Latvijas kibertelpa 2024.gadā ne tikai piedzīvoja nopietnus izaicinājumus, apdraudējumu līmenim sasniedzot līdz šim augstāko atzīmi, bet arī demonstrēja augstu kibernoturību. Pieaugošā uzbrukumu intensitāte, inovatīvas uzbrukumu metodes un ģeopolitiski motivēti incidenti apliecināja kiberdrošības izšķirošo nozīmi. DNS ugunsmūris, starptautiskās draudu medības un pieaugoša valsts pārvaldes iestāžu darbinieku izpratne par kiberhigiēnu kļuva par pamatu stiprākai aizsardzībai.

Aizvadītā gada lielākie izaicinājumi bija aktīvie ielaušanās mēģinājumi ar pieaugumu par 42% salīdzinājumā ar 2023.gadu, kompromitētās iekārtas, kuru apjoms dubultojās, kā arī aktīvās krāpniecības kampaņas, kuru apjoms pieauga par 30%. Viļņveidīgi turpinājās arī politiski motivēti piekļuves atteices jeb DDoS uzbrukumi, kurus veica Krievijas agresīvo režīmu atbalstoši haktīvisti, taču šo uzbrukumu ietekme bija maznozīmīga.

Latvijas kibertelpā galvenokārt bija vērojami uzbrucēji, kuru darbības potenciāli varētu būts saistītas ar Krieviju, tajā skaitā arī finansiāli motivēti uzbrukumi, taču arvien biežāk interese par Latvijas infrastruktūru vērojama arī no uzbrucējiem, kas iespējams saistāmi ar Ķīnu. Maznozīmīga klātbūtne Latvijas kibertelpā vērojama arī no uzbrucējiem, kas varētu tikt saistīti ar Baltkrieviju un Ziemeļkoreju. Ar Baltkrieviju iespējami saistāmo uzbrucēju aktivitātes pārklājas ar Krievijas interesēm, bet ar Ziemeļkoreju potenciāli saistāmās operācijas vērstas uz finanšu līdzekļu ieguvi savu izvirzīto mērķu sasniegšanai.

Neraugoties uz augsto kiberapdraudējumu intensitāti, Latvija ne tikai veiksmīgi stāvēja pretī šiem izaicinājumiem, bet arī kļuva par piemēru daudzām citām valstīm, saglabājot līdera lomu Eiropā apjomīgu draudu medību jomā. Sadarbībā ar Kanādas bruņotajiem spēkiem CERT.LV izveidoja arī unikālu Draudu medību rokasgrāmatu, kurā iekļautas rekomendācijas draudu medību veikšanai, kā arī tika novadīts pirmais seminārs starptautiskajiem partneriem, daloties ar līdzšinējo pieredzi. Šos seminārus plānots turpināt arī 2025.gadā.

Latvijas kibertelpas stiprināšanu turpmāk noteikti veicinās Nacionālās kiberdrošības likums, kas stājās spēkā 2024.gada 1.septembrī, un paplašināja to organizāciju loku, uz kurām attieksies būtiski papildinātās Eiropas Parlamenta un Padomes direktīvas (NIS2) prasības.

Kiberdrošības izaicinājumi, kas skar sabiedrību

Iedzīvotājus visvairāk ietekmēja tieši aktīvās krāpniecības kampaņas. Visizplatītākās finansiāli motivētās krāpniecības bija saistītas ar sūtījumu piegādes tematiku (neprecīza adrese, aizturēts sūtījums, nepieciešamība apmaksāt muitas nodokli, utt). Lai arī šie krāpšanas gadījumi bija daudzskaitlīgi, to nodarītie zaudējumi ir salīdzinoši nelieli. Lielāka ietekme bija telefonkrāpniecībām un viltus investīciju platformām. Inovatīvs izaicinājums bija telefona zvani, kuros krāpnieki izmantoja mākslīgā intelekta rīkus zvanu automātiskai tulkošanai latviešu valodā.

Vairumā gadījumu telefonkrāpnieki uzdevās gan par banku, gan valsts un tiesībsargājošo iestāžu pārstāvjiem. Krāpnieki saziņā ar upuri izmantoja steidzināšanu un trauksmi raisošus elementus – paziņoja, ka pret upuri ir “ierosināta lieta” vai ar viņa bankas kontu tiek veiktas pretlikumīgas darbības, un ir nekavējoties jārīkojas. CERT.LV saņemtie ziņojumi liecina, ka iedzīvotājiem ne vienmēr ir skaidra izpratne par banku vai iestāžu oficiālo komunikāciju, kā rezultātā krāpniekiem tiek izpausta personīga informācija un nodoti maksājumu karšu un bankas kontu dati.

