“Kiberapdraudējuma līmenis kopumā Latvijā ir augsts. Tāds tas saglabājas jau ceturto gadu, un tam ir viļņveidīga tendence,” atzīst kiberincidentu novēršanas institūcijas “Cert.lv” vadītājas vietnieks Varis Teivāns. Lai šo apdraudējumu mazinātu, šovasar pieņēma Ministru kabineta noteikumus “Minimālās kiberdrošības prasības”. Taču Aizsardzības ministrijā, kur šos noteikumus izstrādāja, arī uzsver – tās ir minimālās prasības.
Apdraudējuma līmenis – augsts; pieaug kiberspiegošana
Krievijas radītais apdraudējums Latvijai informācijas un komunikācijas tehnoloģiju (IKT) nozarē ir augsts. Turklāt šajā laukā arvien aktuālāka kļūst kiberspiegošana.
“Tas, ko dēvē par kiberspiegošanu, – tur galvenais mērķis pēc kompromitēšanas ir palikt pēc iespējas ilgāk informācijas sistēmās nepamanītam un ilgtermiņā iegūt informāciju, kas varētu būt noderīga konkrētiem uzbrucējiem jeb valstij, kas to organizē,” skaidroja Teivāns.
Bieži kibertelpu apdraud tas, ka iestāde vai uzņēmums izvēlas sadarbību ar riskantu ārpakalpojumu sniedzēju.
Trešās puses pakalpojumi uzņēmumiem nepieciešami regulāri visdažādākajām vajadzībām. Piesaistot kādu no ārpuses, veidojas tā saucamā piegādes ķēde. Un šajā ķēdē ir viss, tostarp programmatūras, iekārtas un cilvēki, kas no ārpuses piegādā pakalpojumu.
Nereti caur šīm trešajām pusēm Krievija arī izvērš savus uzbrukumus.
Arī Latvijā bijuši vairāki gadījumi, kad tika kompromitēti uzņēmumi un caur šiem kompromitētajiem uzņēmumiem mēģināja piekļūt kritiskās infrastruktūras objektiem, stāstīja Teivāns.
Pamatā Krievijas mērķis Latvijas kritiskajā infrastruktūrā ir iegūt informāciju, stāstīja “Cert.lv” vadītājas vietnieks.
Taču Krievijas mērķi var būt arī citi, tostarp radīt rezonansi sabiedrībā.
To ilustrē viens no pagājušā gada uzskatāmākajiem piegādes ķēdes uzbrukumiem, kas skāra tehnoloģiju uzņēmumu “Tet”. Kompromitēja tā translētās televīzijas saturu. Rezultātā Ukrainas televīzijas kanālā bija redzama Krievijas propaganda.
“Mēs esam konstatējuši, ka tika ietekmēts signāls, kas tika padots no kanāla puses uz satelītu. Respektīvi, tika aizvietots tā saucamais “feed” (“signāls”), kas iet uz satelītu ar citu saturu. Un tad visi klienti Eiropā, kas saņēma šo kanālu no konkrētā satelīta, saņēma citu saturu,” uzbrukumu iezīmēja “Tet” galvenais tehnoloģiju direktors Dmitrijs Ņikitins.
Šajā gadījumā piegādes ķēde rodas šādi: Ukrainas televīzijas kanālam uzbruka caur satelītu, kas gādāja par televīzijas kanāla apraidi.
Pēc notikušā “Tet” izlēma pēc iespējas izvairīties no kanālu pārraidīšanas caur satelītiem, kā arī izvērtēja savu monitoringa sistēmu.
“Piegādes ķēde ir komplekss risku kopums, kas var iestāties, var neiestāties. Un ir šis slavenais teiciens – ķēde ir tik stipra, cik tās vājākais posms,” atzina Valsts digitālās attīstības aģentūras Administratīvā departamenta direktors Arvis Širaks.
