COOP: turvalisus on äririsk ja viirusetõrjest tänapäeval enam ei piisa

Coop Eesti Keskühistu IT direktor Kaspar Hioväin
Coop Eesti Keskühistu IT direktor Kaspar Hioväin

Kui tellimiskeskus kaks päeva ei tööta küberrünnaku tõttu, pood on suletud või kliendiandmed satuvad võõraste inimeste kätte halva küberhügieeni tõttu ja ettevõtte suurt kahju kannatab, siis on see äririsk ja selle ärahoidmise eest vastutab juht. Maailmas on viimasel ajal näiteid nii palju, et ei ole väga raske kedagi veenda, et andmekadu on risk. Kuidas Coop Eestis äri- ja infoturbe juhtimisega tegeletakse ning milliseid praktikaid rakendatakse, sellest rääkis ITuudistele antud intervjuus IT direktor Kaspar Hioväin.

Kuidas Coop'is äri ja IT suhe on?

IT ei ole asi iseenese jaoks. Äri on mujal ja IT peab tegelikult seda toetama, mis tähendab seda, et ei ole olemas IT-projekti, vaid on olemas äriprojekt, kus IT toetab. Meie oleme jõudnud välja selleni, et igal projektil on 2 projektijuhti, üks on IT poole pealt ja teine on äri poole pealt. Siis tulevad asjad välja. Kui IT võtab vedaja rolli ja hakkab ise tegema, siis äri ei pruugi sellega lõpuks rahul olla. Äri poole peab olema selge vajadus ja siis mina IT poole pealt võtan asja töösse. Äri teeb otsuseid, mida on vaja ja milline lahendus valida. Samamoodi ei ole IT-l vaja viirusetõrjet, turvalisus on äririsk.

Kui näiteks tellimiskeskus ei tööta kaks päeva, siis kui suur kahju sellest tekib? Hullem veel kui mõni pood ei tööta. Piisab ühest krüptoviirusest ja pood on suletud – see on äririsk.

Kui ettevõttes eelarvet üle vaadatakse ja seal suured kulutused IT-turvalisusele küsimusi tekitavad, siis võib lihtsalt mõelda selle peale, aga et mis siis saab kui pool kontorit ei saa tööd teha 1 või 2 päeva. IT-poistele ikka meeldib arvuteid parandada ja viirusi tõrjuda, aga kannatab äri ja kahju ära hoidmiseks tuleb rakendada ennetavaid vastumeetmeid.

Kui ettevõtte põhiäri ei ole IT, siis ei saa ka IT olla põhivedaja. IT ei tohiks hakata äriotsuseid tegema. IT tehniline roll järjest ju hääbub, sest pilveteenuste ja lahendustega ei pea majas IT-d olema. On ainult CEO või CTO, kes teab millised on tehnilised võimalused ja kus neid saab realiseerida.

IT tuleb selgelt panna ärikeelde ja vaadata kus me siis võidame. Kui küsimus on IT kulutustes, siis on kolm võimalust: 1) kui palju sa teenid, 2) kui palju hoiad kokku ja 3) või kui palju võimalikult ära hoiad kahju. Kolmandal juhul tuleb mõelda, et kus läheb piir, sest turvalisust lõpuni ju ei maanda, inimfaktor jääb ikka sisse.  Kui palju on mõistlik kulutada? See on nagu kindlustusega, et kui palju on mõistlik kulutada, kus tuleb see piir, et enam ei ole mõtet.

Te korraldasite oma ettevõtte juhtkonnale küberhügieeni koolituse. Kuidas sellega läks?

IT hügieeni loeng juhtkonnale kestis 2 tundi ja see viidi läbi justnimelt ärikeeles. Oluline on välja tuua riskid, et kuidas käituda infokeskkonnas, alates sellest kuidas oma läpakat hoida ja millisesse võrku arvutiga tohiks minna ja kuhu võrku ei tohiks telefoniga minna, näiteks millised on riskid selle juures ja mis võib juhtuda. Tegime sama asja ka meie nõukogule. See pani inimesi mõtlema. Kui ikka räägitakse üle, et mis on maailmas juhtunud, miks juhtuvad ja mida teha selleks, et ära hoida.

Varem oli nii, et igas asutuses oli oma administraator ja sai ikka ise kõik teha. Me korraldasime selle ümber. Jällegi sellepärast, et me mitte ei usalda töötajaid, vaid tahtsime nende elu lihtsamaks teha.

