“Cilvēki tiek apkrāpti arī šajā smagajā laikā.” Intervija ar kiberdrošības ekspertu Vari Teivānu 0
“Neklikšķināt uz visu pēc kārtas,” tas ir viens no ieteikumiem, ko sniedz kiberdrošības eksperts, “CERT.LV” vadītājas vietnieks VARIS TEIVĀNS. Laikā, kad daudzi pārgājuši uz attālinātu darbu mājās, riski palielinās, un to cenšas izmantot arī interneta ļaundari.
“CERT.LV” raksturojumā teikts, ka Informācijas tehnoloģiju drošības incidentu novēršanas institūcija. Bet ar ko jūs īsti nodarbojaties?
V.Teivāns: “CERT.LV” ir atbildīga par visu Latvijas IT adrešu jeb interneta telpu un “Latvija.lv” domēna zonas drošību. Mūsu pienākumi ir ļoti plaši – gan situācijas novērošana un brīdināšana, gan sadarbība ar citām iestādēm, kas atbildīgas par drošību Latvijas kibertelpā.
Tā ir gan Valsts policija, kas izmeklē noziedzīgas darbības, gan Drošāka interneta centrs, kas rūpējas par bērnu tiesību aizsardzību, gan Datu valsts inspekcija, kas uzrauga personas datu aizsardzību, protams, arī Valsts drošības dienests, kā arī IT kompānijas. Vēl viena nozīmīga “CERT” darba sastāvdaļa ir IT kritiskā infrastruktūra – servisi, kas ir ļoti nozīmīgi, lai ikdienas ierastā dzīve valstī neapstātos.
Ko tas nozīmē praktiski? Mēs ar dažādiem tehniskiem instrumentiem cenšamies identificēt uzbrukuma pazīmes Latvijas interneta telpā. Tāpat sadarbojamies ar dažādiem partneriem – gan individuāliem, gan globālo “CERT” tīklu.
Faktiski jau interneta vide ir tāda, kur nav robežu, tāpēc pārrobežu sadarbība ir neizbēgams ikdienas darbs kiberincidentu risināšanā – vai nu mēs paši identificējam kādas aktivitātes, ka tiek izplatīti vīrusi vai notiek uzbrukuma mēģinājumi, vai arī saņemam šādus brīdinājumus no citiem partneriem un uz tiem reaģējam.
Kā jūsu darbu ietekmējis tas, ka visā pasaulē šobrīd notiek izmisīga cīņa ar koronavīrusu un tā radītajām sekām?
Tagad redzam, ka cilvēki arvien vairāk sāk strādāt attālināti, no mājas datoriem. To, bez šaubām, pamana arī uzbrucēji. Ja darba devējs vai uzņēmuma IT dienests tehniskās funkcionalitātes attālināta darba veikšanai ir eksponējis nedrošā vai nepārdomātā veidā, uzbrucējs to cenšas izmantot. Interneta noziedznieki cenšas izmantot arī to, ka krīzes laikā cilvēki kļuvuši nervozāki, neuzmanīgāki, izvēlas šaubīgus informācijas avotus.
Kāds var pārliecinoši uzrakstīt ziņu, ka publicēta jauna, svarīga informācija par Covid-19, bet, lai pie tās tiktu, nepieciešams ievadīt, piemēram, “Facebook” lietotājvārdu un paroli. Cilvēki, satraukumā steidzot apskatīt informāciju, aizmirst par drošību. Tāpat var parādīties viltus ziedojumu akcijas mediķiem vai citiem cilvēkiem, kas šobrīd visvairāk iesaistīti cīņā ar slimību.
Ziedošana ir apsveicama darbība, tomēr ir jāizvēlas uzticamas platformas. Cilvēki tiek apkrāpti arī šajā smagajā laikā. Visi piesardzības ieteikumi, kurus “CERT.LV” un interneta drošības industrija skandina gadiem – nevērt vaļā aizdomīgus e-pastus, neatvērt un neielādēt savā datorā nezināmus pielikumus –, joprojām ir spēkā. Ārkārtas situācija valstī nav tos atcēlusi, tieši pretēji.
