Paliekam mājās, bet paliekam droši

Cert.lv ziņo, ka 2020. gada martā apdraudētas bijušas 101 685 unikālās IP adreses Latvijā; vairāk nekā 61 % incidentu bija saistīti ar sistēmu konfigurācijas nepilnībām. Bils Geitss vēl 2015. gadā, pēc Ebolas vīrusa uzliesmojuma Āfrikā, brīdināja par nākamo iespējamo epidēmiju un nepieciešamajiem pasākumiem, lai to novērstu. Vai mēs bijām gatavi Covid-19? Vai mēs bijām gatavi šādam izaicinājumam tehnoloģiski?  Vai mums bija plāns, ko darīt šādā situācijā un kā nodrošināt mūsu funkciju izpildi jaunos apstākļos?

Internetam nevar slēgt robežas. Cilvēku skaits, kas strādā attālināti, īsā laikā ir daudzkāršojies, un ne visi tik ātri var mainīt savus ieradumus. Tas rada papildu riskus gan uzņēmumiem, gan valsts pārvaldei.

Lūk, pamata lietas, kas jāatceras pašiem un jāatgādina saviem kolēģiem un biznesa partneriem.

• Interneta vidē vai telefoniski neatklāt savu personisko vai uzņēmuma informāciju, vēl jo vairāk – finanšu vai komercdarbībai svarīgu informāciju vai piekļuves kodus. Neatbildēt uz e-pastiem, kas pieprasa šādu informāciju, un nespiest lejupielādes pogas, nedoties uz interneta vietnēm, kas iekļautas šādos e-pastos.
• Pievērst uzmanību interneta vietnes nosaukumam un paplašinājumam, piemēram, vai tiešām ir .com, .lv, .eu, un tam, vai šai vietnei ir drošības sertifikāts, ko jūsu interneta pārlūks apstiprina. Krāpšanas lapas var izskatīties teju identiskas jūsu internetbankas vai cita pakalpojuma sniedzēja mājaslapai.
• Ja rodas kaut mazākās šaubas par e-pasta vai interneta vietnes izcelsmi, nekavējoties ziņojiet par to jūsu uzņēmuma kiberdrošības speciālistam, lai novērstu risku, ka kolēģis vai biznesa partneris nokļūdās, radot apdraudējumu sev un jums.
• Uzturiet savas iekārtas kārtībā un tīras. Iekārtām, ko izmantojat savu pienākumu veikšanai, uzstādiet jaunākos operētājsistēmu, iekārtu sistēmu un antivīrusu atjauninājumus, kas samazinās iespēju inficēt tās ar ļaunprogrammatūru un uzlabos jūsu, kolēģu un uzņēmumu drošību kopumā. Tas attiecas gan uz visiem datoriem ar Windows vai Mac OS, gan uz jūsu planšeti vai telefonu ar Android vai IOS, gan bezvadu piekļuves iekārtām mājās. Izdzēsiet no savām iekārtām lietotnes, ko ikdienā neizmantojat vai kuru izcelsme nav skaidra.
• Savienojoties attālināti no mājām, izmantojiet tikai VPN pieslēgumu, ko nodrošina jūsu uzņēmums, un pārliecinieties, ka jūsu bezvadu maršrutētājam ir pietiekami droša parole un atjaunota sistēmas versija.
• Ja mājas bezvadu tīkls to nodrošina, darba vajadzībām izmantojiet cita nosaukuma bezvadu tīklu nekā privātajām iekārtām.
• Strādājot no mājām, beidzot darbu, obligāti atslēdzaties no uzņēmuma tīkla un pēc iespējas atslēdziet iekārtām bezvadu piekļuvi, ieskaitot Bluetooth, samazinot piekļuvi iekārtām mazāk drošos tīklos.
• Nedodiet savas darbam izmantojamās iekārtas citām personām, ieskaitot ģimenes locekļus, lai samazinātu iespēju nejauši pieslēgties nedrošiem interneta resursiem vai ielādēt ļaunprogramatūru.
• Droša autorizācija un paroles. Nelietojiet triviālas vai vienādas paroles visur, izmantojiet un aktivizējiet vairāku līmeņu autorizāciju, lai samazinātu iespēju ļaundariem izmantot jūsu datus vai piekļuvi.

Uz Eiropas Savienības kopējā fona gan Covid-19 izplatības, gan izteikti ātra fiksētā un mobilā interneta dēļ mēs Latvijā esam salīdzinoši veiksminieki. Daudzi uzņēmumi jau pirms pandēmijas plaši izmantoja drošus un kriptētus attālinātus pieslēgumus birojiem. Domāju, mums visiem jāpateicas telekomunikāciju industrijas pārstāvjiem par milzīgo ieguldījumu šīs kritiskās infrastruktūras izveidē un uzturēšanā.

Vitāli svarīgs joprojām ir iegādāto iekārtu drošības jautājums. Var iegādāties visdārgākās iekārtas, bet, ja tās nav pareizi konfigurētas, sagatavotas darbam un to sistēmas nav atjauninātas, tad sevi pakļaujam nevajadzīgam riskam.

