Hakeri atstāja virtuālu zīmīti! Kāpēc Latvijas kultūras sistēmas kļuva par mērķi nopietnam kiberuzbrukumam? 0
Augusta sākumā Kultūras informācijas sistēmu centrs piedzīvoja nopietnu kiberuzbrukumu. Hakeriem izdevās ielauzties sešās sistēmās, paralizēt darbu daudzās kultūras iestādēs, un ilgstoši nobloķēt muzeju kopkatalogu un vienoto arhīva sistēmu. Uzbrucēji izmantojuši jauna tipa izspiedējprogrammu, kas šifrējusi datus. Kiberdrošības eksperti CERT uzskata, ka mērķis nebija tieši kultūra, bet uzbrucēju motivācija, visticamāk, bija nauda apmaiņā pret datu atjaunošanu. Par to vēsta raidījums “Nekā personīga”.
Kultūras informācijas sistēmu centrs ir 2013.gadā dibināta Kultūras ministrijas pakļautībā esoša iestāde. Tā pārziņā ir 60 kultūras datu sistēmas. Sešas no tām – ģerboņu karti, valsts vienotā arhīva sistēmu, muzeju kopkatalogu, Kultūrkapitāla fonda projektu pieteikumu sistēmu, bibliotēku portālu un kultūras datu sistēmu – naktī uz 7.augustu skāra kiberuzbrukums.
Šos resursus izmanto plaši – iedzīvotāji uzziņām, arī zinātnieki pētniecībai. Tās ikdienā lieto arī Latvijas universitātes filozofijas un socioloģijas institūta vadošais pētnieks Kaspars Zellis, kurš traucējumus sistēmu darbībā izjuta uzreiz.
Kaspars Zellis, LU Filozofijas un socioloģijas institūta vadošais pētnieks: “Es viņu izjutu ļoti asi, jo mums ar kolēģiem jau tieši pēc šī uzbrukuma bija komandējums Daugavpilī, un mēs bijām darboties Daugavpils zonālajā arhīvā, kurā, paldies Dievam, vēl pirms uzbrukuma mēs bijām pasūtījuši šīs te lietas un aprakstus, bet, kad mēs atbraucām, šīs sistēmas bija nobrukušas. Tad, pateicoties šo pašu darbinieku atbalstam un tas, ka viņiem bija vecās, analogās meklēšanas sistēmas, darbs netika traucēts.
Bet, turpinot darbu arī šodien, ja mēs gribam apskatīt kaut kādas konkrētas lietas mums tas jādara kā 10 gadus atpakaļ.”
Latvijas bibliotēku portālu Kultūras informācijas sistēmu centram izdevās atjaunot dažu dienu laikā, taču muzeju kopkatalogs un vienotā valsts arhīvu sistēma nebija pieejamas vēl trīs nedēļas pēc uzbrukuma.
Sistēmu atjaunošanu apgrūtina uzbrukumā izmantotais vīruss.
Uzbrucēji nav mēģinājuši nozagt informāciju, viņi datus aizšifrējuši, lai izspiestu naudu par to atjaunošanu. Hakeri atstāja virtuālu zīmīti. Tajā bija norāde uz Telegram kontu, ar kuru bija jāsazinās, lai vienotos par izpirkuma maksu.
Raidījumam zināms, ka KISC uzbruka hakeru grupējums ar segvārdu Silencer. Kiberincidentu novēršanas institūcijai CERT izdevās izsekot virtuālo adresi, no kuras veikts uzbrukums. Tas noticis ārpus Latvijas.
Gints Mālkalnietis, CERT.LV Kiberdrošības eksperts: “Jā, finansiāli motivēts uzbrucējs. Arī citos uzbrukumos, kas ir atrodami par šo grupējumu, neliecina, ka tas būtu saistāms ar ko citu izņemot naudas ieguvi.”
Raidījuma “Nekā personīga” pārstāvji vaicāja, vai tas ir liels, starptautisks grupējums?
“Šie puiši jau nepublicē savas vizītkartes, tāpēc cik viņi ir lieli? Visticamākais, šādā grupās ir vairāk nekā 1 cilvēks, bet cik lieli, mēs neņemsimies spekulēt,” sacīja Mālkalnietis.
