Pagājušajā trešdienā notikusi apjomīga zādzība, kuras sekas vēl neviens tā īsti nespēj aplēst. Runa ir par Krievijas valstij daļēji piederošo IT pakalpojumu sniedzēju ROS-telekom. Tam ir izdevies pārtvert datus no vairākām bankām. Starp tām arī ir divas no Latvijas. Iespējams, notikušais ir tikai tests. Iespējams - nav.
Bankas apgalvo, ka nekādi dati no tām neesot nozagti, jo visas darbības tiekot šifrētas. Tomēr interneta drošības sargi nav tik optimistiski. Krievijas valstij piederošajam uzņēmumam, visticamāk, ir izdevies piekļūt stratēģiski svarīgai informācijai, kā šīs bankas strādā. Un to var izmantot, nākotnē plānojot lielāka apjoma uzbrukumus.
26.aprīlī no piecām līdz septiņām minūtēm Krievijas uzņēmums «Rostelekom» panāca to, ka visi darījumi, ko vairākas bankas veica, tika slepus pārvirzīti caur Krieviju. Notikušais ir līdz šim nebijis gadījums, kad Krievijas valstij piederošs uzņēmums pārtver un nozog visu saziņu.
Iespējams, notikušais ir tikai tests. Pretējās puses reakcija ļauj pēc tam Krievijas dienestiem pētīt, cik ātri un ar kādām metodēm iespējamais uzbrukums pamanīts un kuras ir nosacītā pretinieka vājās vietas.
VARIS TEIVĀNS, CERT.lv vadītājas vietnieks: - Ja mēs to varētu salīdzināt ceļu analoģijās. Jūs pie savas kontrolētas teritorijas pagriežat zīmi, ka Daugavpils ir uz turieni un caur jums var arī izbraukt uz Daugavpili, bet tas nav īstais paredzētais oriģinālais ceļš. Un tad transporta līdzekļi visi brauc caur jūsu maršrutu, ko jūs esat izmainījis, un jūs piefiksējat visas viņu valsts numuru zīmes un vēl varbūt zināt, kas šajās automašīnās brauc. Un tad galarezultātā mašīnas patiešām nokļūst Daugavpilī, bet viņas ir izgājušas caur jūsu ceļu, nevis caur oriģināli paredzēto trasi. Tā tas ir noticis ar šo datu plūsmu. Ka banka X, lai veiktu transakciju komunikāciju ar Master Card vai VISA, gāja nevis caur oriģināliem partneriem, piemēram, kas varētu būt Vācijā, ASV vai kaut kur citur, bet izgāja caur Krievijai pietuvinātu interneta pakalpojuma sniedzēju.
Mājas lapās internetā, kas pēta, kā notiek datu plūsma, šos 26.aprīļa Rostelekom rīkotos uzbrukumus iespējams izsekot pat pa sekundēm. Uzskatāmi redzams, ka
banku darījumi visu laiku notiek, izmantojot konkrētus datu pārraides uzņēmumus. Un tad pēkšņi visi dati sāk plūst caur Rostelekom serveriem.
NORVIK - https://bgpstream.com/event/80318
MASTER CARD - https://bgpstream.com/event/80332
Rostelekom var salīdzināt ar Latvijas Lattelekom. Tikai uzņēmuma apmēri ir krietni lielāki. Tam ir lieli starptautiskie interneta savienojumi ar citiem pasaules līmeņa IT uzņēmumiem. Arī mūsu Lattelekom liela ātruma optisko sakaru līniju ar Rostelekom izveidoja 2009.gadā.
Iepriekš uzņēmumu vadīja Sergejs Kalugins, kurš aizrotēts uz Satiksmes ministriju. Kopš šā gada marta uzņēmuma prezidents ir cita politiska figūra no partijas Vienotā Krievija - Mihails Osevskis. Viņš 10 gadus bijis Sanktpēterburgas vicegubernators un pēc tam viceprezidents bankā VTB.
Liela apjoma datu plūsmas «aizklīšana neceļos» notiek, bet šis, visticamāk, nav tas gadījums.
Rostelekom datu pārtveršanu var uzskatīt par uzbrukumu, jo pārvirzītā informācija ir rūpīgi atlasīta, lai tā saturētu tikai konkrētas bankas datus
un lielākos kredītkaršu apkalpošanas uzņēmumus VISA un Master card. Nejauši tas nevarēja notikt.
VARIS TEIVĀNS, CERT.lv vadītājas vietnieks: - Kāds ir tas patiesais iemesls, to zina tikai viņi, bet ļoti augsta ticamība ir tam, ka tas ir darīts apzināti un tā nav kļūda.
Šis ir arī rādītājs tam, ka Krievija savās kiberoperācijās diezgan atklāti parāda, ka tai nerūp slēpšana. Ka tā ir gatava šādas netīras spēles spēlēt atklāti, nesatraucas par to, ko domā starptautiskie partneri, jo šis Rostelekom jau nav izolēts. Viņam ir arī starptautiski partneri. Un viņi visi tagad zina, ka šāds incidents ir noticis, un jautājums – kāds būs Rostelekom skaidrojums.
