Autors: Pexels.com

Digitālā higiēna uzņēmumā nav tikai IT speciālistu jautājums. Tā ir pārvaldības, iekšējās kontroles un uzticamības disciplīna. Uzņēmums, kas nespēj skaidri pateikt, kuri konti ir aktīvi, kur glabājas sensitīvi dati, kam tiem ir piekļuve un cik ātri novirzes kļūst pamanāmas, faktiski nepārvalda būtiskus riskus. Tieši tāpēc digitālā higiēna uzņēmumā ir būtiska kiberdrošības uzņēmumā un datu drošības uzņēmumos sastāvdaļa.

Jautājums ir aktuāls arī Latvijā. Nacionālās kiberdrošības likums ir spēkā kopš 2024. gada 1. septembra, un NIS2 loģika vairs neattiecas tikai uz IT komandām, jo vērumā esošām organizācijām bija jāidentificē savs statuss, jāieceļ kiberdrošības pārvaldnieks un jāiesniedz pašvērtējums. 2025. gadā stājās spēkā arī Ministru kabineta noteikumi par minimālajām kiberdrošības prasībām. Tas nozīmē vienu: kiberdrošība kļūst par pierādāmu vadības spēju, nevis labo nodomu deklarāciju.

Tirgus dati šo realitāti apstiprina. Verizon 2025 DBIR rāda, ka kompromitētas piekļuves dati bija sākotnējais piekļuves ceļš 22% pārkāpumu, ransomware bija klātesošs 44% pārkāpumu, bet trešo pušu iesaiste pārkāpumos gada laikā dubultojās no 15% līdz 30%. APWG 2025. gada 1. ceturksnī fiksēja vairāk nekā 1 miljonu phishing uzbrukumu. IBM 2025 lēš globālās vidējās datu noplūdes izmaksas 4,4 miljonu ASV dolāru apmērā, bet 2024. gada analīze parādīja, ka augsta biznesa traucējuma gadījumā izmaksas pieauga līdz 5,01 miljonam. Citiem vārdiem – neredzamie vājie punkti sen vairs nav lēti.

Vadības kopsavilkums

• Digitālā higiēna uzņēmumā ir uzbrukuma virsmas samazināšana – mazāk aktīvu kontu, mazāk lieku piekļuves punktu, mazāk nevajadzīgi glabātu datu un mazāk nezināmu atkarību.
• NIS2 un Latvijas normatīvais ietvars pieprasa ne tikai tehniskas kontroles, bet arī vadības līdzatbildību, dokumentētu risku pārvaldību un skaidru atbildību sadalījumu.
• GDPR risku uzņēmums izjūt ne tikai soda apmērā, bet arī klientu uzticības zudumā, partneru papildu pārbaudēs, darījumu kavējumos un reputācijas kritumā.
  Jautājums vadībai nav tikai “vai mums ir kiberdrošības politika”, bet “vai mēs varam pierādīt, ka piekļuves, dati, ierīces un ārpakalpojumi ir kontrolēti”.

Kāpēc tas ir vadības jautājums?

NIS2 būtība ir vienkārša: kritiski un svarīgi pakalpojumi Eiropā vairs nedrīkst balstīties uz minimālu tehnisko aizsardzību un neskaidru atbildību. Direktīvas loģika, kas iestrādāta arī Latvijas regulējumā, prasa risku pārvaldības pasākumus, incidentu ziņošanu, darbības nepārtrauktības plānus, piegādes ķēžu drošību un vadības iesaisti. Turklāt NIS2 nepārprotami paredz, ka vadības struktūrām šie pasākumi jāapstiprina un jāuzrauga.

Tas nozīmē vienu: kiberdrošība uzņēmumā kļūst par pierādāmu vadības spēju, nevis labo nodomu deklarāciju. Digitālā higiēna uzņēmumā šajā kontekstā ir viens no galvenajiem instrumentiem, ar kuru organizācija var demonstrēt atbilstību NIS2 prasībām Latvijā un efektīvu kiberrisku pārvaldību.

Arī GDPR šodien jāvērtē biznesa kontekstā. Tas nav tikai noteikumu kopums par personas datiem. Tas ir reputācijas, līgumisko seku un sankciju ietvars. Eiropas Komisija atgādina, ka pārkāpumu gadījumā iespējamas ne tikai sankcijas, bet arī apstrādes ierobežojumi, savukārt EDPB uzsver arī acīmredzamo laba datu pārvaldība veido uzticību. Vadībai tas nozīmē, ka datu noplūde skar ne tikai juristus, bet arī uzņēmumu tieši – tā ieņēmumus, attiecības ar partneriem un tirgus uztveri.

