Autor: Äripäeva eriprojektide toimetus • 29. märts 2021

Kumba küberrünnakut soovite? Üks näitab vead ja turvaaugud, teine teeb ettevõte tühjaks

Tavaliselt on ettevõttel kaks võimalust sattuda küberrünnaku alla: ühel juhul antakse nõu, mis on firma ITs valesti, teisel juhul tehakse ettevõte lihtsalt tühjaks, kinnitab KPMG küberturvalisuse valdkonna juht Mihkel Kukk.

KPMG küberturvalisuse valdkonna juht Mihkel Kukk.
Autor: KPMG Baltics

Keskmiselt ulatub tuvastusperiood tema sõnul lausa aastani, mil ettevõte saab lõpuks aru, et oi-oi, keegi on meil siin sees käinud. Aastaga suudaks enamuse ettevõtteid üsna paljaks varastada, sõnab Kukk.

Järgneb intervjuu Mihkel Kukega:

Kui suur on KPMG küberturvalisuse üksus ning mis on see teenus, mida osutate?

Pakume rohkem tehnilisema poole IT-teenuseid, ründava suunitlusega: erinevad läbistustestid, veebirakenduste ja veebikeskkondade häkkimine, asutuste võrkude häkkimine, kalastuskampaaniate tegemine. Kuni sinnani, kus põhimõtteliselt kõik rünnakutüübid ettevõtte pihta on lubatud.

Mihkel Kukk
Hetkel on meeskonna suuruseks umbes 30 inimest ning tegeleme aktiivselt värbamisega ning meeskonna kasvatamisega.

Aeg-ajalt on meil ka intsidentide lahendamise case'id, kus on vaja analüüsida, mis juhtus ja miks juhtus. Hetkel on meeskonna suuruseks umbes 30 inimest ning tegeleme aktiivselt värbamisega ning meeskonna kasvatamisega.

On KPMG teenus unikaalne või pakuvad teised suured IT-firmad ka Eestis sama teenust?

Me oleme Eestis üks suuremaid. Enamik IT-firmasid on keskendunud kaitsva poole peale, müües tulemüüre ja kaitsvaid seadmeid, ka administreerides. Ründava poolega tegelevad pigem väga vähesed.

Kas KMPG kliendid on pigem Eestist või ka mujalt?

Pigem välismaalt. See osakond loodi kolm aastat tagasi koostöös Soome KPMGga, alguses olimegi 100% Põhjamaadele orienteeritud. Viimased aasta-poolteist oleme vaadanud ka Eesti turu peale, siin on kliente tekkima hakanud. Soome KPMG on seda teenust pakkunud juba 15 aastat.

Kuivõrd on tervise- ja majanduskriisid mõjutanud viimase aasta jooksul teie teenust?

Kui esimene laine tuli mullu veebruaris-märtsis, siis mõneks ajaks kukkus kõik ära. Klientidel oli korraga vaja kaugtöö püsti panna ja aru saada, kuidas üldse tööd tuleb teha. Testimine ja turvalisus läks arusaadavalt tagaplaanile, kõigepealt oli vaja üldse mingi töö tagada.

Siis oli paar kuud vaikust, pärast seda on aga mahud oluliselt kasvanud. Eks turvalisuse küsimused tulevadki hiljem järgi. Paljud on pidanud mõtlema, et kui varem ei pidanudki IT ja muude digitaalsete teemadega väga palju tegelema, siis nüüd enam pääsu polnud. Mitmeid muutusi on see päris palju kiirendanud.

Kuivõrd aga muutus rünnakute pool, kas küberkurjamid aktiveerusid?

Aktiivsus on kogu aeg enam-vähem kõrge. Mingil määral oli natuke tõusu, mõned rünnakud said natuke lisajõudu. Kuna sul on asutus hajevil, laiali, siis mingeid rünnakuid oli ehk lihtsam teha. Samas maht on olnud stabiilselt kogu aeg kasvus, koroona eraldi mõju pole näha.

Mihkel Kukk
Küll tõusis teadvustumine mitte-IT valdkonnas, kus kõik said aru, et nüüd peame IT-lahendustega tegelema hakkama. Siis vaadati ka rünnakute poolt natuke teravamalt.

Küll tõusis teadvustumine mitte-IT valdkonnas, kus kõik said aru, et nüüd peame IT-lahendustega tegelema hakkama. Siis vaadati ka rünnakute poolt natuke teravamalt.

Kas kiire üleminek kaugtööle tähendas kurjategijaile rohkem võimalusi?

Mingeid võimalusi see lõi juurde, aga ohtude ja tavastsenaariumite vaatevinklist polnud see kübermaailmas midagi väga uut. Selles mõttes on lihtsalt stabiilne kasv.

