IKT drošība un kiberriski

Publicēts: 15.08.2023. Aktualizēts: 05.11.2024.

IKT drošības un kiberrisku uzraudzība

IKT drošības un kiberrisku uzraudzības mērķis

Informācijas un komunikācijas tehnoloģiju (IKT) drošības un digitālās darbības uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm.

Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt, gan atjaunot darbību krīzes situācijās.

Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan pārvaldību, izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.

Ar kādiem kiberdraudiem jārēķinās vērtējot IKT riskus

Eiropas Savienības Kiberdrošības aģentūras (ENISA) Threat Landscape — ENISA skatījumā aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:

  • draudi pieejamībai (DDoS) un izspiedējvīrusi arī šogad ir vieni no aktuālākajiem;
  • Living Off Trusted Sites (LOTS ): Kibernoziedznieki paplašina savas slēptās aktivitātes mākoņpakalpojumu platformās, izmantojot uzticamas vietnes un likumīgus pakalpojumus, lai izvairītos no atklāšanas un maskētu aktivitātes kā parastu tīkla datu plūsmu, vai nevainīgus ziņojumus tādās platformās kā Slack un Telegram;
  • ģeopolitika turpina būt spēcīgs kibernoziegumu virzītājspēks;
  • novērojams straujš pieaugums biznesa e-pasta kompromitēšanas (BEC) incidentos;
  • izspiešana, izmantojot informācijas ziņošanas un atklāšanas prasības: Uzņēmumi tiek spiesti izpildīt izspiešanas prasības pirms noteiktā ziņošanas termiņa;
  • mākslīgā intelekta (AI) rīki. kibernoziedznieki izmanto tādus rīkus kā FraudGPT un lielo valodu modeļus, lai veidotu krāpnieciskus e-pastus un ģenerētu ļaunprātīgus PowerShell skriptus;
  • haktīvisti pārklājas ar valsts sponsorētām kibernoziedznieku grupām: Ievērojama tendence ir pieaugošā līdzība starp abām grupām;
  • novērots mobilo banku ļaunatūras pieaugums, ar vienlaicīgu uzbrukuma vektoru sarežģītības pieaugumu;
  • ļaunprātīga programmatūra kā pakalpojums (MaaS) turpina būt nozīmīgs un strauji attīstīts drauds, īpaši kopš 2023. gada vidus;
  • trešo pušu kompromitēšana, izmantojot sociālo inženieriju, kļūst arvien izplatītāka;
  • datu kompromitēšana palielinājās 2024. gadā un liecina par šīs tendences turpmāku saglabāšanos;
  • DDoS uzbrukumi pēc pieprasījuma ļauj lielus uzbrukumus veikt neapmācītiem lietotājiem;
  • informācijas manipulācija joprojām ir galvenais elements Krievijas agresijas karā pret Ukrainu. Tiek novēroti mēģinājumi lokalizēt saturu un vienlaikus globalizēt savu klātbūtni;
  • mākslīgā intelekta (AI) atbalstītas informācijas manipulācijas draudi pieaug. Piemēram, eksperimentējot ar AI informācijas manipulācijai, lai novērtētu tehnoloģijas iespējas.

DORA – jaunais IKT drošības regulējums finanšu vienībām

DORA ieviešanas nepieciešamība

DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17. janvārī.

Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem.

Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.

Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.

Finanšu vienību kategorijas, kurām no 2025. gada 17. janvāra ir jānodrošina atbilstība jaunajam regulējumam

  • kredītiestādes;
  • apdrošināšanas sabiedrības;
  • ieguldījumu pārvaldes sabiedrības;
  • ieguldījumu brokeru sabiedrības;
  • apdrošināšanas brokeri, kas ir lielie uzņēmumi;
  • maksājumu iestādes;
  • elektroniskās naudas iestādes;
  • alternatīvo ieguldījumu fondu pārvaldnieki, ar izņēmumiem;
  • kolektīvās finansēšanas platformas;
  • centrālie vērtspapīru depozitāriji;
  • centrālie darījumu partneri;
  • datu ziņošanas pakalpojumu sniedzēji;
  • kolektīvās finansēšanas pakalpojumu sniedzēji;
  • konta informācijas pakalpojumu sniedzēji;
  • kredītreitingu aģentūras;
  • vērtspapīrošanas repozitoriji;
  • privātajam pensiju fondi, ar izņēmumiem;
  • kriptoaktīvu pakalpojumu sniedzēji;
  • aktīviem piesaistītu žetonu emitenti;
  • IKT trešo pušu piegādātāji.

IKT piegādātāju veidu uzskaitījuma piemērs

Katra finanšu vienība apzina un kategorizē savus IKT piegādātājus vadoties pēc ieviešanas tehniskajiem standartiem.

