Pētījums: divās no trim pašvaldību mājas lapām ir augsti kiberdrošības riski
- Autors: Apriņķis.lv
Foto - arhīvs
Vidēji divās no trim Latvijas pašvaldību interneta vietnēm ir augsti kiberdrošības riski, liecina biznesa konsultāciju uzņēmuma KPMG veiktais pašvaldību mājaslapu novērtējums, kas tapis sadarbībā ar Latvijas Pašvaldību savienību (LPS) un Vides aizsardzības un reģionālās attīstības ministriju (VARAM).
Veicot kiberdrošības novērtējumu 15 atšķirīga lieluma Latvijas pašvaldību mājaslapām, konstatētas 227 dažādas nepilnības, kas liecina, ka neatkarīgi no pašvaldības lieluma un pieejamajiem finanšu un cilvēkresursiem visu pašvaldību mājaslapām ir ievainojamības, kas rada nopietnus kiberdrošības riskus.
Lai gan novērtējuma laikā dažām pašvaldību mājaslapām konstatētas 4 vai 5 ievainojamības, atsevišķu pašvaldību vietnēs atklāto ievainojamību apjoms pārsniedzis pat 20. No kopējā ievainojamību skaita 6% veido augsta riska ievainojamības, kuras ir būtiski novērst nekavējoties, lai liegtu iespēju reālam uzbrucējam pārņemt kontroli pār mājaslapu vai padarīt resursu nepieejamu sabiedrībai. 46% ievainojamību raksturojamas kā vidēja līmeņa riski, un tādas atrodamas visu pārbaudīto pašvaldību vietnēs.
Pētījuma autori īpaši norāda – lai gan lielāko daļu jeb 48% atklāto ievainojamību var raksturot kā zema riska ievainojamības, eksperti norāda, ka šāda tendence joprojām ir satraucoša, jo vairākas zema vai vidēja riska līmeņa neatbilstības vienkopus var radīt augsta līmeņa risku.
Projekta ietvaros tika veikta sociālās inženierijas uzbrukuma simulācija 162 pašvaldību darbiniekiem, nosūtot e-pastu ar kaitīgas vēstules pazīmēm, kurā tika lūgts uzklikšķināt uz e-pastā norādītās saites. 16% darbinieku, kas piedalījās simulācijā, šīs pazīmes nepamanīja un reāla uzbrukuma gadījumā potenciāli būtu kļuvuši par uzbrucēja upuriem: 12% simulācijas dalībnieku uzklikšķināja uz pievienotās saites, bet 4% pat atbildēja sūtītājam. Tikai divās pašvaldībās neviens darbinieks nebija atvēris e-pastam pievienoto saiti, un tikai dažu pašvaldību darbinieki ziņoja par aizdomīgiem e-pastiem organizācijas atbildīgajam personālam, kaut gan tā ir vispareizākā rīcība, saņemot aizdomīgu vēstuli.
“Kiberdrošība ir atkarīga no vairākiem vienlīdz svarīgiem aspektiem – no platformas, uz kuras bāzes uzbūvēta mājaslapa, izmantotās versijas, iestatījumiem un informācijas tehnoloģiju speciālistiem, kas pārvalda šo sistēmu. Grūti precīzi novērtēt, kādas sekas var izraisīt veiksmīgs kiberuzbrukums katrai pašvaldībai, jo mājaslapu funkcionalitāte atšķiras. Tomēr var teikt, ka veiksmīga kiberuzbrukuma gadījumā tiktu ietekmēta gan organizāciju darbība un reputācija, gan varētu rasties tieši vai netieši finansiāli zaudējumi,” norāda KPMG IT konsultāciju vadītājs Kaspars Iesalnieks.
Apkopojot novērtējuma rezultātus, secināts, ka lielākoties Latvijas pašvaldību tīmekļu vietnēs nepilnības saistās ar neatbilstošu lapu konfigurāciju jeb iestatījumiem – šādas problēmas konstatētas vairumā pārbaudīto pašvaldību mājaslapu. Pārbaužu laikā atklāts, ka pietiktu pat ar viena datora jaudu, lai pārsniegtu informācijas pieprasījumu apjomu, ko mājaslapa spēj apstrādāt. Tas nozīmē, ka uzbrucējs viegli var padarīt pašvaldības resursu nepieejamu vai likt reālam lietotājam stundām ilgi gaidīt atbildi no sistēmas. Citas biežāk sastopamās ievainojamības saistītas ar nepietiekamu datu aizsardzību un nepilnībām autentifikācijas procesā.