Noderīgas saites

Meklētākās tēmas

IKT drošības un kiberrisku uzraudzība

IKT drošības un kiberrisku uzraudzības mērķis

Informācijas un komunikācijas tehnoloģiju (IKT) drošības un digitālās darbības uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm.

Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt, gan atjaunot darbību krīzes situācijās.

Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan pārvaldību, izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.

Finanšu tirgus digitālā pārveide un digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:

  • organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
  • jaunu, nepārbaudītu tehnoloģiju testēšana;
  • darbinieku pieredzes un zināšanu trūkums;
  • novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
  • pārrobežu sadarbība ar piegādātājiem.

Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldības kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.

Šādas risku kultūras stūrakmens ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās pārveides projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un uzraudzību atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās pārveides iniciatīvas.

Risku pārvaldības kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērtēt tehnoloģiju iespējas un riskus.

Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Efektīva risku pārvaldība un atbilstošas riska apetītes noteikšana var palīdzēt līdzsvarot attīstību un ierobežot iespējamos zaudējumus.

Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā (skat. Threat Landscape — ENISA) aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:

  • draudi pieejamībai (pakalpojumatteices uzbrukumi jeb DDoS) un izspiedējvīrusi – vieni no aktuālākajiem draudiem arī 2024. gadā;
  • Living Off Trusted Sites (LOTS) – kibernoziedznieki paplašina savas slēptās aktivitātes mākoņpakalpojumu platformās, izmantojot uzticamas vietnes un likumīgus pakalpojumus, lai izvairītos no atklāšanas un maskētu savas aktivitātes, noformējot tās kā parastu tīkla datu plūsmu vai nevainīgus ziņojumus tādās platformās kā Slack un Telegram;
  • ģeopolitika – aizvien spēcīgs kibernoziegumu veicinātājs;
  • straujš biznesa e-pasta kompromitēšanas (BEC) incidentu pieaugums;
  • izspiešana, izmantojot informācijas ziņošanas un atklāšanas prasības – uzņēmumi tiek spiesti izpildīt izspiešanas prasības pirms noteiktā ziņošanas termiņa, lai novērstu informācijas noplūdi;
  • mākslīgā intelekta rīki – kibernoziedznieki izmanto tādus rīkus kā FraudGPT un lielo valodu modeļi, lai veidotu krāpnieciskus e-pasta sūtījumus un ģenerētu ļaunprātīgus PowerShell skriptus;
  • haktīvistu pārklāšanās ar valsts sponsorētām kibernoziedznieku grupām – novērojama pieaugoša līdzības starp abām grupām tendence;
  • mobilo banku ļaunatūras pieaugums un vienlaicīgs uzbrukuma vektoru sarežģītības pieaugums;
  • ļaunprātīga programmatūra kā pakalpojums (MaaS) – nozīmīgs un strauji attīstīts drauds, īpaši kopš 2023. gada vidus;
  • aizvien vairāk izplatīta trešo pušu kompromitēšana, izmantojot sociālo inženieriju;
  • datu kompromitēšana, kas 2024. gadā palielinājusies un liecina par šīs tendences turpmāku saglabāšanos;
  • DDoS uzbrukumi pēc pieprasījuma, kas ļauj lielus uzbrukumus veikt neapmācītiem lietotājiem;
  • informācijas manipulācija – joprojām galvenais elements Krievijas agresijas karā pret Ukrainu. Novērojami mēģinājumi lokalizēt saturu un vienlaikus globalizēt savu klātbūtni;
  • pieaugoši mākslīgā intelekta atbalstītas informācijas manipulācijas draudi, piemēram, eksperimentējot ar mākslīgo intelektu informācijas manipulācijai, lai novērtētu tehnoloģiju iespējas.

Trīs Eiropas uzraudzības iestādes – Eiropas Banku iestāde, Eiropas Vērtspapīru un tirgu iestāde un Eiropas Apdrošināšanas un aroda pensiju iestāde – apkopo jautājumus un atbildes, lai atbalstītu Eiropas Savienības regulējuma konsekventu un efektīvu piemērošanu finanšu pakalpojumu jomā. Ar jautājumu un atbilžu datubāzi par DORA iespējams iepazīties Eiropas Apdrošināšanas un aroda pensiju iestādes tīmekļvietnē (skat. Joint Q&As - EIOPA), izvēloties atbilstošus filtrus.

Publicētie jautājumi ir tie, kas tirgus dalībniekiem visbiežāk radījuši neskaidrības. Ja jūs interesējošais jautājums nav atrodams Eiropas uzraudzības iestāžu vai Latvijas Bankas resursos, aicinām nosūtīt jautājumu uz e-pasta adresi dora@bank.lv vai uzdot jautājumu, izmantojot Eiropas uzraudzības iestāžu resursu "Joint Q&As – EIOPA".

Cik noderīga Tev bija šī informācija?
Nebija noderīga Ļoti noderīga
Kā mēs varam uzlabot Tavu pieredzi mūsu tīmekļvietnē?

Šī lapa ir aizsargāta ar Google reCAPTCHA, un tās apmeklētājiem jāņem vērā arī Google pakalpojumu sniegšanas noteikumi un Google konfidencialitātes politika