IKT drošības un kiberrisku uzraudzība
IKT drošības un kiberrisku uzraudzības mērķis
Informācijas un komunikācijas tehnoloģiju (IKT) drošības un kiberrisku uzraudzības mērķis ir sekmēt drošu, stabilu, uzticamu, bet tajā pašā laikā arī inovatīvu finanšu pakalpojumu pieejamību. Tāpēc finanšu tirgus digitālās darbības noturība ir viena no Latvijas Bankas uzraudzības prioritātēm. Tirgus dalībnieku uzdevums ir attīstīt un pilnveidot savas spējas, lai aizsargātos pret pieaugošajiem un mainīgajiem kiberdraudiem, stratēģiski plānojot IKT aizsardzību un efektīvi reaģējot uz IKT ievainojamībām un drošības incidentiem, šādā veidā nodrošinot IKT aizsardzību un spēju funkcionēt. Tas ietver gan nepieciešamos tehnoloģiskos resursus, gan izpratni un zināšanas par iespējām sevi aizsargāt – kā pašai finanšu iestādei, tā sabiedrībai kopumā.
Kiberdraudi
Eiropas Savienības Kiberdrošības aģentūras (ENISA) skatījumā joprojām aktuāli ir šādi galvenie kiberdraudi, kas var radīt riskus arī finanšu tirgus dalībniekiem:
- izkliedētie pakalpojumatteices (DDoS) uzbrukumi un izspiedējprogrammatūra (ransoware) ir galvenie draudi, tiem seko sociālā inženierija, ar datu drošību saistītie draudi, informācijas manipulācijas, uzbrukumi piegādes ķēdēm un ļaunatūra (malware);
- notiek ievērojams tādu draudu radīšanā iesaistīto dalībnieku skaita pieaugums, kas piedāvā savu profesionālo kompetenci un spējas kā maksas pakalpojumus (as a service), piemēram, finanšu krāpšanas jomā (fraud as a service), un tas sniedz iespējas sākt darbību jauniem dalībniekiem bez šāda veida profesionālās pieredzes;
- biežāk izvēlētais uzbrucēju mērķis ir valsts pārvalde (~19 %), tai seko mērķētie uzbrukumi fiziskām personām (~11 %), veselības nozarei (~8 %), digitālajai infrastruktūrai (~7 %) un ražošanas, finanšu un transporta nozarēm;
- informācijas manipulāciju aktivitātes un kampaņas joprojām paliek galvenais elements Krievijas agresijas karā pret Ukrainu un tās atbalstītājiem;
- kibernoziedznieki arvien vairāk vēršas pret mākoņu infrastruktūrām. Lai gan visbiežāk šādas rīcības motivācija ir ģeopolitiska, tā ir iespēja palielināt izspiešanas operāciju tvērumu, ne tikai izmantojot izspiedējprogrammatūru, bet mērķējot tās arī tieši uz klientiem un to datiem;
- sociālās inženierijas uzbrukumu skaits ievērojami pieaug, izmantojot mākslīgā intelekta lietojuma iespējas jaunu paņēmienu izstrādē, taču pikšķerēšana joprojām ir un paliek galvenais uzbrukumu vektors.
DORA – jaunais IKT drošības regulējums finanšu vienībām
DORA ieviešanas nepieciešamība
DORA jeb Digital Operational Resilience Act ir Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 par finanšu nozares digitālās darbības noturību, kas stājās spēkā 2023. gada 17. janvārī.
Tehnoloģiju pastiprināta izmantošana digitalizācijas procesā ne tikai sniedz biznesa iespējas esošajiem un jauniem tirgus dalībniekiem, bet arī veicina risku pieaugumu. Regulējuma mērķis ir mazināt riskus, kas saistīti ar finanšu nozares digitālo pārveidi, nosakot vienotus noteikumus visiem tirgus dalībniekiem. Noteikumi attiecas uz plašu finanšu iestāžu loku, tai skaitā uz nozīmīgiem IKT trešo pušu pakalpojumu sniedzējiem, piemēram, mākoņpakalpojumu sniedzējiem, telekomunikāciju operatoriem, programmatūras izstrādātājiem un citiem digitālo pakalpojumu sniedzējiem.
