IKT drošība un kiberriski

IKT drošības un kiberrisku uzraudzība

IKT drošības un kiberrisku uzraudzības mērķis

Informācijas un komunikācijas tehnoloģiju (IKT) drošības un kiberrisku uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm. Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt. Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.

Kiberdraudi

Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā joprojām aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:

• izkliedētie pakalpojumatteices (DDoS) uzbrukumi un izspiedējprogrammatūra (ransoware) ir galvenie draudi, tiem seko sociālā inženierija, ar datu drošību saistītie draudi, informācijas manipulācijas, uzbrukumi piegādes ķēdēm un ļaunatūra (malware);
• notiek ievērojams tādu draudu radīšanā iesaistīto dalībnieku skaita pieaugums, kas piedāvā savu profesionālo kompetenci un spējas kā maksas pakalpojumus (as a service), piemēram, finanšu krāpšanas jomā (fraud as a service), un tas sniedz iespējas sākt darbību jauniem dalībniekiem bez šāda veida profesionālās pieredzes;    
• biežāk izvēlētais uzbrucēju mērķis ir valsts pārvalde (~19 %), tai seko mērķētie uzbrukumi fiziskām personām (~11 %), veselības nozarei (~8 %), digitālajai infrastruktūrai (~7 %) un ražošanas, finanšu un transporta nozarēm;
• informācijas manipulāciju aktivitātes un kampaņas joprojām paliek galvenais elements Krievijas agresijas karā pret Ukrainu un tās atbalstītājiem;
• kibernoziedznieki arvien vairāk vēršas pret mākoņu infrastruktūrām. Lai gan visbiežāk šādas rīcības motivācija ir ģeopolitiska, tā ir iespēja palielināt izspiešanas operāciju tvērumu, ne tikai izmantojot izspiedējprogrammatūru, bet mērķējot tās arī tieši uz klientiem un to datiem;
• sociālās inženierijas uzbrukumu skaits ievērojami pieaug, izmantojot mākslīgā intelekta lietojuma iespējas jaunu paņēmienu izstrādē, taču pikšķerēšana joprojām ir un paliek galvenais uzbrukumu vektors.

IKT pārvaldības izaicinājumi un iespējas

Finanšu tirgus digitālā pārveide

Digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:

• organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
• jaunu nepārbaudītu tehnoloģiju testēšana;
• darbinieku pieredzes un zināšanu trūkums;
• novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
• pārrobežu sadarbība ar piegādātājiem.

Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldes kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.

Šādas risku kultūras stūrakmeņi ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās transformācijas projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un monitorēšanu atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās transformācijas iniciatīvas.

Risku pārvaldes kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērot tehnoloģiju iespējas un riskus.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Tomēr, lai arī kādi resursi tiktu ieguldīti IKT infrastruktūras drošībā, jāpieņem, ka tā nekad nebūs pilnīgi droša un iespēja atrast ievainojamības pastāvēs vienmēr.

Ģeopolitisko apdraudējumu ietekme, iespējas un izaicinājumi cīņā ar kiberdraudiem

Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas  CERT.LV apkopotie dati par uzbrukumiem dažādām Eiropas institūcijām liecina, ka Latvija šajā ziņā ieņem 2. vietu pēc Polijas. Kopumā uzbrukumu apmērs valsts sektoram ir palielinājies vismaz četrkārt un uzbrukumi vidēji ilgst 10 stundas, liedzot piekļuvi konkrētai vietnei, taču tie var norisināties arī vairāku dienu un pat nedēļu garumā.

Turklāt jāņem vērā, ka izkliedētās pakalpojumatteices (DDOS) uzbrukumi kļūst arvien sarežģītāki, tāpēc to risināšanai ir nepieciešama arvien novatoriskāka pieeja.

Kā norāda ar valsts drošību saistītās organizācijas, pastāv tendence, ka pretvalstiski noskaņotas personas un organizācijas ir gatavas nodot savus informācijas tehnoloģiju (IT) resursus dažādu ārvalstu grupējumu rīcībā, lai īstenotu dažādu veidu kaitnieciskas aktivitātes kibertelpā, tostarp DDOS uzbrukumus.

Līdztekus klientus, kuri izmanto attālinātos pakalpojumus, turpina apdraudēt arī pikšķerēšanas kampaņas un izspiedējvīrusu uzbrukumi, jo kiberuzbrukumu būtība strauji mainās. Mākslīgā intelekta risinājumi un mākoņpakalpojumi līdz ar ģeopolitisko spriedzi tiek iekļauti uzbrucēju arsenālā un ļauj īstenot sarežģītākus uzbrukumus, vienlaikus pilnveidojot to sociālās inženierijas uzbrukumu metodes un izspiedējļaunatūras efektivitāti.