Saņemtie incidentu ziņojumi liecina, ka sabiedrībā joprojām “klibo” finanšu pratība un izpratne par pakalpojumu darbību, piemēram, Smart-ID. Iedzīvotāji mēdz “iekrist” tā dēvētajā “pacietības izsmelšanas” uzbrukumā, kad kibernoziedznieki neatlaidīgi atkārto krāpniecisko darbību, piemēram, pieprasa PIN1 vai PIN2 apstiprinājumu, un lietotājs, lai izbeigtu uzmācīgo paziņojumu parādīšanos telefonā, prasīto kodu arī apstiprina, lai gan pats tobrīd neveic pirkumus vai nemēģina pierakstīties kādā vietnē un nav iniciējis autentifikācijas procesu.

CERT.LV un Latvijas Fakti veiktajā iedzīvotāju aptaujā 18% no respondentiem, kas cietuši krāpšanā, atzina, ka krāpnieku prasības izpildīja neiedziļināšanās un steigas dēļ, 18% krāpnieku lamatās iekrita, jo iepriekš nebija dzirdējuši par attiecīgo krāpšanas veidu, bet 32% saņemtās ziņas vai zvana saturs šķita ticams un viņi bija pārliecināti, ka komunicē ar atbilstošo organizāciju.

Kopumā 70% respondentu atbildēja, ka jūtas droši internetā, kaut gan puse aptaujāto atzina, ka varētu būt kiberuzbrukumu mērķis. Tikai 23% novērtēja savas zināšanas par kiberdrošību virs vidējā.

Finanšu nozares asociācijas apkopotie dati liecina, ka Latvijas iedzīvotājiem ik mēnesi, pašiem apstiprinot maksājumu, tiek izkrāpti 1-1,5 miljoni eiro. Lai mazinātu krāpšanas apmērus, būtu svarīgi iedzīvotājiem spēt identificēt iestāžu oficiālos komunikāciju kanālus, un arī pašām iestādēm skaidrot, kā atpazīt oficiālo saziņu. Otrs faktors, lai mazinātu krāpšanas apmērus, būtu iedzīvotājiem kritiskāk izvērtēt situāciju un nepieņemt lēmumus steigā.

Papildu aizsardzībai izmantojams CERT.LV un NIC izstrādātais DNS ugunsmūris, kas kopš 2024.gada rudens pieejams arī mobilās lietotnes formātā. Krāpnieku aktivitātēs gandrīz vienmēr ir iesaistīts domēna vārds (upurim tiek piedāvāta kāda saite, ko apmeklēt), kas parasti tiek speciāli reģistrēts uzbrukumu kampaņas vajadzībām, un to, savukārt, var izmantot kā indikatoru, lai pasargātu iedzīvotājus ar DNS ugunsmūra palīdzību.

Kiberdrošības izaicinājumi, kas skar organizācijas

Uzbrucēju veiksmes faktori gan privātajā, gan publiskajā sektorā ir vairāki. Viens no veiksmīga uzbrukuma iemesliem – joprojām tiek izmantotas vājas paroles un netiek lietota vairāku faktoru autentifikācija. Šī problēma eksistē gan pakalpojumu ņēmēju, gan pakalpojumu sniedzēju pusē, un jāsecina, ka problēmai ir cilvēcisks raksturs, jo tehniskie risinājumi pastāv jau gana ilgi.

Augstāk minētais apvienojumā ar savas infrastruktūras nepārzināšanu un nepietiekamu uzmanības pievēršanu telemetrijas datiem veido īpaši bīstamu situāciju – infrastruktūras uzturētājs daudzos paroļu minējumus nespēj identificēt kā uzbrukumu, un pēc gana daudzu mēģinājumu veikšanas uzbrukums mēdz būt sekmīgs. Iztrūkstot informācijai par to, kam ir jāatrodas tīklā, organizācijas nespēj konstatēt, ja sistēmai tiek pēkšņi pievienotas jaunas iekārtas, kurām tur nav jābūt. Tiek novērota arī nespēja pamanīt internetā nedroši eksponētas iekārtas, kā arī iekārtas, kas ilgstoši ir kompromitētas. To nereti pavada programmatūras uzstādīšanas ierobežojumu trūkums, kas var šķist ērts no lietotāju skatpunkta, bet rada nopietnus riskus infrastruktūras drošībai. Lai sniegtu atbalstu publiskajam sektoram, kā arī būtisko un svarīgo pakalpojumu sniedzējiem, CERT.LV ir izveidojusi Drošības operāciju centru (SOC), kurā spēj nodrošināt kvalitatīvu, savlaicīgu apdraudējumu un kompromitētu sistēmu atpazīšanu.

