16.07.2026

Dati, medus podi un kiberdrošība

Kad viens neaizlāpīts serveris maksā vairāk nekā simtiem tūkstošu EUR ekonomikai?

Iedomājamies situāciju: Vēlā piekdienas vakarā, vai nacionālos Latvijas svētkos, kad liela daļa no mums ir brīvdienās, kāds uzbrucējs sēdēja pie datora visticamāk kaut kur Rietumeiropā un palaida automātisku skeneri. Ne valsts finansēta hakeru grupa. Ne sarežģīts APT uzbrukums. Iesācējs ar mazāk nekā gadu pieredzi, kurš iepriekš bija uzbrucis citiem uzņēmumiem pasaulē un katru savu darbību aprakstīja publiski hakeru forumā kā trofejas.

Viņš atrada vienu neaizlāpītu serveri. Un tas bija pietiekami, lai Latvijas lielākais valstij piederošais uzņēmums ar 604 miljonu EUR apgrozījumu uz vairākām dienām atvienotu savas ārējās un iekšējās sistēmas, piedzīvotu publisku datu noplūdi, rezerves kopiju izdzēšanu, šifrēšanas vīrusa risku, un vēlāk tiek publicēta vairāk simtu tūkstošu EUR izpirkuma prasība, un viss šis kļūst par jūsu dienas lielāko izaicinājumu nākošajās nedēļās vai pat mēnešos.

Esmu strādājis kiberdrošībā vairāk nekā 15 gadus. Šis incidents mani nepārsteidza. Bet tas, cik no tā daudz varam mācīties, ir reta laba iespēja.


Uzbrucējam nebija vajadzīga izsmalcināta tehnoloģija. Vajadzēja tikai pacietību un laiku, kamēr mēs atpūšamies svētkos. Klasika tā teikt!.


 

Kā tas viss varēja notikt?

Parasti šāda tipa veida uzbrukumiem ieejas punkti ir sasaistīti ar uzņēmuma ārēji pieejamiem tīmekļa resursiem, ko izmantoja klienti un partneri. Tā teikt publiski eskponētiem publiskajiem servisiem un aplikācijām. Vienā no tādiem serveriem bija aktīva divus gadus veca neaizlāpīta ievainojamība. Uzbrucējam vajag tikai pamanīt šo vienu, drusku nepieskatītu serveri lai to pārvēstu par atvērtiem vārtiem ar 1000 iespējām sabotēt uzņēmuma darbu un radīt milzīgus laika un finansiālos zaudējumus, nemaz nerunājot par reputācijas iedragāšanu.

 

No šāda ieejas punkta uzbrucējs parasti pārvietojās pa iekšējo tīklu, izmantojot citas vecas ievainojamības kuras var būt datētas pat 6-8 gadus atpakļ, tas ir septiņus gadus veca programmatūras versijas. Viņš iegūst piekļuvi pie svarīgākajiem resursiem kā centralizētās lietotāju identitātes un tiesību direktorijas, kas nozīmē kontroli pār visu pārējo uzņēmuma IT vidi. Tad tiek veiktas darbības kas vērstas uz sev, kā uzbrucējam, administratīvo tiesību piešķiršanu , kas nozīmē kontroli pār visu pārējo IT infrastruktūru un lietotāju darba mašīnām vienlaikus. Pēc tam backup sistēmām, e-pastiem, avota kodam un paroļu pārvaldniekam.

 

Backup sistēmu mērķēšana ir standarta ransomware taktika. Ja nav atjaunojamu rezerves kopiju, upurim nav izvēles. Šajā gadījumā uzņēmums atteicās maksāt, apgalvojot, ka backupi daļēji saglabājušies. Tomēr dati tika publicēti publiskajā telpā.

