Autor: Aali Lilleorg • 18. september 2018
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Marvet: ettevõtte juhil Tootsi kombel riskida ei maksa

Ma ei taha soovitada neid lihtsaid asju, et pane tugevam parool, kasuta kahe faktori autentimist, jälgi, et sa pääsed ka firma võrku läbi ainult VPNi jne. See on mõtteviis, et kui sa teeksid selle ühe asja veel ära, kui sa teeksid veel pool harjutust hommikul ära, läheksid kooli nagu Toots, et siis on kõik korras. Ei ole, ütles Äripäeva raadio hommikuprogrammis infoturbe evengelist ja Zone.ee residethäkker Peeter Marvet.

17. septembril Äripäeva raadio hommikuprogrammis intervjueeris Peeter Marvetit Meelis Mandel.

Peeter Marvet
Foto: Andres Haabu

Modereerid ja esined Infoturbe konverentsil „Maksa raha!“. Kui Eesti ettevõtjad niigi ägavad kasvavate tööjõukulude all, kõikvõimalike muude kulude read lähevad üles, siis kui hästi või halvasti Eesti ettevõtjad peavad nüüd hakkama infoturbega tegelema?

Infoturbe konverents "Maksa raha!" toimub 26. septembril. Tutvu programmiga ja pane end kohe kirja SIIN.

Mina lugesin just nädalavahetusel ühte uudist, mis rääkis ühest puidutööstusest, kes selleks, et tulla toime kasvavate tööjõukuludega, teeb kahte asja. Üks on see, et toob Ukrainast renditööjõudu ja teine on see, et automatiseerib rohkem tootmist. Ma ei oska öelda, kuidas turva poole pealt Ukrainast tööjõu toomine mõjutab ettevõtte tööd, aga sellel hetkel, kui hakatakse panustama sellesse, et suur osa ärist on seotud infotehnoloogiaga, siis seal võib midagi tõenäoliselt nihu minna ja hoopis teistmoodi, kui sa siiamaani harjutud. Investeerimisplaani me ehitame midagi teisiti üles, teeme uut Uberit või paneme oma tehase efektiivsemalt tööle ja sinna tuleb paraku panna sisse ka turvarida.

Kui teadlikud Eesti ettevõtjad infoturbest üldse on?

Ausalt öeldes, ma tunnistan, et minu arust liiga väheteadlikud. Ja see on ka tegelikult põhjus, miks meie seekordne infoturbe konverents, juba ka eelmise aasta oma, on olnud sellised, et me ei ole proovinud rääkida IT-inimesele. Me olemegi proovinud rääkida ettevõtte juhile või ka siis mingisugusele sellisele spetsialisti tasemele. Seoses andmekaitse üldmäärusega näiteks ka andmekaitsespetsialistidele, kes puutuvad kokku sellega, et nad mingil põhjusel peaksid infoturvet rakendama. Ja seda teadlikkuse taset on raske mõõta. Meil on võimalik mõõta mingeid intsidente, et midagi on toimunud ja siis maksa raha teemal võime mõelda krüptolunavara, kus pealiku nimel on saadetud kirju, kus öeldakse, et tee maksekorraldus ära või süsteemide ehitamise poolt, kus peaks saama aru, millest tegelikult need IT-omad räägivad, miks me peaksime midagi tegema.

Juhtus just kuu aega tagasi ühe tuntud ehituskaubandusettevõttega FEB, et ühel päeval oli ukse pealkiri, et kingsepatöökoda suletud, avatakse esmaspäeval. Ja kuidas me seda nüüd pidulikumalt tehnilisemat nimetaksime? Võiks öelda, et realiseerus infoturbealane risk ehk et süsteem oli ehitatud, oli nähtud ette, et võib-olla on mingid varukoopiad. Me ei tea juhtunust praegu midagi lähemat, aga ühel hetkel siis midagi juhtus. Kas see oli siis nüüd, nagu on spekuleeritud lunavara ehk andmed krüpti ära, võib-olla lihtsalt juhtus midagi mingi süsteemiga, mille taastamine ei õnnestunud – need on stsenaariumid, mis võib tegelikult nihu minna, kui sul on suurettevõte, mille infosüsteemid on arenenud aastaid. Me oleme need tellinud, ärinõuded on muutunud, me oleme sinna midagi juurde ehitanud - neid riske on hulgim. Sellepärast me räägimegi juhtunutest.

Alustuseks räägib Infoturbe konverentsil Kieren Lowell, kes on muuhulgas Cambridge'i mitte Cambridge Analyticu, vaid Cambridge'i ülikooli taustaga väga väga lahe rääkija ja omab just äripoole ülevaadet asjadest. Ta ei lähe väga tehnilistesse detailidesse, nagu vahest mina kipun minema, vaid räägib, et mis on nende tegevuste äriline dimensioon ja me vaatame just suuremaid organisatsioone nagu tema Cambridge'i ülikooli tausta poole pealt. Mina vaatan just ettevõte infovõrgu või infosüsteemide siseehitust, mida mina oma tausta poole pealt olen erinevates ettevõtetes kogenud ja näitan, mis on selle probleemid ja kus tegelikult on jäetud õigel ajal mõtlemata.

Millised on peamised vead, mida ettevõtjad teevad? Kas see on see kui lased uksest sisse võõrad inimesed, mida nad seal saavad teha ja uksest sisse nii füüsiliselt kui virtuaalselt?

