Ko praksē nozīmē kiberdrošības pamathigiēna, kādi ir tipiskākie e-pastu apdraudējumi un kā tie noved pie reāliem finansiāliem zaudējumiem – balstoties ikdienas pieredzē kiberdrošības operāciju vadībā, skaidrots šajā rakstā. Un kas svarīgi – lielākā daļa lēmumu, kas pasargā uzņēmumu, ir jāpieņem nevis IT speciālistiem, bet vadītājiem un grāmatvežiem.
“Mums bija gadījums, kurā tika pārtverts e-pastā sūtīts rēķins PDF formātā un izmainīti bankas rekvizīti. Maksājums tika veikts uz kompāniju Turcijā. Kā tas var notikt?” Šo jautājumu uzdeva kāda Latvijas uzņēmuma pārstāvis, un tas ļoti precīzi raksturo situāciju, ar kuru šobrīd saskaras uzņēmumi visā Baltijā. Nauda tiek zaudēta nevis tāpēc, ka kāds uzlauž serverus Holivudas filmu stilā, bet tāpēc, ka krāpnieki prasmīgi izmanto uzņēmumu ikdienas darba paradumus: uzticēšanos e-pastam, steigu un pieņēmumu, ka rēķins no pazīstama partnera vienmēr ir īsts.
Ko no uzņēmumiem prasa normatīvie akti
Kiberdrošība Latvijā vairs nav tikai laba prakse – tā ir juridiska prasība. 2024.gada 1.septembrī spēkā stājās Nacionālās kiberdrošības likums, kas Latvijas tiesību sistēmā pārņem Eiropas Savienības (ES) direktīvu 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā ES (NIS2 direktīva). Likums nosaka, ka būtisko un svarīgo pakalpojumu sniedzējiem ir jāievieš kiberdrošības risku pārvaldība, jānorīko par kiberdrošību atbildīgā persona un jāziņo par nozīmīgiem incidentiem Cert.lv. Likumam pakārtotie Ministru kabineta noteikumi Nr.397 “Minimālās kiberdrošības prasības” detalizē minimālās kiberdrošības prasības, tostarp prasības informācijas sistēmu klasifikācijai un aizsardzības pasākumiem.
Arī uzņēmumiem, uz kuriem šis likums tieši neattiecas, normatīvais fons ir būtisks. Regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) pieprasa aizsargāt personas datus ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem, un e-pasta konta kompromitēšana ļoti bieži ir arī personas datu aizsardzības pārkāpums, par kuru var nākties ziņot Datu valsts inspekcijai. Savukārt, ja krāpšanas rezultātā nauda ir aizplūdusi, seko Krimināllikuma piemērošana. Tomēr prakse rāda, ka pārrobežu krāpšanas gadījumos atgūt līdzekļus izdodas reti. Tāpēc vienīgā patiesi efektīvā stratēģija ir profilakse.
Kāpēc tieši tagad? Draudu aina Latvijā