Lai stiprinātu Latvijas kibertelpu, CERT.LV kopā ar sadarbības partneriem turpināja veikt draudu medību operācijas. Laika posmā no 2022. februāra līdz 2024. gada decembrim tika pārbaudītas vairāk nekā 150 000 iekārtas 35 organizācijās. Operāciju rezultātā notikusi ir gan nepilnību konstatēšana infrastruktūrā, gan uzbrucēju atklāšana un to darbības efektīva apturēšana. Veicot pārbaudes, 25% gadījumu infrastruktūrā tika konstatēta citu valstu atbalstītu uzbrucēju klātbūtne. Šie uzbrucēji veic plaša spektra kiberoperācijas, sadarbojoties arī ar finansiāli motivētiem uzbrucējiem, no kuriem mēdz pārpirkt vai citādi iegūt sākotnējo piekļuvi. Novērota gan ar Krieviju, gan  ar Ķīnu potenciāli saistītu grupējumu aktivitāte. Vairākos gadījumos konstatēta ar Krieviju un Ķīnu saistāmo operāciju pārklāšanās, ļaujot spekulēt par grupējumu savstarpēju sadarbību.

Vēl viens risks organizāciju kiberdrošībā ir sasteigtas darbības. Praksē ir novērotas situācijas, kad laika trūkuma dēļ nepietiekama vērība kiberdrošības jautājumiem tiek pievērsta jau sistēmas izstrādes stadijā. Ieviešot projektu ar īsu izstrādes termiņu, drošības pārbaudēm tiek atvēlēts nepietiekami daudz laika, vai tās apzināti tiek izlaistas vispār.

Partneris kā apdraudējums

Piepildījās pagājušā gada prognozes – piegāžu ķēžu uzbrukumi saglabāja savu aktualitāti arī 2024.gadā. Gan dažāda veida sadarbība, gan sistēmu izstrāde, gan arī programmatūras uzturēšana ir saistīta ar kādu partnerību. Izvēloties partneri, ir būtiski uzdot pareizos jautājumus, lai izvērtētu sadarbības partnera piekopto kiberdrošības praksi, izstrādātu sadarbības nosacījumus, kā arī izvairītos no čaulas kompānijām, kas potenciāli var pārstāvēt citu valstu intereses.

Kā redzamākie piemēri piegāžu ķēžu uzbrukumiem minami SIA Tet un AS Balticom translētā televīzijas satura kompromitēšanas gadījumi, kas tika veikti, pārtverot un izmainot piegādātāju nodrošinātā satura datu plūsmu. Abos gadījumos operatoru pašu infrastruktūra netika skarta, bet ietekmēti to sadarbības partneri. Abas kompānijas pēc notikušā incidenta pārskatīja izmantotos sadarbības partnerus un potenciālos riskus sniegtajiem pakalpojumiem. Kiberdrošības eksperti prognozē, ka šādi un līdzīgi gadījumi, visticamāk, atkārtosies, jo agresorvalsts Krievija mērķtiecīgi piekopj provokācijas metodes.

Arī novembra sākumā notikušais datu noplūdes incidents, kuru Datu valsts inspekcija novērtē kā lielāko zināmo datu noplūdi Latvijā, saistīts ar piegāžu ķēžu drošību. Tehniska kļūme izraisīja incidentu, kura rezultātā no SIA ZZ Dats uzturētās Vienotās pašvaldību informācijas sistēmas noplūda dati par 42 Latvijas pašvaldībām (izņemot Rīgas valstspilsētas pašvaldību). Sistēmas uzturētāja pienākums ir nodrošināt datu drošu glabāšanu un apstrādi, bet arī pašvaldības kā datu pārzinis ir atbildīgas par sadarbības partnera izvēli un prasību izvirzīšanu, lai nodrošinātu, ka personas dati tiek droši apstrādāti.

Praksē tiek vērota liela paviršība attiecībā uz sadarbības nosacījumiem. Lai samazinātu neērtības, infrastruktūras turētājs nereti atļauj partnerim vai izstrādātājam brīvu piekļuvi savai infrastruktūrai, dažbrīd pat sniedzot Windows domēna administratora tiesības, lai arī šis partneris, iespējams, izstrādā tikai kādu nelielu infrastruktūras komponenti. Šāda pieeja – ziedot drošību ērtības labad – tiek novērota arī izstrādātāju pusē. Izstrādātājs, paredzot, ka pakalpojuma ņēmējs būs jāatbalsta ilgtermiņā un, iespējams, kaut kādi ierobežojumi tam varētu traucēt, izveido klienta infrastruktūrā, lai arī ne ļaunprātīgu, bet tomēr apzinātu sāneju (backdoors), iegūstot nedokumentētu pieeju klienta infrastruktūrai administratora līmenī. Ar mērķi sniegt klientam nepieciešamo atbalstu, infrastruktūra tiek pakļauta kiberuzbrukumu riskiem, ja tiek kompromitēts izstrādātājs.