Milline on teie keskmine klient? Riigiasutused või eraettevõtted? Rahvusvahelised või ühes riigis tegutsevad? Kas pakuvad mingit teenust või on pigem tööstusettevõtted?

Üks profiil on ettevõtted, kel see vajadus tuleneb regulatsioonist. Näiteks kaardimaksete vahendajad ja finantsasutused, kes peavad testima, et oma turvataset tagada. Ka valitsusasutused, mis peavad rakendama ISKEt [infosüsteemide kolmeastmeline etalonturbe süsteem] ja muid nõudeid baastaseme hoidmiseks. Sellised kliendid panustavad üsna mõistlikult.

Teine klientide grupp on selline, kus otsest sundi teenuse kasutamiseks pole. Siis tuleb meil rohkem konsultantidena aidata, et klienti harida.

Tihti näeme, et teadlikkus pole hea. Ka selleks on erinevaid võimalusi, kohe ei pea läbistustestiga peale lendama. On võimalik muude meetoditega ära kaardistada, kus olulisemad augud turvalisuse mõttes võiks olla ning kus peaks hakkama mõtlema ja lisaressurssi panustama.

Ettevõtete võime infoturberessurssi endale hoida on ka erinev, kuna nõudlus on väga kõrge ning tihti on lahenduseks näiteks Telia teenus, kus üks IT-inimene on toeks. Eeldada, et sellega on ka superinfoturve tagatud, on võib-olla natuke liiga optimistlik.

Väikesel ettevõttel infoturbespetsialiste palgal hoida on aga üsna keeruline ja kulukas. Pead vaatama paindlikumaid lahendusi.

Suurte korporatsioonide eeliseks on see, et neil on rohkem võimalusi kompetentsikeskusi tekitada, tagades siis teenust ka väiksematele ettevõtetele. Tihti on suur väljakutse probleeme tuvastada ja lahendada. Esmalt mõeldakse, et meil on IT olemas, midagi tehakse ja kõik toimib, aga turvalisuse peale seda ressurssi reeglina enam ei jätku.

Kuivõrd sõltuvad küberturbe alal ettevõtte riskid tegevusalast või suurusest? Põhimõtteliselt on ju kõik rünnatavad, aga kas siis, kui sa oled suurem või mingi spetsiifilisema tegevusalaga, on riskid ikkagi kõrgemad?

Mihkel Kukk
Tavaline, massküberkuritegevus ei vali, keda nad ründavad. Neil on täiesti ükskõik, kes nende lunavara või muu asjaga pihta saab. Kui õnnestub, on hea, aga kui ei õnnestu, pole vahet nende jaoks.

Mingite ründajate jaoks mingid sihtmärgid on natuke isuäratavamad, kus motivatsioon on suurem. Aga tavaline, massküberkuritegevus ei vali, keda nad ründavad. Neil on täiesti ükskõik, kes nende lunavara või muu asjaga pihta saab. Kui õnnestub, on hea, aga kui ei õnnestu, pole vahet nende jaoks.

Kui läheb natuke sihitumaks rünnakuks, nagu aktivisti-laadsed häkkerid või riigi tasandil, st spetsiifilisema orientatsiooniga küberkurjategijad, kel on kindlam motivatsioon, siis võib sektor ja tegevusala mängida rolli. See aga läheb kõrgema taseme rünnaku valdkonda.

Baasrünnak ehk tavaline küberkuritegevus on üsna valimatu.

Kuivõrd Eestit – ettevõtjaid ja tavainimesi – päästab meie keel ja meie väiksus? Kui sul tuleb postkasti inglisekeelne kiri kuskilt advokaadilt, siis pilk peale ning lükkad kõrvale. Samas inglisekeelses ruumis olles pead ehk rohkem tähelepanu pöörama, risk on suurem.

Enamasti Eesti ettevõtted tegutsevad juba rahvusvaheliselt, kas neil on välispartnerid või nad müüvad kuhugi. Seega inglisekeelset suhtlust on juba omajagu.

Kui aga saad n-ö kompromiteeritud ärikirjaga pihta, võib kahju olla näiteks sada tuhat eurot. Seega peab ründaja panustama, aga palju eestikeelse meili tegemine maksma võib minna? Usun, et saja euro eest on küll keegi nõus selle ilusas eesti keeles valmis tegema. Seega on see kaduvväike kulu ründaja jaoks.

Masskirjad, näiteks Google Translate'i abil eesti keelde pandud kirjad, tunduvad imelikud. Aga kui keegi viitsib selle sada eurot panustada, pole ka eesti keele väiksus eriline kaitsefaktor.

Kuigi ega nad ei panusta neid sadasid eurosid igasugu keeltes, mida Euroopaski on kümneid, vaid see rünnak peab olema siis plaanitud ikkagi Eesti ettevõtte vastu?