Uzbrukuma anatomija: laika skala

  • 1. fāze Izlūkošana – uzbrucējs skenē publiski pieejamas sistēmas un atrod neielāpīgu serveri.
  • 2. fāze: Sākotnējā piekļuve – ievainojamības izmantošana, nav nepieciešama pikšķerēšana vai sociālā inženierija.
  • 3. fāze: Sānu kustība – Active Directory, vCenter un rezerves sistēmu kompromitēšana.
  • 4. posms: Datu izvilināšana – dubultā izspiešana: dati tiek gan nozagti, gan šifrēti.
  • 5. fāze: Izspiedējvīrusu izvietošana – paredzēta svētku laikā, kad ir mazāk darbinieku un lēnāka reakcija.
  • 6. posms: Iesnieguma pieprasījums – publiski ievietots forumā ar ekrānuzņēmumiem un sešciparu pieprasījumu. MITRE ATT&CK: TA0001, T1190, TA0004, TA0008, TA0010, T1486.

Kāpēc tas notiek tieši brīvdienās un svētku dienās?

Brīvdienu uzbrukumi nav nejaušība. Tie ir stratēģija. Uzbrucēji zina, ka svētkos IT komandas ir mazākas, reaģēšana ir lēnāka un vadība ir grūtāk sasniedzama. Šis incidents notika tieši tāpēc.

Seku novēršanas process bija tik ilgs, ka uzņēmums vēl dienas pēc incidenta nevarēja atjaunot sistēmas, jo vēlējās pārliecināties, ka tajās nav palikusi ļaunatūra. Tas ir saprotams. Bet šajā laikā pakalpojumi nestrādāja, partneriem nebija piekļuves, darbinieki strādāja manuāli.

Organizācija ar 24/7 SOC uzraudzību nebūtu atradusies šajā situācijā. Ne tāpēc, ka SOC būtu neiespējami uzlauzt. Bet tāpēc, ka L1 analītiķis brīvdienās pamanītu neparastu aktivitāti publiskajā serverī un sāktu izmeklēšanu, kamēr uzbrucējs vēl meklētu ceļu uz Active Directory.


Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.


 

Medus pods: ko mēs varētu uzzināt, ja uzbrukums būtu ticis veikts uz kiberdrošības simulētu slazdu?

Šeit es vēlos pakavēties pie koncepcijas, kas Latvijā joprojām tiek izmantota pārāk reti. Honeypot ir apzināti izveidots slazdresurss serveris, konts vai dokuments, kas izskatās kā reāls un vērtīgs, bet ir tukšs. Jebkura piekļuve tam pēc definīcijas ir aizdomīga.

 

Ja blakus reālajai publiskajai platformai būtu izvietots honeypot serveris ar identisku izskatu, uzbrucēja automātiskais skeneris visticamāk būtu atradis abus. Pirmā piekļuve honeypot izsauktu tūlītēju brīdinājumu SOC. Analītiķis redzētu uzbrukuma metodi, ievainojamības identifikatoru un IP adresi, pirms uzbrucējs ir sasniedzis reālo sistēmu.

 

Bet vēl svarīgāk ir tas, ko mēs uzzinātu. Honeypot vidē uzbrucējs atklāj savas taktikas. Kādu rekognoscēšanas rīku viņš izmantoja? Kādu sānu kustības vektoru izvēlētos pēc ieejas? Šī informācija ļauj organizācijai pielāgot savu aizsardzību reāllaikā pirms uzbrukums sasniedz reālo mērķi.

 

Konkrēti šajā gadījumā honeypot elementi Active Directory vidē fiktīvi admin konti ar ticamiem nosaukumiem būtu aktivizējušies laterālās kustības fāzē. Honey token dokumenti ar iebūvētiem web beacon marķieriem ļautu izsekot eksfiltrētos datus pat pēc noplūdes. Viltus backup serveris atklātu backup iznīcināšanas mēģinājumu daudz pirms ransomware aktivizēšanas.

KO "HONEYPOT" NOZĪMĒ PRAKSĒ

Honeypot ir nevis gatavs produkts, bet arhitektūras princips. To var realizēt kā viltus serverus tīkla perifērijā, fiktīvus Active Directory kontus ar izskatīgiem nosaukumiem, fiktīvus dokumentus ar beacon tehnoloģiju vai viltus backup resursus. Datakom SOC Active Defense komponents ietver honeypot un digitālo pirkstu nospiedumu tehnoloģijas kā daļu no aizsardzības arhitektūras.