“Minimālās kiberdrošības prasības” regulē sadarbību ar trešajām pusēm
Kopumā kiberincidentu novēršanas centrs “Cert.lv” novērojis lielu paviršību attiecībā uz to, kā nosaka sadarbības nosacījumus ārpakalpojuma sniedzējiem.
“Lai samazinātu neērtības, infrastruktūras turētājs nereti atļauj partnerim vai izstrādātājam brīvu piekļuvi savai infrastruktūrai, dažbrīd pat sniedzot “Windows” domēna administratora tiesības, lai arī šis partneris, iespējams, izstrādā tikai kādu nelielu infrastruktūras komponenti,” rakstīts “Cert.lv” pārskatā par 2024. gadu Latvijas kibertelpā.
Situācija mainījās uz labu šovasar, kad Ministru kabinets pieņēma Aizsardzības ministrijas izstrādātos noteikumus par “Minimālās kiberdrošības prasības”.
Tie regulē arī to, kā jāizvēlas ārpakalpojumu sniedzējs.
“Noteikumi diezgan skaidri nosaka, ka šos ārpakalpojumus nevar saņemt no juridiskām personām, šo juridisko personu pakalpojumu sniedzēju vidū valdē, patiesā labuma guvēji vai praktiskā darba darītāji nevar būt personas no Krievijas, no Baltkrievijas vai citām terorisma sponsorēšanas valstīm,” skaidroja Aizsardzības ministrijas valsts sekretāra vietnieks Rolands Heniņš.
Kritiskajā infrastruktūrā informācijas un komunikācijas tehnoloģijas uzrauga Satversmes aizsardzības birojs (SAB). Tas arī pārbauda drošības riskus komersantiem, taču konkrētu uzņēmumu drošības riskus birojs nekomentē. Kā drošības iestāde komersantus vērtē, nav zināms.
“Attiecībā uz potenciālajiem drošības riskiem, kas varētu būt saistāmi ar IKT resursu iegādi, SAB norāda, ka katrs gadījums ir vērtējams individuāli atkarībā no konkrētā produkta specifikas, tā izcelsmes un ražošanas valsts, uzturēšanas nosacījumiem un citiem līguma nosacījumiem,” rakstiskā atbildē norādīja SAB.
“DPA” vēsturiskās saiknes ar Krieviju
Pēc Krievijas pilna mēroga iebrukuma Ukrainā Viļņas Universitātes starptautisko attiecību departamenta pētnieks Toms Janeliūns pārskatā par Krievijas ietekmi uz Lietuvu iekļāva IT uzņēmumu “Squalio”.
Šis uzņēmums darbojas visā Baltijā, arī Latvijā, un te pazīstams kā “DPA”.
Latvijā tas ir regulārs valsts iepirkumu konkursu uzvarētājs, kas valsts iestādēm pamatā piegādā programmatūru, taču sniedz arī citus pakalpojumus, piemēram, informācijas sistēmu un resursu drošības auditu.
“Es runāju ar dažiem Lietuvas iestāžu pārstāvjiem, kas strādā kiberdrošības jomā, un viņi nosauca šo uzņēmumu kā vienu no lielākajiem spēlētājiem, kas Lietuvas uzņēmumiem un valsts iestādēm nodrošina “Microsoft” produktu licences. Tāpēc, protams, tas potenciāli ietekmē arī to, kā funkcionē Lietuvas drošības sektors,” pauda pētnieks.
Viņš tolaik šo uzņēmumu iekļāva savā pārskatā, jo uzņēmumu “Squalio” 2021. gada rudenī nopirka Krievijas kompānija “Softline”. Tolaik par “DPA” patieso labuma guvēju kļuva krievu uzņēmējs Igors Borovikovs.
