Kiberdrošība – rūpēs par drošību rītdienai

Digitālā vide mūsdienās vairs nav atsevišķa uzņēmuma vai organizācijas darbības sastāvdaļa – klientu dati, finanšu plūsmas, iekšējā komunikācija, ražošana un loģistika balstās tehnoloģijās. Tāpēc kiberdrošība ir ne tikai IT nodaļas darbinieku jautājums, bet arī uzņēmuma vadības atbildība un priekšnoteikums komercdarbības ilgtspējīgai attīstībai.

Digitālā vide mūsdienās vairs nav atsevišķa uzņēmuma vai organizācijas darbības sastāvdaļa – klientu dati, finanšu plūsmas, iekšējā komunikācija, ražošana un loģistika balstās tehnoloģijās. Tāpēc kiberdrošība ir ne tikai IT nodaļas darbinieku jautājums, bet arī uzņēmuma vadības atbildība un priekšnoteikums komercdarbības ilgtspējīgai attīstībai. Pašreizējos ģeopolitiskajos apstākļos jautājums nav par to, vai kiberuzbrukums notiks, bet gan – kad tas notiks un cik tam gatavs būs uzņēmums un tā darbinieki. Kiberdrošība ir kļuvusi par nacionālās drošības elementu, tāpēc ikvienā uzņēmumā nepieciešama pārdomāta, strukturēta un ilgtermiņā balstīta kiberdrošības stratēģija.

Kāpēc par kiberdrošību jādomā pirms noticis incidents

Uzņēmumi, kas iegulda kiberdrošībā, iegūst vairāk nekā tikai aizsardzību. Tie iegūst atbilstību normatīvajām prasībām, augstāku noturību krīzes situācijās, kā arī stabilāku reputāciju un klientu uzticību. Klienti un partneri izvēlas sadarboties ar tiem, kuri garantē viņu datu drošību. Tāpēc ieguldījumi kiberdrošības stiprināšanā vienlaikus ir investīcija uzņēmuma nākotnē. 

Nereti par drošību sāk domāt tikai pēc pirmā nopietnā incidenta – sensitīvu datu noplūdes, datorsistēmu traucējumiem un pat finanšu zaudējumiem, Kiberuzbrukuma gadījumā uzņēmumā var iestāties dīkstāve, kas var radīt nopietnas izmaksas, piemēram, neiegūtā peļņu laikā, kamēr sistēmas nedarbojās. Arī reputācijas zaudējums var tikt aprēķināts naudas izteiksmē. Mūsdienās kiberapdrošināšana (Cyber Insurance) vairs nav tikai papildu opcija, bet gan būtisks riska pārvaldības rīks, kas kalpo kā finansiāls drošības spilvens. Apdrošināšana parasti sedz zaudējumus, kas nodarīti pašam uzņēmumam, kā arī, ja kompensācijas jāizmaksā trešajām pusēm, piemēram, par datu noplūdi, par juridiskajiem pakalpojumiem u.tml. 

Jāatceras, ka digitālajā laikmetā dati ir jauna veida valūta, kas interesē kiberuzbrucējus gluži kā reālā nauda bankas vai uzņēmuma seifos. Turklāt par sensitīvu personas datu noplūdi var draudēt juridiskas sankcijas un sodi. Tādēļ reaģēšana pēc notikuša fakta gandrīz vienmēr izmaksā daudz dārgāk nekā preventīvi pasākumi. Savukārt preventīva pieeja  kiberdrošības stiprināšanai ļauj:

• savlaicīgi identificēt datorsistēmu ievainojamības,
• mazināt risku iestāšanās iespējamību,
• samazināt incidentu ietekmi,
• nodrošināt darbības nepārtrauktību, jo bez piekļuves IT sistēmām uzņēmuma darbība var tikt  traucēta,
• demonstrēt atbildīgu pārvaldību partneriem un klientiem.

