Worry Free IT
Mēs pārvaldām jūsu ikdienas IT darbību, lai jūsu komanda varētu pārstāt risināt nepārtrauktas problēmas.
Security Pro
24/7 galiekārtu aizsardzība, kas bloķē sarežģītus draudus vēl pirms tie rada kaitējumu.
Kiberdrošības vadības centrs (SOC)
Atklājiet un apturiet draudus, pirms tie pārvēršas par uzņēmuma krīzi.
Tiki-Taka PAY
Apstrādājiet darījumus uzreiz, izmantojot drošu un uzticamu maksājumu vārteju.
HITSM
Centralizējiet visus savus IT resursus, pieprasījumus un piegādātājus vienā pārskatāmā vadības panelī.
AI Inženieri
Piesaistām pieredzējušas inženieru komandas, lai definētu, izstrādātu un ieviestu jūsu AI projektus.
IT infrastruktūras risinājumi
Kiberdrošības risinājumi
AI risinājumi

Worry Free IT: Security Pro
Mēs pārvaldām jūsu ikdienas IT darbību, lai jūsu komanda varētu pārstāt risināt nepārtrauktas problēmas.
Kiberdrošības vadības centrs (SOC)
Atklājiet un apturiet draudus, pirms tie pārvēršas par uzņēmuma krīzi.
Tiki-Taka PAY
Apstrādājiet darījumus uzreiz, izmantojot drošu un uzticamu maksājumu vārteju.
AI Inženieri
Piesaistām pieredzējušas inženieru komandas, lai definētu, izstrādātu un ieviestu jūsu AI projektus.
IT infrastruktūras risinājumi
Kiberdrošības risinājumi
AI risinājumi

Worry Free IT
Mēs pārvaldām jūsu ikdienas IT darbību, lai jūsu komanda varētu pārstāt risināt nepārtrauktas problēmas.
Security Pro
24/7 galiekārtu aizsardzība, kas bloķē sarežģītus draudus vēl pirms tie rada kaitējumu.
Kiberdrošības vadības centrs (SOC)
Atklājiet un apturiet draudus, pirms tie pārvēršas par uzņēmuma krīzi.
Tiki-Taka PAY
Apstrādājiet darījumus uzreiz, izmantojot drošu un uzticamu maksājumu vārteju.
AI Inženieri
Piesaistām pieredzējušas inženieru komandas, lai definētu, izstrādātu un ieviestu jūsu AI projektus.
IT infrastruktūras risinājumi
Kiberdrošības risinājumi
AI risinājumi

Profesionāli IT pakalpojumi un risinājumi uzņēmumiem. Mēs nodrošinām uzticamu tehnisko palīdzību un IT pārvaldību.
Par Datakom
Birojs
Tirzniecības nodaļa
Atbalsta centrs

Profesionāli IT pakalpojumi un risinājumi uzņēmumiem. Mēs nodrošinām uzticamu tehnisko palīdzību un IT pārvaldību.
Par Datakom
Birojs
Tirzniecības nodaļa
Atbalsta centrs