Kritisko trešo pušu pakalpojumu sniedzējiem ar pārrobežu darbības tvērumu un augstu koncentrācijas risku un sistēmisku ietekmi tiks piemērota centralizēta Eiropas līmeņa uzraudzība.
Latvijā licencēto finanšu vienību kategorijas, kurām no 2025. gada 17. janvāra ir jānodrošina atbilstība jaunajam regulējumam, ir:
- kredītiestādes;
- apdrošināšanas sabiedrības;
- ieguldījumu pārvaldes sabiedrības;
- ieguldījumu brokeru sabiedrības;
- apdrošināšanas brokeri, kas ir lielie uzņēmumi;
- maksājumu iestādes;
- elektroniskās naudas iestādes;
- alternatīvo ieguldījumu fondu pārvaldnieki;
- kolektīvās finansēšanas platformas;
- centrālie vērtspapīru depozitāriji;
- kriptoaktīvu pakalpojumu sniedzēji (pēc Eiropas Savienības regulējuma pieņemšanas).
DORA noteiktā regulējuma ietvars
DORA prasības ir sadalītas piecos blokos, un tās detalizēti noteiks regulatīvi tehniskie standarti (RTS) un ieviešanas tehniskie standarti (ITS), kas atrodas publiskās apspriešanas fāzē, un to apstiprināšana plānota 2024. gadā.
Pirmais standartu bloks ir pēc būtības pilnveidotas esošās regulatīvās prasības, un tajās detalizēti tiek definētas divas standartu grupas.
IKT riska pārvaldības RTS nosaka harmonizētas prasības saistībā ar jau esošo risku regulējumu finanšu vienībām, balstoties uz Eiropas Banku iestādes izdotajām IKT un drošības risku vadlīnijām.
IKT riska pārvaldības RTS paredz harmonizēt incidentu ziņošanas ietvaru, tai skaitā incidentu klasifikācijas un ziņošanas prasības, un noteikt vienotu ziņojuma formātu.
| IKT riska pārvaldības ietvars | IKT incidentu ziņošana |
| RTS "Risku pārvaldība" RTS "Vienkāršota risku pārvaldība" Vadlīnijas IKT radīto zaudējumu aprēķināšanai |
RTS "Incidentu klasifikācija" RTS "Būtisku incidentu ziņošana" ITS "Incidentu ziņojumu specifikācija" |
DORA ietvertas arī trīs jaunas regulējuma jomas ar nozīmīgu ietekmi uz finanšu vienībām:
- trešo pušu IKT piegādātāju risku pārvaldība – šis virziens paredz pakļaut regulatīvajām prasībām arī finanšu vienību trešo pušu kritisko IKT pakalpojumu sniedzējus;
- operacionālās noturības testēšana – šis virziens paredz digitālās operacionālās noturības testēšanas prasību harmonizāciju un standartizāciju – ievērojot uz risku balstītu pieeju, uzņēmumiem būtu jāievieš novērtēšana, testēšana, metodoloģijas, risinājumi un rīki, kas atbilst uzņēmuma lielumam, biznesa un riska profilam;
- Eiropas pārraudzības ietvars – tas nodrošinās vispārīgu mehānisma darbību pārrobežu skatījumā un kritisko trešo pušu pakalpojumu sniedzēju uzraudzību, ko īstenos vienotais uzraugs, sadarbojoties ar nacionālajām kompetentajām iestādēm.