Protams, ir parādījies ļoti daudz viltus ziņu. Te jāpiebilst, ka viltus ziņu monitorēšana nav “CERT.LV” atbildība, taču mēs pieslēdzamies gadījumos, ja tur ir iesaistīta kāda kiberdrošības komponente. Piemēram, viltus ziņas tiek izplatītas, izmantojot uzbrukumu informācijas sistēmai – ir uzlauzts kāds ziņu portāls vai tiek izmantoti nozagti konti un e-pasti.
Iedzīvotājiem vajadzētu saprast, ka par krīzes situācijas risināšanu atbildīgās iestādes informāciju neslēpj, tā ir brīvi pieejama uzticamos avotos. Var izmantot uzticamus medijus vai iestāžu – Slimību profilakses un kontroles centra, Ministru kabineta, “CERT.LV” – interneta mājas lapas.
Jūs sacījāt, ka pašlaik Covid-19 tēma tiek plaši izmantota. Nesen bija informācija, ka visā pasaulē reģistrēts ļoti daudz ar Covid-19 tēmu saistītu interneta domēna vārdu. Ko tas nozīmē?
Tam var būt dažādi skaidrojumi. Domēnus var reģistrēt organizācijas, kas nodarbojas ar leģitīmu biznesu. Piemēram, lai sekmīgāk piesaistītu uzmanību dezinfekcijas līdzekļu tirdzniecībai. Ir arī tāds zināms piepelnīšanās veids – attapīgi cilvēki nopērk domēna nosaukumu, saprotot, ka nākotnē tā vērtība varētu pieaugt.
Piemēram, cilvēks par desmit eiro nopērk šādu domēnu, bet vēlāk kāda organizācija vai uzņēmums secina, ka tai būtu ļoti vajadzīgs domēns ar šādu nosaukumu. Cilvēks saka: “Labi, varu jums to pārdot, bet tagad tas maksās 1000 eiro.” Taču mērķi var būt arī dezinformācijas izplatība vai krāpšana. Ņemot vērā milzīgo Covid-19 tēmai veltīto domēnu skaita pieaugumu, ir aizdomas, ka lielākā daļa to nav ar labiem mērķiem.
Vai ir būtiski, kurā valstī ir reģistrēts domēns?
Konceptuāli tas nav būtiski, ja skatās no interneta lietotāja viedokļa. Arī Latvijā “.lv” zonā tiek reģistrēti šādi domēni. Taču tas kļūst būtiski, ja jāizmeklē incidents, kurā šis domēns iesaistīts, varbūt pat jāiesaista attiecīgās valsts tiesībsargājošās iestādes. Tad var būt pozitīva sadarbība vai ne pārāk pozitīva sadarbība, atkarībā no valsts, ar kuru nākas sadarboties.
Vai riski ir tādi paši, ja cilvēks kādu it kā svarīgu, bet nepārbaudītu ziņu saņem nevis e-pastā, bet savā mobilajā telefonā – kā īsziņu vai “Whatsapp” ziņu?
Saņemot ikvienu šādu ziņu, vispirms ir jāatbild sev – kāpēc es uz to “klikšķinu”? Kāpēc izmantot kaut kāda mazpazīstama avota sūtītu ziņu, ja tūlīt pat var jaunāko informāciju noskaidrot oficiālā avotā. Ja tā ir kāda informācija par kiberdrošību, tad vislabāk skatīties “CERT.LV” lapā. Piemēram, nesen daudzi “Whatsapp” lietotāji saņēma viltus ziņu par kādu bīstamu vīrusu, kas tiekot izplatīts, izsūtot video ar dejojošu pāvestu.
