Autor: Äripäeva eriprojektide ja sisuturunduse üksus: [email protected] • 29. märts 2021

Küberhügieeni kohta otsitakse vastuseid internetist, tellitakse koolitusi, uuendatakse süsteeme. Miks see kõik vajalik on?

Tänapäevane elu on ka muidu liikunud suuresti internetti, kuid viimane aasta on paljude jaoks veedetud tervenisti arvuti taga. Kogu suhtlus maailmaga on virtuaalne, sealhulgas töö, kool ja poes käimine.

See tähendab, et küberrünnakute potentsiaalseid ohvreid on rohkem kui kunagi varem ja ka seda, et inimesed peavad oma küberhügieeni eest varasemast rohkem hoolitsema. Selle kõige eeldus on aga, et inimesed teavad, mida peaks tegema ja millele tähelepanu pöörama.

Mis siis ikkagi juhtub?

Riigi Infosüsteemi Ameti (RIA) aastaraamatu järgi teatati 2020. aastal Eestis 22 896 küberintsidentist ja 2019. aastal oli see näitaja 24 369. Trend ei ole languses, aga olukord on stabiliseerumas. 2018 oli juhtumeid 17 440.

Euroopa Liidu küberturvalisuse amet ja Interpol on mõlemad märganud küberrünnete kasvu seoses koroonaviiruse levikuga. Me ei tea, mis on tegelikult rünnakute numbrid, sest kõike ei raporteerita ja paljud ei pane tähelegi, kui nad järjekordse õngitsuskirja prügikasti saadavad.

Siinkohal ongi oluline see, et hinnanguliselt 80–90% edukatest küberrünnetest saavad abi sihtmärgilt või sihtmärgi töötajalt, peamiselt küll kogemata. Seega võiks järeldada, et enamiku rünnetest annab ära hoida.

Küberrünnete kohta on tihti küsimus: miks keegi peaks mind ründama? Vastuseid on palju, kuid potentsiaalselt sobivad kõik, nii noored kui ka vanad. Rünnatakse rahalistel eesmärkidel, et saada pangakaartide infot, varastada andmeid ja neid müüa, või isegi otseselt raha küsides.

Samas võidakse tahta ka kahju teha, kasvõi nalja pärast, levitada isiklikku infot või intellektuaalset omandit. Samuti võib motivatsiooniks olla soov ohvri arvutit ära kasutada, et sealtkaudu edasi rünnata, mis arvutiomanikule võib tähendada sekeldusi politseiga.

Ründajad võivad olla naljahambad, professionaalid või isegi riigid. Kõik võivad olla sihtmärgid ja firmade töötajad on seda enam – nii eraisikuna kui ka töötajana.

Miks koolitada tavatöötajaid?

Paljud firmad, nagu inimesed laiemalt, ei tunne, et nemad võiksid ohvrid olla või usuvad, et nende süsteemid on juba piisavalt head. Kui kellelgi on segadus, siis võib ju leida internetist materjale ja ennast harida. Kui lisada juurde, et firmades võib olla mitu tuhat töötajat, siis tundub koolituskulu üüratu.

Tegelikkus on aga see, et iga asutus soovib, et nende andmed ja info oleks kaitstud ja tavatöötaja on küberkaitse esimene liin, sest palju probleeme tuleb kahest asjast: ettevaatamatus ja soov vastu tulla.

Paljud lunavara ja pahavara juhtumid saavad alguse kogemata vale lingi või faili avamisest, mõnikord saadetakse välja vale kiri. See on kõik ettevaatamatus ja seda annab parandada.

Esiteks ei tohi töökorraldus olla liiga stressirikas, aga töötaja peab ka teadma, millele tähelepanu pöörata. Kuidas eristada õngitsuskirja päris murekirjast või kuidas kontrollida erinevaid linke? Paljud ei mõtle, et iga info jagamine, iga hiireklõps ja iga tegevus arvutis jätab jälje ja on potentsiaalne oht. Selleks on abiks elulised näited, mis on seotud töötaja enda kogemuse ja tööga ja seda infot saab tavaliselt vaid koolitustelt.

Teiseks tasub meeles pidada, et inimesed tahavad head. Kliendi küsimustele püütakse vastata, kolleegile vastu tulla ja kõiki aidata. See tähendab, et kergesti võib langeda õngitsuskirja ohvriks, millega üritatakse asutuse infot saada või midagi andmetes muuta. Ka siin on vajalik töötajaid koolitada ja ette valmistada, et seda olukorda vältida.

Miks koolitada IT-töötajaid?

Tavaline küberkaitse on kõigi mure, aga asutuse IT-töötajad peavad sellele mõtlema rohkem ja mitme nurga alt. Levib arvamus, et sellise ametiga inimesed ei vaja lisainfot, kuid kogemus näitab, et ka IT-spetsialistid vajavad küberhügieenis abi, kasvõi sel puhul, kuidas mõelda nagu tavakasutaja.