Mēs negaidām, kad nākotne atnāks - mēs to veidojam. Eksperimentējam, ieviešam jaunus risinājumus un tehnoloģijas agrāk, lai mūsu klienti būtu soli priekšā, nevis tikai sekotu līdzi.
Kad viens neaizlāpīts serveris maksā vairāk nekā simtiem tūkstošu EUR ekonomikai?
Iedomājamies situāciju: Vēlā piekdienas vakarā, vai nacionālos Latvijas svētkos, kad liela daļa no mums ir brīvdienās, kāds uzbrucējs sēdēja pie datora visticamāk kaut kur Rietumeiropā un palaida automātisku skeneri. Ne valsts finansēta hakeru grupa. Ne sarežģīts APT uzbrukums. Iesācējs ar mazāk nekā gadu pieredzi, kurš iepriekš bija uzbrucis citiem uzņēmumiem pasaulē un katru savu darbību aprakstīja publiski hakeru forumā kā trofejas.
Viņš atrada vienu neaizlāpītu serveri. Un tas bija pietiekami, lai Latvijas lielākais valstij piederošais uzņēmums ar 604 miljonu EUR apgrozījumu uz vairākām dienām atvienotu savas ārējās un iekšējās sistēmas, piedzīvotu publisku datu noplūdi, rezerves kopiju izdzēšanu, šifrēšanas vīrusa risku, un vēlāk tiek publicēta vairāk simtu tūkstošu EUR izpirkuma prasība, un viss šis kļūst par jūsu dienas lielāko izaicinājumu nākošajās nedēļās vai pat mēnešos.
Esmu strādājis kiberdrošībā vairāk nekā 15 gadus. Šis incidents mani nepārsteidza. Bet tas, cik no tā daudz varam mācīties, ir reta laba iespēja.
Uzbrucējam nebija vajadzīga izsmalcināta tehnoloģija. Vajadzēja tikai pacietību un laiku, kamēr mēs atpūšamies svētkos. Klasika tā teikt!.
Parasti šāda tipa veida uzbrukumiem ieejas punkti ir sasaistīti ar uzņēmuma ārēji pieejamiem tīmekļa resursiem, ko izmantoja klienti un partneri. Tā teikt publiski eskponētiem publiskajiem servisiem un aplikācijām. Vienā no tādiem serveriem bija aktīva divus gadus veca neaizlāpīta ievainojamība. Uzbrucējam vajag tikai pamanīt šo vienu, drusku nepieskatītu serveri lai to pārvēstu par atvērtiem vārtiem ar 1000 iespējām sabotēt uzņēmuma darbu un radīt milzīgus laika un finansiālos zaudējumus, nemaz nerunājot par reputācijas iedragāšanu.
No šāda ieejas punkta uzbrucējs parasti pārvietojās pa iekšējo tīklu, izmantojot citas vecas ievainojamības kuras var būt datētas pat 6-8 gadus atpakļ, tas ir septiņus gadus veca programmatūras versijas. Viņš iegūst piekļuvi pie svarīgākajiem resursiem kā centralizētās lietotāju identitātes un tiesību direktorijas, kas nozīmē kontroli pār visu pārējo uzņēmuma IT vidi. Tad tiek veiktas darbības kas vērstas uz sev, kā uzbrucējam, administratīvo tiesību piešķiršanu , kas nozīmē kontroli pār visu pārējo IT infrastruktūru un lietotāju darba mašīnām vienlaikus. Pēc tam backup sistēmām, e-pastiem, avota kodam un paroļu pārvaldniekam.
Backup sistēmu mērķēšana ir standarta ransomware taktika. Ja nav atjaunojamu rezerves kopiju, upurim nav izvēles. Šajā gadījumā uzņēmums atteicās maksāt, apgalvojot, ka backupi daļēji saglabājušies. Tomēr dati tika publicēti publiskajā telpā.
Uzbrukuma anatomija: laika skala
Brīvdienu uzbrukumi nav nejaušība. Tie ir stratēģija. Uzbrucēji zina, ka svētkos IT komandas ir mazākas, reaģēšana ir lēnāka un vadība ir grūtāk sasniedzama. Šis incidents notika tieši tāpēc.
Seku novēršanas process bija tik ilgs, ka uzņēmums vēl dienas pēc incidenta nevarēja atjaunot sistēmas, jo vēlējās pārliecināties, ka tajās nav palikusi ļaunatūra. Tas ir saprotams. Bet šajā laikā pakalpojumi nestrādāja, partneriem nebija piekļuves, darbinieki strādāja manuāli.
Organizācija ar 24/7 SOC uzraudzību nebūtu atradusies šajā situācijā. Ne tāpēc, ka SOC būtu neiespējami uzlauzt. Bet tāpēc, ka L1 analītiķis brīvdienās pamanītu neparastu aktivitāti publiskajā serverī un sāktu izmeklēšanu, kamēr uzbrucējs vēl meklētu ceļu uz Active Directory.
Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.