“CERT.LV” par to izplatīja īpašu brīdinājumu – jūs aicinājāt to ignorēt, norādot, ka šāda pati ziņa tikusi izplatīta pagājušajā nedēļā arī spāņu un angļu valodās runājošajās valstīs, taču tā nav patiesa. Es pats saņēmu šo ziņu no viena kolēģa, un, lai gan tā šķita haotiska un šaubīga, tomēr neko ļaunu tur nesaskatīju. Vai tad kas slikts, ka cilvēki tiek brīdināti nevērt vaļā kaut kādus nepazīstamus video? Kāpēc uzskatījāt, ka šajā gadījumā vajag tik asi reaģēt?
Ir jāveido piesardzība pret nepatiesas informācijas izplatību, kas var izpausties arī kā panikas sēšana. Tikpat labi kāds varētu izplatīt informāciju, ka bīstami dzert krāna ūdeni. Tiešām – varbūt kādreiz kādā konkrētā vietā var izrādīties, ka šis ūdens nav bijis tīrs, tomēr tas nenozīmē, ka krāna ūdeni vispār nevar dzert. Ja tiek secināts, ka tiek izplatīta viltus ziņa, tad labāk uz to reaģēt.
Šoreiz “CERT.LV” uzskatīja, ka nepieciešams iesaistīties, jo runa bija par tehnoloģiju un tās ievainojumu, tātad potenciālu kiberuzbrukumu. Mēs to redzējām kā savu lauciņu. Lai būtu objektīvi – arī “Whatsapp” mēdz būt ievainojamība, tā bija, piemēram, pirms pusotra gada un tika salabota.
Parasti šādi uzbrukumi tiek veikti limitētam mērķu sarakstam. Pašlaik “Whatsapp” ievainojamība ar attālināta koda izpildi “tirgū” maksā apmēram pusotru miljonu eiro. Diez vai kāds ir gatavs investēt, tikai lai pajokotos un masveidā izsūtītu plašam cilvēku lokam.
Vēl viens piemērs – pirms kāda laika krievvalodīgajā vidē “Whatsapp” un citās platformās izplatījās ziņa, ka Latvijas valdība nolēmusi apbalvot pilsoņus, kas ārkārtas situācijas laikā paliek mājās, un piešķir 350 eiro. Klāt saite, kur it kā var reģistrēties pabalsta saņemšanai. Kāda paziņa šo saiti atvērusi un secinājusi, ka tur esot joku lapa. Kā vajadzētu rīkoties, saņemot šādu ziņu?
Mums iedzīvotāji ziņoja par šo gadījumu, tur tiešām galā bija joks, šķiet, mērkaķis, kas rāda vidējo pirkstu. Konkrētajā brīdī tur tiešām nebija nekas IT sistēmu apdraudošs. Taču tam ir potenciāls par tādu kļūt. Ja saite aizved uz lapu, kas vizuāli atgādina Ministru kabineta interneta lapu un ir kaut kāda reģistrācijas forma, kur jāievada, piemēram, kredītkartes dati, tad tas jau būtu krāpšanas mēģinājums. Tādi mēģinājumi notiek ik dienu, un tiek izdomāti arvien jauni veidi. Diemžēl vienmēr ir cilvēki, kas uzķeras.
Kādi ir šie gadījumi?
Piemēram, mēģinājumi izkrāpt autentifikācijas līdzekļus, īpaši “Smart ID”. Te lietotājam būtu jāsaprot, ko nozīmē “autentifikācijas kods 1” un “autentifikācijas kods 2”. Ar pirmo kodu mēs autentificējamies, bet ar otro kodu jau apstiprinām transakciju un pārskaitām naudu. Uzbrucēji bieži apmuļķo upuri, izkrāpjot abus kodus, fonā reāli veicot darbības ar šiem datiem.
