Baiba Kaškina: “Izspiedējvīrusi ir ģeniāls izgudrojums, jo dators ir nošifrēts un viss tālākais ir atkarīgs no mums pašiem – vai dati ir, vai nav vajadzīgi. Ja ir vajadzīgi, tad paši labprātīgi samaksājam un tādējādi hakeris naudu nemaz nezog.”
FOTO: Ieva Čīka/ LETA
Pērn IT drošības incidentu novēršanas institūcija CERT.LV reģistrēja un apstrādāja 606 956 zemas prioritātes kiberincidentus, no kuriem izplatītākie saistīti ar veciem datorvīrusiem un nedroši konfigurētām ierīcēm. Cik bieži šogad pieteikts "kiberšahs"?
Incidentus dalām divās daļās – zemas un augstas prioritātes notikumi. Pie pirmajiem pieskaitām gan inficētus datorus, gan nedroši konfigurētas iekārtas, kā arī datorus, kas ir robotu tīklos. Spektrs ir ļoti plašs. Lai problēmas novērstu, saņemto informāciju ar interneta pakalpojumu sniedzēju palīdzību nosūtām tiem galalietotājiem, kuru datori ir inficēti.
Tā kā mūsu organizācijai rodas arvien vairāk jaunu partneru, saņemam aizvien plašāka spektra informāciju.
Kopumā zemas prioritātes kiberincidentu skaits pieaug – šogad to būs vairāk nekā pērn.
Vai pieaugums ir tāpēc, ka CERT.LV ir paplašinājies redzesloks?
Jā, nāk klāt arvien jauni avoti, kas piegādā informāciju.
Vai jūsu minētie zemas prioritātes incidenti nevar radīt nopietnas sekas?
Pārsvarā gadījumu ir bijusi slikta datora konfigurācija, šo datoru var izmantot kādā kiberuzbrukumā, vai dators ir inficēts ar konkrētu vīrusu – agrāk vai vēlāk tas var novest pie datu vai naudas zuduma, vai vēl kaut kā cita kaitnieciska.
Kāda ir statistika par augstas prioritātes incidentiem?
Augstas prioritātes incidentus, kuri ir 200–300 mēnesī, apstrādājam manuāli (zemas prioritātes incidentu apstrāde ir pilnībā automatizēta), par tiem ziņo cilvēki, nevis roboti; augstas prioritātes incidenti ir tie, kas attiecas uz valsts un pašvaldības iestādēm. Tie mainās atkarībā no globālajām tendencēm un no tā, kas notiek valstī. Piemēram, globāli tiek lietotas augstas ievainojamības mājaslapu sistēmas, piemēram, "Wordpress" (platforma, uz kuras var rakstīt blogus, radīt mājaslapas – red.) vai "Joomla" (satura vadības sistēma, ar kuru var uzturēt mājaslapas, portālus u.tml. – red.). Šādās sistēmās tiek uzturētas daudzas mājaslapas, tāpēc ir paredzams, ka mēģinājumi uzlauzt šīs mājaslapas būs. Šī gada pirmajā ceturksnī bija vairākas svaigas ievainojamības un atbilstoši vairāk incidentu, jo daudzas mājaslapas netika laicīgi salabotas. Otrais ceturksnis šajā ziņā bija klusāks.
Ar katru augstas prioritātes kiberincidentu strādājam individuāli, sekojam līdzi, vai tas tiek atrisināts.
Dzirdēju, ka CERT.LV paši veic testa uzbrukumus publisko iestāžu mājaslapām.
Ielaušanās testus veicam plānveidā, bet Ministru kabineta noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" ir noteikts, ka no jauna veidotās mājaslapas pirms to publiskas izmantošanas ir jānotestē. Nav noteikts, ka tas obligāti būtu jādara CERT.LV. Ir valsts un pašvaldības iestādes, kas par to vienojas ar mums. Uztaisām testu, aizsūtām secinājumus, vai ir atrastas kādas ievainojamības, lai tad, kad mājaslapu "palaiž dzīvē", lielākie caurumi būtu novērsti. Protams, visus caurumus nekad neviens nevar atrast, jo absolūti drošu sistēmu nav.
