Pieaugot ģeopolitiskajam saspīlējumam un kiberdraudiem, CERT.LV publicē drošības ieteikumus

Latvijā
Sargs.lv/CERT.LV
Kiberdrošība
Foto: Foto: Pixabay.com

Ņemot vērā šī brīža saspīlēto ģeopolitisko situāciju Eiropā un nesenos kiberuzbrukumus Ukrainas valdības informācijas resursiem, informāciju tehnoloģiju drošības incidentu novēršanas institūcija “CERT.LV” ir apkopojusi ieteikumus Latvijas publiskā un privātā sektora iestādēm un uzņēmumiem.

Šie ieteikumi izceļ tos kiberdrošības jautājumus, kuru pārvaldībai šobrīd vajadzētu pievērst pastiprinātu uzmanību, kā arī atgādina par kiberdrošības labās prakses pamatprincipiem iestāžu un uzņēmumu darbiniekiem.

Kā pirmo svarīgo kiberdrošības aspektu CERT.LV min tūlītēju iestāžu un uzņēmumu programmatūru atjauninājumu un uzstādīšanu, jo pat viena nokavēta diena šo procesu neizdarībā var būt kritiska.

Vēl tiek ieteikts  novērot VPN vārteju pieslēgumus un gadījumos, kad tiek reģistrēts sekmīgs pieslēgums no ārvalstu vai netipiskiem tīkliem, tas jāuzskata par incidentu. Svarīgi, lai VPN tīkla savienojumi ir veidoti ar darba vajadzībām atbilstošām piekļuves tiesībām un tīkla segmentāciju. Nedrīkst pieļaut konfigurāciju, kurā ir iespējams nekontrolēti piekļūt visam organizācijas korporatīvajam tīklam un jebkurai iekšējai sistēmai tikai ar sekmīgu VPN savienojumu, bez papildus tīkla līmeņa ierobežojumiem. Tāpat jāierobežo piekļuve sistēmām tikai no Latvijas IP adrešu apgabaliem, ja to pieļauj sistēmas lietojums. Latvijas IP adrešu saraksts pieejams šeit: https://www.nic.lv/lix

Iestādēm un uzņēmumiem obligāti jāievieš un jāizmanto daudzfaktoru autentifikācija - jebkur, kur tas ir iespējams. “CERT.LV” informē, ka tas attiecas arī uz VPN servisu un jebkuru tīmekļa saskari, kura pieejama publiskā interneta tīklā. Arī iestāžu sociālo tīklu kontiem jābūt aizsargātiem ar daudzfaktoru autentifikāciju. Jābūt izstrādātai konta atgūšanas procedūrai, kuru pielietot incidenta gadījumā. Kā arī jāpārskata sociālo tīklu administrēšanas politika - un jānoņem administratora / redaktora tiesības tiem darbiniekiem, kas iestādē vairs nestrādā.

Lai nodrošinātu aizsargātākas tīmekļvietnes, svarīgi veikt regulāru atjauninājumu un drošības ielāpu uzstādīšanu servera sistēmās un visam programmnodrošinājumam. Populārākajām atvērtā koda satura vadības sistēmām (“Drupal”, “Wordpress”) atjauninājumu uzstādīšanu automātiski nodrošina ražotājs, bet par to sekmīgu uzstādīšanu vienmēr ieteicams pārliecināties. “CERT.LV” iesaka izvairīties no trešo pušu izstrādātu spraudņu lietošanas (CMS plugins), jo to atjauninājumus un drošību nepārvalda satura vadības sistēmas ražotājs.

Savukārt satura vadības sistēmas administratīvajai daļai (admin panelim) pēc iespējas vairāk jāierobežo piekļuve. Jāiespējo daudzfaktoru autentifikācija. Jāierobežo tīkli, no kuriem iespējams pieslēgties administratīvajai daļai, kā arī jāuzrauga privilēģētie konti (tajā skaitā administratoru konti).Valsts un pašvaldību iestāžu tīmekļvietnēm un publiskā tīklā pieejamām informācijas sistēmām jāveic regulāri ielaušanās testi un drošības auditi, jānovērš nepilnības.

Tāpat visas paaugstinātas drošības klasifikācijas sistēmas (MK422) jāuztur tādā infrastruktūrā, kura nodrošina pārbaudītu aizsardzību pret pārslodzes un sistēmas lietojuma uzbrukumiem (DDOS & Application layer attacks). Valsts pārvaldes iestādēm šādu pakalpojumu nodrošina Latvijas Valsts radio un televīzijas centrs (LVRTC), taču arī lielākie Latvijas datu centru un mitināšanas pakalpojumu sniedzēji piedāvā līdzīgus pakalpojumus.

Pēc “CERT.LV” apkopotās informācijas, novērotie un iespējamie turpmākie uzbrukumi saistīti ar Krievijas un Baltkrievijas kiberuzbrucēju grupām, kuras uzbrukumus veic IT sistēmās savlaicīgi, vēl pirms acīmredzamas saspīlējuma eskalācijas un ārēji pamanāmu kiberuzbrukumu veikšanas.

Arī Ukrainā pieredzēto kiberuzbrukumu sekas ir ilglaicīgas plānošanas un sabotāžas rezultāts. Tas kārtējo reizi apliecina, ka IKT infrastruktūras drošībai ir jāseko savlaicīgi un nepārtraukti jātiecās to uzlabot, lai nav jārisina krīzes situācija brīdī, kad tas jau ir par vēlu un ar smagākām sekām.

