šØ DroŔība mums ir pÄri visam: ko mÄcÄmies no LVM uzbrukuma

MÄs Evoex jau kÄdu laiku strÄdÄjam citÄdi. Neviens koda gabals nenonÄk pie klientiem bez pilna droŔības audita, serveriem nav ÄrÄjo "durvju", kurÄs klauvÄt, un ja kÄds tomÄr mÄÄ£ina - sistÄma to pamana un bloÄ·Ä sekundÄs, ne pÄc tam, kad kaut kas jau ir noticis. KÄ tas izskatÄs praksÄ un kÄpÄc tajÄ esam ieguldÄ«juÅ”i vairÄkus tÅ«kstoÅ”us eiro !
Å Ä« gada JÄÅu brÄ«vdienÄs Latvijas IT nozarÄ notika kaut kas tÄds, ko grÅ«ti aizmirst - uzbrukums Latvijas Valsts Mežu IT infrastruktÅ«rai. Uzbrukums tika atklÄts 2026. gada 22. jÅ«nijÄ, taÄu vÄlÄk noskaidrojÄs, ka hakeris sistÄmÄ bija iekļuvis jau 11. jÅ«nijÄ un vairÄkas dienas darbojies nepamanÄ«ts, aktÄ«vi rÄ«koties sÄkot tikai naktÄ« no 22. uz 23. jÅ«niju. AtbildÄ«bu par uzbrukumu uzÅÄmies ransomware jeb izspiedÄjvÄ«rusa grupÄjums - tÄds pats uzbrukumu tips, kas pÄdÄjos gados arvien biežÄk skÄris arÄ« citas valsts un privÄtÄ sektora organizÄcijas. Daži avoti min pat konkrÄtu izpirkuma maksas summu, ko uzbrucÄjs pieprasÄ«jis, taÄu LVM to oficiÄli noliedz, tÄpÄc Å”eit koncentrÄsimies uz to, kas ir apstiprinÄts: uzÅÄmums bija spiests atslÄgt visu IT infrastruktÅ«ru, vairÄkas publiskÄs sistÄmas (LVM GEO, medÄ«bu lietotne Mednis) un iekÅ”Äjie servisi bija nepieejami vairÄkas dienas.
Tas atgÄdinÄja visiem, kas strÄdÄ Å”ajÄ jomÄ, vienu vienkÄrÅ”u, bet nepatÄ«kamu patiesÄ«bu: ja droŔību risina tikai tad, kad kaut kas jau ir noticis, ir jau par vÄlu. LVM gadÄ«jumÄ uzbrucÄjs vairÄkas dienas varÄja darboties sistÄmÄ, jo nebija rÄ«ku, kas laikus pamanÄ«tu anomÄlijas - tÄ Å”o situÄciju vÄlÄk raksturoja arÄ« Ministru prezidents. KonfigurÄcijas nepilnÄ«bas un neatklÄti caurumi sistÄmÄ var ilgstoÅ”i palikt nemanÄ«ti, lÄ«dz kÄds tos atrod - un diemžÄl bieži vien tas nav tas cilvÄks, kuram vajadzÄtu.
Kad mÄs Evoex plÄnojÄm savu infrastruktÅ«ru, izvÄlÄjÄmies pretÄju ceļu. Nevis gaidÄ«t un reaÄ£Ät, bet censties nepieļaut problÄmu raÅ”anos vispÄr.
DroŔība sÄkas pirms koda nonÄkÅ”anas serverÄ«
MÅ«su izstrÄdes procesÄ neviena izmaiÅa nenonÄk ražoÅ”anas serverÄ« bez pilnas automatizÄtas pÄrbaudes. Katru jauno koda gabalu reÄllaikÄ analizÄ specializÄti droŔības rÄ«ki, kas balstÄ«ti uz pasaulÄ atzÄ«tajiem OWASP Top 10 principiem - tas ir standarts, ko izmanto, lai atklÄtu biežÄkos un bÄ«stamÄkos ievainojamÄ«bu veidus.
Ja rÄ«ki pamana kaut vai nelielu risku, izmaiÅa netiek laistas tÄlÄk. SistÄma pati mÄÄ£ina labot problemÄtisko koda daļu, atkÄrtoti to pÄrbauda, un process turpinÄs, kamÄr risku skaits nav precÄ«zi nulle. Tikai tad izmaiÅas var nonÄkt pie lietotÄjiem.