Ar publisko iestāžu mājaslapām ir divi riski – tās vai nu izķēmo, vai nobloķē un aptur darbību.
Trešais risks ir datu izzagšana, iegūšana vai arī izmainīšana. Ja dati ir pieejami tikai noteiktai lietotāju grupai, tikai autorizējoties, un mājaslapai ir drošības problēmas, un var tikt klāt jebkurš, tad tos var publiskot vai vēl sliktāk – izmainīt.
Tātad, ielaužoties mājaslapā, gan pašvaldībai, gan lietotājam var izdarīt ekonomisko kaitējumu?
Jā, bet atkarīgs, kā sistēmas arhitektūra, kurai tiek klāt uzlauzējs, ir veidota tālāk – vai tā ir pamatdatu bāze jeb tikai spoguļdatu bāze. Iespējams, pamatdatu bāze ir labāk nodrošināta, un tajā dati paliek nemainīgi.
Kiberincidentu skaits, kas saistīti ar mobilajām ierīcēm, visā pasaulē strauji pieaug, un, lai arī tieši Latvijai domāti uzbrukumi nav fiksēti, tādi drīz varētu tikt sagaidīti, februārī prognozēja CERT.LV. Vai šo kiberuzbrukumu ir jūtami vairāk?
Pašlaik Latvijā vēl ir diezgan mierīgi. Ir gadījumi, kur ir nelielas problēmas, bet to ir nedaudz. Turklāt neviena no šīm kampaņām pagaidām nav bijusi mērķēta uz Latvijas lietotājiem vai Latvijas aplikācijām.
Vai tāpēc var domāt, ka nevienam neesam interesanti?
Pagaidām neesam. Cilvēki, kas savām vajadzībām instalē aplikācijas no Krievijas vai Lielbritānijas vietnēm, saskaras ar vīrusiem, kas paredzēti tieši turienes tirgum. Ļoti bieži mūsu vidē tie nestrādā, jo paredzēti maksas īsziņu sūtīšanai, kas darbojas tikai kāda Krievijas operatora tīklā, un šeit var nozagt tikai kādus datus, bet kaitīgās īsziņas nosūtīt nevar.
Pērnā gada CERT.LV pārskatā rakstīts, ka visvairāk incidentu saistīti ar finanšu datu izkrāpšanu. Vai šī tendence saglabājas joprojām?
Jā, lielākais uzbrukumu apjoms ir saistīts ar naudas iegūšanu. Šogad visvairāk izplatītie ir šifrējošie datorvīrusi. Tas nozīmē, ka kaut kādā veidā jūsu dators tiek pie šī vīrusa, tas sašifrē datus – bildes, informāciju u.c. – no jūsu diska un prasa izpirkuma maksu. Tad jūs vai nu prasīto samaksājat, vai par šiem datiem varat aizmirst. Ja ir pietiekami svaiga rezerves kopija, tad pārinstalējam datoru un dzīvojam no jauna. Ja rezerves kopijas nav un dati ir ļoti svarīgi, un uzbrucēji izmanto tādu metodi, kas pagaidām nav uzlauzta, tad ir daudzi, kas diemžēl ir bijuši spiesti maksāt, lai varētu turpināt darbu.
Kuras iestādes ir skāruši šifrējošie datorvīrusi? Bankas, maksāšanas iestādes?
Upuris var būt jebkurš. Pārsvarā mērķē uz maziem uzņēmumiem, uz diezgan neaizsargātu sektoru, kas nav pārāk labi nodrošinājies kibervidē – kur nebūs rezerves kopiju, nav pietiekami labi drošības noteikumi un kontroles, lai nevarētu atvērt kādus kaitīgus failus. Ir iestādes, kurās darbiniekiem ir noliegts atvērt dažādus failu veidus, un tad ir mazāka iespēja inficēt savu datoru.