Kui kergelt tuli arusaamine, et ettevõttes on infoturbe või küberhügieeni alast koolitust on vaja?

Maailmas on viimasel ajal näiteid nii palju, et ei ole väga raske veenda, et seda vaja oleks. Andmekadu on risk. Kui ikka läpakas kaduma läheb ja sul on seal info hinnakirjade ja klientidega, siis see ei ole IT risk, siis see on mainerisk ja ärikahju. See ei ole mitte tehniline jutt, vaid see, kuidas igapäevaelus käituda. Igas ettevõttes on neid kohti, mille abil saab välja tuua näiteid mis võib juhtuda. Näiteks, kui ostujuht läheb kuskile ja läpakas varastatakse ära ning see on krüpteerimata või kui läheb kuskile võrku ja saab viiruse. Siis hakkavad inimesed mõtlema sellel peale.

See koolitus tegi mõnele nalja ja pani ikka mõtlema.

Milliseid muutusi Sa tähele panid pärast selle koolituse toimumist?

Mälupulkasid enam ei hoita kusagil riiulis ja igat asja ei topita oma arvutisse. Esimene koht oli see, kui öeldi, et kuule näe, mul on mälupulk, vaadake üle.

Pärast seda oli lihtsam rääkida, et meil on vaja investeerida, sest ainult viirusetõrje tänapäeval ei aita enam. Krüptoviirus on siin hea näide. Seda viirust on viirusetõrje tarkvaral väga raske avastada. Paljudel juhtudel levis see Exceli või Wordi makro kaudu, kus kasutaja sisuliselt ise andis loa oma arvuti sisu ära krüpteerida. Sealt edasi läksime Security Software teenuse peale, kus nemad reaalselt ka monitoorivad, et kas kusagil käib kahtlane tegevus. Eelmisel aastal oli ka juhtumeid kui selle monitoorimise tulemusel nad tuvastati olukord, kus üle partneri võrgu sai üks arvuti omale külge krüptoviiruse ja me suutsime selle avastada ikka kiiresti. Mul ei ole meeskonnas eraldi turvaeksperte, kes istuks ja monitooriks. Varem oli nii, et kui viirus leiti, siis võeti kinni ja kui ei võetud kinni, siis sai masin selle viiruse ja kui kasutaja teatas sellest, siis me puhastasime selle. Aga tänapäeval lähevad asjad kohe mööda ettevõtet laiali ja hakkavad tööd segama, siis ei saa loota, et mul on viirusetõrje ja ma olen kaitstud.

Kas viirusetõrjest tänapäeval enam ei piisa?

Ega ikka ei piisa küll ja ega pole kunagi olnud. Viirus tuleb ikka alati enne välja kui kaitsemeede. Nüüd on ikka hullemaks läinud.

Kahtlase sisuga kirju saadetakse tuttava nimega meiliaadressilt. Piisab kui kuskil on meiliaadress, mis on rändama läinud ja sellega on ju nii lihtne petta. Inimesed on ikka ettevaatlikumaks läinud, vahel saan ühistu juhtidelt ikka kirju palvega, et vaata üle mis kahtlane asi see on. Enam ei minda uudishimust vaatama.

Millised olid üllatusmomendid, mis sellel koolitusel tekkisid?

Üllatusi oli küll, et mis võib juhtuda. Näiteks, et mis võib juhtuda kui jätad oma läpaka kuskile hotelli lihtsalt tööle. Peale koolitust ma ise ka hakkasin läpakat hotellis rohkem panema seifi kui ma seda varem tegin.

Sellest on ka hakatud aru saama, et välismaal viibides on turvalisem kasutada andmesidet ja mitte esimest ettejuhtuvat Wifi võrku. See käib nii kergesti, kui postkasti parool läheb jalutama ja meilid on liikvel.

Üllatusi tekitab ka see kui lihtne kõik on ja kui lihtne on eksida.

Kuidas on paroolidega?

Eks inimese seisukohast on õudne tüütus on neid vahetada kogu aeg. Paroolidega oli meil mitu evolutsioonilist astet. Me alustasime sellest, et ei ole administraatori kontosid. Mul üks vana kolleeg ja IT-töötaja ütles, et aga mis mul võtta on. Tegelikult on ikka küll võtta. Esimene suur võitlus oli meil sellega, et võtsime inimestelt ära administraatori õigused. See peab tagama ka selle, et IT peab olema suuteline kasutajaid kohe teenindama – ei saa öelda, et mul ei ole aega tulla su juurde.