  • Mākoņdatošanas pakalpojumu sniedzēji
  • Programmatūras piegādātāji, un izstrādātāji un atbalsts
  • IKT projektu vadība un konsultācijas
  • IKT drošības, risku un darbības pārvaldība
  • IKT infrastruktūra, fiziskās iekārtas, telpas, datu glabāšanas platformas
  • Sakaru pakalpojumu sniedzēji, sistēmas un tīkli
  • Datu analīzes pakalpojumu sniedzēji
  • Datu centru pakalpojumu sniedzēji
  • Maksājumu pakalpojumu ekosistēmas dalībnieki, kas  nodrošina maksājumu apstrādi vai uztur maksājumu infrastruktūru
  • Finanšu vienības, kas nodrošina IKT pakalpojumus citām finanšu iestādēm
  • Uzņēmumi, kas ietilpst finanšu vienības grupā un nodrošina IKT pakalpojumus to mātes uzņēmumiem, meitasuzņēmumiem, vai to filiālēm

Precīzas tvēruma definīcijas tiks noteiktas finanšu tirgus digitālās noturības likumā.  Tiesību aktu projekti

DORA noteiktā regulējuma ietvars

DORA prasības ir sadalītas piecos blokos, un tās detalizēti noteiks regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS), kas atrodas publiskās apspriešanas fāzē, un to apstiprināšana plānota 2024. gadā.

Pirmais standartu bloks ir pēc būtības pilnveidotas esošās regulatīvās prasības, un tajās detalizēti tiek definētas divas standartu grupas.

IKT riska pārvaldības RTS nosaka harmonizētas prasības saistībā ar jau esošo risku regulējumu finanšu vienībām, balstoties uz Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.

IKT riska pārvaldības RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu.

IKT riska pārvaldības ietvars IKT incidentu ziņošana
RTS "Risku pārvaldība"
RTS "Vienkāršota risku pārvaldība"
Vadlīnijas IKT radīto zaudējumu aprēķināšanai		 RTS "Incidentu klasifikācija"
RTS "Būtisku incidentu ziņošana"
ITS "Incidentu ziņojumu specifikācija"

DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu vienībām:

  • trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz pakļaut regulatīvajām prasībām arī finanšu vienību trešo pušu kritisko IKT pakalpojumu sniedzējus;
  • operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
  • Eiropas pārraudzības ietvars – tas nodrošinās vispārīgu mehānisma darbību pārrobežu skatījumā un kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.
Digitālās noturības testēšana Trešo pušu IKT piegādātāju risku pārvaldība Kritisko pakalpojumu sniedzēju pārraudzības ietvars
RTS "Draudu vadītas ielaušanās testēšana" ITS "Piegādātāju informācijas reģistra forma"
RTS "Piegādātāju izmantošanas politika"
RTS "Piegādātāju kritiskuma noteikšana"		 RTS "Pārraudzības nosacījumu harmonizācija"
Vadlīnijas sadarbībai starp nacionālajām kompetentajām iestādēm un Eiropas uzraudzības iestādēm

DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, noteiktu uzraugošās iestādes un to pienākumus, Latvijā 2024. gadā tiks veikti atbilstoši nacionālā regulējuma grozījumi, kurus plāno izstrādāt un virzīt apstiprināšanai Finanšu ministrija (Normatīvie akti | Finanšu ministrija (fm.gov.lv)).

 

Latvijas Bankas un Aizsardzības ministrijas seminārs par kiberdrošību finanšu nozarē

Semināra prezentācijaPDF

IKT pārvaldības izaicinājumi un iespējas

Finanšu tirgus digitālā pārveide

Digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:

  • organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
  • jaunu nepārbaudītu tehnoloģiju testēšana;
  • darbinieku pieredzes un zināšanu trūkums;
  • novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
  • pārrobežu sadarbība ar piegādātājiem.

Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldes kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.

Šādas risku kultūras stūrakmeņi ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās transformācijas projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un monitorēšanu atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās transformācijas iniciatīvas.

Risku pārvaldes kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērot tehnoloģiju iespējas un riskus.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Tomēr, lai arī kādi resursi tiktu ieguldīti IKT infrastruktūras drošībā, jāpieņem, ka tā nekad nebūs pilnīgi droša un iespēja atrast ievainojamības pastāvēs vienmēr.

Ģeopolitisko apdraudējumu ietekme, iespējas un izaicinājumi cīņā ar kiberdraudiem

Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV apkopotie dati par uzbrukumiem dažādām Eiropas institūcijām liecina, ka Latvija šajā ziņā ieņem 2. vietu pēc Polijas. Kopumā uzbrukumu apmērs valsts sektoram ir palielinājies vismaz četrkārt un uzbrukumi vidēji ilgst 10 stundas, liedzot piekļuvi konkrētai vietnei, taču tie var norisināties arī vairāku dienu un pat nedēļu garumā.