Ņemot vērā valsts institūciju regulāros brīdinājumus par paaugstinātu kiberapdraudējuma risku, uzņēmumiem ir jāveic sistemātiski pasākumi, lai noteiktu un uzlabotu savu kiberdrošības līmeni. 

Uzņēmumā svarīgi ir izstrādāt visaptverošu stratēģiju, kas nosaka, kā uzņēmums turpinās darboties krīzes laikā. Tā mērķis ir nodrošināt, ka kritiskās funkcijas, piemēram, klientu apkalpošana  turpinās pat tad, ja datu centrs nav pieejams. Ja kiberuzbrukuma dēļ nedarbojas e-pasts, jāparedz alternatīvus saziņas kanālus, piemēram, šifrētas ziņapmaiņas lietotnes vai telefonu zvanus.

Viena no plāna komponentēm ir krīzes seku novēršana, kas koncentrējas uz uzņēmuma tehnoloģisko infrastruktūru. Tas ir tehnisks plāns datu un sistēmu atjaunošanai pēc incidenta, lai bizness atkal varētu izmantot savus digitālos rīkus.

Krīzes brīdī resursi (laiks, darbinieki, serveru jauda) ir ierobežoti, tāpēc ir jāzina, ko glābt vispirms. To nosaka ar biznesa ietekmes analīzi. Jāizvērtē prioritāšu līmeņi un laiks, kāda var iestāties krīzes brīdis. Jāapzina sistēmas, bez kurām iestājas tūlītēji finansiāli zaudējumi vai juridiski pārkāpumi (piemēram, maksājumu apstrāde). Tam seko procesi, kas ir būtiski, bet var īslaicīgi apstāties, piemēram, iekšējā klientu attiecību pārvaldības sistēmas  (CRM) darbība. Plānā nosakāmas arī funkcijas, kas var pagaidīt dienas vai nedēļas, piemēram, piekļuve uzņēmuma arhīva failiem.

Kiberdrošības aspekti, kas jāizvērtē

Lai efektīvi apzinātos kiberdrošības aspektus, ir svarīgi saprast, ka kiberapdraudējums ir iespējamība, ka var notikt kaut kas slikts, piemēram, var noplūst sensitīva informācija. Savukārt ievainojamība ir nepilnības, kas var pazemināt datortīkla vai infrastruktūras drošību. Tās būtu jānovērš savlaicīgi. Savukārt kiberdrošības incidents jeb kiberincidents apdraud tīklu vai IT sistēmas datus vai  pakalpojumu pieejamību, autentiskumu, integritāti vai konfidencialitāti.

Latvijā visbiežāk sastopamais kiberapdraudējuma veids ir krāpniecība, tam seko ļaunprātīgas programmatūras (ļaunatūras), kas inficē datorus, zog informāciju vai veic citas kaitīgas darbības. Bieži tiek konstatēti ielaušanās mēģinājumi datorsistēmās, e-pasta kompromitēšana, pikšķerēšanas kampaņas u. tml.  Tāpēc tik svarīga ir visaptveroša kiberdrošība, kas balstās trīs savstarpēji saistītos elementos – cilvēkos, procesos un tehnoloģijās. 

Liela daļa incidentu sākas ar cilvēka kļūdu – pikšķerēšanas e-pasta atvēršanu vai paroles nodošanu trešajām personām. Arvien biežāk uzbrukumi notiek arī caur sadarbības partneriem. Uzņēmumam jāizvērtē, vai piegādātāji un pakalpojumu sniedzēji ievēro atbilstošas kiberdrošības prasības. 

Uzņēmums ir tik drošs, cik drošs ir tā vājākais posms, un bieži vien nenovērtēta ir ārpakalpojuma sniedzēju – IT atbalsta, mākoņpakalpojumu, grāmatvedības platformu – ietekme uz datu drošību. Tāpēc nepieciešams veikt trešo pušu drošības izvērtējumu. Ieteicams uzdot jautājumus par to, kā sadarbības partneris vai piegādātājs glabā datus, kāda ir to rezerves kopēšanas politika, vai piegādātājam ir starptautiski atzīti drošības sertifikāti? Vai pēdējo gadu laikā ir bijuši nopietni datu noplūdes incidenti? Lielākiem darījumiem un piegādātāju ķēdēm būtu nepieciešams veikt sistēmu drošības auditu. 

