Ekonomika

LVM datu noplūdē bīstamākais nav apjoms, bet saturs, skaidro eksperts

TVNET 2. jūlijs, 14:27
LVM datu noplūdē bīstamākais nav apjoms, bet saturs, skaidro eksperts

Nopludināto AS "Latvijas valsts meži" (LVM) datu apjoms pats par sevi neko nenozīmē, taču šajā gadījumā noplūduši samērā svarīgi dati, pauda informācijas tehnoloģijas (IT) drošības uzņēmumu grupas "Possible Security" vadītājs Kirils Solovjovs, komentējot kiberuzbrukumu LVM.

Solovjovs norādīja, ka, abstrakti runājot par noplūdušajiem 44 gigabaitiem (GB) datu, tie tikpat labi varētu būt, piemēram, pāris uzņēmuma Ziemassvētku pasākuma video, tāpēc datu apjoms pats par sevi neko neliecina. Viņš atzīmēja, ka, atsaucoties uz kiberincidentu novēršanas institūcijas "Cert.lv" sniegto informāciju, šajā gadījumā noplūduši samērā svarīgi dati, un nav būtiski, vai to apjoms ir 44 GB vai divi GB.

Solovjovs uzsvēra, ka viņu vairāk satrauc tas, ka ir noplūdušas dažāda veida atslēgas, ko parasti izmanto, lai sistēmas savā starpā autentificētos un varētu identificēt vienu otru, tāpat noplūdušas dažādas paroles. Tāpat noplūdis koda repozitorijs, kas nozīmē, ka programmatūra, pie kuras ir strādājis LVM, ir noplūdusi.

Runājot par nopludināto e-pasta saraksti, Solovjovs norādīja, ka tas ir interesants jautājums. E-pasta sarakstēs nereti atrodama dažāda iekšējā informācija, kas var palīdzēt turpmākiem kiberuzbrukumiem. Viņaprāt, pēc sistēmu darbības atjaunošanas un noplūdušo atslēgu nomaiņas, kas ir pirmie divi būtiskākie soļi, nākamais uzdevums ir noskaidrot, kas vēl varētu būt ietekmēts.

Viņš skaidroja, ka e-pastos bieži tiek apmainīts arī ar dokumentiem un citiem pielikumiem, tādēļ jāvērtē to potenciālā ietekme, kā arī nav izslēgts, ka e-pastos var būt arī informācija par uzņēmuma darbību vai IT drošības risinājumiem.

Runājot par autentifikācijas atslēgām, Solovjovs skaidroja, ka kibernoziedznieks, iegūstot šādas identifikācijas vai šifrēšanas atslēgas, var piekļūt informācijas sistēmām vai uzdoties par citu sistēmu vai personu. Viņš salīdzināja atslēgas ar parolēm, ko cilvēki izmanto, norādot, ka sistēmu savstarpējā saziņā parasti tiek izmantotas atslēgas. Kā piemēru viņš minēja situāciju, ja LVM sistēmas būtu integrētas ar kādu valsts sistēmu, tad tur varētu būt kāda atslēga, ar kuru sistēmā var pieslēgties. Vienlaikus Solovjovs uzsvēra, ka valsts sistēmās tiek izmantoti papildu drošības mehānismi un ar atslēgu vien nepietiktu, lai iegūtu piekļuvi.

Viņš arī norādīja, ka līdzīga situācija var attiekties uz privātā sektora sistēmām. Solovjovs uzsvēra, ka nezina, kā tieši organizēta LVM ikdienas darbība, taču pieļāva, ka uzņēmums var sadarboties ar privātiem pakalpojumu sniedzējiem, piemēram, mežu uzmērīšanas uzņēmumiem. Šādos gadījumos katrai pusei var būt sava informācijas sistēma, kuras savstarpēji savienotas ar atslēgām. Ja šādas atslēgas nonāktu uzbrucēja rīcībā, teorētiski rastos iespēja piekļūt arī partneru sistēmām un iegūt vai mainīt kādu informāciju.

Solovjovs norādīja, ka no preses redz, ka labākie Latvijas speciālisti ir iesaistījušies šīs problēmas risināšanā, un, ņemot vērā, ka kiberincidents ir atklāts vairāk nekā nedēļu atpakaļ, viņš ir diezgan drošs, ka visas atslēgas, kuras var izmantot, ir atsauktas.