Turklāt jāņem vērā, ka izkliedētās pakalpojumatteices (DDOS) uzbrukumi kļūst arvien sarežģītāki, tāpēc to risināšanai ir nepieciešama arvien novatoriskāka pieeja.

Kā norāda ar valsts drošību saistītās organizācijas, pastāv tendence, ka pretvalstiski noskaņotas personas un organizācijas ir gatavas nodot savus informācijas tehnoloģiju (IT) resursus dažādu ārvalstu grupējumu rīcībā, lai īstenotu dažādu veidu kaitnieciskas aktivitātes kibertelpā, tostarp DDOS uzbrukumus.

Līdztekus klientus, kuri izmanto attālinātos pakalpojumus, turpina apdraudēt arī pikšķerēšanas kampaņas un izspiedējvīrusu uzbrukumi, jo kiberuzbrukumu būtība strauji mainās. Mākslīgā intelekta risinājumi un mākoņpakalpojumi līdz ar ģeopolitisko spriedzi tiek iekļauti uzbrucēju arsenālā un ļauj īstenot sarežģītākus uzbrukumus, vienlaikus pilnveidojot to sociālās inženierijas uzbrukumu metodes un izspiedējļaunatūras efektivitāti.

Latvija pielāgojas mainīgajai ģeopolitiskajai videi un iekļauj finanšu sektoru nacionālajās kiberdrošības stratēģijās. Tiek analizēti attiecīgie draudu scenāriji, tostarp lieli uzbrukumi finanšu infrastruktūrai, ņemot vērā, ka finanšu sektoram jānodrošina sabiedrībai kritiski svarīgie pakalpojumi vismaz minimālā apmērā.

Problēmas sagādā ne tikai novecojušas, bet arī jaunas IT infrastruktūras uzturēšana, jo nepilnības finanšu iestādes IT drošības ievainojamību pārvaldībā patlaban ir galvenais draudu avots. Turklāt, ņemot vērā, ka ievērojami pieaug atklāto nulles dienu (zero day) ievainojamību skaits un to lietošana uzbrukumos, nepieciešams savlaicīgi novērst nepilnības un trūkumus ievainojamību pārvaldības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.

Arī piegādes ķēdes, kas joprojām paliek viens no galvenajiem draudu avotiem, rada izaicinājumus neatbilstošas ārpakalpojumu kvalitātes un nepietiekama to drošības līmeņa dēļ. Tāpēc savlaicīga ārpakalpojumu sniedzēju un piegādātāju identificēšana un ar šo sadarbību saistīto risku novērtēšana ir neatņemama iekšējās kontroles sistēmas sastāvdaļa, lai spētu pārvaldīt riskus, kas saistīti ar nedrošu tehnoloģiju lietojumu, nepietiekami efektīviem drošības pasākumiem un iespējamiem ģeopolitiskiem apdraudējumiem, kas rodas šādas sadarbības rezultātā.

Tā kā turpina pieaugt tādu incidentu skaits, kuros tiek konstatēta saistība ar izspiedējprogrammatūru un izspiešanu datu noplūdes rezultātā, tad jāņem vērā mākslīgā intelekta radītās draudu rīku lietojuma iespējas kopā ar ļaunatūru. Lai gan pagaidām tiem vēl nav noteicošas (game changer) ietekmes, tas neizslēdz paradigmas maiņu jau tuvā nākotnē.

Pašreizējais apdraudējumu līmenis nesamazināsies, un uzbrukumi saistībā ar pamatpakalpojumu pieejamību turpināsies, īpaši, ņemot vērā Latvijas intensīvo atbalstu Ukrainai. Līdztekus palielināsies informācijas integritātes risks, jo varētu tikt izmantota līdzīga hibrīdkara īstenošanas taktika kā Ukrainā. Kā norāda ar valsts drošību saistītie dienesti, pastiprinoties ārvalstu izlūkdienestu darbībai, palielināsies ne tikai klasificētās informācijas konfidencialitātes risks, bet arī ietekmējošās komunikācijas un propagandas lietošanas apmēri ar nolūku diskreditēt Latvijas finanšu tirgu un mazināt klientu uzticību tā stabilitātei.

Tomēr jāņem vērā arī nepietiekami novērtētā iekšējo apdraudējumu iestāšanās varbūtība, jo nereti incidentu iemesli ir izmaiņu vadības procesu nepilnības vai informācijas sistēmu kļūdas, tādēļ nepieciešams savlaicīgi novērst nepilnības un trūkumus izmaiņu vadības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.


Uzraudzība