Latvija pielāgojas mainīgajai ģeopolitiskajai videi un iekļauj finanšu sektoru nacionālajās kiberdrošības stratēģijās. Tiek analizēti attiecīgie draudu scenāriji, tostarp lieli uzbrukumi finanšu infrastruktūrai, ņemot vērā, ka finanšu sektoram jānodrošina sabiedrībai kritiski svarīgie pakalpojumi vismaz minimālā apmērā.

Problēmas sagādā ne tikai novecojušas, bet arī jaunas IT infrastruktūras uzturēšana, jo nepilnības finanšu iestādes IT drošības ievainojamību pārvaldībā patlaban ir galvenais draudu avots. Turklāt, ņemot vērā, ka ievērojami pieaug atklāto nulles dienu (zero day) ievainojamību skaits un to lietošana uzbrukumos, nepieciešams savlaicīgi novērst nepilnības un trūkumus ievainojamību pārvaldības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.

Arī piegādes ķēdes, kas joprojām paliek viens no galvenajiem draudu avotiem, rada izaicinājumus neatbilstošas ārpakalpojumu kvalitātes un nepietiekama to drošības līmeņa dēļ. Tāpēc savlaicīga ārpakalpojumu sniedzēju un piegādātāju identificēšana un ar šo sadarbību saistīto risku novērtēšana ir neatņemama iekšējās kontroles sistēmas sastāvdaļa, lai spētu pārvaldīt riskus, kas saistīti ar nedrošu tehnoloģiju lietojumu, nepietiekami efektīviem drošības pasākumiem un iespējamiem ģeopolitiskiem apdraudējumiem, kas rodas šādas sadarbības rezultātā.

Tā kā turpina pieaugt tādu incidentu skaits, kuros tiek konstatēta saistība ar izspiedējprogrammatūru un izspiešanu datu noplūdes rezultātā, tad jāņem vērā mākslīgā intelekta radītās draudu rīku lietojuma iespējas kopā ar ļaunatūru. Lai gan pagaidām tiem vēl nav noteicošas (game changer) ietekmes, tas neizslēdz paradigmas maiņu jau tuvā nākotnē.

Pašreizējais apdraudējumu līmenis nesamazināsies, un uzbrukumi saistībā ar pamatpakalpojumu pieejamību turpināsies, īpaši, ņemot vērā Latvijas intensīvo atbalstu Ukrainai. Līdztekus palielināsies informācijas integritātes risks, jo varētu tikt izmantota līdzīga hibrīdkara īstenošanas taktika kā Ukrainā. Kā norāda ar valsts drošību saistītie dienesti, pastiprinoties ārvalstu izlūkdienestu darbībai, palielināsies ne tikai klasificētās informācijas konfidencialitātes risks, bet arī ietekmējošās komunikācijas un propagandas lietošanas apmēri ar nolūku diskreditēt Latvijas finanšu tirgu un mazināt klientu uzticību tā stabilitātei.

Tomēr jāņem vērā arī nepietiekami novērtētā iekšējo apdraudējumu iestāšanās varbūtība, jo nereti incidentu iemesli ir izmaiņu vadības procesu nepilnības vai informācijas sistēmu kļūdas, tādēļ nepieciešams savlaicīgi novērst nepilnības un trūkumus izmaiņu vadības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.

IKT un drošības risku pārvaldības regulējums

IKT un drošības risku pārvaldības prasības

IKT un drošības risku pārvaldības prasības visiem finanšu tirgus dalībniekiem nosaka "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvie noteikumi".

Lai palīdzētu finanšu tirgus dalībniekiem novērtēt savus IT un drošības risku pārvaldības procesus, Latvijas Bankas Finanšu tehnoloģiju uzraudzības pārvalde ir sagatavojusi ērti lietojamas rekomendācijas IT un drošības risku pārvaldības pašvērtējuma veikšanai.

Rekomendētais kontrolsaraksts IT un drošības pārvaldības pašvērtējuma veikšanai palīdzēs finanšu tirgus dalībniekiem pašu spēkiem novērtēt "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvajos noteikumos" noteikto prasību izpildi IT un drošības pārvaldības procesos. 

Ziņošanas par incidentiem prasības

Saskaņā ar "Normatīvajiem noteikumiem par ziņošanu par būtiskiem maksājumu pakalpojumu incidentiem" maksājumu pakalpojumu sniedzējiem ir pienākums ziņot par visiem būtiskajiem incidentiem, kas saistīti ar maksājumu pakalpojumu sniegšanu.