Par atklātā koda rīkiem un to ierobežojumiem

Ir svarīgi runāt godīgi par vienu lietu. Daudzi valsts uzņēmumi un organizācijas Eiropā un Latvijā izmanto plaši atzītus atklātā koda drošības rīkus, Wazuh, Security Onion, Elastic SIEM, Velociraptor un daudzus citus atvērtā koda, bezmaksas drošības risinājumus. Tie ir tehniski kompetenti rīki un to izmantošana ir pilnība pieņemam ar atrunu ka tie tiek pilnvērtīgi pārvaldīti.

Problēma rodas, kad organizācija rīku uzstādīšanu uzskata par drošību. Rīks bez analītiķa ir žurnālu krātuve. Brīdinājums, ko neviens neredz ir efektīvi neeksistējoš. Automātiska atklāšana bez automātiskas reaģēšanas nozīmē, ka labs brīdinājums svētdienas naktī gaida līdz pirmdienas rītam.

Sistēmu atjaunošana prasīja dienas ilgāk, nekā vajadzētu, jo organizācija nevarēja ātri pārbaudīt visus serverus uz ļaunatūras klātbūtni. Komerciāla EDR platforma ar centralizētu forensikas iespēju to izdarītu paralēli visās sistēmās dažās stundās.

Tas nav arguments pret atklātā koda risinājumiem. Tas ir arguments par to, ka rīkam ir jābūt daļai no plašākas sistēmas, kurā ir cilvēki, kas to pārrauga, automatizācija, kas reaģē, un process, kas nodrošina nepārtrauktību.


Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.


 

Ko no tā var mācīties ikviens uzņēmums

Šis incidents nav unikāls. Tas nav pirmais un nebūs pēdējais. Tas ir simptoms. Uzbrucējs izmantoja ievainojamību, kas bija publiski zināma gadiem ilgi. Viņš uzbruka brīvdienās. Viņš iegāja caur vienu aizmirstu serveri un no turienes ieguva pilnu kontroli pār visu. Katrs no šiem soļiem ir novērtams un novēršams.

Trīs jautājumi, ko iesaku uzdot sev vai sava uzņēmuma IT vadītājam jau šodien:

  • Vai zināt, kāds ir jūsu neaizlāpīto ievainojamību skaits šobrīd, tajā skaitā sistēmās, kuras parasti netiek iekļautas ikdienas patch pārvaldībā?
  • Ja jūsu sistēmās šobrīd, šajā mirklī, notiktu kaut kas līdzīgs vai kāds to pamanītu? Cik ātri?
  • Ja jūsu IT komanda ir atvaļinājumā vai brīvdienā vai jūsu drošības uzraudzība turpinās bez tās?

Ja uz kādu no šiem jautājumiem atbilde nav skaidra un pārliecinoša, tad jūs atrodaties tajā pašā riska kategorijā. Un uzbrucējam, kas jūs atradīs, nav vajadzīga izsmalcināta tehnoloģija. Tikai laiks un viens atvērts logs.


Atklātā koda SIEM jums pateiks, ka kaut kas noticis. Bet tas neizolēs apdraudēto serveri svētdienas naktī, kamēr jūs guļat.


 

Datakom skats un mūsu atbildība

Esmu strādājis kiberdrošībā pietiekami ilgi, lai zinātu, ka labākie argumenti par kiberdrošības vadības centra jeb SOC nepieciešamību parasti nenāk no PowerPoint prezentācijām. Tie nāk no reāliem incidentiem.

 

LVM gadījums ir tieši tāds incidents reālā organizācijā ar reālām sekām. Es to negribu izmantot kā biedēkli. Drīzāk kā spoguli un atgādinājumu pārskatīt savu digitālo saimniecību.