Runājot par noplūdušo programmatūras koda repozitoriju, Solovjovs skaidroja, ka liela daļa mūsdienās izstrādātās programmatūras ir atvērtā koda programmatūra, kas nozīmē, ka ikvienam, kurš konkrēto programmu izmanto likumīgi, ir tiesības iepazīties arī ar tās pirmkodu. Vienlaikus viņš uzsvēra, ka tas nav vienīgais programmatūras izstrādes modelis, jo daudzi uzņēmumi izvēlas slēgtā koda pieeju, kur programmatūras kods netiek publiskots.

Viņš skaidroja, ka kods nav parole vai autentifikācijas atslēga. Tas ir teksts, ko programmētājs raksta programmēšanas valodā un kas pēc tam tiek pārvērsts programmā. Viņš norādīja, ka trešajām personām, kurām šāds kods kļūst pieejams, ir vieglāk izveidot līdzīgu lietotni vai izmantot jau paveikto darbu, tomēr viņaprāt tam nav būtisku seku valsts drošībai.

"Es teiktu, ka runa vairāk ir par konkrētā uzņēmuma komerciālo potenciālu. Ja konkurenti izmantotu šo darbu savā komercdarbībā, tas būtu autortiesību pārkāpums neatkarīgi no tā, vai kods ir nozagts vai iegūts citā nelikumīgā veidā," sacīja Solovjovs.

Pēc Solovjova teiktā, būtiskākais drošības risks šādā situācijā ir tas, ka personām, kurām pieejams pirmkods, ir nedaudz vieglāk izveidot viltotas programmas vai tīmekļvietnes, jo visa koda bāze jau ir viņu rīcībā. Vienlaikus viņš uzsvēra, ka arī bez pirmkoda mūsdienu tehnoloģijas ļauj pietiekami precīzi kopēt lietotņu un tīmekļvietņu vizuālo izskatu, tādēļ šis risks nav uzskatāms par būtiski lielāku.

Komentējot nopludinātās lietotāju paroļu jaucējfunkciju vērtības, Solovjovs skaidroja, ka tās ir šifrētas paroles. Viņš norādīja, ka drošības apsvērumu dēļ sistēmās paroles netiek glabātas atklātā veidā, bet gan šifrētas. Tas tiek darīts tieši gadījumiem, kad kāds uzlauž sistēmu un iegūst paroļu datubāzi. Ja tajā būtu saglabātas pašas paroles, uzbrucējs tās uzreiz varētu mēģināt izmantot, piemēram, e-pasta vai sociālo tīklu kontos.

Solovjovs norādīja, ka šifrēto paroļu atšifrēšana prasa ievērojamus resursus. Vienkāršas paroles iespējams atšifrēt salīdzinoši ātri, savukārt sarežģītāku paroļu gadījumā tas var prasīt daudz ilgāku laiku. Vienlaikus viņš atzīmēja, ka pēc publicētās informācijas secināms, ka uzbrucēju rīcībā, iespējams, nonākusi gan daļa paroļu atklātā veidā, gan daļa tikai šifrētā veidā.

Komentējot, cik ilgu laiku parasti prasa šāda mēroga kiberincidenta seku novēršana, Solovjovs norādīja, ka kiberdrošībā uzbrukumiem parasti ir trīs galvenie ietekmes virzieni - sistēmu nepieejamība, datu bojāšana un datu noplūde.

Viņš skaidroja, ka sistēmu nepieejamība parasti izpaužas, piemēram, tā, ka pāris reizes gadā Latvijas komercbankām nevar atvērt internetbanku, jo kādi noziedznieki to bloķē. Savukārt datu bojāšana nozīmē datu šifrēšanu vai dzēšanu, bet trešais uzbrukuma veids ir datu noplūde.

"Pēc publiski pieejamās informācijas spriežot, šajā gadījumā ir notikusi gan datu bojāšana, gan datu noplūde," sacīja Solovjovs.

