Pavasara atlaide –€10 visiem moduļu kursiem Apskatīt →
Programmas Mācību ceļš Sertifikācija Dibinātājs Uzņēmumiem Simulatori Blogs
← Atpakaļ uz blogu
Blogs

Jūsu ugunsmūris ir nevainojams. Bet vai jūsu darbinieki zina, ko nedrīkst darīt?

2026. gada 1. marts · 4 min lasīšana · Madars Balodis

Lielākā daļa Latvijas uzņēmumu investē tehnoloģijās: antivīrusa programmatūrā, ugunsmūros, šifrētās saziņas rīkos. Taču pētījumi rāda, ka vairāk nekā 90% veiksmīgu kiberuzbrukumu nesākas ar tehnisku ievainojamību — tie sākas ar darbinieku, kurš noklikšķināja uz nepareizās saites vai atbildēja uz viltus e-pastu.

Tehnoloģija var aizsargāt tīklu. Taču tā nevar aizsargāt darbinieku, kurš brīvprātīgi atver durvis.

Ko nozīmē “cilvēciskais faktors” kiberdrošībā?

Cilvēciskais faktors nav abstrakts jēdziens — tas ir konkrēts uzbrukuma veids. Uzbrucēji jau sen sapratuši, ka daudz vieglāk ir pievilt cilvēku nekā uzlauzt labi konfigurētu sistēmu.

Lūk, kā tas izskatās praksē:

Pikšķerēšana (viltus e-pasti) ir visizplatītākā metode. Darbiniekiem tiek sūtīti e-pasti, kas atdarina bankas, kolēģus vai iekšējos sistēmas paziņojumus. Mērķis ir panākt, lai cilvēks ievada savus pieteikšanās datus vai atver ļaunatūras pielikumu. Mūsdienās šie e-pasti ir tik pārliecinoši, ka pat pieredzējuši darbinieki tos atšķir ar grūtībām.

Vadītāja identitātes krāpšana (angliski saukta par “CEO fraud”) — uzbrucējs uzdodas par uzņēmuma direktoru vai grāmatvedi un pieprasa steidzamu maksājumu vai piekļuvi kontam. Uzņēmumi Eiropā šādā veidā zaudē simtiem tūkstošu eiro gadā.

Sociālā inženierija pa tālruni — kāds zvana, uzdodas par IT atbalstu un lūdz darbiniekam sniegt savus pieslēgšanās datus vai instalēt “atbalsta rīku”. Tas ir vienkārši, bet efektīvi.

Vājas un atkārtoti lietotas paroles — darbinieks izmanto vienu paroli vairākās vietnēs. Kad kāda no šīm vietnēm piedzīvo datu noplūdi, uzbrucējs automātiski iegūst pieeju arī darba kontiem.

Kāda ir incidenta reālā cena?

Latvijā un Baltijā uzņēmumu vadītāji bieži uzskata, ka “mēs esam par maziem, lai kāds mūs uzbruktu”. Šis pieņēmums ir bīstama kļūda. Mazie un vidējie uzņēmumi ir vieglāki mērķi tieši tāpēc, ka tiem parasti ir vājāka aizsardzība.

Pēc Eiropas Savienības Kiberdrošības aģentūras (ENISA) datiem, vidējās kiberincidenta izmaksas mazam vai vidējam uzņēmumam Eiropā pārsniedz 50 000 eiro. Tas ietver:

  • Dīkstāves izmaksas — sistēmas atjaunošana pēc izspiedējvīrusa uzbrukuma var ilgt no dažām dienām līdz nedēļām;
  • Datu atjaunošanu — ja rezerves kopijas nav vai ir arī šifrētas;
  • Reputācijas zaudēšanu — klientu uzticība tiek grauta gadiem;
  • Juridiskās izmaksas — GDPR pārkāpuma gadījumā var sekot regulatora sods.

Salīdzinājumam: labi organizētas darbinieku apmācības uzņēmumam ar 30–50 cilvēkiem izmaksā desmitiem reižu mazāk.

Ko NIS2 direktīva prasa no jūsu uzņēmuma?

Kopš 2024. gada Eiropas Savienībā stājusies spēkā NIS2 direktīva (Tīklu un informācijas drošības direktīva), kuras prasības Latvija ievieš nacionālajā tiesību sistēmā. Tā attiecas uz plašu uzņēmumu loku — arī daudziem vidējiem un lielākiem Latvijas uzņēmumiem.

Direktīva skaidri nosaka, ka uzņēmumu vadītājiem ir personiskā atbildība par kiberdrošības pārvaldību, un viens no galvenajiem pienākumiem ir darbinieku apmācība.

