Intervija: Kāda ir CERT.LV kiberdrošības vienības vēsture un kā tā palīdz aizsargāt Latviju no kiberuzbrukumiem

Jau kopš 2011. gada Latvijā oficiāli darbojas kiberincidentu noveršanas institūcija CERT.LV. Tā ir “Latvijas Universitātes Matemātikas un informātikas institūta” (LU MII) struktūrvienība, kas darbojas Latvijas Republikas Aizsardzības ministrijas pakļautībā Nacionālās kiberdrošības likuma ietvaros. CERT.LV uztur un regulāri aktualizē informāciju par IT drošības apdraudējumiem, sniedz valsts un privātajām institūcijām, kā arī fiziskām personām atbalstu IT drošības jomā, ja incidentā iesaistīta Latvijas IP adrese vai .LV domēns. Tāpat CERT.LV organizē informatīvus un izglītojošus pasākumus, kā oktobra sākumā notiekošo CyberChess 2024 konferenci.

Intervijā ar CERT.LV tehnisko direktoru Vari Teivānu centīsimies uzzināt vairāk par CERT.LV ikdienas darbu, aktuālajiem kiberdrošības apdraudējumiem ar ko saskaras Latvija, kā arī panākumiem to atvairīšanā.

Pilno sarunu ar CERT.LV tehnisko direktoru Vari Teivānu vari noklausīties “Ko Kursors Tev Neraksta” podkāsta jaunākajā epizodē.

Kad un kā aizsākās CERT.LV?

Es pats CERT.LV strādāju no pašiem organizācijas pirmsākumiem. Toreiz 2006. gadā mēs sākām darbu kā pavisam neliela komanda dažu cilvēku apmērā un sākotnēji fokusējāmies uz LU MII akadēmisko tīklu, kas pirmais Latvijā tika pieslēgts globālajam interneta tīklam. Vispār interneta kā tāda dzimšana Eiropā un pasaulē notika sākotnēji tieši akadēmiskajā vidē. Izglītības iestādes bija pirmās, kas tika savienotas kopējā tīklā. Starp citu, tieši tāpēc arī LU MII savulaik tika izveidots un joprojām darbojas augstākā līmeņa domēna .lv reģistrs.

Dažus gadus vēlāk, 2011. gadā, tika nodibināta nacionāla mēroga organizācija CERT.LV, kuras vārdā mēs sākām jau valstiskā mērogā rūpēties par .LV domēnu zonu, Latvijai piederīgajiem IP adrešu apgabaliem, kā arī valsts sektora iestāžu un kritiskās infrastruktūras kiberdrošību. Sākotnēji CERT.LV bija Satiksmes ministrijas paspārnē, taču jau dažus gadus vēlāk mēs loģiski nonācām Aizsardzības ministrijas pārziņā. Šajā brīdī sāka būtiski pieaugt CERT.LV nozīme.

Kādas šobrīd ir CERT.LV funkcijas un ar ko ikdienā šī organizācija nodarbojas?

CERT.LV galvenais mērķis ir būt par galveno operacionālo kiberdrošības organizāciju Latvijā un no šī gada 1. septembra, kad spēkā stājās jaunais Nacionālais kiberdrošības likums, esam daļa no Nacionālā kiberdrošības centra. Mēs fokusējamies uz praktisko kiberdrošību un joprojām primāri rūpējamies par valsts pārvaldes, publiskā sektora un kritiskās infrastruktūras digitālo drošību, taču neatsakām padomu arī citiem. Piemēram, esam izveidojuši un ikvienam bez maksas piedāvājam DNS ugunsmūra pakalpojumu, kas ļauj padarīt drošāku tīmekļa pārlūkošanu. Starp citu, mēs DNS ugunsmūra pakalpojumam gatavojam arī mobilās lietotnes un tajās varēs bloķēt krāpnieku zvanus. Paredzams, ka šīs lietotnes būs pieejamas jau dažu tuvāko mēnešu laikā.

Kādus ieguvumus mums nes jaunais Nacionālais kiberdrošības likums?

