Pētījums: divās no trim pašvaldību mājas lapām ir augsti kiberdrošības riski
Kiberdrošības līmenis Latvijas pašvaldībās ir nepietiekams – vidēji divās no trim Latvijas pašvaldību interneta vietnēm ir augsti kiberdrošības riski, liecina biznesa konsultāciju uzņēmuma KPMG veiktais pašvaldību mājaslapu novērtējums, kas tapis sadarbībā ar Latvijas Pašvaldību savienību (LPS) un Vides aizsardzības un reģionālās attīstības ministriju (VARAM). Veicot kiberdrošības novērtējumu 15 atšķirīga lieluma Latvijas pašvaldību mājaslapām, konstatētas 227 dažādas nepilnības, kas liecina, ka neatkarīgi no pašvaldības lieluma un pieejamajiem finanšu un cilvēkresursiem visu pašvaldību mājaslapām ir ievainojamības, kas rada nopietnus kiberdrošības riskus.
“Mūsdienu tehnoloģiju laikmetā ne tikai privātajā, bet arī publiskajā sektorā arvien vairāk tradicionālo procesu un pakalpojumu tiek uzticēti informācijas un komunikāciju tehnoloģijām. Tās palīdz sazināties un apstrādāt informāciju, padarot valsts pārvaldi efektīvāku un vieglāk pieejamu sabiedrībai. Taču vienlaikus līdz ar virkni priekšrocību, ko sniedz tehnoloģijas, ir radušies jauni izaicinājumi un riski, kas saistīti ar drošības nodrošināšanu interneta vidē. Ir būtiski apzināties un identificēt riskus gan valsts, gan pašvaldību iestādēm, tādejādi nodrošinoties pret kiberuzbrukumiem un to radītajām sekām. Ir būtiski, ka ne tikai iestādes vadītājs un IT speciālisti ir apzinājuši jautājuma nopietnību, bet arī visi darbinieki ir apmācīti un ikdienā ievēro noteiktās procedūras un noteikumus,” pauž Edmunds Beļskis, VARAM valsts sekretāra vietnieks informācijas un komunikācijas tehnoloģiju jautājumos.
Lai gan novērtējuma laikā dažām pašvaldību mājaslapām konstatētas 4 vai 5 ievainojamības, atsevišķu pašvaldību vietnēs atklāto ievainojamību apjoms pārsniedzis pat 20. No kopējā ievainojamību skaita 6% veido augsta riska ievainojamības, kuras ir būtiski novērst nekavējoties, lai liegtu iespēju reālam uzbrucējam pārņemt kontroli pār mājaslapu vai padarīt resursu nepieejamu sabiedrībai. 46% ievainojamību raksturojamas kā vidēja līmeņa riski, un tādas atrodamas visu pārbaudīto pašvaldību vietnēs. Zīmīgi, ka, lai gan lielāko daļu jeb 48% atklāto ievainojamību var raksturot kā zema riska ievainojamības, eksperti norāda, ka šāda tendence joprojām ir satraucoša, jo vairākas zema vai vidēja riska līmeņa neatbilstības vienkopus var radīt augsta līmeņa risku.
“Kiberdrošība ir atkarīga no vairākiem vienlīdz svarīgiem aspektiem – no platformas, uz kuras bāzes uzbūvēta mājaslapa, izmantotās versijas, iestatījumiem un informācijas tehnoloģiju speciālistiem, kas pārvalda šo sistēmu. Grūti precīzi novērtēt, kādas sekas var izraisīt veiksmīgs kiberuzbrukums katrai pašvaldībai, jo mājaslapu funkcionalitāte atšķiras. Tomēr var teikt, ka veiksmīga kiberuzbrukuma gadījumā tiktu ietekmēta gan organizāciju darbība un reputācija, gan varētu rasties tieši vai netieši finansiāli zaudējumi,” norāda Kaspars Iesalnieks, KPMG IT konsultāciju vadītājs.