• 2023. gadā salīdzinājumā ar iepriekšējo gadu ir ievērojami samazinājies ziņojumu par būtiskiem incidentiem skaits.
• Kopumā ziņoto incidentu ietekme skārusi vairāk lietotāju un vairāk darījumu. Kopējais ziņoto būtisko incidentu izraisīto dīkstāvju laiks ir samazinājies.
• Samazinājies to incidentu skaits, kas izraisīti saistībā ar ārējo sadarbības partneru sniegtajiem pakalpojumiem, jo tiek pastiprināta ārpakalpojumu sniedzēju piegādāto pakalpojumu uzraudzības prakse.
• Neraugoties uz būtisku pakalpojumatteices uzbrukumu skaita pieaugumu, sekmīgi realizēto uzbrukumu skaits ir samazinājies, jo tirgus dalībnieku kibernoturības spējas kopš 2022. gada ir ievērojami uzlabojušās.

Ārpakalpojumu uzraudzības prasības

IT ārpakalpojumu izmantošanas prasības visiem finanšu tirgus dalībniekiem nosaka "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvo noteikumu" 3.5. apakšnodaļa.

Papildus ārpakalpojumu izmantošanu kredītiestādēm regulē "Normatīvie noteikumi par ārpakalpojumu izmantošanu", kas nosaka ārpakalpojumu būtiskuma novērtēšanas un būtisko ārpakalpojumu saskaņošanas prasības.

Savukārt nebanku tirgus dalībniekiem ārpakalpojumu izmantošanu regulē:

• Apdrošināšanas un pārapdrošināšanas likuma VIII nodaļa;
• Finanšu instrumentu tirgus likuma F1 sadaļa;
• Maksājumu pakalpojumu un elektroniskās naudas likuma 
  29. pants.

Tomēr katrs preces vai pakalpojuma piegādes gadījums ir vērtējams individuāli, tirgus dalībniekam detalizēti izvērtējot visus ar preces vai pakalpojuma piegādātāja plānoto darbību saistītos apstākļus (mērķis, veicamie uzdevumi tā sasniegšanai, pušu atbildība u. c.) un īpaši riskus.

Piemēram, CRM jeb klientu attiecību pārvaldības sistēmas iegādes gadījumā, lai konstruktīvi novērtētu situāciju, būtu nepieciešams šo procesu pēc iespējas detalizētāk sadalīt apakšposmos, lai katrā posmā nodrošinātu iespēju identificēt tirgus dalībnieka un attiecīgā piegādātāja atbildības sadalījumu, veicamos uzdevumus, sagaidāmos rezultātus, t. sk. iesaistītos cilvēkresursus un nepieciešamās kompetences, tehnoloģiskos resursus u. tml.

Izvērtējot iegūto kvalitatīvo informāciju, tirgus dalībnieks var identificēt riskus un iespējas, kā arī potenciālās izmaksas dažādu scenāriju kontekstā – kā visa CRM izstrādes procesa vai tā daļas deleģēšanu ārējam piegādātājam vai projekta realizācijai pilnībā izmantojot savus iekšējos cilvēku un tehnoloģiskos resursus.

Lai gan praksē pastāv atsevišķi gadījumi, kad CRM sistēma var tikt piegādāta kā gatavs gala produkts, tomēr visbiežāk ir nepieciešama tās pielāgošana kredītiestādes funkcijām un procesiem, kas nav iespējama bez IT izstrādes funkcijas iesaistes.

Gadījums, kad IT izstrādes funkcija tiek deleģēta ārējam piegādātājam, ir viens no klasiskajiem IT ārpakalpojumu piemēriem. Tādēļ nepieciešams stingri noteikt garantijas saistību praktiskās realizācijas robežas, skaidri definējot piegādes termiņus, lai šādā veidā no minētā procesa nodalītu tādu IT sistēmu atjauninājumu izstrādi, kas norisinās izmaiņu vadības procesa ietvaros, neraugoties uz veikto izmaiņu būtiskumu un kontekstā ar tirgus dalībnieka biznesa un citu ieinteresēto pušu vajadzībām.  

Saskaņā ar "Informācijas tehnoloģiju un drošības risku pārvaldības normatīvo noteikumu" 32. punktā noteikto ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. IT drošības līmenis, ja IT attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par tirgus dalībnieka noteikto.

Ņemot vērā, ka pēdējo divu gadu laikā situācija ģeopolitisko un kiberrisku kontekstā ir strauji mainījusies, Latvijas Banka, sekojot Eiropas Centrālās bankas regulatīvajām norādēm, turpina pastiprināt uzraudzību jautājumos par ārpakalpojumiem, kuru ietvaros finanšu tirgus dalībniekiem tiek piegādātas IT sistēmas un IT pakalpojumi, apstrādāti klientu dati u. tml. Sekojot līdzi Eiropas Savienības Tīklu un informācijas drošības aģentūras (ENISA) un informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV regulāri sniegtajai informācijai par aktuālajiem kiberriskiem un incidentu statistikai kibertelpā, Latvijas Banka ir secinājusi, ka piegādes ķēžu risku līmenis joprojām turpina saglabāties augsts, īpaši Latvijas gadījumā.