No 1. septembra Latvijā spēkā stājies Nacionālais kiberdrošības likums, kas lokāli ievieš Eiropas līmeņa NIS2 direktīvas prasības. Šīs direktīvas mērķis ir vienādot kiberdrošības līmeni visu ES dalībvalstu vidū, lai turpmāk visiem būtu vienota izpratne par kiberrisku identificēšanu un reaģēšanu uz tiem, kā arī uzlabotu komunikāciju savā starpā. Līdz ar Nacionālā kiberdrošības centra izveidi, kura sastāvdaļa ir arī CERT.LV, šī organizācija tagad ir vēl vairāk integrēta Aizsardzības ministrijā.

Vai Eiropā un citviet pasaulē ir līdzīgas kiberdrošības organizācijas?

CERT.LV ir CSIRT (Computer Security Incident Response Team) vienība un tādas ir atrodamas arī citās valstīs. Tā kā dzīvojam digitālā laikmetā un kiberdrošība nav izolējama ar ģeogrāfiskām robežām, tad šādām vienībām būtu jābūt absolūti katrā valstī. Arī vairumā no kiberuzbrukumiem to komponentes atrodas dažādās valstīs, tāpēc neizbēgami ir jāveido sadarbība gan starp dažādu valstu kiberdrošības vienībām, gan iesaistot tiesībsargājošās iestādes. Vienības savā starpā apmainās ne tikai ar konkrētu noziegumu informāciju, bet arī tīri informatīvi par aktuālo kiberdrošības apdraudējumu situāciju. Jāpiezīmē, ka Krievijas aizsāktais karš Ukrainā būtiski uzlaboja sadarbību starp Eiropas kiberdrošības vienībām un tagad varam krietni labāk kopā strādāt pie kolektīvās kiberdrošības uzlabošanas. Interesanti vērot, kā arvien vairāk valstis kiberdrošību saredz kā nacionālās drošības sastāvdaļu un arvien vairāk citu valstu kiberdrošības vienības  tiek integrētas par valsts aizsardzību atbildīgajās valsts iestādēs.

Jāatcerās, ka “labajiem zēniem un meitenēm” ir jāievēro likumi, tāpēc ne vienmēr kibernoziegumu atšķetināšana sokas tik raiti kā gribētos. Noziedzniekiem tādā ziņā ir vieglāk, jo viņi neievēro nekādus likumus un var rīkoties ātri. Taču arī viņu vidē ir savi nerakstītie likumi un nav nekāds retums, ka kāda noziedznieku grupa gluži vienkārši “uzmet” citus krāpniekus. Tad šīs grupas savā starpā sakašķējas un tad viņus sekmīgāk atrod likumsargi.

Kā tieši CERT.LV palīdz savām mērķa iestādēm?

Mēs esam proaktīvi paši meklējam gan jau notikušus uzbrukumus, gan vēl tikai nākotnes apdraudējumus. Savas darbības balstām datos nevis kaut kur saklausītās pļāpās, tāpēc iegūstam un analizējam datus no dažādiem tīkla infrastruktūras punktiem un gala iekārtām. Piemēram, mūsu izveidotais tīkla sensoru projekts ļauj mums nacionālā līmenī ievākt datortīklu telemetrijas datus no valsts un pašvaldību iestādēm un citiem nacionālas nozīmes objektiem, lai pēc tam tos apstrādātu un varētu noteikt potenciālus apdraudējumus vai uzzināt par situācijām, kad uzbrukums jau ir noticis. Savukārt, no gala iekārtām mēs varam izgūt un analizēt žurnālfailus un cita veida informāciju, lai noteiktu ielaušanos vai kopā ar šo iestāžu darbiniekiem nokonfigurētu ierīces tā, lai šādus riskus mazinātu. Vēlos arī piezīmēt, ka ierobežotā budžeta dēļ mēs šos risinājumus būvējam paši un aktīvi izmantojam dažādus atvērtā pirmkoda risinājumus. Tādējādi bez daudzu miljonu vērtiem iepirkumiem mēs lēnām pašu spēkiem un zināšanām virzāmies uz mērķu sasniegšanu.

Vēl viens no mūsu pakalpojumiem ir t.s. draudu medības, kas izpaužas tā, ka, iepriekš ar sistēmu turētājiem atrunājot mūsu darbības, ieejam viņu sistēmās, uzstādām mūsu rīkus un ievācam visu nepieciešamo informāciju par sistēmām, tīkla aparatūru un to konfigurācijas īpatnībām. Tas mums ļauj, piemēram, no kādas iestādes 1000 ierīču flotes atklāt vienu vai vairākas ierīces, kas kaut kādā ziņā atšķiras un ļoti iespējams ir kompromitētas. Tad šīs dažas ierīces mēs padziļināti izpētām, lai noskaidrotu, kāpēc tās atšķiras no pārējās flotes.