Kas ir uzbrukuma virsmas samazināšana

Attack surface reduction jeb uzbrukuma virsmas samazināšana biznesa valodā nozīmē pavisam pragmatisku disciplīnu. Digitālā higiēna uzņēmumā šeit spēlē centrālo lomu – jo mazāk ir kontu, ierīču, saišu, koplietošanas mapju un datu kopiju, jo mazāks ir potenciālais uzbrukuma punkts un jo efektīvāka ir kiberdrošība uzņēmumā.

Praksē tas nenozīmē “vairāk tehnoloģiju”, bet mazāk lieka: mazāk kontu bez īpašnieka, mazāk piekļuves “katram gadījumam”, mazāk failu bez termiņa, mazāk novecojušu ierīču, mazāk nejaušu ārpakalpojumu un mazāk datu, kuru biznesa vērtība jau ir zudusi.

Šī raksta seši soļi būtībā ir seši veidi, kā vadība samazina uzbrukuma virsmu ar skaidriem lēmumiem.

Autors: Pexels.com

1. Unikālas paroles un identitātes disciplīna

Tēze. Ja identitāte nav pārvaldīta, uzbrukumam nav jāpārvar sistēma – pietiek pieteikties.

Kur slēpjas reālais risks. Kompromitēti piekļuves dati joprojām ir viens no ātrākajiem uzbrukuma ceļiem. Verizon 2025 DBIR rāda, ka kompromitētas akreditācijas bija sākotnējais piekļuves vektors 22% pārkāpumu. Ja uzņēmumā paroles tiek atkārtoti izmantotas, glabātas izkliedēti vai zināmas vairākiem cilvēkiem, viens incidents ātri pārtop par vairāku sistēmu problēmu.

Ko tas uzņēmumam maksā. Uzņēmumam tas maksā kontu pārņemšanu, reputācijas bojājumu, ilgāku incidenta ierobežošanu un daudz dārgāku atgriešanos normālā darbībā. Ja kompromitēts ir e-pasts vai finanšu konts, sekas var kļūt arī monetāras.

Praktiskā rīcība

• Ieviest prasību, ka visiem kritiskajiem kontiem ir unikālas paroles un centralizēti pārvaldīts paroļu glabāšanas risinājums.
• Aizliegt koplietotus lietotāju kontus tur, kur iespējams; katrai piekļuvei jābūt piesaistāmai konkrētai personai vai lomai.
• Apvienot identitātes pārvaldību caur SSO tur, kur tas ir iespējams, lai vadība redzētu, kas patiesi ir aktīvs.
• Regulāri pārskatīt paaugstināto tiesību kontus un slepenos datus, tostarp API atslēgas un servisus, kam nav skaidra īpašnieka.
• Ieviest procesu nopludinātu akreditācijas datu pārbaudei un operatīvai rotācijai.

Vadības jautājums, ko sev uzdot: vai vadība šodien var saņemt skaidri saprotamu atbildi uz jautājumu: kuri ir mūsu kritiskie konti, kam tie pieder un kā tie tiek aizsargāti?

2. Divu faktoru autentifikācija

Tēze. Parole viena pati vairs nav drošības kontrole – tā ir tikai pirmais slieksnis.

Kur slēpjas reālais risks. Phishing joprojām strādā industriālā mērogā: APWG 2025. gada 1. ceturksnī novēroja 1 003 924 phishing uzbrukumus. Tajā pašā laikā Verizon papildu 2025. gada pētījums par credential stuffing rāda, ka šie uzbrukumi mediāni veidoja 19% no visiem autentifikācijas mēģinājumiem dienā un lielos uzņēmumos sasniedza 25%. Ja otrs autentifikācijas slānis nav ieviests, kompromitēta parole bieži nozīmē arī kompromitētu kontu.

Ko tas uzņēmumam maksā. Cena ir nesamērīga pret ieguldījumu. Viens pārņemts e-pasta konts var radīt maksājumu novirzes, līgumu sarakstes  datu noplūdi un klientu neuzticību. Vadībai tas nozīmē arī papildu laiku incidenta vadībai un reputācijas skaidrošanai.