Drošību svarīgi  nostiprināt juridiski, lai kiberincidenta gadījumā būtu skaidras sekas un atbildība. Tāpēc līgumos būtu jāiekļauj šādas prasības:

• piegādātājam ir pienākums ziņot par kiberuzbrukumu viņu sistēmās (piemēram, 24 stundu laikā), ja tas var ietekmēt jūsu datus;
• līgumā iekļaujama klauzula, kas ļauj jums vai neatkarīgam auditoram pārbaudīt piegādātāja drošības procesus;
• ir skaidri definēts, kur dati tiek glabāti (piemēram, tikai ES/EEZ valstu teritorijā) un kā tie tiek šifrēti;
• noteiktas prasības sistēmu pieejamībai un atjaunošanas laikiem pēc incidenta;
• ir skaidrs, kas notiek ar datiem pēc līguma izbeigšanas (to droša dzēšana vai nodošana atpakaļ).

Arī attiecībā uz tehnisko infrastruktūru nepieciešams veikt kiberdrošības auditus un testus - pārskatīt dokumentācijas, uzsākt sistēmu inventarizāciju, jo ir uzņēmumi, kas nemaz nepārzina visu tā rīcībā esošo IT aprīkojumu - tīklam pieslēgtas viedierīces (IoT), tostarp televizorus, sensoro aprīkojumu un citas ar internetu savienotas ierīces, jo tās visas ir potenciāli pakļautas kiberuzbrukumiem. Kā norādīts CERT.LV apskatā, Latvijā jau reģistrēti vairāki uz viedtelevizoriem (īpaši ar Android OS) vērsti uzbrukumi. 

Apmācību iespējas

Darbinieku apmācība kiberdrošības jautājumos ir būtiska uzņēmuma ikdienas sastāvdaļa, un tā jāplāno ilgtermiņā. Vēlams apmācības veidu un saturu noteikt atbilstīgi nodarbināto izglītībai, darba pieredzei un profesionālajām spējām, kā arī darba pienākumu specifikai. Jauno darbinieku apmācības būtu jāveic 30 dienu laikā pēc darba uzsākšanas, savukārt regulāras apmācības visiem darbiniekiem vēlams rīkot reizi gadā. Noteikti būtu nepieciešams pārrunāt un pārbaudīt darbinieku zināšanas, ja tiek atklātas jaunas ievainojamības, ir veiktas nozīmīgas izmaiņas IT infrastruktūrā, programmatūrā vai biznesa procesos, kā arī valstī mainoties normatīvajam regulējumam. 

Apmācības var norisināties dažādās formās:

• vadības līmeņa semināri par risku pārvaldību un atbildību,
• praktiskas darbinieku apmācības un pikšķerēšanas simulācijas,
• IT speciālistu padziļinātas mācības par aktuālajiem draudiem,
• sertifikācijas programmas (piemēram, ISO 27001, risku pārvaldība, incidentu vadība),
• nozares specifiski kursi finanšu kritiskās infrastruktūras uzņēmumiem.

Regulāras apmācības ne tikai mazina riskus, bet arī demonstrē uzņēmuma nopietnu attieksmi pret drošību. Latvijā atbalstu un izglītojošus informatīvus materiālus piedāvā arī kiberincidentu novēršanas institūcija Cert.lv un Nacionālais kiberdrošības centrs.