Kādi ir visizplatītākie kiberuzbrukumu veidi ar ko saskaras Latvija?

Dažādas krāpšanas kampaņas droši vien ir tas, ko visvairāk sajūt mūsu valsts iedzīvotāji. Ļoti izplatītas ir telefonkrāpšanas, kurās nu jau tiek izmantotas pat reāllaika tulkošanas tehnoloģijas, lai cilvēkus uzrunātu latviski. Parasti krāpnieku mērķis ir steidzinot radīt satraukuma sajūtu un tādējādi izkrāpt finanšu datus – maksājumu karšu datus vai likt upuriem apstiprināt maksājumus pašiem. Krāpnieku izmantoto metožu klāsts ir plašs un laikā mainīgs. Cits krāpniecības veids ir saistīts ar kurjerdienestiem, kad tiek viltoti sūtījumu piegādes paziņojumi un arī te mērķis ir no cilvēkiem izkrāpt naudu. Pret šādiem krāpniekiem pasargātāki ir tie cilvēki, kas labi pārzina savus sūtījumus un kritiski izvērtē viņiem sūtīto vai teikto informāciju. Ja kaut kas izklausās neticami labi vai kaut mazākajā mērā aizdomīgi, tad gandrīz vienmēr tā ir kaut kāda veida krāpšana.

Nekur nav pazuduši arī šifrējošie izspiedējvīrusi un tie joprojām apdraud gan valsts, gan privātās iestādes. Šādu uzbrukumu gadījumā notiek ielaušanās mērķa infrastruktūrā, lai noskaidrotu svarīgāko uzņēmuma informāciju. Starp citu, šajos uzbrukumos vislielākā vērtībā uzbrucēju acīs ir datu rezerves kopijām, jo parasti “bekapi” tiek veikti tiem datiem, kas ir patiesi svarīgi. Jāsaprot arī tas, ka upuru šantāža tiek uzsākta tikai tad, kad svarīgie dati jau ir nozagti. Un nav vērts šiem neģēļiem maksāt, jo tas ne tikai negarantē datu atgūšanu, bet arī uztur krāpniekus un dod viņiem iespēju uzbrukt arvien jauniem uzņēmumiem un organizācijām. Ar teroristiem nekad nesadarbojas!

Trešā visizplatītākā kiberuzbrukumu kategorija ir saistīta ar valstu atbalstītajiem uzbrukumiem. Šie ir uzbrukumi, kas nes vislielāko postu. Te galvenais kaitnieks jau ilgstoši ir Krievija un tādi aktīvi uzbrukumi pret mūsu reģionu tiek veikti jau no kāda 2006. gada. Tad kad sākās Krievijas iebrukums Ukrainā, mēs intensīvāk izvērsām draudu medības un atklājām, ka arī pie mums uzdarbojas Krievijas specdienestu kūrētie grupējumi, kuru darbības tika novērotas arī Ukrainā. Galvenā atšķirība gan bija tāda, ka Ukrainā šiem ļaundariem tika dots veikt arī destruktīvas darbības, kamēr Latvijā uzdevumi vairāk saistīti ar datu izgūšanu. Piemēram, ļaundari sabojāja Ukrainas robežsardzes sistēmas, lai kara pirmajās dienās vēl vairāk radītu haosu uz robežām neļaujot laicīgi apstrādāt bēgļu plūsmu. Latvijas gadījumā šie uzbrucēji nereti mēģina iefiltrēties dažādu privāto uzņēmumu IT sistēmās. Piemēram, liels mērķis ir dažādas transporta kompānijas, kas var nodrošināt transporta pakalpojumus aizsardzības nozarei. Vēl riska kategorijā ir programmatūras u.c. veida tehnoloģiju atbalsta uzņēmumi, kas sadarbojas ar valsts pārvaldi. Līdzīgu situāciju ar pieaugošajiem uzbrukumiem privātajam sektoram novēro arī mūsu kaimiņvalstīs. Kas zīmīgi, pēdējā laikā Krievija pat nemēģina slēpt šo uzbrukumu izcelsmes vietas. Aktivitāti jūtam arī šķietami no Ķīnas puses, taču šeit tie uzbrukumi ir vairāk mērķēti uz dažāda veida pētniecības institūcijām, laboratorijām un akadēmisko vidi.

