Karen K. Burns: küberturbealaseid tegevusi ei tohiks võtta ühekordse projektina

Eesti püsib lääneliku avatud majanduse kursil. Seetõttu tuleb meil silmitsi seista samade ohtude ja riskidega nagu ülejäänud arenenud maailm.

Üks sellistest ohtudest on küberründed, mis pole siiani küll otseselt inimelusid nõudnud, kuid põhjustavad määratut rahalist kahju – kogu maailmas mullu hinnanguliselt 2,5 triljonit eurot.

Pahalaste leidlikkus ja nende relvade arsenal suureneb: iga päevaga levitatakse küberavarustessse tuhandeid uusi koode ja viiruseid. On nii konkreetsetele objektidele suunatud rünnakuid (presidendikandidaatide e-kirjade häkkimine Ameerika Ühendriikides ja Prantsusmaal) kui ka ülemaailmseid puhanguid (Petya / Not Petya). Rivist on suudetud välja lüüa energeetika infrastruktuur ja suured haiglad, pankadest ja börsiettevõtetest rääkimata. Näiteks ettevõtetele miljoneid eurosid kahju põhjustanud WannaCry tüüpi lunavara kasutamine on kasvanud kümneid kordi.

Nagu öeldud, Eesti ei seisa siin muust maailmast eraldi. Massiivsete DDOS-rünnetega meie riigi vastu oleme tuttavad juba pronksiöö ajast ja vaid loetud kuud tagasi sai ulatuslikus üleilmses lunavararünnakus kannatada ka mitu Eesti firmat, neist nähtavaimalt Ehituse ABC, kes pidi mõneks ajaks kõik oma poed klientidele sulgema.

Ja kuna küberkuritegevuse näol on tegu kasvava ohuga, muutub selle ohvriks langemine iga Eesti ettevõtte jaoks paraku iga päevaga üha tõenäolisemaks. Ka neile firmadele, kes arvavad, et nende andmed kurjameid ei huvita või rünnakust põhjustatud kahju on nende jaoks ebaoluline.

Kõige nõrgem lüli on inimene

Sellest, kuidas ettevõtted saaksid end küberrünnaku eest kaitsta, on räägitud palju ja ka siin saab vastutuse võtmine alguse ettevõtte juhtkonna hoiakust. Sageli on kerge ohtudele reageerimist edasi lükata kas või seetõttu, et «meil ei ole midagi juhtunud».

Selline veendumus võib aga tähendada ka seda, et tegelikult ei olda rünnakust lihtsalt teadlikud – keskmiselt läheb organisatsioonil aega tervelt kuus kuud, enne kui saadakse aru, et ettevõte on küberrünnaku sihtmärgiks sattunud.

Samuti võidakse pimesi usaldada emaettevõtet või olemasolevat teenusepakkujat. Kindlasti on paremas seisus ettevõtted, kus on olemas teemale sisuliselt ja põhjalikult lähenevad IT-juhid, kuid kui spetsialisti organisatsiooni sees ei leidu, tasub kindlasti konsulteerida ekspertidega, et organisatsiooni infosüsteemi haavatavamad kohad üle käia ja neile lahendused leida.

Tüüpiliselt peetakse küberkaitse osaks regulaarseid tarkvarauuendusi, andmete varundamist, kasutaja õiguste piiramist ning personali koolitust.

Kõlab lihtsalt, aga tegelikkuses kipub iga infosüsteemi kõige haavatavamaks lüliks olema ikkagi inimene: endiselt jõuab pahavara kõige sagedamini ettevõtte arvutivõrku töötaja avatud e-kirja või külastatud veebilehe kaudu.

Põhjuseks on eelkõige see, et seni, kuni midagi ei ole juhtunud, kipuvad töötajad tööandjapoolsetele piirangutele ja kohustustele tõrksalt reageerima. Olukorda parandab kindlasti see, kui olulisemate sõnumite edastamisse kaasata juhtkonna liikmed, kes näitavad samal ajal isiklikku head eeskuju turvanõuete järgimises.

On kindel, et enamikus organisatsioonidest ei piisa pelgalt käskude ja korralduste teatavaks tegemisest ning tulemuste saavutamiseks on vaja pidevat ja järjekindlat tööd just nimelt inimestega. 

Kui paljudele Eesti ettevõtetele piisab esmatasandi turvataseme saavutamiseks eelnimetatud «hügieeninõuete» järgimisest, siis keerulisema tegevuse, suurema avaliku huvi ning tundlikemate andmetega organisatsioonid peaksid ohu maandamiseks kindlasti kaaluma põhjaliku riskihinnangu, ohuanalüüsi ja tegevusplaani tegemist või looma lausa ettevõttesisese turvakeskuse.

Turvariskiks võib olla ka nutitelefon

Ettevõtted, kellel on ründest rohkem kaotada, peavad muu hulgas teadvustama, et haavatavad ei ole mitte ainult nende kontoris olevad arvutid, rüperaalid ja juhtmed.

Järjest enam kasutatakse tööülesannete täitmisel nutitelefone, mis teevad küll töötamise mugavamaks ja paindlikumaks, kuid ka siin peituvad omad ohud. Näiteks on viimasel ajal välja tulnud hulk pahavara Androidile, mis suudavad kopeerida internetipanga koode ja rakendustesse (Uber, Wolt ja muud sellised) salvestatud krediitkaardiandmeid. Nii võib töötaja töötelefoni kasutades end tahtmatult kahjustada.

Samuti on potentsiaalselt suured turvariskid, millega võib kaasneda nii rahaline kui ka kriminaalvastutus: tundlike andmete transportimine mälupulgal ja nendega töötamine koduarvutis.

Kuidas vähendada küberrünnaku riski?

«Ettevõtete jaoks ei ole tänasel päeval suuremat ohtu kui küberkuritegevus,» on IBMi president Ginni Rometty öelnud. Neis sõnades pole põhjust kahelda.

Kulutused ründe tagajärgede likvideerimisele, tööseisaku tõttu saamata jääv tulu ja ettevõtte mainekahju vähendavad selgelt ja otseselt kasumlikkust.

Räägi palju räägid, et ükski ettevõte ei ole küberrünnaku eest kaitstud ja see võib tabada iga organisatsiooni – paratamatult jääb kõlama sõnum, et ettevõte, kes seab ohtu oma klientide, koostööpartnerite või töötajate andmed, pole piisavalt usaldusväärne ja tõsiseltvõetavuse taastamiseks võib kuluda aastaid.

Võib öelda, et absoluutselt iga ettevõte võib olla valusa küberrünnaku potentsiaalne sihtmärk. Esmatasandi turvalisuse tekitamine nõuab pidevat tööd ja hoolt, kuid selle saavutamiseks piisab paljudel ettevõtetel lihtsate turvalisust suurendavate reeglite väljatöötamisest ja järjepidevast rakendamisest.

Organisatsioonidel, kel on ründe ohvriks sattudes palju kaotada, tasub aga hakata viivitamatult tegutsema nüüdisaegsete turvamehhanismide juurutamisega. Kindlasti ei tohiks küberturbealaseid tegevusi võtta ühekordse projektina.

Ükskõik, kui põhjalik oli IT-turbe audit, ja kui asjakohased selle tulemusel tehtud muudatused – et olla kaitstud, peab küberturbe tegevuskava, sealhulgas protsesside seire ja töötajate koolitus, toimuma pidevalt ja olema osa ettevõtte DNAst.