Esimene samm oli meil see, et keerasime õigused kinni kasutajatel ja teine see, et nõuame perioodiliselt paroolide vahetust sunniviisiliselt ja parooli ei saa vahetamata jätta. Ja kontod lähevad lukku kui parooliga on mitu korda eksitud.

Seda aitab inimestele selgitada see, et kui keegi teine teie kontoga midagi teeb ja seda hakatakse lähemalt uurima, siis tuleb tõestada, et see ei olnud sina, sest sinu kontoga ju käidi.

Ikka tuleb välja juhtumeid, et tuleb uus töötaja, kes kasutab vana töötaja kontot ja siis vabandatakse, et ei olnud aega teavitada. Selliseid olukordi ei peagi keerulises IT-keeles rääkima, vaid et kui keegi sinu kontoga midagi teeb, siis süüdi oled sina. Me ju ei tea kes tegi ja me arvame, et sina tegid. Kui oma paroole ei jaga, siis selliseid asju juhtuda ei saa.

Kas teil on ka mingid jälgimissüsteemid ja sanktsioonid kasutusel?

Kui on nii, et mingi juhus on tulnud välja, et on uus töötaja ja on vaja kiiresti üle võtta asi ja erinevaid muid vabandusi, mis räägitakse, siis oleme teinud nii, et oleme pannud konto lukku ja räägime inimesega üle, et miks nii selle põhjustas ja kuidas oleks õige käituda. Selliseid asju tuleb ette hooletusest ja lohakusest, mitte otsest vajadusest.

Oleme kasutusele võtnud infosüsteemide võrgu korralduse, kus on ära toodud ka õigused ja kohustused ja seal on kirjas, mida tohib ja mida ei tohi teha – paroole ei tohi jagada. Siin aitab ka hambaharja näide, et hea parool on nagu hambahari, et ainult ise kasutad ja tihti vahetad.

Kolmas asi, mida kasutame on kontode audit, mille raames käime üle töötajate nimekirjad ja kontrollime kas on kõik kontod kinni pandud. Seda teeme ka üle grupiliselt, sest meil on grupis iga ühistu omaette ettevõte või keha, kus on oma IT. Meil on palju kesksüsteeme, kus teeme inimestele õigusi ja see info tahes või tahtmata liigub, sest inimeste lahkumisest ei jõua info alati IT-ni ja seetõttu teeme aeg-ajalt kontode auditeid, et kõik üle kontrollida. Meil on kliendihalduskeskkonnad ja tootehalduskeskkonnad. Sellest on aru saadud, info tuleb meile kiiresti tagasi ja nii saame kiiresti korrektuuri teha, tahame hoiduda sellest, et inimene läheb mujale ja tal jäävad alles õigused meie süsteeme kasutada.

Milline on olnud infoturbe alal üks karmimaid ja valusamaid õppetunde?

Me oleme siiamaani kergelt pääsenud ja ühtegi tõsist turvaintsidenti meil ei ole olnud. Eluline näide on meil selline, kus krüptoviiruse oma arvutisse sai ettevõttes ajaloolane, kes peab muuseumi. Ta kirjutas raamatut meie ajaloost, toimetas rohkem omaette, infoturbe alaselt oli veidi kahe silma vahele jäänud ja nii saigi ta krüptoviiruse, mille tulemusel mitme kuu töö krüpteeriti. Seda ei saanudki taastada, sest materjal oli lokaalses masinas, back-up’e ei olnud ja läinud see oligi.

Meil ei ole rohkem selliseid suuremaid juhtumeid olnud. Pigem näiteid enda varasemast kogemusest, kus ma olen saanud oma arvutisse viiruse rumalal viisil külla tulnud sõbra arvutimure lahendades ja hooletult mälupulka kasutades. See on näide, et hoolimata sellest, et tunned valdkonda, siis on ikka väga lihtne eksida.

Seega nõustud väitega, et ükskord see juhtub niikuinii?

Jah, küsimus on ainult selles, et kui hästi oled ettevalmistunud ja kui hästi suudad selle ära hoida. Kui on näha, et kusagil hakkab midagi toimuma, siis tuleb arvuti ära isoleerida koheselt ja aru saada, et mis tegelikult toimub.