Praktiskā rīcība

• Prioritāri ieviest phishing-resistant MFA e-pastam, administratīvajām piekļuvēm, finanšu sistēmām, VPN un mākoņpakalpojumiem.
• SMS kodus izmantot tikai kā pārejas risinājumu; priekšroka dodama autentifikatoru lietotnēm, drošības atslēgām vai passkey tipa risinājumiem.
• Dokumentēt visus MFA izņēmumus un noteikt tiem termiņu; pastāvīgi izņēmumi ir jāuzskata par vadības risku.
• Ieviest nosacīto piekļuvi pēc ierīces, atrašanās vietas un riska signāliem.
• Regulāri pārskatīt, kuri konti faktiski piesakās bez otrā faktora.

Vadības jautājums, ko sev uzdot: kurš ir tas kritiskais uzņēmuma konts, kuru kompromitējot šodien uzbrucējs vēl arvien varētu iekļūt tikai ar paroli?

3. Kontu un piekļuves audits

Tēze. Nevajadzīga piekļuve nav ērtība – tā ir riska pozīcija.

Kur slēpjas reālais risks. Uzbrukuma virsma aug klusumā: bijušo darbinieku konti, trešo pušu piekļuves bez termiņa, koplietotas mapes ar neskaidru īpašnieku un servisu konti, ko neviens vairs nepārrauga. Verizon 2025 DBIR norāda, ka trešo pušu iesaiste pārkāpumos pieauga no 15% līdz 30%, kas parāda, cik dārgs kļūst nepārvaldīts partneru un piegādātāju slānis.

Ko tas uzņēmumam maksā. Rezultāts ir lielāks incidenta rādiuss, lēnāka reakcija, vājāka auditējamība un grūtāks due diligence. Incidenta brīdī uzņēmums zaudē dārgo laiku, jo vispirms mēģina saprast, kas kam vispār bija pieejams.

Praktiskā rīcība

• Ieviest ceturkšņa piekļuves pārskatus kritiskajām sistēmām, koplietojumiem un finanšu rīkiem.
• Nostiprināt joiner-mover-leaver procesu, lai darba attiecību izmaiņas automātiski iedarbinātu piekļuves maiņu.
• Lietot minimāli nepieciešamo tiesību principu, balstot piekļuves lomās, nevis individuālos izņēmumos.
• Uzturēt trešo pušu piekļuves reģistru ar īpašnieku, pamatojumu, termiņu un revīzijas datumu.
• Pārskatīt servisu un integrāciju kontus, īpaši tos, kas pieslēgti e-pastam, datu eksportiem un finanšu plūsmām.

Vadības jautājums, ko sev uzdot: vai mums ir vairāk piekļuves, nekā mums ir biznesa vajadzību?

4. Finanšu noviržu un paziņojumu kontrole

Tēze. Daļa kiberincidentu vispirms parādās finanšu plūsmā, nevis drošības panelī.

Kur slēpjas reālais risks. Business email compromise, viltus rēķini, izmaiņas piegādātāju bankas kontos un neparasti autorizācijas pieprasījumi bieži sākas kā operacionāli sīkumi. APWG ziņo, ka 2025. gada 4. ceturksnī wire-transfer BEC uzbrukumu skaits pieauga par 136% pret iepriekšējo ceturksni. Ja finanšu kontrole nespēj pamanīt novirzes, incidents var attīstīties bez jebkāda tehniska “trauksmes signāla”.

Ko tas uzņēmumam maksā. Tiešās izmaksas ir zaudēti maksājumi, taču netiešās ir vēl plašākas: līgumu strīdi, apdrošinātāju iesaiste, auditoru papildu prasības, reputācijas jautājumi un vadības laika patēriņš. Incidenta apjoms bieži nav noteikts ar sākotnējo summu, bet ar to, cik ilgi novirze palika nepamanīta.

Praktiskā rīcība

• Ieviest dubultu apstiprinājumu piegādātāju bankas rekvizītu maiņai un nestandarta maksājumiem.
• Automatizēt paziņojumus par konta pieslēgšanos no neparastām vietām, jauniem maksājumu saņēmējiem un izmaiņām autorizācijas lomās.
• Noteikt atpakaļ zvana verifikācijas procedūru, izmantojot iepriekš zināmus kontaktus, nevis e-pastā norādīto informāciju.
• Nodalīt maksājumu sagatavošanas, apstiprināšanas un izpildes tiesības.
• Reizi mēnesī salāgot finanšu un drošības komandas signālus – neparastus maksājumus, neparastus pieslēgumus un saņemtās piegādes ķēdes izmaiņas.

Vadības jautājums, ko sev uzdot: vai mūsu finanšu kontrole spēj pamanīt kiberincidentu pirms nauda ir aizgājusi?

5. E-pasts, mākoņkrātuves un liekā informācija

Tēze. Nesakārtota informācija palielina risku pat tad, ja infrastruktūra ir tehniski aizsargāta.

