Galvenie riska faktori, kas potenciāli apdraud uzņēmumu un iestāžu IT infrastruktūras informācijas drošību, ir nepilnības tīkla pārvaldībā, ražotāja neatbalstīta vai neatbilstoši lietota programmatūra un nepietiekoša darbinieku izpratne par drošības kultūru. Par to liecina tehnoloģiju uzņēmuma “Tet” apkopotie dati no klientu IT auditiem 2024. gadā, kuru starpā ir gan privātie uzņēmumi, gan arī valsts un pašvaldību iestādes.
“Tet” IT drošības auditore Ieva Lauga norāda, ka uzņēmumi var pat nenojaust par drošības riskiem un parasti neaizdomājas par šķietami mazsvarīgām niansēm, ja iepriekš nav veikts IT audits. “Vairāku nepilnību kopums var radīt lieliskus apstākļus kiberuzbrukumiem un datu noplūdēm. Tāpēc ir jāpievērš uzmanība ne tikai jaunāko tehnoloģiju ieviešanai, bet arī IT un kiberdrošības pārvaldības procesu sakārtošanai, dokumentēšanai un drošības kultūras uzlabošanai, lai uzņēmums būtu gatavs jebkādiem izaicinājumiem,” norāda Ieva Lauga.
Nepilnības tīkla pārvaldībā
IT auditu dati liecina, ka 70 % pārbaudīto uzņēmumu un iestāžu joprojām neveic tīkla datu plūsmas analīzi, kas traucē savlaicīgi identificēt potenciālos draudus. Tāpat uzņēmumi reti izmanto jaunākās paaudzes ugunsmūrus (Next Generation Firewall), kas spētu ievērojami stiprināt tīkla aizsardzības spējas ar uzlabotām drošības funkcijām.
Liela daļa uzņēmumu tīklu nav segmentēti pēc labākās (drošākās) prakses – piemēram, nereti redzamas administrācijas un pārvaldības sistēmas, kurām var piekļūt ne tikai IKT jeb informācijas un komunikācijas tehnoloģiju darbinieki, bet arī citi darbinieki. Tīkla segmentēšana kopā ar detalizētu piekļuves kontroles sarakstu nodrošina efektīvu piekļuves ierobežošanu starp dažādām sistēmām un darbinieku līmeņiem.
Viena faktora autentifikācija
Daudziem uzņēmumiem Latvijā trūkst daudzfaktoru jeb vairāku pakāpju autentifikācijas risinājumi, kas ir svarīgs solis, lai novērstu nesankcionētu piekļuvi, un ko var izmantot arī tādiem resursiem kā VPN jeb virtuālajam privātajam tīklam. Tikai puse pārbaudīto uzņēmumu savu sistēmu vai iekštīkla piekļuvei izmanto daudzfaktoru autentifikāciju, savukārt pārējie šo drošības mehānismu neizmanto vispār. Neizmantojot daudzfaktoru autentifikāciju priviliģētajiem jeb administrācijas līmeņa lietotājiem, rodas augsts risks pakļaut minētos kontus paroles minēšanas un konta pārņemšanas uzbrukumiem.
“Uzņēmuma VPN no kiberdraudiem jāsargā tieši tāpat kā jebkuru citu kontu. Nereti uzņēmumi izmanto “Preshared key” jeb PSK autentifikācijas mehānismu, kad paroli izveido un izsniedz IT administrators, bet lietotājs pats to nezina un nevar nomainīt,” stāsta Ieva Lauga.
Izpratnes trūkums
Joprojām uzņēmumi izvēlas viegli uzlaužamas, pat trīs rakstzīmju garas paroles, un vairākos gadījumos tās nav mainītas pat septiņus gadus kopš sistēmas uzstādīšanas brīža. Ir gadījumi, kad daļai uzņēmuma VPN lietotāju ir izsniegtas vienādas paroles. Minētie un citi novērojumi auditos liecina par vispārēju darbinieku izpratnes trūkumu, tai skaitā, IT darbinieku.
“Sistēmu administratori bieži izmanto savas privilēģijas, lai atvieglotu sev darbu, bet vienlaikus samazinot drošības līmeni, piemēram, atslēdzot paroļu nomaiņas termiņus un ilgstoši tās nemainot vai uzstādot sešu simbolu garas paroles. Tas rada nopietnus drošības riskus, jo šiem darbiniekiem ir priviliģētas piekļuves uzņēmuma svarīgākajiem resursiem. Šāda rīcība no darbinieku un sistēmu administratoru puses liecina par izpratnes trūkumu ar kiberdrošīb saistītajos jautājumos,” uzsver drošības auditore.
Izplatīta problēma birojos ir printeru konfigurācija, tai skaitā, noklusētās paroles un PIN kodi, kas nav nomainīti kopš printera uzstādīšanas. Printeris ir ierīce, kas izvietota iekštīklā vienkopus ar citām sistēmām (ja tīkls nav segmentēts – kopā arī ar rezerves kopiju, drošības sistēmām u.c.), un tā glabā gan IP, gan darbinieku e-pasta adreses, nereti arī skenētos un printētos failus. Ja netiek veikta iekšējā tīkla plūsmas analīze un printerim nav veikta konfigurācija, hakeri nereti caur šo ierīci var piekļūt citiem uzņēmuma iekšējiem resursiem.
Novecojusi programmatūra
Trešdaļa auditēto klientu vēl joprojām izmanto operētājsistēmas, kam beidzies ražotāja atbalsts (“unsupported software” vai “end of life”), piemēram, Windows 7 vai CentOS 6 versijas, kuras lietošanā vairs nav uzskatāmas par drošām. Tāpat ir identificēti gadījumi, kad uzņēmumi izmanto bezmaksas programmatūras, kas nav paredzētas komerciālai lietošanai un var radīt juridiskus un ar drošību saistītus riskus.
Nepilnīga dokumentācija
Auditu rezultāti rāda, ka vairāk nekā puse uzņēmumu pavirši izturas pret IT pārvaldības, tai skaitā, arī drošības dokumentāciju. Dokumentācija bieži vien ir nepilnīga, novecojusi vai tās nav vispār, kas apgrūtina paša uzņēmuma spēju saglabāt un nodot būtisku informāciju par IT drošības procesiem, piemēram, jaunam darbiniekam. Kā arī uzskatāmi parāda IT pārvaldības sistēmas trūkumu.
“Visbiežāk uzņēmumiem nav izprotama IT dokumentācijas nozīme. Dokumentācija ir nepieciešama, lai palīdzētu nodot būtisku iekšējo IT informāciju, koordinēt iekšējos procesus, informēt darbiniekus, piemēram gadījumā, kad IT speciālists pārtrauc darba tiesiskās attiecības ar uzņēmumu un informācija ir jānodod citam darbiniekam,” uzsver I. Lauga.
Par kritisku vērtējama situācija ar drošības prasībām, kas saistītas ar ārpakalpojumiem un IKT drošības pārvaldību. Auditi liecina, ka 90 % gadījumu līgumos ar pakalpojumu sniedzējiem nav pilnvērtīgi atrunātas kvalitātes un drošības prasības, tai skaitā, atbilstība saistošajiem normatīvajiem aktiem.
Lai mazinātu potenciālo kiberrisku ietekmi, “Tet” atbalsta uzņēmumus drošības jautājumos un uzņēmuma eksperti ir gatavi nodrošināt kiberdrošības auditus, konsultācijas un tehnoloģiskos risinājumus, kas palīdzētu uzņēmumiem stiprināt savas drošības sistēmas.