 

Jo gandrīz katrā valsts iestādē, lielā uzņēmumā vai arī mazākā komercsabiedrībā ir kāds serveris, par kuru neviens nav domājis vismaz divus gadus. Kāda sistēma, kas nav iekļauta ikdienas atjauninājumu jeb “patch” pārvaldībā. Kāds brīdinājums, kas naktī nosūtīts uz e-pasta iesūtni, bet līdz rītam netiek apskatīts.

 

Tāpēc par kiberdrošību ir jādomā plašāk nekā tikai par rīku vai platformu. Svarīgs nav tikai tas, vai organizācijai ir SIEM, EDR, ievainojamību skeneris vai rezerves kopiju risinājums. Svarīgākais jautājums ir vai šie elementi kopā veido spēju pamanīt, saprast un apturēt incidentu brīdī, kad tas vēl nav kļuvis par krīzi.

 

Izstrādājot savus kiberdrošības pakalpojumus, mēs īpašu uzmanību pievērsām tam, kā tie strādās praksē. Nevis tikai ideālā scenārijā, kad visi ir darbā, visi brīdinājumi tiek apskatīti uzreiz un visas sistēmas ir pilnībā pārskatāmas. Bet arī tajos brīžos, kad incidents notiek naktī, brīvdienā vai svētku laikā. Kad IT komanda ir samazinātā sastāvā. Kad brīdinājumu ir daudz, bet svarīgi ir saprast, kurš no tiem patiesībā norāda uz reālu apdraudējumu.

 

Praksē kiberdrošības spēja nav viens rīks vai viena platforma. Tā ir vairāku elementu kopums: nepārtraukta uzraudzība, cilvēki, kas spēj atšķirt būtisku signālu no trokšņa, automatizācija, kas palīdz ierobežot apdraudējumu pirms manuālas reakcijas, regulāra ievainojamību pārvaldība un aktīvās aizsardzības elementi - honeypot risinājumi, un notikumu dokumentācija.

 

Notikumu dokumentācija Kiberdrošībā ir tikpat svarīga kā efektīva darbība praksē, jo nepieciešama pierādāmība. It īpaši NIS2 un Nacionālās kiberdrošības likuma kontekstā. Nepietiek tikai pateikt, ka drošība tiek pārvaldīta. Organizācijai jāspēj parādīt, kā tā uzrauga riskus, kā reaģē uz incidentiem, kā pārvalda ievainojamības un kā pieņem lēmumus par drošības uzlabošanu

 

LVM incidents notika Jāņu rītā. Nacionālās kiberdrošības likuma jaunākie grozījumi stājās spēkā 18. jūnijā. Oktobrī jauns uzņēmumu vilnis kļūs par likuma subjektiem. Tāpēc šis nav tikai stāsts par vienu incidentu. Tas ir jautājums par to, vai organizācijas izmantos šo brīdi, lai izveidotu reālu kiberdrošības spēju, nevis tikai formāli izpildītu prasības.

Autors:
Artūrs Filatovs
Drošības risinājumu produktu vadītājs

attīstības jaunumi un nozares ieskati

Pieteikties mūsu jaunumiem

Esiet informēts par mūsu jaunākajiem sasniegumiem un nozares ieskatu.

    Profesionāli IT pakalpojumi un risinājumi uzņēmumiem. Mēs nodrošinām uzticamu tehnisko palīdzību un IT pārvaldību.

    SIA Datakom

    Reģ. nr. 40103142605
    PVN reģ. nr. LV40103142605

    Malduguņu iela 2, Mārupes novads, Mārupe, LV-2167, LV 40103142605

    AS “Luminor Bank” Latvijas filiāle, RIKOLV2X LV69RIKO0000080227272

    Birojs

    +371 67628888
    Tirzniecības nodaļa
    +371 67628888
    Atbalsta centrs
    +371 67442800

    Mārketings

    +371 67628888

    Tiki-Taka PAY
    Datacenter AI

    © 2026 DATAKOM. Profesionālie IT pakalpojumi.
    Visas tiesības aizsargātas.