LVM gadÄ«jums parÄdÄ«ja, ka sistÄma var Ŕķist strÄdÄjam normÄli, kamÄr uzbrucÄjs jau dienÄm ir iekÅ”Ä - un ka bez pareiziem rÄ«kiem to var vienkÄrÅ”i nepamanÄ«t.
MÅ«su pieejÄ tas nav malas gadÄ«jums, bet galvenais scenÄrijs, pret ko projektÄjam jau no pirmÄs dienas: minimÄla piekļuve, nodalÄ«tas sistÄmas un pastÄvÄ«ga automÄtiska auditÄÅ”ana, nevis paļauÅ”anÄs uz to, ka kÄds cilvÄks reizi gadÄ visu pÄrskatÄ«s.

Å Äds paziÅojums nonÄk pie mÅ«su komandas ikreiz, kad izmaiÅas iet cauri pilnajam droŔības audita un auto-laboÅ”anas ciklam pirms izvietoÅ”anas.
Serveri, kuriem nav ko zaudÄt no Ärpuses
Viens no vienkÄrÅ”Äkajiem, bet biežÄk aizmirstajiem droŔības principiem - ja durvis nav atvÄrtas, tajÄs nevar ielauzties. MÅ«su serveri darbojas uz Hetzner infrastruktÅ«ras, un mÄs esam pilnÄ«bÄ aizvÄruÅ”i ÄrÄjos pieslÄguma portus, ko tradicionÄli izmanto, lai attÄlinÄti piekļūtu serverim.
TÄ vietÄ serveris pats, no iekÅ”puses, pÄrbauda autorizÄtu koda krÄtuvi un, kad viss ir pÄrbaudÄ«ts un droÅ”i, ievelk atjauninÄjumus. Neviens nevar "klauvÄt" no Ära, jo durvju tur vienkÄrÅ”i nav.
Papildus tam vietnÄs ir ieviestas stingras droŔības galvenes (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy ), kas pasargÄ lietotÄjus no datu pÄrtverÅ”anas, vietÅu klonÄÅ”anas un citiem izplatÄ«tiem uzbrukumu veidiem.
Kad kÄds tomÄr mÄÄ£ina....
PilnÄ«gi izslÄgt uzbrukumu mÄÄ£inÄjumus nav iespÄjams - internets ir pilns ar automatizÄtiem botiem, kas pastÄvÄ«gi skenÄ vietnes un meklÄ vÄjÄs vietas. TÄpÄc mÄs izveidojÄm savu sistÄmu, kas Å”os mÄÄ£inÄjumus pamana un reaÄ£Ä uzreiz.
Ja tiek fiksÄts, piemÄram, brute-force mÄÄ£inÄjums vai aizdomÄ«ga skenÄÅ”ana, uzbrucÄja IP adrese tiek nekavÄjoties bloÄ·Äta ugunsmÅ«ra lÄ«menÄ«. Bet ar to darbs nebeidzas - mÅ«su izveidotais analÄ«zes rÄ«ks tÅ«lÄ«t sÄk izmeklÄt notikuÅ”o: kÄdi bija pieprasÄ«jumi, kÄds bija to modelis, ko uzbrucÄjs mÄÄ£inÄja sasniegt.
RezultÄts - Ä«ss, saprotams pÄrskats latvieÅ”u valodÄ, kas nekavÄjoties nonÄk mÅ«su programmÄtÄju komandas Discord kanÄlÄ.
Papildus tam Å”obrÄ«d izstrÄdÄjam arÄ« tÄ saukto "page-call" jeb on-call trauksmes zvana sistÄmu - risinÄjumu, kas nopietnÄku incidentu gadÄ«jumÄ automÄtiski piezvana atbildÄ«gajam izstrÄdÄtÄjam uz telefonu, neatkarÄ«gi no diennakts laika, lai reakcija nenotiktu tikai tad, kad kÄds pÄc savas iniciatÄ«vas paskatÄs Discord kanÄlÄ.TÄ mÄs ne tikai apturam mÄÄ£inÄjumu, bet arÄ« zinÄm, kas tieÅ”i notika.


ReÄls piemÄrs no mÅ«su sistÄmas - aizdomÄ«gs pieprasÄ«jums tiek bloÄ·Äts uzreiz, un ik stundu automÄtiski tiek sagatavots kopsavilkums par visiem mÄÄ£inÄjumiem, to izcelsmi un iespÄjamo nolÅ«ku
Ko tas nozÄ«mÄ klientam
IzvÄloties Evoex, klients nesaÅem tikai mÄjaslapu vai sistÄmu - viÅÅ” saÅem infrastruktÅ«ru, kurÄ droŔība nav pÄcpÄrdomu, bet pamats.