Ne mazāk svarīga drošībai ir  iekārtu izcelsme. Jau 2016. gadā Samsung Research America speciālisti ziņoja, ka, gada laikā testējot vairāk nekā 700 Ķīnā ražotu iekārtu, 27 no tām jau bija iebūvēta ļaunprogramatūra. Cik drošas ir iekārtas, ko  lietojam savā uzņēmumā, valsts pārvaldē vai mājās? Vai dažu simtu eiro cenu atšķirība viedtālrunim ir tā vērta, lai pakļautu sevi un citus riskam? Vai par piecu eiro ietaupījumu mēnesī mēs esam gatavi riskēt un izmantot daudzviet pasaulē valsts pārvaldē aizliegtus ražotājus, piemēram, Huawei, Lenovo un citus? Mums būtu skaidri jāapzinās, ka neviens Ķīnas pilsonis vai  uzņēmums nevar pārkāpt Ķīnas likumus, kas paredz informācijas nodošanu pieprasījuma Ķīnas valsts struktūrām pēc pirmā pieprasījuma. Jurisprudences profesors Džeroms Koens no Vašingtonas Universitātes, kā arī citi eksperti apstiprina, ka šāda datu nodošanas prakse pastāv un nav iespējams tos nedot Ķīnas Komunistiskās partijas kontrolētā valstī, neraugoties uz mārketinga stāstiem par biznesa ētiku un rūpēm par saviem klientiem.

Viens no vadošajiem Latvijas telekomunikāciju uzņēmumiem ir ieviesis daudz kiberdrošības pasākumu, par kuriem, iespējams, vairums Latvijas iedzīvotāju nemaz nezina. Interesantākais – visas iekārtas, ieskaitot viedpulksteņus un citas attālināti pieslēdzamas iekārtas, piemēram, kameras, kas tiek piegādātas gan korporatīvajiem, gan privātajiem klientiem, tiek intensīvi testētas attiecībā uz iespējamajiem kiberdrošības riskiem. Iekārtu skaits, kuras netiek līdz tirdzniecībai, ir mērāms desmitos. Tas ir sociāli atbildīgi un pareizi.

Attālināto videokonferenču skaits gan Latvijā, gan pasaulē ir audzis ģeometriskā progresijā, tādu pakalpojumu sniedzēju kā Zoom akciju vērtība ir augusi no 76 dolāriem par akciju šā gada februārī līdz 150 dolāriem aprīlī. Interesanti, ka Zoom šajā kāpumā ir piedzīvojis arī kritumus – tieši atklāto kiberdrošības risku dēļ. Tikai veicot operatīvus pasākumus un novēršot riskus, akciju cenas kāpums ir atjaunojies. Tas apstiprina faktu, ka operatīva rīcība kiberdrošības risku novēršanā ne tikai ļauj turpināt uzņēmuma izaugsmi, bet arī ceļ tā prestižu, demonstrējot kompetenci kritiskās situācijās.

Pievēršoties risinājumiem, jāatgriežas pie kiberdrošības stratēģijas nepieciešamības gan darbavietā, gan valstiskā līmenī. Kiberdrošības stratēģijai ir jābūt vienotai un dinamiskai, ar skatu uz nākotnes izaicinājumiem, kā Covid-19 pandēmija vai citas kataklizmas. Resursu plānošanai un izmantošanai jābūt efektīvai neatkarīgi no uzņēmuma vai iestādes izmēra vai darbinieku skaita. Ikvienam cilvēkam jābūt izglītotam un informētam par kiberdrošības riskiem vismaz tikpat labi, kā par Covid-19 šodien, jāzina, kur vērsties, ja piemeklē kibernelaime, un jābūt resursam, lai novērstu  negadījumu.

Katram uzņēmumam vai valsts iestādei, veidojot kiberdrošības stratēģiju, būtu jāapzinās, kāds ir pašreizējais stāvoklis un kādi iekšējie un ārējie resursi ir pieejami. 70 % uzņēmumu un iestāžu vadītāju atbildēs, ka viņiem noteikti ir apmācīts gan darba drošības, gan ugunsdrošības personāls, bet, iespējams, ir arī IT personāls, visticamāk – tikai uz puslodzi, vai arī ārpakalpojumā ir uzņēmums, kas apkalpo datorus un piegādā tiem jaunus antivīrusus. Kiberdrošības speciālistu trūkums ir izteikts, un viņu pieeja ievērojami atšķiras no tradicionālo IT speciālistu domāšanas un pieejas. Vadītājam kopā ar drošības speciālistiem ir jānosaka privāto ierīču lietošanas politika uzņēmumā, kārtība, kā notiek sarakste starp darbiniekiem, partneriem un klientiem, nodrošinot datu kriptēšanu un elektroniskā paraksta izmantošanu, lai panāktu pastāvīgu datu izcelsmes drošību.

Vismazāk novērtētais risinājums kiberdrošības jomas sakārtošanai ir personāla un vadības apmācība un izglītošana par kiberdrošības riskiem. Sagatavot savus speciālistus un radīt iekšējo kompānijas kultūru un izpratni šajā jomā ir vairāk nekā svarīgi. Piemēram, var padomāt, kādas automatizētas kiberdrošības risku novēršanas sistēmas  iespējams ieviest uzņēmumā, kā arī regulāri auditēt sava uzņēmuma sistēmas un personālu. Tāpat ir jābūt skaidriem veicamajiem pasākumiem un atbildībai, ja tiek konstatēts kibernegadījums. Kādi cilvēku un tehniskie resursi tiek iesaistīti, kādi soļi sperami, lai atjaunotu uzņēmuma vai iestādes darbību normālā ritmā? Kā un kam tiek  ziņots par šiem negadījumiem un kas tiek teikts presei, partneriem un klientiem, ja šī informācija kļūst publiska un sāk radīt reputācijas riskus?

Tāpat kā atbildīga attieksme pret Covid-19 pasargā mūsu un mums svarīgo cilvēku veselību, tā arī atbildīga attieksme pret mūsu kiberveselību pasargās mūs un mums svarīgos cilvēkus no zaudējumiem un veicinās ilgtermiņa izaugsmi. Paliekam mājās, bet paliekam droši!