Bet, ja ir maza kompānija, nekādu ierobežojumu un drošības noteikumu nav, sekretāre, piemēram, atver e-pastu un tā pielikumu, dators nošifrējas, pa tīklu nošifrējas arī pārējie datori. Un tad uzņēmumam ir tikai viena iespēja, lai varētu turpināt strādāt, – samaksāt.
Un cik daudz prasa?
Samaksu prasa bitkoinos. Tā ir atkarīga no vīrusa un ģeogrāfiskā izvietojuma – cik bagāta ir katra valsts. Summas svārstās no pāris bitkoiniem (kas ir ap 600 eiro) līdz vairākiem desmitiem bitkoinu. Jo lielāka kompānija, jo summa ir iespaidīgāka.
Privātpersonai varētu prasīt arī mazāk. Elektroniskā nauda ir neizsekojama, tāpēc izpirkumu prasa bitkoinos.
Kas to veic?
Tie, kas grib iedzīvoties šādā veidā. Šifrējošie vīrusi ir savairojušies ļoti daudz un dažādi. No kriminālās pasaules viedokļa tas arī ir tirgus. Ir, kas ražo algoritmus un vīrusus, ir, kas pērk iespēju izmantot šos vīrusus, piemēram, licenci uz mēnesi, un tad vari inficēt lietotājus. Tas ir bizness.
Tā ir liela industrija – līdzīgi, kā var veikalā nopirkt mūķīzeru, ar ko kaimiņam pārzāģēt žogu.
Šajā vīrusu pasaulē ir dažādi posmi. Tie, kas ražo algoritmus, nav tie paši, kas ievāc naudu, jo viņiem jau ir samaksāts citādā veidā.
Un tas viss tiek tirgots tā sauktajā tumšajā tīklā, dark net?
Gan tajā, gan citviet. Ir arī citi kanāli, bet tos neesam sīki pētījuši.
Vienu brīdi iestādes bija šo tumšo tīklu nedaudz paārdījušas. Vai tas mazināja kiberuzbrukumus?
ASV drošības iestādes ir lielākie cīnītāji šajā vidē, diezgan daudz ir darījuši holandieši. CERT.LV nav tie, kas izsper durvis un paņem datoru, mums ir citas funkcijas.
Vai paārdīšana ietekmējusi uzbrukumus? Kritums bija, bet vieta jau nepaliek tukša.
Kaitnieciskā darbība, cik saprotams, ir naudīga – apgrozās lielas summas.
Viens cilvēks, padarbojoties šajā biznesā pāris mēnešus, ja viņu nenoķer, var pāris gadus nestrādāt.
Pretēji klasiskai kriminālistikai - hakeris jau nekad savu upuri neredz, nav upura priekšā jāvicina duncis vai pistole, vai jāriskē ar savu dzīvību.
Izspiedējvīrusi šajā ziņā ir ģeniāls izgudrojums, jo dators ir nošifrēts un viss tālākais ir atkarīgs no mums pašiem – vai dati ir, vai nav vajadzīgi. Ja ir vajadzīgi, tad paši labprātīgi samaksājam – hakeris naudu nemaz nezog.
Kādi ieteikumi ir aizsardzībai? Ko darīt, lai šādas darbības nenotiktu?
Lai izsargātos no šifrētiem vīrusiem, ir vajadzīga kompleksa aizsardzība, ar vienu darbību nepietiks. Noteikti ir vajadzīgas rezerves kopijas, tās jāglabā nepieslēgtas datoram. Ja šis disks visu laiku būs pieslēgts datoram, tad vīruss skars arī to.
Pārējie padomi jau ir klasiski, kas piemērojami arī citos vīrusu gadījumos – nevērt vaļā e-pasta pielikumus, par kuru leģitimitāti nav lielas pārliecības. Ir iespēja inficēties no mājaslapām, arī leģitīmām, ja tās ir uzlauztas, un pret to pasargā tikai datorprogrammu laicīga atjaunošana – gan PDF lasītājam, gan interneta pārlūkprogrammām u.c. jābūt atjauninātām.
Tā nav mājaslapu izķēmošana. Vai mājaslapas turētājs var nepamanīt kriptovīrusu?