Ātruma nozīme pieaug

LLM jeb lielo valodas modeļu esamība ir būtiski samazinājusi laiku, kas nepieciešams uzbrukuma sagatavošanai. Ja iepriekš laiks no pirmajiem zināmajiem uzbrukumiem, izmantojot jaunatklātu ievainojamību, līdz aktīvai šīs ievainojamības ekspluatācijai bija gandrīz mēnesis un vēl tikpat laika pagāja, līdz šie uzbrukumi tika novēroti arī Latvijā, tad 2024.gadā laiks no ievainojamības atklāšanas un ielāpa publicēšanas līdz tās aktīvai izmantošanai uzbrukumos ir sarucis līdz nepilnai nedēļai.

Īpaša uzmanība jāpievērš ārējā perimetra (edge) iekārtām, kas, iespējams, pašas par sevi ir paredzētas drošības paaugstināšanai (piemēram, VPN risinājumi), bet ir iekārojams kiberuzbrucēju mērķis un tiek aktīvi pakļautas kiberuzbrukumiem, tiklīdz tiek atklāta kāda jauna ievainojamība. Edge iekārtu kompromitēšanai jo īpaši aktīvi tiek izmantotas 0-dienas (zero day) ievainojamības, kurām uzbrukuma veikšanas brīdī nav izstrādāti ielāpi, tādēļ svarīgi ir parūpēties par šo iekārtu papildu aizsardzību.

Rezultātā savu iekārtu pārzināšanai, programmatūras un atjauninājumu kontrolei un ievainojamību testēšanai, lai novērtētu to potenciālo ietekmi, ir kritiska nozīme organizācijas kiberdrošības nodrošināšanā. Katras aizmirstas un laikus neatjauninātas sistēmas cena var būt kompromitēta infrastruktūra un noplūduši dati.

Kiberuzbrukums kā mārketinga un informācijas operāciju rīks

Piekļuves atteices (DDoS) uzbrukumi nereti ir saistīti ar lēmumpieņēmēju pausto atbalstu Ukrainai, piemēram, pēc tam, kad Latvijas valsts prezidents Edgars Rinkēvičs jūlijā notikušajā NATO samitā Vašingtonā aicināja atcelt Ukrainai noteiktos ierobežojumus ieroču izmatošanai, Latvijā tika novēroti vērienīgi DDoS uzbrukumi. Kvantitatīvo rādītāju ziņā, salīdzinot ar 2023. gadu, tie ir mazinājušies, dažbrīd apjomam sarūkot pat par 1/2, bet to kvalitāte un jauda pieaug. Apjomīgākais DDoS uzbrukums sasniedza 200 gigabitus sekundē (Gbps) pret vienu mērķi, bet ilgstošākais bija 10 dienas nepārtraukta uzbrukuma turpināšana. Neskatoties uz pieaugošo uzbrukumu intensitāti, to ietekme bija maznozīmīga, kas norāda uz Latvijas augsto kibernoturību.

Iepriekš bija vērojamas situācijas, kad uzbrukumiem tika pakļauta virkne nenozīmīgu mērķu vai tika pārprasts, kas ir tie mērķi, kuriem tiek veikts uzbrukums, piemēram, 2022.gadā Rīgas domes Mājokļu un vides departaments tika noturēts par Iekšlietu ministriju, bet šobrīd vērojams, ka uzbrucēji veic rūpīgāku mērķu izlūkošanu, izpētot sistēmu, ar kuru nāksies saskarties, un citus faktorus, kas varētu ietekmēt uzbrukumu, lai efektīvāk sasniegtu vēlamo pārslodzi/ nepieejamību.

Mērķu izvēlē vērojama neapšaubāma tendence orientēties uz valsts pārvaldes iestādēm un kritisko infrastruktūru. Atsevišķos gadījumos joprojām vērojama slikti izpētītu mērķu izmantošana, piemēram, Skultes ostas domēns, kas regulāri nokļūst dažādos DDoS mērķu sarakstos. Tas varētu būt skaidrojams ar kādas haktīvistu grupas sākotnēji sagatavoto ne pārāk kvalitatīvo mērķu sarakstu, kas ik pa brīdim atkal nonāk apritē.