Šeit es vēlos pakavēties pie koncepcijas, kas Latvijā joprojām tiek izmantota pārāk reti. Honeypot ir apzināti izveidots slazdresurss serveris, konts vai dokuments, kas izskatās kā reāls un vērtīgs, bet ir tukšs. Jebkura piekļuve tam pēc definīcijas ir aizdomīga.
Ja blakus reālajai publiskajai platformai būtu izvietots honeypot serveris ar identisku izskatu, uzbrucēja automātiskais skeneris visticamāk būtu atradis abus. Pirmā piekļuve honeypot izsauktu tūlītēju brīdinājumu SOC. Analītiķis redzētu uzbrukuma metodi, ievainojamības identifikatoru un IP adresi, pirms uzbrucējs ir sasniedzis reālo sistēmu.
Bet vēl svarīgāk ir tas, ko mēs uzzinātu. Honeypot vidē uzbrucējs atklāj savas taktikas. Kādu rekognoscēšanas rīku viņš izmantoja? Kādu sānu kustības vektoru izvēlētos pēc ieejas? Šī informācija ļauj organizācijai pielāgot savu aizsardzību reāllaikā pirms uzbrukums sasniedz reālo mērķi.
Konkrēti šajā gadījumā honeypot elementi Active Directory vidē fiktīvi admin konti ar ticamiem nosaukumiem būtu aktivizējušies laterālās kustības fāzē. Honey token dokumenti ar iebūvētiem web beacon marķieriem ļautu izsekot eksfiltrētos datus pat pēc noplūdes. Viltus backup serveris atklātu backup iznīcināšanas mēģinājumu daudz pirms ransomware aktivizēšanas.
KO "HONEYPOT" NOZĪMĒ PRAKSĒ
Honeypot ir nevis gatavs produkts, bet arhitektūras princips. To var realizēt kā viltus serverus tīkla perifērijā, fiktīvus Active Directory kontus ar izskatīgiem nosaukumiem, fiktīvus dokumentus ar beacon tehnoloģiju vai viltus backup resursus. Datakom SOC Active Defense komponents ietver honeypot un digitālo pirkstu nospiedumu tehnoloģijas kā daļu no aizsardzības arhitektūras.
Ir svarīgi runāt godīgi par vienu lietu. Daudzi valsts uzņēmumi un organizācijas Eiropā un Latvijā izmanto plaši atzītus atklātā koda drošības rīkus, Wazuh, Security Onion, Elastic SIEM, Velociraptor un daudzus citus atvērtā koda, bezmaksas drošības risinājumus. Tie ir tehniski kompetenti rīki un to izmantošana ir pilnība pieņemam ar atrunu ka tie tiek pilnvērtīgi pārvaldīti.
Problēma rodas, kad organizācija rīku uzstādīšanu uzskata par drošību. Rīks bez analītiķa ir žurnālu krātuve. Brīdinājums, ko neviens neredz ir efektīvi neeksistējoš. Automātiska atklāšana bez automātiskas reaģēšanas nozīmē, ka labs brīdinājums svētdienas naktī gaida līdz pirmdienas rītam.
Sistēmu atjaunošana prasīja dienas ilgāk, nekā vajadzētu, jo organizācija nevarēja ātri pārbaudīt visus serverus uz ļaunatūras klātbūtni. Komerciāla EDR platforma ar centralizētu forensikas iespēju to izdarītu paralēli visās sistēmās dažās stundās.
Tas nav arguments pret atklātā koda risinājumiem. Tas ir arguments par to, ka rīkam ir jābūt daļai no plašākas sistēmas, kurā ir cilvēki, kas to pārrauga, automatizācija, kas reaģē, un process, kas nodrošina nepārtrauktību.
Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.
Šis incidents nav unikāls. Tas nav pirmais un nebūs pēdējais. Tas ir simptoms. Uzbrucējs izmantoja ievainojamību, kas bija publiski zināma gadiem ilgi. Viņš uzbruka brīvdienās. Viņš iegāja caur vienu aizmirstu serveri un no turienes ieguva pilnu kontroli pār visu. Katrs no šiem soļiem ir novērtams un novēršams.
Trīs jautājumi, ko iesaku uzdot sev vai sava uzņēmuma IT vadītājam jau šodien:
Ja uz kādu no šiem jautājumiem atbilde nav skaidra un pārliecinoša, tad jūs atrodaties tajā pašā riska kategorijā. Un uzbrucējam, kas jūs atradīs, nav vajadzīga izsmalcināta tehnoloģija. Tikai laiks un viens atvērts logs.
Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.