Krüptoviirusega oli meil siiski üks juhtum, kus üks terminalserver mida kasutatakse meie poodides, kus jooksis ka meie kaubanduse tarkvara, sai pihta, süsteem oli maas ja tekkis töötakistus. Selle tulemusel ei saanud teha poe tellimust. See on lihtne näide kuidas ei olnudki palju vaja, et midagi juhtuks. Asi sai alguse sellest, et üks kasutaja luges samas keskkonnas oma meile, klikkis valel lingil ja nii see juhtus. Esimene häire tuli meile, et me ei saa printida. See tuligi sellest, et sellel kasutajal olid õigused võrguketastele ja need said ka kohe pihta. Pidime hakkama taastama.

Kui midagi juhtub, siis teeme sellest omad järeldused ja nii tekib ka protseduur. Esimene asi on see, et isoleerime, siis hakkame uurima, et kuhu levis. Väga palju on ikka sellist, et juhtub ikka see, mida oodata ei oska ja IT-maailmas juhtub pigem öösiti.

Kaupluste mõttes on see ju pigem hea, sest öösel on need ju suletud?

Aga meil on ka ju logistikakeskus, mis töötab 24/7 väga kiire ja väga täpse protsessiga. Seal iga tunni pikkune katkestus on juba kohutav kulu, mida ei saa me endale lubada. Väga lihtne näide on see, kui hommikul kell 10 kuni pool 11 ei suuda välja saata oma piima tellimusi, siis see päev on Eestis 350 poodi ilma piima. Kui see hetk midagi peaks juhtuma, mis halvab ära ühe üksuse töö, siis tulemus on maainimesele nähtav kohe.

Mis Su enda kõige suuremad hirmud on seoses küberturvalisusega?

Mul on üks paranoia, millega ma oma IT haldusjuhiga vaidlen, et mul on tunne, et meil kuskil on midagi sees, mida me ei tea. Äkki kuskil ikka midagi lekib, mida me lihtsalt ei tea.

Kuidas Sa selle hirmuga hakkama saad ja kuidas oma juhile seda kurdad?

Ma juhile seda ei kurda, pigem räägin alluvatele, et nad oleksid tähelepanelikumad asjade juures. Mulle on meelde jäänud fakt, et andmeleke avastatakse välise partneri pool lausa 70% juhtudel ja poolteist aastat hiljem. See tekitabki hirmu, et kuskil juba midagi on. Meie loojaalsusprogrammi raames on meil üle 500 000 säästukaardi, mis on pool Eesti elanikkonda ja seda küll ei taha, et see võiks kusagile lekkida.

Kuidas läheb uue andmekaitsemääruse jõustumiseks ettevalmistumine?

See ei ole ju midagi uut, sest määrus on kehtinud kogu aeg, nüüd lihtsalt on läinud natuke karmimaks. See nõuab nüüd selgemaid, kirja pandud protsesse ja reegleid kuni lepinguteni välja. Varem oli lihtsalt see seadus pehmem, isikuandmed on alati konfidentsiaalsed olnud.

Keegi ju tegelikult väga täpselt ei tea, mis seoses selle määruse jõustumisega juhtuma hakkab. Kaasused veel puuduvad. Me ise töötame koostöös partneritega välja olukorra hindamise küsimustikku, mis aitab aru saada töötaja käsutuses olevate andmete olemasolust ja ligipääsudest. Sellest me saame hakata edasi liikuma, et kes saab ise hakkama ja keda tuleb aidata. Majas sees ka kaardistasime asjad üle. See projekt on koostöös IT projektijuhi ja juristi vahel.

Klientide õigust oma andmeid ühest ettevõttest kätte saada vaevalt nii väga vaja on, aga kindlasti on neid, kes seda tahavad proovida ja siis peab olema selge, et mis teha tuleb.  

Milline oleks Sinu unistus küberturvalisusega seoses?

Kui mõelda 10 aastat tagasi toimunud küberrünnakutele, siis ma arvan, et vaevalt, et see viimane oli, neid tuleb veel ja tuleb hullemaid. Mina unistan sellest, et seda veel niipea ei tuleks. Ja see võib olla ka pahase konkurendi poolt halb kavatsus.

Mida Sinu arvates ärijuht peaks infoturbest teadma? Mis on kõige olulisem?

Ärijuht peaks oskama ära hinnata ohtlikud kohad, kus äris tekib kahju kui mingi asi seisab, kui palju tekib kahju ja kui palju on ta valmis panustama, et seda enam ei juhtuks. Las siis spetsialistid tegelevad sellega, et kuidas ära hoida.

Osale arutelus

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

OG ELEKTRA AS otsib IT KASUTAJATOE KONSULTANTI

OG Elektra AS

29. detsember 2018

Arvamused

Teabevara