NIS2 direktīva, DORA un Nacionālais kiberdrošības likums – ko tas nozīmē uzņēmējiem

Būtiska ir kiberdrošības segmentācija pēc uzņēmuma lieluma un darbības jomas, jo viens risinājums neder visiem. Mazajiem uzņēmumiem nereti trūkst resursu, tāpēc jānodrošina vismaz minimālie kiberdrošības pasākumi, piemēram, divfaktoru autentifikācija piekļuvei uzņēmuma datortīklam un mākoņpakalpojumiem. Savukārt pavisam cita līmeņa minimālās kiberdrošības prasības jau ar normatīvajiem aktiem ir noteiktas būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem. 

Kiberdrošība Eiropas Savienībā (ES) ir viena no prioritātēm, un prasības uzņēmumiem kļūst arvien stingrākas. NIS2 direktīva (Network and Information Security Directive) ir ES tiesību akts, kura mērķis ir sasniegt augstu kopējo kiberdrošības līmeni un ieviest kiberdrošības higiēnas standartu. Tā paplašina nozaru loku, uz kurām attiecas īpaši stingras kiberdrošības prasības (enerģētika, transports, veselība, digitālā infrastruktūra u.c.), paredzot īpašas risku pārvaldības prasības, obligātu incidentu ziņošanu, vadības atbildību par drošības nodrošināšanu, kā arī ievērojamus sodus par neatbilstību.

DORA (Digital Operational Resilience Act jeb Digitālās darbības noturības akts) ir ES regula, kas attiecas uz finanšu sektoru un nosaka ļoti specifiskas un stingras prasības tam, kā finanšu iestādes pārvalda IT riskus. Tām ir jāizveido visaptveroša sistēma, lai identificētu un klasificētu  IT riskus, regulāri jāpārbauda savas sistēmas, lai pārliecinātos, ka tās izturēs nopietnus kiberuzbrukumus u.tml. DORA ir piemērojama kopš 2025. gada 17. janvāra, un  uzraugošā iestāde valstī ir Latvijas Banka.

Nacionālās kiberdrošības likumā, kas ir spēkā no 2024. gada 1. septembra, ir iestrādātas NIS2 prasības. Likums noteic konkrētus pienākumus uzņēmumiem, kas darbojas būtiskās vai kritiski svarīgās nozarēs. Ja iepriekš uz kiberdrošību attiecināmais regulējums skāra tikai kritisko infrastruktūru, tagad tas attiecas uz daudz lielāku skaitu uzņēmumu un organizāciju gan valsts, gan privātajā sektorā. Aizsardzības ministrijas tīmekļvietnē ir pieejams tiešsaistes tests, lai noskaidrotu, kurai kategorijai uzņēmums pieder. 

Uz likuma pamata izdoti Ministru kabineta 2025. gada 25. jūnija noteikumi Nr. 397 “Minimālās kiberdrošības prasības”. To mērķis ir sekmēt būtisko un svarīgo pakalpojumu sniedzēju un IKT kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem. Noteikumi nosaka minimālās kiberdrošības prasības, kas jāievieš uzņēmuma risku pārvaldības ietvarā.

Kiberrisku novērtēšana - ar ko sākt?

Kiberdrošība nav vienreizējs projekts, bet nepārtraukts process. Lai saprastu, kurā kiberrisku līmenī  uzņēmums atrodas un kā virzīties uz drošāku, ieteicams:

1. veikt aktīvu inventarizāciju, identificējot būtiskākos uzņēmuma datus, sistēmas un procesus;
2. noteikt iespējamos apdraudējumus: pikšķerēšana, izspiedējvīrusi, iekšējie draudi, ievainojamības u.c.;
3. izvērtēt ietekmi  – cik būtiski būtu zaudējumi, ja risks iestātos;
4. izstrādāt rīcības plānu, kurā būtu prioritizēti drošības pasākumi atbilstoši risku līmenim;
5. iesaistīt vadību, lai kiberdrošības ieviešana nav tikai tehnisks projekts, bet uzņēmuma stratēģiska prioritāte.