Süsteemiadministraatorite, infoturbe nõunike ja teiste sarnaste töötajate jaoks on tihti vajalik spetsiaalne koolitus, mis keskendub nende tööülesannetele ja süsteemsete probleemide lahendamisele. Näiteks kuidas teha nii, et vaid telefonikõne peale ei muudeta süsteemis kliendi kontaktandmeid, kuigi ta väga palub ja tal pole dokumente käepärast. Vastus peitub süsteemi lukustamises nii, et ei olegi võimalik muudatusi teha, kui pole piisavalt andmeid.

Tihti pole ka mõeldud spetsiifilistele ohtudele, näiteks sellele, kuidas kodulehel on lubatud kontrollimata automaatne suunamine või sisse logimise kasti on võimalik kirjutada koodi ja sellega veebilehele sisse pääseda. Selliseid asju IT-juht ise ei oska leida ega oska ka mõelda neile.

Selleks on vajalik koolitus, et leida potentsiaalsed ohud ja võimalusel tellida ka testimine. Paljuski töötavadki sellised koolitused koos turvatestimisega. Lisapaar silmi ja uued teadmised annavad ka turbejuhtidele uusi mõtteid.

Juhtkonna koolitus

Iga asutuse juhtkond ja suurema firma puhul ka keskastmejuhid peaksid saama eraldi lisakoolitust. Loogiline on, et juhid omavad ülevaadet toimuvast ja ka põhiteadmisi küberhügieenist, kuid juhtkonna eraldi koolitamisel on ka mitu muud põhjust

Esiteks tehakse mitme firma küberkaitse otsused juhtkonnas ja neil peab olema selge arusaam, mis on olulisemad trendid valdkonnas ja teistes sarnastes asutustes. Sama oluline on aga see, et juhtkond on ka märkimisväärne sihtmärk. Õngitsusründed on väga levinud, aga tähtsad inimesed saavad neid teistest rohkem ja need on tihti paremini koostatud. Ka nende ära tundmiseks on vajalik asjatundjatega arutada ning luua süsteem enda kaitsmiseks. Vastavalt osalejatele tellitud koolitus annab ka täpse ülevaate, et mida peaks tegema, et asutust kaitsta.

Kokkuvõte

Küberhügieeni ja -kaitse teemalisi koolitusi on turul aina enam ja need on loodud erinevatele vajadustele. Seega on oluline tutvuda pakkumistega, küsida lisaküsimusi ning kasutada ka ekspertide abi, et just õige lahendus leida.

Kolm näidislugu päris elust:

* Briti luureagentuuri M16 juhi naine ja puhkusepildid Facebookis

Ära postita kõike sotsiaalmeediasse! 2009. aastal valitud Briti luureagentuuri MI6 uus juht Sir John Sawers sai oma ametist lahti veel enne tööle asumist, kirjutas Daily Mail. Põhjus oli väga moodne, tema naise Facebooki konto oli kõigile avalik ja seal oli kirjas info perekonna elukoha, laste ja sugulaste kohta. Muu hulgas olid üleval puhkusepildid ja terve internet sai teada, et vastsele direktorile sobivad hästi triibulised ujumispüsid. Selgus ka, et tuntud Holokausti eitaja David Irving on valitud juhi sugulane ja see ei sobinud hästi uue ametiga. Seega pidi MI6 uue juhi leidma.

* Häkker muukis sisse LinkedIni ja selle töötaja kaudu ka tuhandete teiste inimeste andmetesse

Ära kasuta parooli mitmes kohas! 2012. aastal häkiti sisse LinkedIni, kasutades LinkedInist leitud nende enda töötaja infot. Tema kaudu saadi juurdepääs tuhandete inimeste andmetele, kellest üks oli Dropboxi töötaja. Neid andmeid kasutati Dropboxi sisse saamiseks, kust omakorda liiguti edasi. Üks olulisemaid asju, mis häkkerit aitas, oli see, et inimesed kasutasid mitmel pool sama parooli ja kui see oli ühest kohast lekkinud, oli edasi juba lihtsam, logi vaid sisse.

* Häkkimine, andmeleke ja lunarahanõuded viisid Soome erakliiniku pankrotti

2020. aastal häkiti Soomes sisse erakliinik Vastaamo patsientide andmebaasi. Tegemist oli sensitiivsete andmetega, sest tegemist oli vaimse tervise kliinikuga. Häkkerid võtsid patsientidega ühendust ja alustasid väljapressimist: kas maksad või paneme info internetti. Lõpuks jõudis suur osa infost interneti mustale turule ja Vastaamo kuulutas selle aasta alguses välja pankroti, sest häkkimise tagajärjel tekkinud kulud ületasid keskuse varasid juba mitmekordselt.