| Digitālās noturības testēšana | Trešo pušu IKT piegādātāju risku pārvaldība | Kritisko pakalpojumu sniedzēju pārraudzības ietvars |
| RTS "Draudu vadītas ielaušanās testēšana" | ITS "Piegādātāju informācijas reģistra forma" RTS "Piegādātāju izmantošanas politika" RTS "Piegādātāju kritiskuma noteikšana" |
RTS "Pārraudzības nosacījumu harmonizācija" Vadlīnijas sadarbībai starp nacionālajām kompetentajām iestādēm un Eiropas uzraudzības iestādēm |
DORA tiek piemērota tiešā veidā, bet, lai dotu likumisku pamatu uzraudzības veikšanai, noteiktu uzraugošās iestādes un to pienākumus, Latvijā 2024. gadā tiks veikti atbilstoši nacionālā regulējuma grozījumi, kurus plāno izstrādāt un virzīt apstiprināšanai Finanšu ministrija (Normatīvie akti | Finanšu ministrija (fm.gov.lv)).
Latvijas Bankas un Aizsardzības ministrijas seminārs par kiberdrošību finanšu nozarē
IKT pārvaldības izaicinājumi un iespējas
Finanšu tirgus digitālā pārveide
Digitalizācijas procesi ir nenovēršami saistīti ar tādiem izaicinājumiem kā:
- organizācijas spēja pārvaldīt apjomīgu IKT projektu portfeli;
- jaunu nepārbaudītu tehnoloģiju testēšana;
- darbinieku pieredzes un zināšanu trūkums;
- novecojušo tehnoloģiju dzīves cikla pārvaldīšana;
- pārrobežu sadarbība ar piegādātājiem.
Uzņemoties ambiciozus digitalizācijas projektus, organizācijas vadības struktūrai jānodrošina risku pārvaldes kultūra, kas ietver attīstību, balstoties uz jaunām un inovatīvām tehnoloģijām, piemēram, mākslīgo intelektu.
Šādas risku kultūras stūrakmeņi ir efektīva komunikācija visos organizācijas līmeņos, kas saistīti ar digitālās transformācijas projektiem. Tas ietver skaidru atbildību par riskiem, to pārvaldīšanu un monitorēšanu atbilstoši definētiem kritērijiem, tajā pašā laikā dodot iespēju pārbaudīt digitālās transformācijas iniciatīvas.
Risku pārvaldes kultūru var uzlabot, ieviešot mērķētas programmas, piemēram, inovāciju laboratorijas, kurās dalībnieki var tieši novērot tehnoloģiju iespējas un riskus.
Finanšu tirgus pakalpojumiem kļūstot arvien vairāk digitalizētiem, palielinās apdraudējumi un kaitējums, ko iespējams nodarīt, izmantojot kiberuzbrukumus. Tomēr, lai arī kādi resursi tiktu ieguldīti IKT infrastruktūras drošībā, jāpieņem, ka tā nekad nebūs pilnīgi droša un iespēja atrast ievainojamības pastāvēs vienmēr.
Ģeopolitisko apdraudējumu ietekme, iespējas un izaicinājumi cīņā ar kiberdraudiem
Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV apkopotie dati par uzbrukumiem dažādām Eiropas institūcijām liecina, ka Latvija šajā ziņā ieņem 2. vietu pēc Polijas. Kopumā uzbrukumu apmērs valsts sektoram ir palielinājies vismaz četrkārt un uzbrukumi vidēji ilgst 10 stundas, liedzot piekļuvi konkrētai vietnei, taču tie var norisināties arī vairāku dienu un pat nedēļu garumā.
Turklāt jāņem vērā, ka izkliedētās pakalpojumatteices (DDOS) uzbrukumi kļūst arvien sarežģītāki, tāpēc to risināšanai ir nepieciešama arvien novatoriskāka pieeja.
Kā norāda ar valsts drošību saistītās organizācijas, pastāv tendence, ka pretvalstiski noskaņotas personas un organizācijas ir gatavas nodot savus informācijas tehnoloģiju (IT) resursus dažādu ārvalstu grupējumu rīcībā, lai īstenotu dažādu veidu kaitnieciskas aktivitātes kibertelpā, tostarp DDOS uzbrukumus.