Viens no pirmajiem uzdevumiem varētu būt kiberdrošības kontrolsaraksta izveide darbiniekiem, jo to ikdienas darbības un paradumi būtiski ietekmē kopējo uzņēmuma drošības līmeni:

• Paroles un piekļuve: ieteicams izmantoju unikālu un sarežģītu paroli katram kontam, kā arī visur, kur iespējams, izmantoju divfaktoru autentifikāciju (2FA). Paroles nav jāizpauž citiem, pat ne IT atbalsta dienestam. Atstājot darba vietu, vēlams aizslēgt datora ekrānu.
• E-pasts un saites: pirms klikšķināt uz saitēm, jāpārbauda sūtītāja adrese. Neatvērt pielikumus no nezināmiem vai aizdomīgiem sūtītājiem, bet ziņot IT nodaļai par aizdomīgiem e-pastiem.
• Ierīces un programmatūra: regulāri jāveic programmatūru atjauninājumi, jāvairās pieslēgt nezināmas USB ierīces. Strādājot ārpus biroja, izmantot tikai drošu VPN savienojumu, nepieslēgties bez vajadzības publiskiem WiFi tīkliem. 
• Datu drošība: darba failus jāglabā tikai uzņēmuma apstiprinātās e-vidēs, sensitīvu informāciju nesūtīt nešifrētos kanālos. Fiziskus dokumentus iznīcināt tikai drošā veidā. 

Incidentu pārvaldības un atjaunošanas gatavība

Kiberincidentu pārvaldība ir nepieciešama, lai uzņēmums būtu gatavs atklāt, reaģēt, ierobežot un atgūties no kiberdrošības incidentiem, gandrīz notikušiem kiberincidentiem un ievainojamībām. Šādam nolūkam nepieciešams izstrādāt incidentu pārvaldības plānu - strukturētu dokumentu, kurā apraksta, kā jārīkojas kiberdrošības incidenta gadījumā. Tajā ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku pārvaldībai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu.

Plānā jāietver arī incidentu klasifikāciju (piemēram, zema, vidēja, augsta ietekme); reaģēšanas soļus – incidenta identificēšana, ierobežošana, novēršana un atjaunošana; komunikācijas plānu – iekšējo un ārējo komunikāciju; rīcību pierādījumu saglabāšanai un dokumentēšanai; notikušā analīzi un turpmāko preventīvo pasākumu ieviešanu.

Šos plānu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu. Nacionālais kiberdrošības centrs ir izstrādājis rekomendējošus paraugus kiberdrošības pārvaldības dokumentācijai, piedāvājot gatavas veidnes un vadlīnijas (https://www.cyber.gov.lv/lv/minimalas-kiberdrosibas-prasibas-un-nis2/kiberdrosibas-parvaldibas-dokumentacijas-paraugi). 

Uzņēmumā kritiski svarīgs ir arī lomu sadalījums, lai incidenta laikā nerastos apjukums un būtu noteiktas atbildības jomas:

• incidenta vadītājs – koordinē reaģēšanu un pieņem operatīvos lēmumus;
• IT un drošības speciālisti – veic tehnisko analīzi un novērš incidentu;
• vadība – pieņem stratēģiskus lēmumus, izvērtē ietekmi uz biznesu;
• par komunikāciju atbildīgā persona – nodrošina informācijas apriti ar klientiem, partneriem un medijiem;
• datu aizsardzības speciālists, uzņēmuma juridiskais dienests – izvērtē regulatīvos pienākumus un riskus.

Uzņēmumam ieteicams regulāri atjaunot šo atbildīgo personu kontaktinformāciju un nodrošināt, ka visi saprot savus pienākumus un zina kā jārīkojas noteiktā situācijā.

Konstatējot kiberincidentu, uzņēmumā jāveic visas incidenta novēršanai nepieciešamās darbības, kā arī nekavējoties par notikušo jāinformē kompetento kiberincidentu novēršanas institūciju (CERT.LV) un jāizpilda tās sniegtos norādījumus. 