Ja vien mājaslapa kaut kādām vajadzībām netiek uzraudzīta un ja informācija nepienāk no citurienes, ka mājaslapa ir inficēta, viņš to var nepamanīt. Tādi gadījumi ir bijuši arī Latvijā.
Viskaitīgākie mājaslapu uzbrukumi ir tie, kurus neviens neredz.
Ja mērķis ir šo mājaslapu mazliet pamainīt, lai tās apmeklētāji tiktu pēc tam inficēti, tad tas ir ārkārtīgi kaitīgi.
Tad jau jāinficē tādas mājaslapas, kas ir labi apmeklētas. Kuras tās ir?
Jā, tēmē uz labi apmeklētiem portāliem. Nevaru nosaukt konkrētus gadījumus, ja tie nekur nav izskanējuši, tā ir konfidenciāla informācija.
Tā ir delikāta lieta, pāris stundu laikā iestādes reputācija var pārvērsties drupās!
Jā, šogad Latvijā arī ir bijuši daži šādi gadījumi.
Runājot par uzbrukumiem ārpus datoru/serveru pasaules, vai Latvijā ir pamanīti uzbrukumi automašīnu elektronikai (aizslēdz mašīnu, izspiež naudu), novērošanas kameru tīkliem (lai piesegtu noziegums vai "prieka pēc") vai bankomātiem, kā tas esot noticis nesen Taivānā (Taivānas policija aizturēja trīs ārvalstniekus, tostarp Latvijas pilsoni, aizdomās par 81 miljona Taivānas dolāru (2,3 miljonu eiro) izkrāpšanu, ar ļaunprogrammatūras palīdzību piekļūstot lielas vietējās bankas bankomātu tīklam un nozogot naudu – red.)? Vai pamanīti centieni uzbrukumiem jauna tipa ierīcēm - vingrošanas aprocēm, kas piesaistītas viedtālrunim?
Par šāda veida incidentiem CERT.LV vēl nav ziņots. Paši esam pētījuši video kameru ievainojamības, arī citas ierīces. Konferencēs šī tēma ir ļoti populāra, ir dzirdēti stāsti arī par sirds vārstuļu mehānismu ievainojamību un citiem gadījumiem. Ja šādas situācijas kāds ļaunprātīgi izmantotu, tās var beigties pat letāli.
Bet pagaidām tas vairāk ir pētījumu, nevis ikdienas incidentu līmenī.
Daudzi tehnoloģiju uzņēmumi strādā pie ātrgaitas piektās paaudzes (5G) bezvadu interneta tehnoloģijas, kas paātrinātu tā saucamo lietu internetu attīstību – apkures sistēma, apgaismojums, mājas internets, mašīna...
...ledusskapis.
Ja uzlauž "gudro" ledusskapi, tad, atbraucot mājās pēc brīvdienām, varētu nākties konstatēt, ka tajā joka pēc ir ievietoti 17 saldēti tītari?
Tādus scenārijus daudz kur apskata.
Vai CERT.LV gatavojas šādām situācijām - kad vairāk incidentu būs sakarā ar lietu internetu?
Skumjā realitāte ir tāda, ka šo lietu ražotāji vai nu par drošību domā minimāli, vai nemaz. Tas mainās ļoti lēnām. Ja ledusskapim nebūs nekādas drošības sistēmas, protams, kaut ko var mēģināt darīt ar [interneta] tīkla filtriem, bet, visticamāk, tas būs par vēlu, tie 17 tītari jau būs ledusskapī. Tas nav tikai CERT.LV rokās, tas ir kopējais spiediens uz lietu ražotājiem, ka jādomā arī par drošību. Kas atnāks pirmais – vai drošība šajās ierīcēs, vai 5G? Es minētu, ka 5G būs ātrāk.
Apdraudējums ir tas, ka visi grib ražot supermodernas iekārtas, bet nav domāts par to drošību. Ja man ir "gudrais" ledusskapis un tas ir uzlauzts, ir grūti pārprogrammēt mikroshēmu, kas ir iebūvēta kopā ar visu programmatūru.