Tas ir rādītājs, ka viņi vairs nemēģina slēpties. Un, iespējams, tas ir stratēģisks mērķis – vairs neslēpties. Bet panākt, ka šī kiberspēju redzamība ir vairāk amplificēta,
kultivēta sabiedriskā telpā. Līdzīgi kā ASV vēlēšanu sakarā tiek ļoti glorificēti Krievijas hakeri. Un tas ir zināmā mērā arī mērķis.
Latvijā pārtverti Norvik bankas un DNB nord dati.
Tās apgalvo, ka bankas saziņai ar citiem pakalpojumu sniedzējiem izmanto šifrus un šos pārtvertos datus informācijas zagļiem nevajadzētu spēt izlasīt.
Tomēr CERT.lv nav tik optimistiski - pat ja šifra atslēga nav atlauzta, tik un tā iegūtā informācija ir ļoti noderīga, ja nākotnē tiek gatavots kāds apjomīgs uzbrukums. Tas ir līdzīgi kā pirms kaujas izpētīt apvidu un noskaidrot, kur pretiniekam salikti lielgabali un cik daudz tā armijai ir kaujas lidmašīnu. Zinot šo informāciju, iespējams izplānot uzbrukuma mērogu, taktiku un mērķus.
VARIS TEIVĀNS, CERT.lv vadītājas vietnieks: - Pārliecināties par to, vai tur kaut kas nav nozagts, nevaram ne mēs, ne, es domāju, arī viņi paši. Atklāti sakot. Skaidrs, ka finanšu institūcijas vienmēr teiks, ka viss ir kārtībā, pat ja nav kārtībā. () nozagt tur īsti neko nevarēja, bet varēja saprast karti jeb topoloģiju. Uzbrucējs tagad zina, ar ko runājās šīs finanšu institūcijas, kad viņām vajag realizēt kaut kādus darījumus vai mērķus. Saprast, vai ilgtermiņā var ietekmēt, operējot ar kaut kādiem citiem instrumentiem.
- Secinājāt, ka bankām ir kaut kāds kaitējums nodarīts, vai pašlaik nezināt?
JĀNIS GARISONS, Aizsardzības ministrijas valsts sekretārs: - Ir grūti teikt, jo tās ir tikai sākotnējās aplēses. Pirmkārt jājautā pašām bankām.
- Tad īsti nav iespējams pateikt, kas ir plānots un kas ir īsti noticis, un kāds ir bijis mērķis?
GARISONS: - Mēs varam nojaust, bet ir grūti teikt, kāds bija mērķis. Kas ir un kas nav izdevies.
Lielākie interneta pakalpojuma sniedzēji Latvijā ir izveidojuši sistēmu LIX. Kad interneta sakari ārvalstīs bija dārgi, tad saziņa Latvijā notika šajā tīklā. Tehnoloģijām attīstoties, mūsdienās interneta saziņai lētāk ir izmantot tīklus ārvalstīs.
Latvijā ir strikti noteikumi, ka datu plūsmai, kas skar tā saucamo kritisko infrastruktūru, jānotiek tika mūsu valsts tīklos.
Par pārējo skaidras kārtības nav un var gadīties arī dīvainības.
VARIS TEIVĀNS, CERT.lv vadītājas vietnieks: - Es varu atklāt arī to, ka tas ir radījis zināmas bažas, jo šī nav jau pirmā reize, kad mēs redzam, ka komunikācija, kas ir paredzēta Latvijai vai nāk no Latvijas, neparedzēti tiek izmaršrutēta caur Maskavu. Šādi gadījumi ir konstatēti arī iepriekš.
viens tāds gadījums ir bijis pagājušogad, kur komunikācija bija valsts ietvaros – no vienas institūcijas Latvijā uz otru institūciju Latvijā. Bet ceļoja caur Maskavu.
Igaunijā ir izstrādāts īpašs likums, kas nosaka, ka pat banku darījumiem kibervidē maksimāli jānotiek Igaunijas ietvaros. Mūsu Aizsardzības ministrija cenšoties panākt līdzīgu regulējumu, bet pagaidām esot grūti ierobežot IT sektoru, kurā darbojas privātas kompānijas.
JĀNIS GARISONS, Aizsardzības ministrijas valsts sekretārs: - Jā, mēs esam informēti par šādu iespēju. Ka notikusi datu pārvirzīšana, protams, esam jau pirms tam diskutējuši par dažādiem… par līdzīgiem incidentiem gan IT drošības padomē, gan ar CERT. Problēma, ka tas ir saistoši ne tikai valsts sektoram, bet ir nepieciešama sadarbība arī ar privāto sektoru – bankām un interneta pakalpojumu piegādātājiem, un, protams, tās ir pārsvarā privātas kompānijas, kam ir grūti uzlikt saistošas prasības, lai ievērotu drošības noteikumus.