Suurim probleem on see, et me, harilikult kujutame arvutit ette niimoodi nagu meie logime arvutisse sisse, minu käest küsiti parooli ja nüüd see nagu minu infosüsteem. Me ei mõtle seda, et mida teised saavad selle samaga teha. Minu poolt kõige õudusttekitavam asi, mida ma näen erinevates kohtades, kui ma olen sattunud ettevõttega kokku on see, et reaalselt on paroolid kujul ettevõtte nimi ja aasta number või töötaja ees- ja perekonnanime esimesed tähed ja aastanumber, millal ta tööle võeti. Ja kohati on need admin tasemel kasutajad. On olemas tulemüür, on olemas VPN, et sinna turvaliselt sisse pääseda, aga ka selle parool on täpselt samasugune. Ehk et me oleme teinud mingisuguse tükikese nagu sellest harjutusest ära, midagi oleme teinud - paroolid on olemas, aga nad on nõrgad, tulemüür on olemas, VPN on olemas, aga selle parool on selline, mida kõik teavad, st see on nagu seina peal tahvlil.

Suurimaks probleemiks on see, et turvalisust käsitletakse nagu asja, et me saame osta ühe toote juurde ja sellega seoses muutub meie süsteem nüüd turvaliseks. Et meil oli see probleem, paneme ühe tulemüüri või paneme ühe antiviiruse, aga turvalisus on rohkem nagu süsteem või protsess ehk see peab olema ettevõttes samuti sees. See on nagu kultuur, millest lähtub sinu tootmine või sisekultuur või firma brändid ja kõik muud asjad, see tähendab et turvalisus on samasugune asi, sellest peab aru saama ja see peab olema ettevõtte olemuses sees, et seda juhtida. Sellepärast me räägime infoturbe konverentsil konkreetsetest näidetest ja vaatame neid lugusid, mis on kusagil juhtunud.

Meil on paneel, kus me mängime läbi telemänguformaadis olukorra, kus võtame strateegiamängust kaardi, kus on kirjas tekkinud olukord, kuidas kirjeldaksite seda riskina, kuidas oleks selle maandamise võimalus olnud.

Küsimus ongi selles, et kuidas me suudaksime neid kõiki infoga seotud riske vältida. Me räägime infoturbest, mis seostub paljude jaoks sõnaga IT, infosüsteemid. Me ei taha seda võtta niimoodi, sest kõik riskid on seotud sinu äriga, sinu organisatsiooniga ja kogu selle infoga, mida sa kasutad selle jaoks, mis su ümber pöörleb. Enamus nendest riskidest ongi sageli realiseerunud läbi kas inimeste või siis katmata aladega.

Sa mainisid ennist, et on olemas tahtlik rünne ja teinekord võivad lihtsalt süsteemide uppi minna. Kui räägime tahtlikkusest ehk nii-öelda lunarahanõuetest, siis kuidas sa ise tajud, kas need ründed on intensiivistunud?

Hetkel tundub, et suurem laine on möödas. Mingil hetkel oli see ikka väga populaarne. Praegu on küll kuidagi rahulikum hetk, aga see näitab lihtsalt seda, et nähtavasti on harjutud rohkem sellega toime tulema ja raha võetakse välja kusagilt mujalt. Ehk siis lunavara on selline asi, kus sa pead suutma selle infosüsteemi üle võtta ja siis saama raha kätte ja nii edasi. Aga siis, kui sa juba sinna sisse saad, siis äkki sul on teisi võimalusi seda raha sealt kätte saada.

Väga huvitav küberkuriteo formaat on see, kus istutakse ühe kas sinu või sinu äripartneri postkastis, oodatakse arve saatmise hetke ja siis vahetatakse arve hopsti ümber teise arve vastu. See on nagu reaalne asi millega ma tean, et ettevõtted saavad ikka ja jälle nii-öelda vastu pükse. Ja see kõik hakkab pihta sellest, et kõik inimesed majas peavad teadma. Aga kust hakkab pihta see, et inimesed majas saavad teada. See hakkab pihta ülevalt otsast. Kui IT-poiss ütleb, et kuulge, olge nüüd turvalisemad, et mul oleks vaja nagu lisaraha, mis on kulukuluelement. Juhatuse tasemel on vaja aru saada riski rahalise mõõtmise hindamisest.

Ärme paneme sisse mingisugused suvalisi numbreid. Mõtleme, et tase üks on see, et kui kanname maha ja who cares. Järgmine tase on selline, et tunneme mingisuguse kuu käivet vaadates või midagi muud sellist, et kui peaks juba hakkama koosolekut pidama, et rääkida. Kolmas-neljas tase on juhtum, mis on sellise tasemega infoturbe riski realiseerumine, et pillid tuleb kokku panna.

Millised on paar-kolm soovitust ettevõtte juhtidele, et mida tuleks teha, peale parooli vahetamise?

Meil on põhimõtteliselt on tulemas 26. septembril Infoturbe konverents. Ma arvan, et sinna kohale tulemine ja äritasemele mõeldud jutu kuulamine oleks oluliselt tähtsam. Ma ei taha soovitada neid lihtsaid asju, et pane tugevam parool, kasuta kahe faktori autentimist, jälgi, et sa pääsed ka firma võrku läbi ainult VPNi, mis on ainult väga korralikult turvatud, et sul on olemas mingisugused füüsilised, teise faktor autentimised. Igaüks neist on mingisugune üks lahendus ja kui su mõtteviis on see, et kui sa teeksid selle ühe asja veel ära, kui sa teeksid veel pool harjutust hommikul ära, läheksid kooli nagu Toots, et siis on kõik korras. Ei, ei ole. See küsimus ongi selline holistiline, et meil on vaja turvalisusele leida selline holistiline lahendus, kus me nagu tunnetame, et me oleme seal sees. Kujuta ette niisugust nagu turvalisuse teenust, nagu joogatundi, kus kõik hingavad ühel tasemel. Just see on tegelikult vajalik.

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755