Es cerētu, ka ir slēdzītis, kur var atslēgt tīkla pieslēgumu. Tā būtu vienīgā cerība.
Atslēdzot "gudro" ledusskapi no tīkla, zustu tā funkcionalitāte, kādēļ es maksāju papildu 50 eiro.
Varētu būt, ka ledusskapī iebūvētai programmatūrai var uzlikt ielāpu – patch, ja tāds ir pieejams, kas novērstu ievainojamību.
Katrā ziņā te paveras jauns apdraudējumu lauks. Par sociālajiem tīkliem - ja agrāk pie CERT.LV vērsās par mājaslapu izķēmošanu, vai ir gadījumi, kad meklē palīdzību, jo kādas personas vai iestādes vārdā tiek izmantots viltus "Twitter" konts vai ir klonēts "Facebook" konts? Ko var darīt, un vai tas vispār ir CERT.LV kompetencē?
Iespējas ir dažādas, taču jautājums ir – ar kādu mērķi tas tiek darīts? Vai diskreditēt personu, darot viņas vārdā kaut ko, par ko pēc tam ir kauns? Vai mērķis ir savākt kontaktus un pēc tam kaut ko adresātiem izsūtīt? Tā var būt reklāma, spams, vīruss. "Facebook" šādos gadījumos diezgan aktīvi tiek sūtītas saites uz porno lapām.
CERT.LV vairāk iesaistās tad, ja konts ir pilnībā pārņemts vai daļēji tiek izmantots, lai nosūtītu kontaktu lokam saites, kur pretī ir reāls vīruss. Skatāmies, kur šis vīruss glabājas, mēģinām strauji nobloķēt, lai pie tā nevarētu tikt. Mēģinām saprast, vai tas ir lokāli organizēts – tad ir jāziņo policijai. Ja tas nav ar Latviju saistīts, tad ir cita situācija.
Cik bieži ir gadījumi, kad "Facebook" draugs atsūta pornofilmiņas vai citas nejēdzības?
CERT.LV daudzi iedzīvotāji zina un ziņo par dažādiem gadījumiem. Atsevišķās situācijās, kas saistītas ar saturu, varam tikai konsultēt, bet ir gadījumi, kas saistīti ar vīrusiem. Šo ziņojumu nav daudz – pāris nedēļā.
Vai tā ir augoša problēma sociālajos tīklos?
Tā drīzāk ir augoša iedzīvotāju informētība, ka par problēmām digitālajā vidē viņi var ar mums sazināties. Mūsu mērķis ir katram ziņotājam atbildēt, paskaidrot, vai varam palīdzēt vai ne. Ja nevaram, to varbūt var izdarīt kāds cits. Bieži cilvēki satraucas, ka saņēmuši kaut ko un jautā – ko mums darīt? Atbilde ir – izmetiet ārā un nedariet neko. Problēma ir atrisināta.
Pēdējās dienās Rīgā un arī ASV, Ņujorkas Centrālparkā, cilvēku pūļi dzenas pakaļ neredzamiem virtuāliem tēliem, kas saistīti ar pokemonu spēli viedtālruņos. Kādi kiberdrošības riski saistīti ar papildinātas realitātes spēlēm? Izņemot to, ka var izskriet priekšā trolejbusam?
Jau spēles pirmajās dienās informējām, ka, ja spēli instalē no nelegālas mājaslapas, tā var būt nedaudz uzlabota – ne tikai iespēja ķert pokemonus, bet arī kāds noklausās telefonsarunas, sūta maksas īsziņas jūsu vārdā utt. Ja labprātīgi instalējat programmu, kas ir inficēta, tad tiek inficēts arī tālrunis. Tas ir viens no riskiem, par ko CERT.LV tieši interesējas. Ja tāds gadījums Latvijā ir, tad gribētos uzzināt, no kurienes ir programma un dabūt kopiju. Pašlaik cilvēku, kas tādā veidā būtu inficējis savu telefonu, neesam satikuši. Droši vien, ka tādi ir, bet viņi par to vēl nezina.
Tā ir potenciāla zelta bedre krāpniekiem.