Konkrēti NIS2 prasa:

  • Regulāras kiberdrošības apmācības visiem darbiniekiem, kas strādā ar informācijas sistēmām;
  • Skaidras incidentu ziņošanas procedūras (ievērojams incidents jāziņo regulatoram 24 stundu laikā);
  • Pierādāmu riska pārvaldības sistēmu, ko var uzrādīt audita gadījumā.

Neatbilstība NIS2 prasībām var izmaksāt līdz 10 miljoniem eiro vai 2% no uzņēmuma gada apgrozījuma — kas vien ir lielāks. Šis nav teorētisks risks — ES regulatori jau sākuši pirmos izvērtējumus.

Kāpēc viens seminārs gadā nepietiek?

Šeit slēpjas visbiežāk pieļautā kļūda korporatīvajā kiberdrošībā. Uzņēmums reizi gadā organizē pusstundas prezentāciju par drošību, darbinieki uzklausa, un vadītājs uzskata, ka pienākums izpildīts.

Problēma: zināšanas, kas iegūtas vienā prezentācijā, ātri tiek aizmirstas. Pētījumi mācību psiholoģijā rāda, ka pēc nedēļas cilvēki atceras mazāk nekā 20% no dzirdētā, ja vien nav bijusi prakse vai atkārtošana.

Efektīva kiberdrošības apmācība darbojas citādi:

1. Prakse, ne tikai teorija. Dalībnieki paši izspēlē scenārijus — piemēram, kā izskatās pikšķerēšanas e-pasts no iekšpuses, kā rīkoties, ja saņemts aizdomīgs zvans. Tas veido refleksus, nevis tikai izpratni.

2. Pielāgots saturs. Grāmatvedes riska profils atšķiras no IT administratora. Efektīva apmācība ņem vērā, ar kādiem draudiem katrs darbinieks saskaras savā ikdienā.

3. Regulāra atkārtošana. Kiberdraudu ainava mainās katru mēnesi. Apmācība jāveic vismaz reizi gadā, bet ideālā gadījumā ar īsākiem atgādinājuma kursiem biežāk.

4. Mērāmi rezultāti. Labs apmācību pakalpojums sniedz pārskatu — kas bija kļūdas, kurās jomās komanda ir vājāka, kā mainījās zināšanas pirms un pēc.

Kādas apmācības ir piemērotas jūsu uzņēmumam?

Nav universālas atbildes, jo tas atkarīgs no uzņēmuma lieluma, nozares un darbinieku tehniskā līmeņa. Taču ir skaidri atšķirami trīs galvenie apmācību veidi:

Drošības izpratnes apmācība — vispiemērotākā visiem darbiniekiem neatkarīgi no amata. Puse vai viena darba diena, kurā tiek apgūts: kā atpazīt viltus e-pastus, kā pārvaldīt paroles, kā droši rīkoties ar sensitīviem datiem un ko darīt, ja kaut kas aizdomīgs tiek pamanīts. Nav nepieciešamas tehniskas zināšanas.

Atbilstības apmācība — paredzēta vadītājiem, juristiem un atbilstības speciālistiem. Fokuss uz NIS2, GDPR, ISO 27001 prasībām, incidentu ziņošanu un riska pārvaldību. Uzņēmumam vajadzīga ne tikai zināšanas, bet arī spēja pierādīt tās regulatoram.

Tehniskā padziļināšana — IT komandām, sistēmu administratoriem un izstrādātājiem. Konkrēti tehniski kursi: tīklu drošība, serveru nostiprināšana, draudu monitorings, reaģēšana uz incidentiem. Šeit apmācības var ilgt no dažām dienām līdz vairākām nedēļām.

Drošības kultūra — ilgtermiņa mērķis

Vislabākais rezultāts tiek sasniegts, kad kiberdrošība kļūst par daļu no uzņēmuma kultūras, nevis atsevišķu pasākumu. Tas nozīmē, ka darbinieki ziņo par aizdomīgiem e-pastiem nevis no bailēm, bet no atbildības sajūtas. Ka vadītāji paši ievēro drošas paroles un daudzfaktoru autentifikāciju. Ka jaunu darbinieku iepazīstināšana ar uzņēmumu ietver arī kiberdrošības pamatus.

Šādas kultūras veidošana prasa laiku, taču sākas ar konkrētu, kvalitatīvu apmācību.

CyberBootcamp piedāvā pielāgotas kiberdrošības apmācības Latvijas uzņēmumiem — no vienas dienas drošības izpratnes semināriem līdz daudzpakāpju programmām tehniskajām komandām, latviešu valodā, ar praktiskiem scenārijiem un mērāmiem rezultātiem.

Uzzināt vairāk par korporatīvajām apmācībām →

uzņēmumiemkiberdrošībaNIS2darbiniekiapmācība