Mērķis nebija tieši kultūras sistēmas, uzskata CERT. Hakeri meklējuši konkrētu sistēmas tipu, kurā glabājās lieli datu apjomi. Uzbrukumam pielietots jauns un ļoti specifisks izspiedējvīruss, kas atradis ievainojamību sistēmās, kuras lieto KISC. Tādas izmanto arī citās iestādes, tās CERT brīdinājis par draudu un ieteicis kā to novērst.
Gints Mālkalnietis: “Izmantotā ievainojamība bija diezgan reta. Latvijā nav daudz sistēmu, kurā šī programmatūru būtu izmantota. Esam apzinājuši tās un brīdinājuši, bet nekādi uzbrukumi tām nav bijuši sekmīgi. […] Tas nav jāuztver personalizēti kā uzbrukums tieši šai sistēmai. Tas ir uzbrukums šai sistēmai, bet viņi varēja uzbrukt ar līdzīgām sekām jebkurai citai, kur būtu tikuši iekšā.”
Kaut kādu informāciju KISC uzbrukumā ir zaudējis. Cik daudz – to pateikt nevar, bet cer, ka datu zaudējumi ir minimāli, jo katru dienu veido rezerves kopijas. Lielāko daļu datu ir izdevies atjaunot.
Jānis Ziediņš, KISC Direktora vietnieks: “Ņemot vērā uzbrukuma veikto apmēru, mums bija jāpārbūvē gan infrastruktūras viena daļa, jo tā bija CERT rekomendācija, kādā veidā jāstrādā ar šāda veida uzbrukumiem, un otrs, protams, atjaunošanās no rezerves kopijām paņem laiku. Un atsevišķos gadījumos, par cik tā infrastruktūra ir jāpārbūvē praktiski no jauna, ir jāpārkonfigurē visa šī sasaiste starp serveriem, infrastruktūru un atsevišķos gadījumos, kā piemēram, muzeja kopkataloga gadījumā, ir liels datu apjoms.”
Kā pauda Kaspars Zellis: “Zinātne un kultūra vienmēr ir tādā pabērna lomā. Un arī šo te sistēmu uzturēšana un atjaunošana nekad nav bijusi prioritāra, salīdzinot ar citām sistēmām.
Kā rezultātā šis ilgais atjaunošanas darbs ir zināmā mērā liecinieks tam, ka mēs nepietiekoši sargājam to, ko ikdienā politiķi stāta, ka tā esot mūsu lielākā vērtība un tā ir prioritāte, bet praktiskos darbos mēs to neredzam.”
Uzbrukuma izmeklēšana ir Valsts policijas pārziņā. Šobrīd notiek resoriskā pārbaude, taču formāla izmeklēšana nav uzsākta, jo nav saņemts iesniegums. KISC policijā vērsīsies tiklīdz būs noslēgusies uzbrukuma seku novēršana.
Provizoriski aprēķināts, ka sistēmu darbību atjaunošanu izmaksās ap 15 000 eiro. Tos KISC segs no sava budžeta.
KISC pārraudzībā esošās sistēmas glabājas Latvijas Nacionālās bibliotēkas datu centra serveros.
Dagnija Baltiņa, LNB Direktore: “Mēs katram savam klientam nodrošinām lokalizētu iespēju glabāt datus, līdz ar to citu mūsu klientu sistēmu darbība netika skarta. Tas bija lokāls incidents, kas skāra Kultūras informācijas sistēmu centra pārraudzībā esošās sistēmas. LNB darbība netika ietekmēta un citu klientu sistēmas un serveri nekādā veidā netika ietekmēti šī incidenta rezultātā.”
Baltiņa apliecina, ka bibliotēkas iekšējās sistēmas ir drošas. Vienlaikus šonedēļ Nacionālā bibliotēka publiski paziņoja, ka uz nenoteiktu laiku iedzīvotājiem vairs nebūs pieejams resurss periodika.lv. Direktore skaidro, ka tas nav saistīts ar kiberuzbrukumu, bet ar sistēmas uzlabošanas darbiem.