Ransomware uzbrukums Å”odien reti ir tikai tehniska problÄma - tas ir biznesa nepÄrtrauktÄ«bas risks. LVM gadÄ«jumÄ vairÄkas dienas nebija pieejami gan publiskie, gan iekÅ”Äjie pakalpojumi, dažu dienu dÄ«kstÄve un iespÄjama datu noplÅ«de var izmaksÄt uzÅÄmumam nesalÄ«dzinÄmi vairÄk nekÄ ieguldÄ«jums profilaksÄ.
PraksÄ tas nozÄ«mÄ vairÄkas konkrÄtas lietas, ko mÄs darÄm un iesakÄm arÄ« klientiem:
RegulÄras rezerves kopijas ar reÄli testÄtu atjaunoÅ”anas procesu, nevis kopijas, kuru darbÄ«ba nekad nav pÄrbaudÄ«ta.
Piekļuves un tiesÄ«bu pÄrvaldÄ«ba pÄc minimÄli nepiecieÅ”amÄ principa, lai viena uzlauzta piekļuve nedotu ceļu pie visa.
NepÄrtraukts monitorings un anomÄliju noteikÅ”ana, nevis paļauÅ”anÄs uz gadskÄrtÄju auditu.
SegmentÄta infrastruktÅ«ra, lai problÄma vienÄ sistÄmas daÄ¼Ä nenoveltos pÄr visu uzÅÄmumu.
Kļūdu laboÅ”ana pirms izvietoÅ”anas, nevis pÄc tam, kad kaut kas jau ir noticis internetÄ.
AtjauninÄjumi fonÄ, bez pÄrtraukumiem, lai vietnes un portÄli turpina strÄdÄt nepÄrtraukti.
KiberdroŔība nav process, ko var "vienreiz sakÄrtot un aizmirst". Tas ir pastÄvÄ«gs darbs. Un mums Ŕķiet - jo mazÄk par to jÄuztraucas mÅ«su klientiem, jo labÄk mÄs to darÄm.
KÄpÄc mÄs par to stÄstÄm
MÄs to visu neizveidojÄm tÄpÄc, ka kÄds no mums to prasÄ«ja. PÄdÄjÄ gada laikÄ esam investÄjuÅ”i vairÄkus tÅ«kstoÅ”us eiro, lai Å”o sistÄmu uzbÅ«vÄtu un turpinÄtu attÄ«stÄ«t - laiku, rÄ«kus un paÅ”u izstrÄdÄto programmatÅ«ru, kas Å”odien strÄdÄ fonÄ, bez pÄrtraukuma, katru dienu.
TÄ nav vienreizÄja investÄ«cija, ko var atzÄ«mÄt un aizmirst - tÄ ir infrastruktÅ«ra, kurÄ turpinÄm ieguldÄ«t, jo zinÄm, ka uzbrucÄju metodes mainÄs ÄtrÄk, nekÄ lielÄkÄ daļa uzÅÄmumu spÄj reaÄ£Ät.
LVM gadÄ«jums parÄdÄ«ja, ka pat lieliem uzÅÄmumiem ar resursiem var pietrÅ«kt tieÅ”i Ŕī - sistÄmas, kas pati pamana problÄmu, pirms tÄ kļūst par krÄ«zi.
Tas nozÄ«mÄ, ka klientam, kurÅ” izvÄlas EvoEx, nav jÄuztraucas, vai viÅa dati un sistÄma ir aizsargÄti pÄc atlikuma principa. DroŔība nav papildu pakalpojums, ko var pievienot vÄlÄk - tÄ jau ir iebÅ«vÄta katrÄ projektÄ, ko mÄs veidojam.
Ja tev interesÄ, kÄ izskatÄs tava vietnes vai sistÄmas droŔība no malas, sazinies ar mums - izvÄrtÄsim to kopÄ un pateiksim godÄ«gi, kur ir riski un ko ar tiem darÄ«t.
Piesaki savu auditu - Evoex Audits no 390 EURO

Saistītie pakalpojumi
Gatavs sÄkt savu projektu?
Aizpildi formu, pastÄsti savu ideju, un mÄs nosÅ«tÄ«sim mÅ«su tikÅ”anÄs kalendÄra linku. IzvÄlies sev Ärtu laiku un datumu, kurÄ satiksimies tieÅ”saistÄ un izrunÄsim detaļas! PÄc tam izstrÄdÄsim piedÄvÄjumu!