Tā kā nepietiekami pārvaldīti ārpakalpojumi ir vieni no galvenajiem draudu avotiem, tad, īstenojot efektīvu IT ārpakalpojumu pārvaldību, finanšu tirgus dalībniekiem ir iespējams savlaicīgāk reaģēt uz riskiem un nodrošināt nepieciešamajam drošības līmenim atbilstošu kontroļu ieviešanu, kā arī veicināt gatavību iespējamai sadarbības pārtraukšanai un ārpakalpojuma sniedzēja nomaiņai.

Klātienes un neklātienes pārbaudes

Saskaņā ar Latvijas Bankas izstrādāto finanšu tirgus dalībnieku uzraudzības plānu tiek veiktas IKT un drošības risku pārvaldības klātienes pārbaudes.

Turpinot uzraudzības pārbaudes un novērtēšanas procesa neklātienes uzraudzības pieeju kredītiestādēm, ir plānots IKT riska pārvaldības novērtējuma metodi izmantot arī apdrošināšanas sabiedrību, ieguldījumu pārvaldes sabiedrību un pensiju fondu uzraudzības procesā. Tas nodrošinās svarīgus datus uzraudzības darba prioritāšu noteikšanai, kā arī ļaus veikt plašāku starpnozaru analīzi.

DORA – jaunais IKT drošības regulējums finanšu vienībām

DORA ieviešanas nepieciešamība

DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17.  janvārī.

Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem. Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.

Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.

Latvijā licencēto finanšu vienību kategorijas, kurām no 2025. gada 17. janvāra ir jānodrošina atbilstība jaunajam regulējumam, ir:

• kredītiestādes;
• apdrošināšanas sabiedrības;
• ieguldījumu pārvaldes sabiedrības;
• ieguldījumu brokeru sabiedrības;
• apdrošināšanas brokeri, kas ir lielie uzņēmumi;
• maksājumu iestādes;
• elektroniskās naudas iestādes;
• alternatīvo ieguldījumu fondu pārvaldnieki;
• kolektīvās finansēšanas platformas;
• centrālie vērtspapīru depozitāriji;
• kriptoaktīvu pakalpojumu sniedzēji (pēc Eiropas Savienības regulējuma pieņemšanas).

DORA noteiktā regulējuma ietvars

DORA prasības ir sadalītas piecos blokos, un tās detalizēti noteiks regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS), kas atrodas publiskās apspriešanas fāzē, un to apstiprināšana plānota 2024. gadā.

Pirmais standartu bloks ir pēc būtības pilnveidotas esošās regulatīvās prasības, un tajās detalizēti tiek definētas divas standartu grupas.

IKT riska pārvaldības RTS nosaka harmonizētas prasības saistībā ar jau esošo risku regulējumu finanšu vienībām, balstoties uz Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.

IKT riska pārvaldības RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu.

IKT riska pārvaldības ietvars	IKT incidentu ziņošana
RTS "Risku pārvaldība" RTS "Vienkāršota risku pārvaldība" Vadlīnijas IKT radīto zaudējumu aprēķināšanai	RTS "Incidentu klasifikācija" RTS "Būtisku incidentu ziņošana" ITS "Incidentu ziņojumu specifikācija"

DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu vienībām:

• trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz pakļaut regulatīvajām prasībām arī finanšu vienību trešo pušu kritisko IKT pakalpojumu sniedzējus;
• operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
• Eiropas pārraudzības ietvars – tas nodrošinās vispārīgu mehānisma darbību pārrobežu skatījumā un kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.

Digitālās noturības testēšana	Trešo pušu IKT piegādātāju risku pārvaldība	Kritisko pakalpojumu sniedzēju pārraudzības ietvars
RTS "Draudu vadītas ielaušanās testēšana"	ITS "Piegādātāju informācijas reģistra forma" RTS "Piegādātāju izmantošanas politika" RTS "Piegādātāju kritiskuma noteikšana"	RTS "Pārraudzības nosacījumu harmonizācija" Vadlīnijas sadarbībai starp nacionālajām kompetentajām iestādēm un Eiropas uzraudzības iestādēm

DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, noteiktu uzraugošās iestādes un to pienākumus, Latvijā 2024. gadā tiks veikti atbilstoši nacionālā regulējuma grozījumi, kurus plāno izstrādāt un virzīt apstiprināšanai Finanšu ministrija (Normatīvie akti | Finanšu ministrija (fm.gov.lv)).