Līdztekus klientus, kuri izmanto attālinātos pakalpojumus, turpina apdraudēt arī pikšķerēšanas kampaņas un izspiedējvīrusu uzbrukumi, jo kiberuzbrukumu būtība strauji mainās. Mākslīgā intelekta risinājumi un mākoņpakalpojumi līdz ar ģeopolitisko spriedzi tiek iekļauti uzbrucēju arsenālā un ļauj īstenot sarežģītākus uzbrukumus, vienlaikus pilnveidojot to sociālās inženierijas uzbrukumu metodes un izspiedējļaunatūras efektivitāti.
Latvija pielāgojas mainīgajai ģeopolitiskajai videi un iekļauj finanšu sektoru nacionālajās kiberdrošības stratēģijās. Tiek analizēti attiecīgie draudu scenāriji, tostarp lieli uzbrukumi finanšu infrastruktūrai, ņemot vērā, ka finanšu sektoram jānodrošina sabiedrībai kritiski svarīgie pakalpojumi vismaz minimālā apmērā.
Problēmas sagādā ne tikai novecojušas, bet arī jaunas IT infrastruktūras uzturēšana, jo nepilnības finanšu iestādes IT drošības ievainojamību pārvaldībā patlaban ir galvenais draudu avots. Turklāt, ņemot vērā, ka ievērojami pieaug atklāto nulles dienu (zero day) ievainojamību skaits un to lietošana uzbrukumos, nepieciešams savlaicīgi novērst nepilnības un trūkumus ievainojamību pārvaldības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.
Arī piegādes ķēdes, kas joprojām paliek viens no galvenajiem draudu avotiem, rada izaicinājumus neatbilstošas ārpakalpojumu kvalitātes un nepietiekama to drošības līmeņa dēļ. Tāpēc savlaicīga ārpakalpojumu sniedzēju un piegādātāju identificēšana un ar šo sadarbību saistīto risku novērtēšana ir neatņemama iekšējās kontroles sistēmas sastāvdaļa, lai spētu pārvaldīt riskus, kas saistīti ar nedrošu tehnoloģiju lietojumu, nepietiekami efektīviem drošības pasākumiem un iespējamiem ģeopolitiskiem apdraudējumiem, kas rodas šādas sadarbības rezultātā.
Tā kā turpina pieaugt tādu incidentu skaits, kuros tiek konstatēta saistība ar izspiedējprogrammatūru un izspiešanu datu noplūdes rezultātā, tad jāņem vērā mākslīgā intelekta radītās draudu rīku lietojuma iespējas kopā ar ļaunatūru. Lai gan pagaidām tiem vēl nav noteicošas (game changer) ietekmes, tas neizslēdz paradigmas maiņu jau tuvā nākotnē.
Pašreizējais apdraudējumu līmenis nesamazināsies, un uzbrukumi saistībā ar pamatpakalpojumu pieejamību turpināsies, īpaši, ņemot vērā Latvijas intensīvo atbalstu Ukrainai. Līdztekus palielināsies informācijas integritātes risks, jo varētu tikt izmantota līdzīga hibrīdkara īstenošanas taktika kā Ukrainā. Kā norāda ar valsts drošību saistītie dienesti, pastiprinoties ārvalstu izlūkdienestu darbībai, palielināsies ne tikai klasificētās informācijas konfidencialitātes risks, bet arī ietekmējošās komunikācijas un propagandas lietošanas apmēri ar nolūku diskreditēt Latvijas finanšu tirgu un mazināt klientu uzticību tā stabilitātei.
Tomēr jāņem vērā arī nepietiekami novērtētā iekšējo apdraudējumu iestāšanās varbūtība, jo nereti incidentu iemesli ir izmaiņu vadības procesu nepilnības vai informācijas sistēmu kļūdas, tādēļ nepieciešams savlaicīgi novērst nepilnības un trūkumus izmaiņu vadības procesā šādu risku iestāšanās varbūtības un ietekmes mazināšanai.