Ar NIS2 direktīvas ieviešanu ziņošanas prasības uzņēmumiem un organizācijām, kas ietilpst direktīvas darbības jomā, ir kļuvušas vēl stingrākas. Nozīmīga kiberincidenta gadījumā  ir:

• nekavējoties, bet ne vēlāk kā 24 stundu laikā elektroniski jāiesniedz agrīno brīdinājumu par nozīmīgo kiberincidentu;
• ne vēlāk kā 72 stundu laikā (uzticamības pakalpojumu sniedzējam — 24 stundu laikā) elektroniski jāiesniedz sākotnējo ziņojumu par nozīmīgo kiberincidentu.
• mēneša laikā pēc iepriekš minētā ziņojuma jāiesniedz galaziņojumu par nozīmīgā kiberincidenta atrisināšanu. Šai laikā jāveic padziļināta situācijas analīze un jānorāda veiktie preventīvie pasākumi. Ja šai termiņā nav bijis iespējams incidentu atrisināt, jāiesniedz progresa ziņojumu par to, kā veicas ar nozīmīgā kiberincidenta risināšanu. 

Nozīmīga kiberincidenta vai nozīmīga kiberapdraudējuma gadījumā uzņēmumam nekavējoties jāinformē arī savu pakalpojumu saņēmējus, tostarp elektronisko sakaru tīkla vai informācijas sistēmas lietotājus par iespējamiem kiberdrošības pasākumiem vai līdzekļiem, ko pakalpojumu saņēmēji var izmantot, lai novērstu kiberincidentu vai mazinātu kiberapdraudējumu. 

CERT.LV arī atgādina, ka ir iespējams brīvprātīgi ziņot par katru konstatēto vai par gandrīz notikušu incidentu vai apdraudējumu, jo kompetentās institūcijas var palīdzēt tos novērst un iesaistīt operatīvās iestādes pēc nepieciešamības.

Tikpat svarīgi ir regulāri veikt IT sistēmu ievainojamību skenēšanu, testus un iekšējos auditus, rezerves kopiju atjaunošanas ātruma un integritātes pārbaudi. Lai novērtētu darbinieku reakciju, tā var būt, piemēram, kiberincidenta scenāriju izspēle teorētiskā līmenī, tā pārbaudot, cik gatavi ir lēmumu pieņemšanai. Var arī veikt kontroles pasākumus, piemēram, lai pārbaudītu, kā darbinieki reaģē uz pikšķerēšanas sūtījumiem.

Nobeigumā - trīs soļi, ko var veikt jau šodien

1. Veiciet uzņēmumā sākotnējo kiberrisku pašnovērtējumu.
2. Nozīmējiet atbildīgo personu par kiberdrošību vadības līmenī.
3. Ja pietrūkst iekšējo resursu, piesaistiet neatkarīgu ekspertu auditu.

Uzņēmumi, kas rīkojas savlaicīgi un sistemātiski, ne tikai mazina riskus, bet arī stiprina konkurētspēju un reputāciju ilgtermiņā.

Platformas izveide tiek īstenota Eiropas Savienības Atveseļošanas un noturības mehānisma investīcijas 2.1.2.1. “Digitālo pakalpojumu platforma business.gov.lv” ietvaros, ciešā sadarbībā ar valsts institūcijām un uzņēmēju pārstāvjiem.
Tās attīstība notiek pakāpeniski – testējot risinājumus, pilnveidojot lietojamību un pielāgojot platformu uzņēmēju reālajām vajadzībām. Īpaša uzmanība izstrādes procesā pievērsta lietotāju pieredzei – uzņēmēji ir aktīvi iesaistīti testēšanā un sniedz atgriezenisko saiti par platformas lietošanas ērtību.
Projekts “Digitālo pakalpojumu platforma biznesa attīstības veicināšanai” tiek īstenots ar Eiropas Savienības Atveseļošanas un noturības mehānisma (NextGenerationEU) finansējumu.