IKT drošība un kiberriski

Publicēts: 15.08.2023. Aktualizēts: 14.09.2023.

IKT drošības un kiberrisku uzraudzība

IKT drošības un kiberrisku uzraudzības mērķis

Informācijas un komunikācijas tehnoloģiju (IKT) drošības un kiberrisku uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm. Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt. Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.

Kiberdraudi

Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā aktuāli ir šādi galvenie kiberdraudi:

izspiedējļaunatūra: 60 % skarto organizāciju, iespējams, ir maksājušas izpirkuma maksu;
ļaunatūra: 2021. gadā konstatēti 66 nulles dienu ievainojamības atklāšanas gadījumi;
sociālā inženierija: pikšķerēšana joprojām ir populārākā uzbrukuma metode, taču arvien biežāk to papildina krāpniecība ar viltus īsziņām un telefonzvaniem;
dažādi datu apdraudējumi: tie palielinās proporcionāli apkopoto datu apjomam;
draudi pieejamībai: vislielākais izkliedētās pakalpojumatteices (DDoS) uzbrukums Eiropā norisinājās 2022. gada jūlijā, kā arī pastāv uzbrukuma draudi internetam – infrastruktūras iznīcināšana, pārtraukumi un interneta datplūsmas pārorientēšana;
dezinformācija un maldināšana: pieaug ar mākslīgo intelektu iespējotas dezinformācijas un dziļo viltojumu izplatīšana, turklāt dezinformācijas izplatīšana attīstās kā pakalpojums;
pret piegādes ķēdēm mērķētie uzbrukumi: trešo pušu izraisīti incidenti 2021. gadā veidoja 17 % no ielaušanās gadījumiem salīdzinājumā ar mazāk nekā 1 % 2020. gadā (avots: Threat Landscape — ENISA (europa.eu)).

IKT pārvaldības izaicinājumi un iespējas

Finanšu tirgus digitālā pārveide

Tehnoloģiju attīstība un nesenā Covid-19 pandēmija veicināja uzņēmumu pārveidi un attālināto finanšu pakalpojumu attīstību. Tajā pašā laikā, palielinoties tehnoloģiju daudzveidībai un skaitam, kā arī to savstarpējai atkarībai, ir arvien grūtāk izsekot un novērtēt to atbilstību drošības prasībām. Digitālā vide nemitīgi attīstītās, un drošības risinājumi, kas sniedza aizsardzību vēl nesenā pagātnē, šobrīd var būt nepietiekami.

Pirmajā saskaņotajā mēģinājumā veicināt zināšanas par uzraudzību Eiropas līmenī Eiropas Centrālās bankas (ECB) banku uzraudzība 2022. gadā sāka divas iniciatīvas šajā jomā:

1) tā sadarbojās ar konsultantiem, bankām, banku asociācijām un tehnoloģiju uzņēmumiem, lai iegūtu vispārēju priekšstatu par tirgus tendencēm;
2) tā veica 105 lielo banku, kuras atrodas tiešā ECB uzraudzībā, aptauju, lai novērtētu to digitālās pārveides statusu.

Savukārt apdrošināšanas sektorā Eiropas Apdrošināšanas un aroda pensiju iestādes (EIOPA) apstiprinātā digitālās pārveides stratēģija risina problēmjautājumus, ko rada apdrošināšanas un pensiju nozares digitalizācija, vienlaikus ļaujot ieinteresētajām pusēm izmantot ieguvumus, ko rada jaunās tehnoloģijas un uzņēmējdarbības modeļi.

Tomēr digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā organizācijas spēju pārvaldīt apjomīgu IKT projektu portfeli, jaunu nepārbaudītu tehnoloģiju testēšanu, darbinieku pieredzes un zināšanu trūkumu, novecojušo tehnoloģiju dzīves cikla pārvaldīšanu, pārrobežu sadarbību ar piegādātājiem. Tas viss ir jāņem vērā IKT riska kontroļu ieviešanā un pielāgošanā, uzņemoties ambiciozus digitalizācijas projektus, lai gan kopumā šos izaicinājumus varētu atrisināt, ieviešot jaunās digitālās noturības regulas (Digital Operational Resilience Act jeb DORA – Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību) prasības.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Tomēr, lai arī kādi resursi tiktu ieguldīti IKT infrastruktūras drošībā, jāpieņem, ka tā nekad nebūs pilnīgi droša un iespēja atrast ievainojamības pastāvēs vienmēr.

