Ģeopolitiskā situācija saasina kiberdrošības risku
Krievijai uzsākot karadarbību Ukrainā, kiberdrošības riski Latvijā un arī citās valstīs būtiski pieauguši. Pagaidām Latvijā nav notikuši kritiski kiberincidenti. CERT.LV ziņo, ka 2022. gada martā tika novērota paaugstināta uzbrucēju aktivitāte arī Latvijā. Tā galvenokārt izpaudusies apjomīgās pikšķerēšanas kampaņās pret valsts un pašvaldību iestāžu un valsts kapitālsabiedrību darbiniekiem, kā arī ievainojamību meklēšanā publiskā sektora infrastruktūrā. Tiesa, daļu no aktivitātes pieauguma var saistīt ar paaugstināto uzmanības pievēršanu kiberdrošībai, biežāk ziņojot par pamanītajiem uzbrukumiem un pikšķerēšanas vai krāpšanas mēģinājumiem.
Tomēr saglabājas bažas, ka kiberuzbrukumu intensitāte arvien palielināsies, īpaši valstīs, kurās ieviestas sankcijas pret Krieviju. Pagaidām kiberuzbrukumi un sistēmu traucējumi novēroti galvenokārt Ukrainā (kara sākumā), lai gan tie bija mazāk destruktīvi, nekā iepriekš prognozēts.
Arī SVF norāda, ka pašreizējā ģeopolitiskā situācija arvien vairos kiberdrošības riskus visur pasaulē, brīdinot par kiberincidentu iespējamo ietekmi uz finanšu stabilitāti un aicinot valstis nodrošināt efektīvu kiberdrošības regulējumu un uzraudzību, kā arī veicināt finanšu iestāžu kiberdrošības noturību un spēju atjaunot pakalpojumu sniegšanu pēc incidentiem.
Eiropas vadošais finanšu stabilitātes uzraugs: Jāuzlabo sadarbība!
Lai veicinātu ES valstu noturību pret sistēmiskiem kiberdrošības incidentiem, 2021. gada nogalē Eiropas Sistēmisko risku kolēģija, kuras priekšēdētāja ir ECB prezidente Kristīne Lagarda, nāca klajā ar ieteikumu attiecīgajām iestādēm par sistēmisku kiberincidentu Eiropas līmeņa koordinācijas mehānismu (ESRK/2021/17) 183. Ieteikuma mērķis ir laikus veidot pārrobežu informācijas apmaiņas un rīcības koordinācijas ietvaru starp Eiropas uzraudzības iestādēm (EBI, EVTI un EAAPI), ECB, ESRK un dalībvalstu mikrouzraudzības un makrouzraudzības iestādēm, izveidojot kontaktpunktus katrā iestādē. Šāds koordinācijas ietvars nodrošinātu komunikāciju un koordinētu rīcību kiberincidentos, kas skar finanšu sektoru sistēmiskā un pārrobežu līmenī, jo finanšu iestādes nereti darbojas vairāku dalībvalstu jurisdikcijās, kā arī izmanto tādu iestāžu ārpakalpojumus, kas atrodas citās valstīs. Koordinācijas ietvars padarītu operatīvāku informācijas apmaiņu par aktualitātēm kiberdrošības jomā un labākajām praksēm ievainojamību mazināšanā un stiprinātu uzraugošo iestāžu kompetenci kiberdrošības jomā.
Minētais ESRK ieteikums saturiski saistīts ar topošo ES Finanšu sektora digitālās darbības noturības regulu (tālāk tekstā – DORA), kas paredz attīstīt Eiropas uzraudzības iestāžu lomu finanšu sektora kiberdrošības ievainojamību mazināšanā. Tāpēc ieteikuma ieviešanas termiņi piesaistīti DORA spēkā stāšanās brīdim [1]. Taču ESRK jau strādā pie kontaktpunktu izveides un sākotnējās informācijas apmaiņas.
Kiberdrošība arī makrouzraudzības politikas uzmanības lokā
Līdz šim kiberdrošības risks nebija iekļauts makrouzraudzības iestāžu kompetencēs. Taču līdz ar atskārsmi, ka kiberincidenti var radīt arī sistēmisku ietekmi uz finanšu iestādēm un ietekmēt valstu un pat valstu grupu finanšu stabilitāti, arvien vairāk uzmanības makrouzraudzības iestāžu darbībā tiek pievērsts kiberdrošības riskam, t.sk. apsvērumiem, kā makrouzraudzības iestādes varētu veicināt finanšu sistēmas noturību pret kiberincidentu ietekmi un kādi varētu būt iespējamie instrumenti.
