Mūsdienu digitālajā laikmetā cilvēki ar vien lielāku daļu no savas ikdienas dzīves pārceļ uz digitālo pasauli, kā piemēram, iepērkoties internetveikalos, izmantojot internetbankas sniegtos pakalpojumus, izmantojot e-parakstus un glabājot lielāko daļu savas privātās informācijas mākoņkrātuvēs (Cloud storage).
Ņemot vērā digitālās pasaules straujo attīstību, prognozējams, ka digitalizācija tikai virzīsies uz priekšu un aptvers arvien lielāku mūsu ikdienas dzīves daļu. Tieši šī iemesla dēļ ir būtiski izprast šo jauno digitālo pasauli un ar to saistītos riskus. Ikvienam ir saprotams, ko nozīmē maka zādzība uz ielas, kā arī vismaz aptuveni skaidrs, kā rīkoties, lai mazinātu iespēju kļūt par šāda zagļa upuri. Savukārt kiberdrošības jautājumos sabiedrības izpratne ir krietni zemāka – gan par potenciālām incidentu sekām, gan par iespējamajām preventīvajām darbībām, lai nekļūtu par kibernoziedznieku jeb hakeru nākamo upuri.
Turpmāk sniegsim īsu ievadu kiberdrošības un kiberuzbrukumu pamatos, kā arī gaidāmajās regulējuma pārmaiņas, ņemot vērā Eiropas Savienības nostādnes.
Izplatītākie draudi digitālajā vidē
Kiberdrošība ir vispārējās drošības sastāvdaļa. To var definēt kā tehnoloģiju, procesu un vadības ierīču izmantošanu, lai aizsargātu sistēmas, tīklus, programmas, ierīces un datus no kiberuzbrukumiem. Savukārt kiberuzbrukums ir nevēlams, nesakcionēts mēģinājums nozagt, mainīt, atspējot vai iznīcināt informāciju, piekļūstot datorsistēmām1.
Daži no izplatītākajiem kiberuzbrukumu veidiem ir:
- ļaunprogrammatūra – ļaunprātīga programmatūra, tostarp spiegprogrammatūra, izspiedējprogrammatūra, vīrusi un tārpi. Ļaunprātīga programmatūra uzlauž tīklu, izmantojot ievainojamību, parasti tad, kad lietotājs atver interneta saites vai e-pasta pielikumus, kuros hakeri ir iekļāvuši šīs ļaunprogramatūras;
- izkliedētā pakalpojuma atteikuma (DDoS) uzbrukums – kiberuzbrukuma veids, kurā hakeri pārpludina mērķa serveri ar interneta satiksmi, lai neļautu lietotājiem piekļūt tiešsaistes pakalpojumiem un vietnēm;
- pikšķerēšana – kibernoziegums, kurā izmanto maldinošus e-pastus un vietnes, lai nozagtu konfidenciālu personisko un korporatīvo informāciju. Upuri tiek mānīti, kā rezultātā tiek izkrāpta personas informācija, piemēram, kredītkartes dati, tālruņa numurs, pasta adrese, uzņēmuma informācija utt.;
- SQL injekcijas uzbrukumi – kiberuzbrukuma veids, kurš izmanto ļaunprātīgu SQL kodu aizmugursistēmas datu bāzes manipulācijām, lai piekļūtu informācijai, kuru nebija paredzēts parādīt. Šī informācija var ietvert neierobežotu skaitu vienumu, tostarp sensitīvus uzņēmuma datus, lietotāju sarakstus vai privāto klientu informāciju. Iepriekš minētie ir visizplatītākie kiberuzbrukumu veidi, kas var skart gan fiziskas, gan juridiskas personas.
Privātpersonu, uzņēmumu un valsts kiberaizsardzības pasākumiKiberuzbrukumu novēršana ir sarežģīts process, kurš prasa kvalificētu kiberdrošības speciālistu iesaisti. Tomēr gan fiziskas, gan juridiskās personas var veikt konkrētas darbības, lai mazinātu iespēju kļūt par kiberuzbrukumu upuri, kā, piemēram, šifrēt un dublēt savus svarīgākos datus un informāciju, sniegt apmācības saviem darbiniekiem par tipiskākajiem kiberuzbrukumu veidiem un kā nepieļaut to iestāšanos, izmantot sarežģītas un dažādas paroles, izmantot tā saucamos ugunsmūrus (firewall) u.c. darbībās, kuras noteikti negarantē, ka persona nekļūs par hakeru nākamo upuri, bet viennozīmīgi samazina šāda fakta iestāšanās iespēju. Kā tas izriet no Latvijas kiberdrošības stratēģijas, kiberdrošības politikas mērķis laika periodam no 2023. gada līdz 2026. gadam ir stiprināt Latvijas kibertelpas drošību, attīstot kiberaizsardzības spējas, paaugstinot noturību pret kiberuzbrukumiem un veicinot sabiedrības izpratni par draudiem kibertelpā, definējot šādas prioritātes: aizsardzība, atturēšana un attīstība2.