DDoS uzbrukumos aktīvi tiek izmantotas tīklā/ internetam pieslēgtas nedroši konfigurētas, novecojušas, vai nepareizi pieslēgtas iekārtas. Sākot no televizoriem līdz apkures katliem un solārajām sistēmām, kuras nereti nav uzstādījis pats lietotājs, bet gan pieslēdzis pakalpojuma sniedzējs, ignorējot labās prakses principus.

Uzbrucēji DDoS uzbrukumā izmanto Latvijā esošas ievainojamas iekārtas, lai apietu ierobežojumus, piemēram, ģeobloķēšanu, kas mazina uzbrukuma ietekmi, ierobežojot piekļuvi konkrētajam resursam no noteiktām valstīm vai reģioniem. Attiecīgi šādu neatjauninātu iekārtu uzturētāji rada kiberdrošības apdraudējumu gan sev, gan apkārtējiem.

Prognozes 2025.gadam

2025.gadā politiski motivēti uzbrukumi turpinās būt aktuāli. Baltijas reģionā īpaši pastiprināta būs Krievijas politiku atbalstošu uzbrucēju aktivitāte, taču būs vērojama arī citu valstu atbalstītu uzbrucēju darbība, vēršoties pret valsts iestādēm un kritisko infrastruktūru. Šie uzbrukumi var tikt pielāgoti, izmantojot arvien sarežģītākus uzbrukuma veidus, tostarp mākslīgā intelekta risinājumus.

Kaut arī 2024. gadā Latvija veiksmīgi pretstāvēja intensīvajiem piekļuves atteices (DDoS) uzbrukumiem, 2025.gadā DDoS uzbrukumi var kļūt sarežģītāki un intensīvāki. Uzbrucēji, visticamāk, izmantos jaunas metodes, piemēram, IoT ierīču tīklus vai mākslīgā intelekta vadītas stratēģijas, lai apietu aizsardzības mehānismus.

Mākslīgais intelekts (MI) kļūs par nozīmīgu faktoru gan aizsardzībā, gan uzbrukumos. Kiberdrošības nozarē Mākslīgais intelekts tiks izmantots efektīvākai draudu identificēšanai un ātrākai reaģēšanai. Tajā pat laikā kibernoziedznieki izmantos MI, lai izveidotu ticamākus pikšķerēšanas mēģinājumus, efektīvākas informatīvās operācijas un automatizētus uzbrukumus.

Uzbrukumi piegādes ķēdēm turpinās pieaugt. 2025. gadā uzņēmumiem būs jāveic stingrāki drošības pārbaudes procesi attiecībā uz saviem sadarbības partneriem un pakalpojumu sniedzējiem, jo īpaši IT risinājumu nodrošinātājiem, neaizmirstot definēt skaidrus sadarbības nosacījumus un tos ievērot, neupurējot visas organizācijas drošību īslaicīgām atsevišķu darbinieku ērtībām.

Gan ņemot vērā notikušās datu noplūdes, gan tehnoloģiju attīstību, sociālās inženierijas uzbrukumi kļūs arvien mērķtiecīgāki. Sagaidāms, ka šie uzbrukumi tiks personalizēti, izmantojot publiski pieejamu informāciju un sociālo tīklu datus, lai manipulētu ar lietotājiem.

Lai mazinātu cilvēku faktoru kā vienu no galvenajiem riskiem, 2025. gadā būtisku uzsvaru nepieciešams likt uz sabiedrības izglītošanu par kiberdrošības pamatprincipiem. CERT.LV piedāvā iestādēm un organizācijām gan darbinieku izglītošanas lekcijas kiberhigiēnas apgūšanai, gan praktisko kiberincidenta izmeklēšanas izspēli, lai labāk izprastu kiberincidentu cēloņus un atbilstošu rīcību incidentu novēršanai. CERT.LV arī divas reizes gadā organizē kiberdrošības semināru “Esi drošs”, kas paredzēts galvenokārt kiberdrošības pārvaldniekiem un atbilst Nacionālās kiberdrošības likuma prasībām.

2025.gadā tiek gaidīti arī ar Nacionālās kiberdrošības likumu saistītie Ministru kabineta noteikumi, kas sniegs uzņēmumiem un organizācijām labāku izpratni par veicamajiem uzdevumiem infrastruktūras pilnveidošanai un kiberdrošības stiprināšanai.

Kopumā 2025. gads sola būt dinamiskais kiberdrošības nozarē. Panākumi būs atkarīgi no savlaicīgas tehnoloģiju ieviešanas un prasmīgas to izmantošanas, starptautiskās sadarbības un sabiedrības izpratnes par drošības jautājumiem.