Spēle ir ļoti populāra. Ja kāds to nevarēs dabūt legālā veidā, tad noteikti tiks piedāvātas alternatīvas.
Spēli legāli pagaidām var ielādēt bez maksas.
Ja to piedāvās par naudu, tad droši vien būs bezmaksas versijas, kurām klāt būs papildus "cepumiņi" (izsekošanas programmas – red.). Vienmēr aicinām instalēt programmu tikai no oficiālām saitēm.
Vai ir pamanīti profesionāli svešas valsts hakerēšanas gadījumi, kiberieroči, kuri skar lielus infrastruktūras objektus, industriālās iekārtas, piemēram, "Latvenergo" hidroelektrostaciju slūžas?
Ja runājam par iespēju ietekmēt lielos infrastruktūras objektus, tad viens ir programma, kas to var izdarīt, otrs – kā šeit uz vietas viss ir uzbūvēts, cik viegli ir piekļūt pie šādas industriālas iekārtas. Šajā jomā gan mēs, gan citas iestādes ir ļoti nopietni piedalījušās sadarbībā ar industriālo iekārtu turētājiem, lai saprastu, kādas ir drošības pakāpes. Gribētu teikt, ka nav tā, ka kāds var iesūtīt vienu programmiņu un atvērsies slūžas. Šīs sistēmas ir nodrošinātas daudz pamatīgāk.
Ja spriežam par citām valstīm, tad Latvijas kontekstā var runāt par daudzām spiegošanas programmām. Ir dažādi vīrusi, kuru galvenais mērķis ir nokļūt kādā no valsts iestāžu tīkliem, tur uzturēties pēc iespējas ilgāk un nemanāmāk, vākt informāciju par visdažādākajām lietām. Šādi gadījumi Latvijā ir bijuši, tie notiek diezgan regulāri. Programmas tiek veidotas ar mērķi, lai tās būtu maksimāli grūti atklāt. Līdz ar to par vīrusu uzzinām tikai brīdī, kad kāds no labajiem spēkiem/partneriem programmu ir atklājis un dalās ar informāciju, kā to pamanīt - pēc domēna vārdiem vai IP adresēm.
Tas ir samērā sarežģīts darbs – katrai iestādei ir jāfiltrē interneta darbība, jāpārbauda visi savienojumi.
Tas ir sarežģīti, bet viens no CERT.LV projektiem, kuru uzturam otro gadu, ir sensoru tīkls, kura veidošanas viens no galvenajiem mērķiem ir sekmīgāk identificēt tieši spiegu vīrusus.
Vai šis tīkls darbojas valsts iestādēs?
Jā, visās lielākajās valsts iestādēs un ministrijās. Sākam to izmantot arī pašvaldībās un citās valsts iestādēs.
Skatāties interneta savienojamības plūsmas, un, ja kaut kas aizdomīgs gadās, parādās dzeltenais vai sarkanais karodziņš?
Jā, ir iespēja skatīties arī vēsturiskos datus.
Cik bieži saskaraties ar šādiem gadījumiem? Tie droši vien ir ļoti mērķtiecīgi.
Katrs no šiem gadījumiem ir ļoti nopietns. Tie notiek apmēram reizi mēnesī.
No kuras puses pūš vējš?
No vienas puses.
No Austrumiem?
Jā.
Kādas būtu pamatlietas, kas būtu jāievēro katram indivīdam, aizsargājoties pret hakeriem?
Ir jārūpējas par datora higiēnu un drošību – lai programmas būtu atjauninātas, lai nebūtu nelicencētas programmas kopā jau ar kādiem vīrusiem. Lai būtu antivīruss, ieslēgta ugunssiena – pasākumu kopums, kas nodrošina datoru.
Otra lieta ir lietotāja darbības – nevērt vaļā aizdomīgus e-pasta pielikumus, neklikšķināt uz aizdomīgām saitēm. Gatavas receptes šeit nav – te ir jālieto veselais saprāts.
Trešā lieta ir rezerves kopijas. Ja gadās šifrējošais izspiedējvīruss, tās ir vislabākās zāles.