no izplatītākajiem kiberuzbrukumu veidiem. Turklāt piesardzība ir jāvēro visās nozarēs.

Piemēram, 2020. gada 18. septembrī par šāda vīrusa upuri kļuva viena no Vācijas slimnīcām. Incidenta rezultātā dzīvību zaudēja sieviete. Šis notikums tiek uzskatīts par pirmo gadījumu, kad kiberuzbrukuma tiešā rezultātā ir miris cilvēks. Savukārt vasarā tika novērots šifrējošā izspiedējvīrusa uzbrukums tehnoloģiju uzņēmumam “Garmin”, kurš, iespējams, ir samaksājis ļaundariem izpirkuma maksu 10 miljonu ASV dolāru apmērā (komersants ir atteicies komentēt konkrēto gadījumu).

Ņemot vērā izspiedējvīrusu darbības principus, saskaroties ar tiem, ir svarīgi saglabāt vēsu prātu un rīkoties apdomīgi – izsverot visus riskus un vienlaikus nodrošinot inficētās ierīces izolēšanu. Jo tikai tā var novērst ļaunatūras izplatību.

Nākamais solis ir izspiedējvīrusa paveida identificēšana, lai saprastu rīcības gaitu un atšifrēšanas iespējas. Šeit var palīdzēt Eiropas Savienības tiesībsargājošos institūciju un IT uzņēmumu kopīgi izstrādātais bezmaksas rīks “Kripto Šerifs”. Tas ļauj identificēt izspiedējvīrusa paveidu un atbloķēt šifrētos datus bez maksas.

Maksāt vai nemaksāt kibernoziedzniekiem?

Galvenais jautājums, kas parasti rodas kiberuzbrukumu, bet īpaši – šifrējošo izspiedējvīrusu, gadījumā, ir attiecināms uz kibernoziedznieku noteikto izpirkuma maksu – maksāt to vai nē?!

Pirmkārt, maksājuma veikšana nekādā gadījumā negarantē datu atgūšanu. Ļaundari var neatbloķēt ierīci vai pieprasīt lielāku izpirkuma maksu.

Otrkārt, maksājuma veikšana var radīt starptautisko sankciju pārkāpumu. Gan Eiropas Savienība, gan ASV ir ieviesušas kibersankciju režīmus, kas nosaka ierobežojošos pasākumus pret personām, kuras ir atbildīgas par dažādiem kibernoziegumiem vai ir bijušas ar tiem saistītas. Tādējādi, samaksājot ļaundariem izpirkuma maksu, tiek ne vien atbalstīti un veicināti kibernoziegumi, bet arī radīts risks pārkāpt ES vai ASV Ārvalstu aktīvu kontroles biroja (OFAC) noteiktās sankcijas, ja maksājums tiek veikts kādai no sankcionētajām personām.

COBALT juristu komanda, līdzīgi kā tiesībsargājošās iestādes nekādā gadījumā neiesaka veikt izpirkuma maksājumu! Jo kiberuzbrukumi mēdz būt ļoti dažādi. Lai saprastu, kā labāk rīkoties tajā vai citā gadījumā, ieteicams konsultēties ar Valsts policijas un “CERT.lv” ekspertiem.

_____

* INTERPOL 2020. gada 4. augusta ziņojums un “ENISA Threat Landscape 2020” ziņojums

** Kritērijus ziņošanai regulē šādi normatīvie akti: 1) 2019. gada 15. janvāra Ministru kabineta noteikumi Nr. 15 “Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu”; 2) 2019. gada 15. janvāra Ministru kabineta noteikumi Nr. 43 “Noteikumi par nosacījumiem drošības incidenta būtiski traucējošās ietekmes noteikšanai un kārtību, kādā piešķir, pārskata un izbeidz pamatpakalpojuma sniedzēja un pamatpakalpojuma statusu”; 3) Informācijas tehnoloģiju likuma 6.panta 2.punkts.

*** Pārkāpuma izvērtēšanu var veikt saskaņā ar 29. panta Datu aizsardzības darba grupas pieņemtajām “Pamatnostādnes novērtējuma par ietekmi uz datu aizsardzību (NIDA) veikšanai un noskaidrošanai, vai apstrāde “varētu radīt augstu risku” Regulas 2016/679 izpratnē” savukārt ziņošanas pienākuma izvērtēšanu var veikt saskaņā ar 29. panta Datu aizsardzības darba grupas pieņemtajām “Pamatnostādnes par personas datu aizsardzības pārkāpumu paziņošanu saskaņā ar Regulu 2016/679”.