Ņemot vērā jauno globālo risku, t.sk. klimata un kiberrisku, nozīmes pieaugumu ES makrouzraudzības regulējuma regulārajā pārskatīšanā, EK izsludināja konsultāciju – arī par to, kādas pārmaiņas veicamas ES līmeņa makrouzraudzības regulējumā, lai turpmāk efektīvāk varētu mazināt finanšu stabilitātes sistēmiska līmeņa kiberriskus. Šajā konsultācijā ESRK, ECB un EBI, kā arī vairākas valstis un privātās finanšu iestādes ir sniegušas priekšlikumus par iespējamo makrouzraudzības iestāžu lomu kiberdrošības riska mazināšanā.
ESRK priekšlikumi ietver piedāvājumu makrouzraudzības iestāžu pilnvaru paplašināšanai, piemēram, ietvert pilnvaras attiecībā uz IT ārpakalpojumu sniedzējiem (līdzīgi kā tas jau atrunāts attiecībā uz banku uzraugiem DORA projektā), paredzēt iespēju noteikt augstākas kiberdrošības noturības prasības sistēmiski svarīgām kredītiestādēm, iespēju noteikt koncentrācijas ierobežojumus attiecībā uz ārpakalpojumu sniedzējiem, lai visas sistēmiski nozīmīgās iestādes neizmantotu vienus un tos pašus ārpakalpojumu sniedzējus, veikt sistēmiskus kibernoturības stresa testus. Lai arī tas vēl nenozīmē, ka visi minētie priekšlikumi tiks iestrādāti nākamajās ES banku normatīvo aktu redakcijās, šis ir nepieciešams solis, lai attīstītu makrouzraudzības iestāžu iespēju reaģēt uz sistēmisku kiberdrošības risku pieaugumu.
Kritisko finanšu nozares pakalpojumu ietvara stiprināšana palīdz mazināt sistēmiskus kiberdrošības riskus
2021. gada jūlijā stājās spēkā FKTK normatīvie noteikumi kritisko finanšu nozares pakalpojumu nodrošināšanai [2]. Tajos noteiktas arī tādas prasības kredītiestādēm, kuras veicina to noturību pret kiberincidentiem. Noteikumi ne vien nosaka kritisko pakalpojumu apjomu, bet arī definē vienotas prasības kritisko pakalpojumu nepārtrauktības plāniem, papildinot tos ar pasākumiem, lai nodrošinātu resursus (IT sistēmas, ēkas, personāls, ārpakalpojumi) kritisko pakalpojumu sniegšanai ārkārtas situācijā un veicot šo plānu testēšanu. Šie noteikumi attiecas uz lielākajām kredītiestādēm (šādā kredītiestādē atvērto klientu maksājumu kontu skaits un mājsaimniecību noguldījumi veido vismaz 5% no kopējā maksājumu kontu skaita kredītiestāžu sektorā un 5% no kopējiem iekšzemes mājsaimniecību noguldījumiem kredītiestāžu sektorā), kuras apkalpo lielāko sabiedrības daļu.
Ko var darīt kiberdrošības risku mazināšanai? Izglītoties un gatavoties!
Pieaugot modrībai par kiberdrošību globālā mērogā, arī Latvijā nepieciešams attīstīt sabiedrības informētību un izpratni par kiberdrošību – kā aizsargāt savas ierīces un IT sistēmas, kā atpazīt izplatītākos uzbrukumu un krāpšanas veidus, kā rīkoties, ja noticis iespējams kiberincidents. Par to pieejama informācija Latvijas Bankas Finanšu pratības vietnē, kā arī, saasinoties ģeopolitiskajai situācijai, CERT.LV publicējusi ieteikumus kiberdraudu mazināšanai. Vidējiem un lielajiem uzņēmumiem kā arī iestādēm, kuru darbībā IT drošībai ir paaugstināta nozīme, vērts apsvērt arī dalību CERT.LV Drošības ekspertu grupā, kurā dažādu organizāciju IT drošības un darbības nepārtrauktības speciālisti savstarpēji dalās ar informāciju par kiberdrošības apdraudējumiem un labākajām praksēm kiberdrošības risku mazināšanai. Savukārt ikdienas drošībai, lai iespējamie traucējumi elektronisko maksājumu un norēķinu pakalpojumu darbībā neradītu sadzīviskas raizes, iedzīvotājiem lietderīgi būtu glabāt nelielas skaidrās naudas rezerves pamatvajadzību nodrošināšanai īsā termiņā.
[1] DORA pašlaik vēl ir izstrādes stadijā. ESRK ieteikuma ieviešanas termiņi ir no sešiem līdz 36 mēnešiem pēc DORA stāšanās spēkā.
[2] FKTK 2021. gada 8. jūnija normatīvie noteikumi Nr. 64 "Kritisko finanšu nozares pakalpojumu pārvaldības normatīvie noteikumi".
Vēlos informēt, ka tekstā:
«… …»
Jūsu interneta pārlūkā saglabāsies tā pati lapa