Apkopojot novērtējuma rezultātus, secināts, ka lielākoties Latvijas pašvaldību tīmekļu vietnēs nepilnības saistās ar neatbilstošu lapu konfigurāciju jeb iestatījumiem – šādas problēmas konstatētas vairumā pārbaudīto pašvaldību mājaslapu. Pārbaužu laikā atklāts, ka pietiktu pat ar viena datora jaudu, lai pārsniegtu informācijas pieprasījumu apjomu, ko mājaslapa spēj apstrādāt. Tas nozīmē, ka uzbrucējs viegli var padarīt pašvaldības resursu nepieejamu vai likt reālam lietotājam stundām ilgi gaidīt atbildi no sistēmas. Citas biežāk sastopamās ievainojamības saistītas ar nepietiekamu datu aizsardzību un nepilnībām autentifikācijas procesā.
“Par to, ka pašvaldības domā par kiberdrošību, liecina lielais pašvaldību skaits, kas vēlējās piedalīties šajā projektā. Trīs reizes vairāk pašvaldību bija gatavas pārbaudīt savu mājaslapu drošību, nekā projektā bija iespējams. Tātad kiberdrošība viennozīmīgi ir pašvaldību dienaskārtības jautājums. Šī projekta rezultāti būs laba viela pārdomām, kā arī iemesls sākt aktīvāk rīkoties ikvienai privātpersonai un uzņēmumam Latvijā, nav runa tikai par pašvaldībām, kuri veido jaunas mājaslapas. Kiberdrošība ir neiztrūkstošs komponents labai un funkcionālai mājaslapai un pašsaprotama digitālā sastāvdaļa mūsu ikdienas darbā,” atzīst Gints Kaminskis, LPS priekšsēdis.
Vēl viens būtisks aspekts, kurā vērojama nepietiekama aizsardzība pret kiberdraudiem un kas raksturīgs gandrīz visām pašvaldībām, ir darbinieku informētība un izpratne kiberhigiēnas jautājumos. Projekta ietvaros tika veikta sociālās inženierijas uzbrukuma simulācija 162 pašvaldību darbiniekiem, nosūtot e-pastu ar kaitīgas vēstules pazīmēm, kurā tika lūgts uzklikšķināt uz e-pastā norādītās saites. 16% darbinieku, kas piedalījās simulācijā, šīs pazīmes nepamanīja un reāla uzbrukuma gadījumā potenciāli būtu kļuvuši par uzbrucēja upuriem: 12% simulācijas dalībnieku uzklikšķināja uz pievienotās saites, bet 4% pat atbildēja sūtītājam. Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem organizācijas atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu vēstuli.
Kā norāda KPMG IT konsultāciju vadītājs Kaspars Iesalnieks, zināšanas par kiberhigiēnu var viegli uzlabot, regulāri organizējot praktiskas apmācības un sociālās inženierijas simulācijas, kas palīdz sagatavot darbiniekus reālam uzbrukumam. Tāpat iespējams mazināt kiberriskus pašvaldībās, veicot efektīvu IT resursu pārvaldību, sekojot līdzi atjauninājumiem, pielietojot labās prakses principus kiberdrošības jomā un veicot regulāras kiberdrošības pārbaudes.
“Nav pilnīgi drošu sistēmu, bet ir sistēmas, kuras spēj efektīvi novērst risku un sniedz iespēju atvairīt uzbrukumu. Svarīgi apzināties, ka drošībai, īpaši digitālajā vidē, nav mērķa vai galapunkta, kas ir jāsasniedz. Tas ir process, kas regulāri jāpilnveido un jādomā soli uz priekšu, lai mazinātu iespējamā uzbrukuma sekas. Domāt par drošību nekad nav par vēlu,” atgādina Kaspars Iesalnieks.
Foto: publicitātes
TOP Komentāri