Mērniecības nozarē dati ir tikpat vērtīgi kā precīzs mērījums. Tie glabājas biroja datoros, serveros, portatīvajās ierīcēs un dažkārt arī mājas tehnikā. Tieši šī daudzveidība padara mērnieku uzņēmumus par reālu mērķi organizētām kiberkriminālām grupām. Pieredze rāda, ka uzbrukums var sākties klusi un nemanāmi, bet sekas var būt dramatiskas.

Kāds Latvijas mērniecības uzņēmums 2025. gadā piedzīvoja reālu kiberuzbrukumu ar datu šifrēšanu un izpirkuma pieprasījumu. Uzbrukumā tika izmantoti profesionāli rīki, laterāla pārvietošanās pa tīklu un žurnālfailu dzēšana. Šis gadījums ir labs atgādinājums visai nozarei: digitālā drošība vairs nav abstrakta tēma, tā ir daļa no mūsu ikdienas darba.

Kas padara mērnieku uzņēmumus ievainojamus?

Mērniecības uzņēmumu specifika – darbs gan birojā, gan ārpus tā, vairāki datu glabāšanas punkti un attālinātā piekļuve sistēmām – palielina risku. Īpaši bīstama ir situācija, kad:

• dati glabājas dažādās vietās: biroja datoros, serveros, portatīvajos datoros, datu mākoņos , NAS (tīkla disku masīvi) iekārtās, ārējos diskos, reizēm arī mājas datoros;
• tiek izmantotas vājas vai atkārtotas paroles;
• RDP (attālinātā darbvirsma) ir atvērta bez papildu aizsardzības;
• nav modernu ugunsmūru un tīkla segmentācijas;
• rezerves kopijas nav regulāras vai tiek glabātas tajā pašā vidē, kuru šifrē uzbrucējs.

Šāds uzstādījums rada ideālu vidi ļaunprogrammatūrai un uzbrucējiem: ja tiek ielauzts viens dators vai viens lietotāja konts, ir liela iespēja, ka drīz tiks kompromitēts viss tīkls.

Kā notiek tipisks mērniecības uzņēmuma uzbrukums?

Reālos incidentos (arī mērniecības nozarē) redzams apmēram šāds scenārijs.

1. Sākotnējā piekļuve
   Uzbrucējs iegūst kāda darbinieka Windows konta paroli. To var panākt ar paroļu noplūdēm, pikšķerēšanas e-pastiem, vājām parolēm vai kompromitētu mājas datoru.
2. Pieslēgšanās caur RDP (attālināto darbvirsmu)
   Uzbrucējs pieslēdzas uzņēmuma datoram, izmantojot RDP, it kā būtu likumīgs lietotājs.
3. Laterālā kustība tīklā
   Tālāk viņš pārvietojas pa iekšējo tīklu – meklē serverus, citus datorus un pieejamos resursus.
4. Paroļu savākšana
   Tiek izmantoti specializēti rīki, kas dažu minūšu laikā var iegūt:

• administratoru paroles,
• saglabātās paroles pārlūkā,
• sistēmas piekļuves datus.

5. Datu šifrēšana
   Kad pietiekami daudz resursu ir pieejami, tiek palaists šifrētājs: tiek nošifrēti datori, serveri, failu koplietošanas mapes, WD/NAS ierīces. Pēc tam seko izpirkuma pieprasījums.
6. Žurnālfailu dzēšana
   Lai slēptu pēdas, uzbrucējs dzēš sistēmas žurnālfailus. Tas apgrūtina izmeklēšanu, bet neizslēdz iespēju atjaunot notikumu gaitu ar CERT.LV palīdzību.

Šis process var noritēt dažu stundu līdz vienas diennakts laikā.

Ko darīt uzbrukuma konstatēšanas brīdī?

Kad pamanāt, ka kaut kas nav kārtībā (dīvaini paziņojumi, šifrēti faili, izpirkuma pieprasījums, aizdomīgas RDP sesijas), svarīgi ir nereaģēt haotiski. Ir daži skaidri soļi, ko būtu jāzina jau iepriekš.

1. Atvienot skartās ierīces no tīkla

• izvilkt tīkla kabeli;
• atslēgt Wi-Fi;
• nepieļaut tālāku šifrēšanu un izplatību citās iekārtās.

2. Neveikt restartu un “tīrīšanu” uz savu galvu
   Ne restartēt serveri, ne palaist “cleaneri” vai “optimizētājus”. Tas var izdzēst pierādījumus, kas nepieciešami izmeklēšanai.
3. Saglabāt pierādījumus

• žurnālfailus (event logs);
• disku kopijas (forensic image) no inficētajām iekārtām;
• ekrānuzņēmumus ar paziņojumiem.

4. Ziņot CERT.LV
   CERT.LV palīdz analizēt uzbrukumu, identificēt ievainojamības un sniedz profesionālus ieteikumus. Tas ir valsts atbalsts, nevis “sods”.
5. Nomainīt paroles un bloķēt kompromitētos kontus

• visiem zināmajiem kompromitētajiem kontiem;
• administratoru kontiem;
• kontiem, kuriem bija tāda pati parole kā kompromitētajam.

6. Sākt tīkla sanitāriju un pārbaudes
   Pārinstalēt skartās sistēmas, pārskatīt ugunsmūra konfigurāciju, deaktivizēt nevajadzīgos pakalpojumus un atvērtos portus.

7.Ziņošana Datu valsts inspekcijai: 72 stundu noteikums

Mērniecības uzņēmumi bieži apstrādā klientu personas datus:

• vārdu, uzvārdu,
• kontaktinformāciju,
• īpašuma adresi,
• līgumu un pasūtījumu datus,
• citus ar konkrētām personām saistītus dokumentus.