Viņaprāt, tādai organizācijai kā LVM datu bojājumu novēršanai aptuveni ar nedēļu vajadzētu pietikt, īpaši, ja uzņēmuma rīcībā ir rezerves kopijas. Vienlaikus Solovjovs uzsvēra, ka sistēmas nedrīkst vienkārši atjaunot un uzskatīt darbu par pabeigtu, jo pastāv risks, ka uzbrucēji kādā no sistēmām varētu būt atstājuši ļaunprogrammatūru, kas pēc sistēmu atjaunošanas var atkārtoti izplatīties. Tāpēc viss jādara pakāpeniski un koordinēti, vienlaikus pārliecinoties, ka atjaunotās sistēmas tiešām ir drošas, un tas procesu var nedaudz paildzināt.

Viņš piebilda, ka nav iesaistīts LVM sistēmu atjaunošanas procesā, taču, balstoties uz savu pieredzi līdzīgos incidentos, uzskata, ka lielākais izaicinājums būs tieši datu noplūdes. Sabojātās sistēmas salīdzinoši vienkārši var atjaunot, bet sarežģītāk ir tad, ja noplūdušas atslēgas vai citi sensitīvi drošības parametri, jo tie visi ir jānomaina, skaidroja Solovjovs.

Noslēgumā Solovjovs norādīja, ka incidenta seku likvidēšana parasti ilgst vairākas nedēļas, un tas ir normāli. Savukārt pēc sistēmu darbības pilnīgas atjaunošanas kiberincidents vēl nav uzskatāms par noslēgtu, jo turpinās incidenta izmeklēšana, pierādījumu apkopošana un vainīgo noskaidrošana.

Iepriekš "Cert.lv" norādīja, ka patlaban uzbrucējs nopludinājis 44 gigabaitus no LVM kiberuzbrukumā iegūtajiem datiem, bet uzbrukumā potenciāli iegūto datu apjoms, visticamāk, ir lielāks.

Institūcijā norādīja, ka lielāko daļu informācijas datu noplūdē veido iekšējie dokumenti, e-pastu sarakstes un pielikumi, LVM biznesa IT projektu koda repozitorijs, dažādu sistēmu sertifikāti un atslēgas, kā arī lietotāju paroles un lietotāju paroļu jaucējfunkciju vērtības.

Analizējot noplūdušos datus, "Cert.lv" apkopo informāciju par potenciālu apdraudējumu trešajām pusēm, kuras nekavējoties informē par nepieciešamību nomainīt autentifikācijas datus un veikt citus preventīvos pasākumus. Papildus tam visi noplūdē sastopamie sertifikāti un atslēgas sistemātiski tiek apzinātas, un tiek organizēts to atjaunošanas process, skaidroja "Cert.lv".

Institūcijā uzsvēra, ka šādu incidentu atkopšanās procesā ir jāuzskata, ka visi skartās infrastruktūras piekļuves un autentifikācijas dati ir obligāti maināmi.

Tāpat "Cert.lv" norādīja, ka, ņemot vērā iespēju, ka noplūdē varētu būt skarti personu dati, uzņēmums ir vērsies arī Datu valsts inspekcijā (DVI).

Iepriekš LVM norādīja, ka jebkura iespējamā datu noplūde kiberuzbrukuma rezultātā, kas bija vērsts pret LVM IT sistēmām, tika pārtraukta 22. jūnijā plkst. 8.30, kad uzņēmums secīgi atslēdza visu uzņēmuma IT infrastruktūru.

Kā skaidro kompānijā, paralēli par notikušo kiberuzbrukumu tika informēts "Cert.lv". Ņemot vērā "Cert.lv" rekomendācijas, LVM IT infrastruktūras piekļuve internetam tika pilnībā bloķēta, šie pasākumi tika īstenoti tajā pašā 22. jūnija rītā līdz plkst. 10.15.

Pēc kiberuzbrukuma apturēšanas LVM IT speciālisti gan svētku dienās, gan pašlaik strādā ārkārtas režīmā, lai atjaunotu visu IT sistēmu darbību. Kopš uzbrukuma atklāšanas, strādājot ciešā sadarbībā ar "Cert.lv", nav konstatēti jauni datu noplūdes gadījumi, norāda LVM.

Lasīt pilno rakstu avotā (TVNET) →