Kiberdrošības attīstība ir ne tikai nacionāla, bet arī starptautiska mēroga jautājums. Lielākā daļa no kiberuzbrukumiem nav vienas valsts ietvaros, kā rezultātā, lai tos varētu apkarot un novērst ir jāpastāv vienotam regulējumam visā Eiropas Savienības līmenī. Turklāt ir nepieciešami efektīvi starptautiskās sadarbības mehānismi, ar kuriem tad varētu efektīvi izmeklēt un saukt vainīgās personas pie atbildības par kiberuzbrukumiem.
Regulējums Eiropas Savienībā un Latvijā
Līdz šim Eiropas Savienībā kiberdrošības aspektus regulēja direktīva 2016/1148/EK jeb NIS direktīva. 2022. gadā pieņemta NIS direktīvas pēctece – NIS2 direktīva, kuras ieviešanu dalībvalstīs jānodrošina līdz 2024. gada 17. oktobrim.
Latvijas gadījumā NIS2 direktīvas ieviešanai tiek izstrādāts jauns likums – Nacionālās kiberdrošības likums3.
Likumprojekts šobrīd ir sagatavošanas stadijā Aizsardzības ministrijas pārziņā. Līdz ar to likumprojekta redakcija vēl var būtiski mainīties un tā gala versija vēl tik drīz nebūs pieejama. Paplašināts subjektu loksNIS2 direktīva nosaka, ka tās prasības ir piemērojamas visiem vidēja un liela izmēra subjektiem, kuri darbojas nozarēs vai sniedz pakalpojumus, uz kuriem attiecas NIS2 direktīva. Pirmā šāda kategorija ir “būtiskie” pakalpojumi, piemēram, enerģētika, transports, banku darbība, finanšu tirgus infrastruktūra, veselība, dzeramais ūdens, notekūdeņi, digitālā infrastruktūra, IKT pakalpojumu pārvaldība, kā arī valsts pārvaldes struktūras centrālā un reģionālā līmenī (izņemot tiesu sistēmu, parlamentu un centrālās bankas)4.
Otrā kategorija ir “svarīgie” pakalpojumi, piemēram, pasta un kurjerpasta pakalpojumi, atkritumu apsaimniekošana, ķīmisko vielu ražošana un izplatīšana, pārtikas ražošana, pārstrāde un izplatīšana, medicīnas ierīču, elektronisko izstrādājumu un transporta ražošana, digitālo pakalpojumu sniedzēji un pētniecība5.
NIS2 attieksies arī uz apakšuzņēmējiem un pakalpojumu sniedzējiem, kuriem ir piekļuve kritiskajai infrastruktūrai un kuri nebija iekļauti vecās NIS direktīvas darbības jomā.
Kādi pasākumi būs jāveic uzņēmumiem?
Būtisko pakalpojumu sniedzējiem būs jānodrošina “proaktīva” uzraudzība un likuma prasību pārraudzība, savukārt svarīgo pakalpojumu sniedzējiem būs jāpiemēro “reaktīva” uzraudzība – ja un kad kiberdrošības incidents būs nozīmīgs un pieprasīs uzraudzību. Visiem subjektiem būs jāizstrādā dažādi bāzes kiberdrošības riska pārvaldības pasākumi, piemēram, kiberdrošības risku analīze, incidentu apstrāde, piegādes ķēdes drošība, darbības nepārtrauktība un krīžu pārvaldība, kiberhigiēnas pamatprakses un kiberdrošības apmācības, kriptogrāfijas un šifrēšanas izmantošana, piekļuves kontroles politiku un daudzfaktoru autentifikācijas risinājumu izmantošana u.c.
Uzņēmumiem, kas nesadarbosies ar valsts iestādēm vai pārkāps NIS2 direktīvas un likuma noteikumus, piemēros sankcijas. Ja notiek drošības incidents un subjekts atsakās sadarboties ar atbildīgajām iestādēm, dalībvalstij ir tiesības piemērot piespiedu līdzekļus, saukt subjekta vadību pie atbildības, kā arī piemērot administratīvo sodu līdz 10 miljoniem EUR, vai arī 2% apmērā no subjekta apgrozījuma.
Visbeidzot, arī uzņēmumiem, kuri nebūs NIS2 direktīvas subjekti, izvērtējot visus potenciālos kiberuzbrukumu draudus, būtu ļoti ieteicams ieviest savos uzņēmumos efektīvas kiberdrošības sistēmas un politikas, lai varētu nodrošināt, ka klientu un uzņēmuma sensitīvie dati netiek nopludināti, tādējādi bojājot uzņēmumu reputāciju un apdraudot to spēju turpināt veiksmīgu uzņēmējdarbību.
1 What is a cyberattack? Available: https://www.ibm.com/topics/cyber-attack
2 Latvijas kiberdrošības stratēģija 2023.-2026. gadam. 3.lpp.
3 Likumprojekts un tā anotācija pieejami šeit: https://tapportals.mk.gov.lv/legal_acts/2122ae13-f711-4b31-a767-daf155b28102
4 Nacionālās kiberdrošības likuma iespējamo definīciju skatīt likumprojekta 17. pantā: https://tapportals.mk.gov.lv/structuralizer/data/nodes/de9925c5-55f5-4e0d-a4e5-970b1f23f2a7/preview
5 Nacionālās kiberdrošības likuma iespējamo definīciju skatīt likumprojekta 18. pantā: https://tapportals.mk.gov.lv/structuralizer/data/nodes/de9925c5-55f5-4e0d-a4e5-970b1f23f2a7/preview