Kur slēpjas reālais risks. Uzņēmumi nereti glabā pārāk daudz, pārāk ilgi un pārāk plaši pieejamus datus. E-pastos, mākoņdiskos un koplietojumos uzkrājas līgumi, algu faili, klientu dati, datu eksporta kopijas, veci rēķini un personu dati bez skaidra glabāšanas termiņa. NIS2 skatījumā tas palielina uzbrukuma virsmu; GDPR skatījumā – arī iespējamo seku apjomu, ja notiek noplūde.

Ko tas uzņēmumam maksā. Jo vairāk lieku datu, jo lielāks ir noplūdes apjoms, sarežģītāka incidenta analīze, dārgāka juridiskā izvērtēšana un smagāks komunikācijas darbs ar klientiem un partneriem. Darījumu auditā vai investoru due diligence šāda vide signalizē nevis rūpību, bet kontroles trūkumu.

Praktiskā rīcība

• Ieviest datu klasifikāciju un saprotamus glabāšanas termiņus e-pastam, koplietojumiem un eksportiem.
• Pārskatīt publiskās un ārējās koplietošanas saites, piešķirot termiņus un īpašniekus.
• Nodalīt darba dokumentus no oficiālajiem ierakstiem un arhīviem.
• Dzēst vai arhivēt datus, kuru operacionālā vērtība ir zudusi, īpaši sensitīvus eksportus un lokālas kopijas.
• Veikt izlases pārbaudes vadības e-pastos un kritiskajās koplietotajās mapēs, lai saprastu reālo, nevis deklarēto situāciju.

Vadības jautājums, ko sev uzdot: ja šodien notiktu datu incidents, cik daudz no noplūdušās informācijas uzņēmumam vispār vairs bija vajadzīgs?

6. Ierīces, atjauninājumi un lietotņu atļaujas

Tēze. Neatjaunināta ierīce ir kluss ieejas punkts ar pārāk lielu uzticēšanos.

Kur slēpjas reālais risks. Verizon 2025 DBIR rāda, ka ievainojamību izmantošana sasniedza 20% kā sākotnējais piekļuves vektors, bet ransomware bija klātesošs 44% pārkāpumu un 88% SMB pārkāpumu. Neinventarizētas ierīces, kavēti atjauninājumi, lokālā administratora tiesības, nekontrolētas lietotnes veido vidi, kur viena ievainojamība pārtop darbības pārrāvumā.

Ko tas uzņēmumam maksā. Cena šeit visbiežāk ir dīkstāve. IBM 2024 parādīja, ka, pieaugot biznesa traucējumam, vidējās izmaksas pieauga no 4,63 līdz 5,01 miljonam ASV dolāru. Ražošanā, pakalpojumu sniegšanā vai finanšu plūsmās tas nozīmē ne tikai IT atjaunošanu, bet arī reālu uzņēmuma darbības apstāšanos.

Praktiskā rīcība

• Uzturēt vienotu ierīču un programmatūras inventāru, kurā redzams īpašnieks, statuss un kritiskums.
• Noteikt skaidrus kritisko drošības atjauninājumu SLA un izņēmumu apstiprināšanas kārtību.
• Samazināt lokālā administratora tiesības u n pārskatīt lietotņu instalēšanas atļaujas.
• Pārvaldīt mobilo un attālināto ierīču drošību ar MDM/EDR, šifrēšanu un attālinātu dzēšanu.
• Droši izņemt no aprites vecos diskus, USB nesējus un iekārtas, dokumentējot datu iznīcināšanu.

Vadības jautājums, ko sev uzdot: cik no mūsu aktīvajām ierīcēm un lietotnēm vadība šodien faktiski var uzskatīt par pārvaldītām?

Autors: Pexels.com

Kāpēc digitālā higiēna uzņēmumā ir vadības kvalitātes indikators digitālā higiēna uzņēmumā

Uzņēmumā piekļuves kontrole gandrīz vienmēr atspoguļo pārvaldības kvalitāti. Ja nav skaidrs, kurš pieņem lēmumus par piekļuvi, kurš pārskata izņēmumus, kurš atbild par trešo pušu pieeju un kurš apstiprina datu glabāšanas termiņus, tad problēma nav tehnoloģijā. Problēma ir atbildības modelī.

Tieši tāpēc digitālā higiēna ir cieši saistīta ar iekšējās kontroles sistēmu. Paroles, MFA, piekļuves auditi, glabāšanas termiņi, maksājumu brīdinājumi un ierīču inventārs nav atsevišķi tehniski sīkumi. Tie ir kontroles punkti, ar kuriem uzņēmums pārvalda piekļuvi, izmaiņas, izņēmumus un novirzes.