Ģeopolitisko apdraudējumu ietekme

2022. gada laikā Latvijas Banka analizēja ģeopolitiskās krīzes, ko izraisīja Krievijas iebrukums Ukrainā, ietekmi. Kopš iebrukuma sākuma ir ievērojami palielinājies kiberuzbrukumu skaits, īpaši izkliedētās pakalpojumatteices (DDoS) uzbrukumu skaits un to intensitāte, kā arī tiek mērķtiecīgi izvēlēti uzbrukuma virzieni.

Līdztekus klientus, kuri izmanto attālinātos pakalpojumus, turpina apdraudēt arī pikšķerēšanas kampaņas un izspiedējvīrusu uzbrukumi, jo kiberuzbrukumu būtība strauji mainās. Mākslīgā intelekta risinājumi un mākoņpakalpojumi līdz ar ģeopolitisko spriedzi tiek iekļauti uzbrucēju arsenālā un ļauj īstenot sarežģītākus uzbrukumus, vienlaikus pilnveidojot savas sociālās inženierijas uzbrukumu metodes un izspiedējļaunatūras efektivitāti.

IKT un drošības risku pārvaldības regulējums

IKT un drošības risku pārvaldības prasības

IKT un drošības risku pārvaldības prasības visiem finanšu tirgus dalībniekiem nosaka "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvie noteikumi".

Lai palīdzētu finanšu tirgus dalībniekiem novērtēt savus informācijas tehnoloģiju (IT) un drošības risku pārvaldības procesus, Latvijas Bankas Finanšu tehnoloģiju uzraudzības pārvalde ir sagatavojusi ērti lietojamas rekomendācijas IT un drošības risku pārvaldības pašvērtējuma veikšanai.

Rekomendētais kontrolsaraksts IT un drošības pārvaldības pašvērtējuma veikšanai palīdzēs finanšu tirgus dalībniekiem pašu spēkiem novērtēt "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvajos noteikumos" noteikto prasību izpildi IT un drošības pārvaldības procesos.

Ziņošanas par incidentiem prasības

Saskaņā ar "Normatīvajiem noteikumiem par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem" maksājumu pakalpojumu sniedzējiem ir pienākums ziņot par visiem būtiskajiem maksājumu pakalpojumu incidentiem.

Laika posmā no 2020. līdz 2022. gadam incidentu skaits ir pieaudzis, taču to ietekme ir samazinājusies – pakalpojumu saņēmēji tiek ietekmēti mazāk un individuālās dīkstāves ir īsākas, tomēr pieaudzis ārpakalpojumu sniedzēju izraisīto incidentu īpatsvars.

Aptuveni 10 % no visiem nozīmīgajiem incidentiem 2019.–2022. gadā izraisīja kiberuzbrukumi, galvenokārt izkliedētās pakalpojumatteices (DDoS) uzbrukumi, bet pārējos izraisīja iekšējās problēmas un ārējo pakalpojumu sniedzēju kļūmes.

Joprojām galvenie draudi ir iekšējie incidenti ar ilgstošiem biznesa funkcijas nodrošināšanas pārtraukumiem, galvenokārt programmatūras un aparatūras kļūmju dēļ.

Ārpakalpojumu uzraudzības prasības

IT ārpakalpojumu izmantošanas prasības visiem finanšu tirgus dalībniekiem nosaka "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvo noteikumu" 3.5. apakšnodaļa.

Papildus ārpakalpojumu izmantošanu kredītiestādēm regulē "Normatīvie noteikumi par ārpakalpojumu izmantošanu", kas nosaka ārpakalpojumu būtiskuma novērtēšanas un būtisko ārpakalpojumu saskaņošanas prasības.