Pēdējos gados mēs novērojam arvien lielāku skaitu uzbrukumu ar mērķi kompromitēt industriālās ražošanas sistēmas. Piemēram, nesen mēs saskārāmies ar situāciju, kad kiberuzbrukumu piedzīvoja kāds liels lauksaimnieks. Viņa saimniecībā nebija pietiekami pasargāta graudu kaltes automatizācijas sistēma un šķietami ar Krieviju saistīti ļaundari piekļuvai tai, izmainīja parametrus un graudi sāka degt. Tā kā šeit bija runa par daudzu desmitu tonnu graudu sabojāšanu, tad tā ir būtiska problēma ne tikai konkrētajam lauksaimniekam, bet pat nacionālā līmenī. Un šāda veida riski skar arī dažāda veida enerģētikas, transporta uzņēmumus. Tāpēc mēs esam CERT.LV izveidojuši industriālo kontroles sistēmu laboratoriju, lai uz reālām ierīcēm mācītos, trenētos un varētu palīdzēt arī šādu nozaru uzņēmumiem.

Kā vispār Latvija izskatās uz Eiropas un pasaules fona savās kiberaizsardzības spējās?

Kopumā, manuprāt, mēs esam ļoti labi un vienīgā joma, kur mums būtu būtiski jāuzlabo savas spējas – komunicēt par saviem sasniegumiem. Tīri tehniski mūsu cilvēki ir ļoti zinoši speciālisti un liecības par to gūstam gan no citu valstu kiberdrošības vienībām ar kurām sadarbojamies un Kanādas bruņoto spēku speciālistiem ar kuriem cieši sadarbojamies pēdējos trīs gadus. Mēs ne tikai rūpējamies par drošību mājās, bet spējam profesionāli nodot savas zināšanas mūsu Eiropas un NATO partneriem. Tāpat vēlos atgādināt, ka Latvija ir čempions pasaulē lielākajās kiberdrošības sacensībās Locked Shields 2024.

Kā var uzsākt karjeru kiberdrošības jomā?

Kiberdrošības speciālistiem ir izveidotas dažādas sertifikācijas, taču mana pieredze rāda, ka to iegūšana ne vienmēr apliecina konkrētā indivīda prakstiskās zināšanas un spējas. Tāpēc es ieteiktu pievērst pastiprinātu uzmanību dažāda veida CTF (Capture the flag) tipa uzdevumu risināšanai. Tie praktiskā veidā ļauj pārbaudīt savas spējas risināt reālas problēmas un iegūt zināšanas, ko uzreiz var pielietot praksē. Aplūko TryHackMe vai Hack The Box platformas un pamēģini izpildīt kādu uzdevumu! Mums ir bijuši gadījumi, kad studenti pat bez reālas darba pieredzes ar šādu CTF tipa uzdevumu risināšanu ir tik labi pilnveidojuši savas tehniskās zināšanas par jomu, ka viņus var ņemt darbā. Es nekādā mērā nevēlos noniecināt teorētiskās zināšanas, tomēr ikdienas darbs vismaz mūsu vienībā ir ļoti praktisks un mēs paši katru dienu cenšamies iemācīties ko jaunu.

Ko mēs varam sagaidīt no CyberChess 2024 konferences?

Jau vairāk nekā 10 gadus rīkojam konferenci CyberChess, kurā pulcējam kiberdrošības jomas profesionāļus un entuziastus. Tā ir Baltijas valstīs lielākā kiberdrošības jomai veltītā konference, kurā runājam gan par politikas veidošanas jautājumiem, gan aizvadām ļoti tehniskas prezentācijas. Konferences sākumā tiks aizvadītas praktiskas darbnīcas un šogad, piemēram, būs darbnīca par dronu analīzi, bet mans kolēģis vadīs darbnīcu, kurā stāstīs, kā pašam izveidot savu DNS ugunsmūri. Es pats šajā konferencē dalīšos ar savu pieredzi kiberdraudu medībās. Arī šogad organizējam CTF sacensības visiem tiem, kas vēlas praktiskā veidā pārbaudīt savas zināšanas. Labā ziņa ir tāda, ka liela daļa no prezentācijām būs pieejamas tiešraidē, atliek vien reģistrēties pasākuma mājaslapā.