Uzbrukumi valsts pārvaldes iestāžu tīmekļvietnēm visbiežāk tiek realizēti izmantojot jau publiski zināmas ievainojamības satura vadības sistēmās. Ukrainas gadījumā uzbrukumiem tika pakļauta satura vadības sistēma “OctoberCMS”, kura plaši tika pielietota Ukrainas valsts pārvaldes iestādēs. “CERT.LV” rīcībā esošā informācija liecina, ka “OctoberCMS” satura vadības sistēma Latvijā netiek plaši izmantota, taču šie paši riski attiecas uz visām satura vadības sistēmām, tajā skaitā populārajām “Drupal”, “Wordpress” un citām, tāpēc savlacīga atjauninājumu veikšana un papildu aizsardzība ir obligāta.

Norādīts, ka visbiežāk uzbrukumi ir ar destruktīviem šifrējošiem / datu iznīcināšanas vīrusiem (WhisperGate). Arī šie uzbrukumi, kuri mērķēti pret valsts pārvaldes iestāžu iekštīkliem (ar augstu ticamību), tiek plānoti un realizēti savlaicīgi. Tas nozīmē, ka uzbrucējs ir kompromitējis mērķa iestādes tīklu jau iepriekš, taču uzbrukuma fakts ir pamanīts tikai brīdī, kad uzbrucējs uzsāk destruktīvas darbības. Šāda uzbrukuma agrīnās fāzes ir iespējams identificēt ar “CERT.LV” agrās brīdināšanas sistēmas starpniecību, lai šīs sistēmas uzstādītu valsts un pašvaldību iestādes, kā arī pamatpakalpojumu un digitālo pakalpojumu sniedzēji var pieteikties informāciju tehnoloģiju drošības incidentu novēršanas institūcijā “CERT.LV”. Aktīvai aizsardzībai ieteicams izmantot “CERT.LV DNS” ugunsmūra pakalpojumu. Ar šī pakalpojuma uzstādīšanas instrukcijām var iepazīties šeit: https://dnsmuris.lv

Gadījumos, kad uzbrukumi paredz piegādes ķēdes kompromitēšanu īpaši svarīgi pievērst uzmanību tam, kā tiek pārvaldīta trešo pušu programmatūras un informācijas sistēmu lietošana un atjauninājumu verifikācija. Šādos gadījumos visbiežāk uzbrukumiem varētu tikt pakļautas dokumentu vadības sistēmas, monitoringa sistēmas, grāmatvedības un noliktavu uzskaites sistēmas un veselības aprūpes atbalsta sistēmas valsts un privātā sektorā.

Lai uzturētu iekārtu pilnīgu drošību nepieciešams nodrošināt pareizu ugunsmūra konfigurāciju darba iekārtā, gadījumos, kad darbinieks strādā attālināti. Tā, lai iekārta nebūtu pieejama no publiskā interneta (it īpaši, izmantojot tādas attālinātās pārvaldības programmas kā “RemoteDesktop” u.c). Pretējā gadījumā, kompromitējot publiski pieejamu servisu, uzbrucējam var tikt nodrošināta piekļuve pie korporatīvā tīkla. Tāpat darba iekārtām jānodrošina interneta plūsma tikai caur uzticamu korporatīvo VPN tuneli, jo šādā veidā tiek iesaistītas uzņēmuma / iestādes aizsardzības sistēmas (IPS/Firewall/u.c). Darba iekārtai obligāti jāveic visas korporatīvā tīkla drošības prasības, arī strādājot no mājām. Turklāt arī attālinātā darba veicējam mājas interneta pieslēguma maršrutētājam (rūterim) regulāri ir jāveic atjauninājumi, ja tādi ir pieejami, un jāpārliecinās par tā drošu konfigurāciju, konsultējoties ar savu interneta pakalpojumu sniedzēju.

Datu sargāšanas nolūkos jāpārliecinās, ka svarīgiem datiem, sistēmu un iekārtu konfigurācijām tiek veidotas rezerves kopijas. Tāpēc Vismaz vienai kopijai jābūt bezsaistē - uz ārēja, no tīkla atvienota diska, vai tādai, kura nav modificējama no potenciāli kompromitētā tīkla vai iekārtām. Datus  rezerves kopijās nepieciešams atšifrēt, jo īpaši tām kopijām, kuras atrodas ārpus iestādes infrastruktūras. Svarīgi, ka atšifrēšanas atslēgām jābūt pieejamām vismaz diviem iestādes darbiniekiem un tās jāglabā drošā vietā, kā arī jāpārliecinās, ka no rezerves kopijām var atjaunot nepieciešamos datus un jāzina, cik ilgs laiks tam nepieciešams.

Savukārt, lai nodrošinātu  informāciju sistēmu drošību augstā līmenī, jāveic inventarizācija, tas nozīmē, ka iestādē vai uzņēmumā nepieciešams pārskatīt esošās informācijas sistēmas, iekārtas, servisus un programmnodrošinājumu, un jāpārliecinās, ka tām ir nozīmētas par drošību atbildīgās personas, un tās veic savus pienākumus. Vienmēr jāizslēdz vai jāizolē nezināmās vai neuzturētās sistēmas, un jānodrošina spēja identificēt jaunu, nesankcionētu iekārtu parādīšanos pārvaldītajā tīklā. Visbeidzot, jāpārliecinās, ka pārvaldītajā IKT infrastruktūrā tiek uzkrāti auditācijas pieraksti (žurnālfaili) pietiekamā apjomā un tie pieejami tik ilgi, lai būtu iespējama detalizēta incidenta izmeklēšana vismaz 12 mēnešu periodā.

Dalies ar šo ziņu