Savukārt nebanku tirgus dalībniekiem ārpakalpojumu izmantošanu regulē:

Apdrošināšanas un pārapdrošināšanas likuma VIII nodaļa;
Finanšu instrumentu tirgus likuma F1 sadaļa;
Maksājumu pakalpojumu un elektroniskās naudas likuma
29. pants.

Klātienes un neklātienes pārbaudes

Saskaņā ar Latvijas Bankas izstrādāto finanšu tirgus dalībnieku uzraudzības plānu tiek veiktas IKT un drošības risku pārvaldības klātienes pārbaudes.

Turpinot uzraudzības pārbaudes un novērtēšanas procesa neklātienes uzraudzības pieeju kredītiestādēm, ir plānots IKT riska pārvaldības novērtējuma metodi izmantot arī apdrošināšanas sabiedrību, ieguldījumu pārvaldes sabiedrību un pensiju fondu uzraudzības procesā. Tas nodrošinās svarīgus datus uzraudzības darba prioritāšu noteikšanai, kā arī ļaus veikt plašāku starpnozaru analīzi.

DORA – jaunais IKT drošības regulējums finanšu vienībām

DORA ieviešanas nepieciešamība

DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17.  janvārī.

Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem. Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.

Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.

Latvijā licencēto finanšu vienību kategorijas, kurām no 2025. gada 17. janvāra ir jānodrošina atbilstība jaunajam regulējumam, ir:

kredītiestādes;
apdrošināšanas sabiedrības;
ieguldījumu pārvaldes sabiedrības;
ieguldījumu brokeru sabiedrības;
apdrošināšanas brokeri, kas ir lielie uzņēmumi;
maksājumu iestādes;
elektroniskās naudas iestādes;
alternatīvo ieguldījumu fondu pārvaldnieki;
kolektīvās finansēšanas platformas;
centrālie vērtspapīru depozitāriji;
kriptoaktīvu pakalpojumu sniedzēji (pēc Eiropas Savienības regulējuma pieņemšanas).

DORA noteiktā regulējuma ietvars

DORA prasības ir sadalītas piecos blokos, un tās detalizēti noteiks regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS), kas atrodas publiskās apspriešanas fāzē, un to apstiprināšana plānota 2024. gadā.

Pirmais standartu bloks ir pēc būtības pilnveidotas esošās regulatīvās prasības, un tajās detalizēti tiek definētas divas standartu grupas.

IKT riska pārvaldības RTS nosaka harmonizētas prasības saistībā ar jau esošo risku regulējumu finanšu vienībām, balstoties uz Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.

IKT riska pārvaldības RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu.

IKT riska pārvaldības ietvars	IKT incidentu ziņošana
RTS "Risku pārvaldība" RTS "Vienkāršota risku pārvaldība" Vadlīnijas IKT radīto zaudējumu aprēķināšanai	RTS "Incidentu klasifikācija" RTS "Būtisku incidentu ziņošana" ITS "Incidentu ziņojumu specifikācija"

DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu vienībām:

trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz pakļaut regulatīvajām prasībām arī finanšu vienību trešo pušu kritisko IKT pakalpojumu sniedzējus;
operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
Eiropas pārraudzības ietvars – tas nodrošinās vispārīgu mehānisma darbību pārrobežu skatījumā un kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.

Digitālās noturības testēšana	Trešo pušu IKT piegādātāju risku pārvaldība	Kritisko pakalpojumu sniedzēju pārraudzības ietvars
RTS "Draudu vadītas ielaušanās testēšana"	ITS "Piegādātāju informācijas reģistra forma" RTS "Piegādātāju izmantošanas politika" RTS "Piegādātāju kritiskuma noteikšana"	RTS "Pārraudzības nosacījumu harmonizācija" Vadlīnijas sadarbībai starp nacionālajām kompetentajām iestādēm un Eiropas uzraudzības iestādēm

DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, noteiktu uzraugošās iestādes un to pienākumus, Latvijā 2024. gadā tiks veikti atbilstoši nacionālā regulējuma grozījumi, kurus plāno izstrādāt un virzīt apstiprināšanai Finanšu ministrija (Normatīvie akti | Finanšu ministrija (fm.gov.lv)).