Esmu strādājis kiberdrošībā pietiekami ilgi, lai zinātu, ka labākie argumenti par kiberdrošības vadības centra jeb SOC nepieciešamību parasti nenāk no PowerPoint prezentācijām. Tie nāk no reāliem incidentiem.
LVM gadījums ir tieši tāds incidents reālā organizācijā ar reālām sekām. Es to negribu izmantot kā biedēkli. Drīzāk kā spoguli un atgādinājumu pārskatīt savu digitālo saimniecību.
Jo gandrīz katrā valsts iestādē, lielā uzņēmumā vai arī mazākā komercsabiedrībā ir kāds serveris, par kuru neviens nav domājis vismaz divus gadus. Kāda sistēma, kas nav iekļauta ikdienas atjauninājumu jeb “patch” pārvaldībā. Kāds brīdinājums, kas naktī nosūtīts uz e-pasta iesūtni, bet līdz rītam netiek apskatīts.
Tāpēc par kiberdrošību ir jādomā plašāk nekā tikai par rīku vai platformu. Svarīgs nav tikai tas, vai organizācijai ir SIEM, EDR, ievainojamību skeneris vai rezerves kopiju risinājums. Svarīgākais jautājums ir vai šie elementi kopā veido spēju pamanīt, saprast un apturēt incidentu brīdī, kad tas vēl nav kļuvis par krīzi.
Izstrādājot savus kiberdrošības pakalpojumus, mēs īpašu uzmanību pievērsām tam, kā tie strādās praksē. Nevis tikai ideālā scenārijā, kad visi ir darbā, visi brīdinājumi tiek apskatīti uzreiz un visas sistēmas ir pilnībā pārskatāmas. Bet arī tajos brīžos, kad incidents notiek naktī, brīvdienā vai svētku laikā. Kad IT komanda ir samazinātā sastāvā. Kad brīdinājumu ir daudz, bet svarīgi ir saprast, kurš no tiem patiesībā norāda uz reālu apdraudējumu.
Praksē kiberdrošības spēja nav viens rīks vai viena platforma. Tā ir vairāku elementu kopums: nepārtraukta uzraudzība, cilvēki, kas spēj atšķirt būtisku signālu no trokšņa, automatizācija, kas palīdz ierobežot apdraudējumu pirms manuālas reakcijas, regulāra ievainojamību pārvaldība un aktīvās aizsardzības elementi - honeypot risinājumi, un notikumu dokumentācija.
Notikumu dokumentācija Kiberdrošībā ir tikpat svarīga kā efektīva darbība praksē, jo nepieciešama pierādāmība. It īpaši NIS2 un Nacionālās kiberdrošības likuma kontekstā. Nepietiek tikai pateikt, ka drošība tiek pārvaldīta. Organizācijai jāspēj parādīt, kā tā uzrauga riskus, kā reaģē uz incidentiem, kā pārvalda ievainojamības un kā pieņem lēmumus par drošības uzlabošanu
LVM incidents notika Jāņu rītā. Nacionālās kiberdrošības likuma jaunākie grozījumi stājās spēkā 18. jūnijā. Oktobrī jauns uzņēmumu vilnis kļūs par likuma subjektiem. Tāpēc šis nav tikai stāsts par vienu incidentu. Tas ir jautājums par to, vai organizācijas izmantos šo brīdi, lai izveidotu reālu kiberdrošības spēju, nevis tikai formāli izpildītu prasības.
Autors:
Artūrs Filatovs
Drošības risinājumu produktu vadītājs
attīstības jaunumi un nozares ieskati
Esiet informēts par mūsu jaunākajiem sasniegumiem un nozares ieskatu.

Profesionāli IT pakalpojumi un risinājumi uzņēmumiem. Mēs nodrošinām uzticamu tehnisko palīdzību un IT pārvaldību.
Birojs
Mārketings
+371 67628888
Datakom pakalpojumi
IT infrastruktūras risinājumi
Kiberdrošības risinājumi
Datakom AI pakalpojumi
© 2026 DATAKOM. Profesionālie IT pakalpojumi.
Visas tiesības aizsargātas.