Ja kiberuzbrukuma laikā rodas kaut mazākās aizdomas, ka uzbrucēji varēja:

• piekļūt personas datiem,
• kopēt tos,
• nosūtīt tos ārpus uzņēmuma,
• lasīt dokumentus ar klientu datiem,

tad uzņēmumam ir pienākums ievērot Regulas (ES) 2016/679 (GDPR) 33. pantu.

Tas nozīmē: Uzņēmumam 72 stundu laikā jāziņo Datu valsts inspekcijai (DVI) par personas datu drošības pārkāpumu, ja ir pamatotas aizdomas, ka personas dati varētu būt skarti.

Svarīgi, ka:

• DVI nav jāgaida līdz pilnīgai skaidrībai par visiem detaļu sīkumiem.
• Ja izmeklēšana vēl turpinās, nosūta sākotnējo ziņojumu: kas zināms, kāda ir ietekme, kādi pasākumi veikti.
• Kad situācija ir pilnībā skaidra, DVI iesniedz papildu ziņojumu, precizējot datus.

DVI šādos gadījumos ir sadarbības partneris, nevis tikai uzraugs. Viņiem svarīgi redzēt, ka uzņēmums reaģē savlaicīgi un atbildīgi, nevis noklusē problēmu.

8. Ziņošana Valsts policijai: kad un kāpēc tas ir obligāti

Datu drošības incidents nav tikai tehniska kļūme vai nepatīkams starpgadījums. Ja uzņēmuma sistēmās ir notikusi nesankcionēta iekļūšana, datu šifrēšana, izspiešana vai mēģinājums izkrāpt naudu, tas atbilst Krimināllikumā paredzētajām noziedzīgām darbībām (piemēram, 243. pants – nelikumīgas darbības ar informācijas sistēmām).

Tāpēc mērniecības uzņēmumiem ir svarīgi zināt:

Kad jāziņo policijai?

Policijai jāziņo, ja:

• serverī, datoros vai tīklā ir notikusi nesankcionēta piekļuve;
• uzbrukuma rezultātā dati ir nošifrēti vai iznīcināti;
• tiek saņemts izpirkuma pieprasījums (pat ja maksāt neplāno);
• ir pamats domāt, ka dati varētu būt kopēti vai izplatīti;
• uzbrucējs ir dzēsis žurnālfailus, mainījis paroles vai izmantojis sistēmu rīkus;
• incidenta apjoms pārsniedz tikai vienu datoru un ir skārusi uzņēmuma darbību.

Mērniecības uzņēmumiem īpaši būtiski ziņot, ja incidentā var būt cietuši:

• klientu līgumi,
• projekta dokumentācija,
• datu arhīvi,
• lauka mērījumu faili,
• sistēmas ar autorizētu piekļuvi valsts datu bāzēm.

Šādos gadījumos notikums nav “tehniska problēma”, bet reāls noziedzīgs nodarījums.

 

Secinājumi mērnieku sabiedrībai

No reāliem uzbrukumiem mērniecības nozarei izriet vairāki ļoti konkrēti secinājumi.

1. Datu kopijas ir izšķiroši svarīgas

• Ieviest 3–2–1 stratēģiju:
  – 3 datu kopijas,
  – 2 dažādos nesējos,
  – 1 kopija ārpus uzņēmuma (piemēram, šifrēts mākoņrisinājums vai ārējs disks, kas nav pastāvīgi pieslēgts).

2. Profesionāls ugunsmūris nav luksuss, tas ir pamats

Ugunsmūri ar IPS/IDS (ielaušanās novēršanas sistēmu/ ielaušanās atklāšanas sistēmu), web filtrēšanu un VPN (virtuālajiem privātajiem tīkliem) būtiski samazina risku:

• bloķē masveida RDP uzbrukumus;
• ļauj segmentēt tīklu (biroja, serveru, mājas piekļuvi);
• saglabā neatkarīgus žurnālfailus, kurus uzbrucējs nevar tik viegli izdzēst.

3. Vairāklīmeņu autentifikāciju (MFA) un unikālas paroles jāuztver nopietni

• vienas un tās pašas paroles izmantošana visur ir tiešs ielūgums uzbrucējam;
• RDP, e-pastam un kritiskām sistēmām jābūt aizsargātām ar vairāklīmeņu autentifikāciju (MFA).

4. Darbinieku apmācības nav formalitāte

• jāzina, kā atpazīt pikšķerēšanas e-pastus;
• jāsaprot, kā rīkoties, ieraugot aizdomīgu paziņojumu, šifrētus failus vai dīvainu sistēmas uzvedību.

5. Incidentu vadības procedūrai jābūt dokumentētai

• jābūt rakstiskai procedūrai: ko darām, kam ziņojam, kur zvana, ko slēdzam ārā;
• šī procedūra ir arī DVI prasība;
• to ir vērts iziet cauri “sausajā treniņā”, pirms notiek reāls incidents.

Noslēgumā

Datu drošība mērniecībā nav greznība – tā ir profesionāla nepieciešamība. Jo vairāk mūsu darbs balstās digitālajos datos, jo svarīgāka kļūst spēja tos aizsargāt, reaģēt uz incidentiem un mācīties no pieredzes.

Labā ziņa ir tā, ka pat pēc ļoti nepatīkama uzbrukuma ir iespējams sakārtot sistēmu tā, lai nākamais mēģinājums vairs nebūtu tik viegls vai vispār paveicams. Tas prasa tehniskus risinājumus, organizētus procesus un nedaudz disciplīnas — bet iegūtais miers un drošība to atpelna.

Mērniecības uzņēmuma vadītājs