Ir gadījumi, kas bija vērojami arī pirms krīzes, bet tagad turpinās, ka cilvēkiem zvana nezināmas personas un uzdodas par “Smart ID” atbalsta dienesta pārstāvjiem, runā krievu valodā. Sarunas laikā cilvēki tiek apvārdoti tā, ka viņi faktiski piekrīt pievienot vēl vienu iekārtu savam “Smart ID”. Tālāk jau uzbrucējs var brīvi darboties ar upura “Smart ID” kontu.
Bieži upurim tiek skaidrots, ka viņam ir drošības problēma, piemēram, viņa “Smart ID” ir pieslēgums no Brazīlijas, un tiek zvanīts, lai viņu brīdinātu un palīdzētu. Cilvēks uzreiz uztraucas un notic, ka viņam grib palīdzēt, izpilda instrukcijas, kas viņam telefoniski tiek sniegtas. Te nav problēmas ar banku sistēmām, bet ar cilvēku lētticību, neuzmanību un tehnoloģiju nepārzināšanu.
Kā ar kiberuzbrukuma draudiem, vai tie tagad palielinājušies?
Ir pieauguši, bet es negribētu zīmēt visu drūmās krāsās. Pieaugums ir likumsakarīgs, jo tā notiek visu globālu satricinājumu brīžos. Covid-19 tiek izmantota kā tēma uzbrukuma piegādei. Tehnoloģiski nekas nav mainījies – visbiežāk tas notiek caur e-pastu. Ražotāji ir parūpējušies, lai šie uzbrukumi nebūtu tik vienkārši veicami. Taču vajadzētu sekot, lai datoru un citu iekārtu programmatūra ir atjaunināta, to nevajadzētu atlikt uz vēlāku laiku. Un, protams, neklikšķināt uz visu pēc kārtas.
16. martā parādījās satraucošas ziņas par kiberuzbrukumiem ASV Veselības aģentūrai slimnīcai Čehijā, kurā ir lielākā Covid-19 laboratorija valstī. Slimnīca uz laiku bija izsista no ierindas. Vai ir noskaidrots kas vairāk – kas stāv aiz šiem uzbrukumiem un kādi bijuši mērķi?
Cik zināms, tie ir “izpiedējvīrusu grupējumi”, kas jau iepriekš darbojušies līdzīgā veidā. Šajā vidē, kur apgrozās kibernoziedznieki, gan esot cirkulējusi vienošanās, ka Covid-19 krīzes laikā viņi pārtrauc savas darbības, taču acīmredzot ne visi to respektē.
Mums tagad valdības sēdes un daudzas citas svarīgas sanāksmes notiek attālināti, ar to nevar rasties kādas problēmas?
Vienmēr var būt kādi grābekļi, uz kuriem uzkāpt jaunās situācijās, un es nevaru apgalvot, ka šoreiz tā nenotiks. Taču “CERT.LV” un visas citas institūcijas, ieskaitot Informācijas un komunikāciju tehnoloģiju nodaļu, ļoti rūpīgi strādā, lai novērstu riskus.
Vai vērojamas kādas aktivitātes no Krievijas, kas šajā ziņā pēdējos gadus bijusi ļoti aktīva brīžos, kad Rietumi saskaras ar kādu problēmu vai jauniem izaicinājumiem?
Nevarētu iezīmēt kādu dramatisku lēcienu tieši kiberuzbrukumu ziņā, taču no Krievijas vērojams dezinformācijas apjoma pieaugums, tajā skaitā absurdā “Sputņik” publikācija, ka koronavīruss esot radīts Latvijā. Tiek izplatītas arī tādas viltus ziņas, kas var apdraudēt cilvēka veselību, piemēram, ka vīrusu var uzveikt, elpojot ļoti karstu tvaiku, un it kā apstiprinājuši ķīniešu zinātnieki. Ļoti ceru, ka cilvēki domās līdzi un nenodarīs kaitējumu savai veselībai. Vēlreiz atkārtošu – ir ļoti svarīgi informāciju iegūt no uzticamiem avotiem.