NIS2 šo loģiku tikai formalizē: vadības struktūrām jāapstiprina kiberrisku pārvaldības pasākumi un jāuzrauga to ieviešana. Tāpēc drošību vairs nevar uztvert kā “IT nodaļas funkciju”. Tā ir risku pārvaldības funkcija ar tehnisku izpildi un kopīgu uzdevums – nodrošināt, ka būtiskie riski ir ne tikai aprakstīti, bet arī operacionāli kontrolēti.

Reputācija, uzticība un tirgus piekļuve

Drošība tirgū aizvien biežāk tiek nolasīta kā uzticamība. Klienti sagaida ne tikai pakalpojumu, bet arī pārliecību, ka viņu dati, sarakste un komercinformācija neiet nekontrolētā apritē. Partneri arvien biežāk pieprasa piekļuves, ārpakalpojumu un incidentu pārvaldības skaidrojumu jau iepirkumu vai līguma slēgšanas posmā.

Audita un due diligence situācijās digitālā higiēna kļūst redzama ļoti ātri. Ja uzņēmums nespēj pierādīt, kā tiek pārvaldītas piekļuves, kā tiek dzēsti liekie dati, kā tiek kontrolētas trešo pušu tiesības un kā tiek slēgti bijušo darbinieku konti, tas signalizē plašāku pārvaldības vājumu. Investoru skatījumā tas nav “IT trūkums”, tas ir uzņēmuma kvalitātes, prognozējamības un kontroles trūkums.

Šī iemesla dēļ drošība nav tikai aizsardzība pret incidentu. Tā ir arī kapitāla, darījumu ātruma un uzticības aizsardzība. Uzņēmumi, kuri šo saprot, kiberdrošību neizolē. Tie iekļauj to iepirkumos, finanšu kontrolē, cilvēkresursu procesos, iekšējā auditā un ikdienas darba kārtībā.

Digitālā higiēna uzņēmumā nav tikai papildu drošības slānis. Tā ir robeža starp pārvaldāmu risku un neredzamu uzkrātu ievainojamību. Uzņēmumi, kuri apzināti attīsta digitālo higiēnu uzņēmumā, stiprina savu kiberdrošību uzņēmumā, uzlabo datu drošību uzņēmumos un vienlaikus veido uzticību klientu un partneru acīs. Tā kļūst par būtisku elementu gan NIS2 prasību Latvijā izpildē, gan ilgtermiņa kiberrisku pārvaldībā.

Tomēr redzamais digitālais slānis ir tikai daļa no kopējā riska. Sensitīva informācija dzīvo arī papīra arhīvos, līgumu mapēs, vecos cietajos diskos, USB nesējos, lokālās rezerves kopijās un dokumentu apritē ārpus centrālajām sistēmām. Tieši tur bieži saglabājas dati, kuru operacionālā vērtība vairs ir minimāla, bet kaitējuma potenciāls – joprojām augsts.

Tāpēc nākamais loģiskais solis nav vēl viens tehnisks rīks, bet aklo zonu izvērtējums: kur informācija uzņēmumā dzīvo ārpus redzamās kontroles, kādas piekļuves tur ir saglabājušās un kuri nesēji joprojām uztur risku bez biznesa atdeves.

Izmantotie avoti un fakti

Latvijas Republikas Nacionālās kiberdrošības likums,spēkā no 01.09.2024.
Aizsardzības ministrija, Cybersecurity / National Cyber Security Law, informācija par NIS2 ieviešanu, reģistrāciju, kiberdrošības pārvaldnieku un pašvērtējumu termiņiem.
Ministru kabineta noteikumi Nr. 397 “Minimālās kiberdrošības prasības”, pieņemti 25.06.2025.
Directive (EU) 2022/2555 (NIS2) par vadības līdzatbildību un piegādes ķēžu drošību.
European Commission, enforcement and sanctions under EU data protection rules; EDPB SME data protection guide.
ENISA Threat Landscape 2024 un Report on the State of Cybersecurity in the Union 2024.
Verizon, 2025 Data Breach Investigations Report Executive Summary; papildu pētījums “Additional 2025 DBIR research on credential stuffing”.
IBM, Cost of a Data Breach Report 2025; IBM 2024 analīze par biznesa traucējuma ietekmi uz incidenta izmaksām.
APWG, Phishing Activity Trends Report, Q1 2025 un Q4 2025.