Foto: “Lursoft” ekrānuzņēmums
Borovikovs bija patiesā labuma guvējs līdz 2022. gada 21. aprīlim. Tā paša gada rudenī, vairāk nekā pusgadu pēc Krievijas pilna mēroga iebrukuma Ukrainā, “Softline” publiski paziņoja, ka sadalās divās daļās – starptautiskajā daļā, kuru pārsauca par “Noventiq”, un Krievijas daļā.
Uzņēmumu SIA “DPA” un SIA “Squalio group” agrāko īpašnieku un biznesa vēsturiskās saiknes ar Krieviju ir zināmas arī Valsts drošības dienestam (VDD).
Tur “De facto” norādīja, ka VDD līdz šim no valsts vai pašvaldību institūcijām nav saņēmis pieprasījumu vērtēt uzņēmumu SIA “Squalio Group” saistībā ar dalību kādā publiskā iepirkumā. Savukārt vienā gadījumā dienests ir vērtējis uzņēmumu SIA “DPA”, nekonstatējot šī uzņēmuma radītus riskus Latvijas nacionālajai drošībai.
Kāda ir situācija šobrīd? “DPA”, kas ir daļa no “Squalio group”, vienīgais uzrādītais patiesais labuma guvējs ir Sandis Kolomenskis. “Squalio group” mātes firma, Vīnē reģistrētais “SQUALIO GmbH”, spriežot pēc publiski pieejamās informācijas, joprojām ir daļa no “Noventiq Group Ltd”. Savukārt tā mātes firmas “Noventiq holdings Plc”, kas šobrīd juridiski reģistrēts Kaimanu salās, patiesā labuma guvējs nav zināms.
Foto: “Lursoft” ekrānuzņēmums
Turklāt ir vairākas pazīmes, kas liecina, ka “DPA” saite ar agrāko īpašnieku no Krievijas nav pavisam vēsturiska.
Piemēram, pērn augustā “DPA” biroja telpās Valdemāra ielā pretī Aizsardzības ministrijai reģistrēja “Softline GmbH” filiāli Latvijā, kas bija jau iepriekš minētā Borovikova kontrolē. Šo uzņēmumu likvidēja šovasar. Savukārt Kolomenski pagājušā gada decembrī iecēla par “Softline GmbH” izpilddirektoru.
Foto: “Lursoft” ekrānuzņēmums
Aizsardzības ministrijas valsts sekretāra vietnieks Rolands Heniņš norādīja, ka uzņēmums “DPA” Aizsardzības ministrijas redzeslokā negatīvā kontekstā nav nonācis.
“De facto” vērsās pie “DPA”, lūdzot skaidrot, kā uzņēmums novērš jebkādu iespējamu Krievijas ietekmi. No uzņēmuma rakstiskās atbildes izriet, ka šādas ietekmes nav: “Attiecībā uz Jūsu pieminēto Krievijas lomu un ietekmi no biznesa pārvaldības viedokļa, vēlamies norādīt, ka uzņēmums ir dibināts pirms 28 gadiem un reģistrēts Latvijas Republikā. Uzņēmuma grupas patiesā labuma guvējs un vairākuma daļu īpašnieks ir Latvijas pilsonis. Savukārt mazākuma daļu īpašnieks ir starptautisks uzņēmums “Noventiq Group Ltd”. Vēlamies uzsvērt, ka “Noventiq Group” nesen ir pabeigusi finansējuma piesaistes procesu ar privātā kapitāla fondu no ASV, kā rezultātā ieviešot izmaiņas grupas pārvaldības struktūrā – ieceļot jaunus direktorus mātes uzņēmuma “Noventiq Holdings PLC” valdē, izpilddirektora lomā apstiprinot speciālistu ar plašu pieredzi industrijā, drošības un pārvaldības jautājumos.”
“Lursotft” datu bāzē arī redzams, ka regulārais valsts iepirkumu konkursu uzvarētājs “DPA” gada pārskatu par 2023. un 2024. gadu nav iesniedzis vai arī šis pārskats pēc iesniegšanas ir anulēts.