See läheb, jah, natuke sihitumaks ning siis eeldatakse, et summa, mida sa saad, on ka natuke kopsakam.

Mihkel Kukk
Kui mõelda, et sajast inimesest, kes selle kirja avab, 60 või 70 kas annab sulle oma andmeid või läheb mingile lingile… enamik asutusi kukuks pikali selliste ligipääsude peale.

Ka meie teeme Eestis rünnakuid eesti keeles, pihtasaamismäär jääb 60-70 protsendi vahele. See on ikkagi üsna massiline. Kui mõelda, et sajast inimesest, kes selle kirja avab, 60 või 70 kas annab sulle oma andmeid või läheb mingile lingile… enamik asutusi kukuks pikali selliste ligipääsude peale.

60-70% – kas see on tõesti nii kõrge määr?

Jah, tavaliselt me ehitame oma kampaaniad hea loogika peale püsti, väga palju mängib eeltöö ja psühholoogia. See ongi mõeldud, et pead vaeva nägema, saamaks aru, et see pole õige kiri. See ongi tase, millega "mõistlikud" rünnakud tulevad ettevõtete pihta, selleks tulebki kasutajaid ette valmistada.

Kelle vastutuses üldse peaks olema küberturbe küsimused väiksemas või keskmise suurusega ettevõttes, kus oma IT-juhti polegi? Ma kujutan ette, et enamikul Eesti firmadest, mida on ju kümneid tuhandeid, pole IT-juhti palgal.

See küsimus on pikalt lahti olnud, ent taandub nüüd sellele, et ikkagi on see ettevõtte juhtide vastutus. Kui juhtidel pole huvi IT-turvalisuse vastu või tahtmist, siis on ka ükskõik mis teisel tasandil seal väga keeruline midagi ära teha.

Seega algab juhtkonnast, neil peab olema motivatsioon turvataset tagada. Kui ei ole endal võimekust, siis vaadatakse kas partnereid või luuakse võimekus.

Kui näiteks e-pood on nädal aega maas, kaotab firma palju raha, mis pole aktsepteeritav – järelikult peavad nad mingeid otsuseid tegema, et seda ei juhtuks. Nii et vastutus algab juhtidest, altpoolt üles seda suruda on tavaliselt väga keeruks protsess.

Kui palju riske saab hea küberhügieeniga kõrvaldada?

Mihkel Kukk
IT turvalisus pole selline asi, nagu paljud tahaks, et läbisime koolituse või ostsime tulemüüri ja nüüd saame järgmiseks viieks aastaks kõik ära unustada.

Tavaliselt mõeldakse, et me teeme ühe korra selle ära ja siis on tehtud. IT turvalisus pole selline asi, nagu paljud tahaks, et läbisime koolituse või ostsime tulemüüri ja nüüd saame järgmiseks viieks aastaks kõik ära unustada. Kahjuks pole see reaalsus, see on ikkagi protsess, kus erinevate osadega on vaja pidevalt tegeleda, et kõik toimiks.

Ja olukord võib kiiresti ka muutuda, nagu koroonakriisis nägime, et ettevõtete käitumine lükatakse mõne päevaga täiesti teistpidi. Pead siis õppima teistsuguses maailmas käituma ning turvaliselt olema. Eeldada, et me midagi tegime ära ning nüüd on viis aastat rahu, on naiivne.

Ja on piisavalt ettevõtteid, kellel on selline lähenemine, et tegime või ostsime ning sellega on lahendus leitud?

Kahjuks küll, mis samas tagab, et meilgi on veel vaja tööd teha. Aga teadlikkus hakkab tekkima, kui vaatame kasvõi KPMG küsitlusi. Ettevõtete juhid tajuvad, et küberohutus on oluline, nende jaoks vähemalt TOP3 risk. Võib-olla mingi hetk hakkab ka tegevus järgi tulema. Kui saadakse aru, et see on oluline risk, siis vaadatakse, kuidas seda maandada adekvaatselt, et mitte sellega endale kriitilisi kahjusid tekitada.

Kui palju Eesti ettevõtted tegelevad ennetamisega ja kui palju tagajärgede likvideerimisega?

Ennetamisega mingil määral tegeletakse, vanast harjumusest ikka on sees, et kaste ostetakse, inimestesse panustamine on natuke problemaatilisem. Mingeid tegevusi küll tehakse, et vältida seda, et päris mitte midagi ei ole.

Samas startup'id on selles mõttes huvitav variant, et tavaliselt pannakse suure hurraaga minema ning hiljem avastatakse, et peaks äkki turvalisuse osas ka midagi tegema. Pikema toimimisega ettevõtteis tavaliselt midagi on vähemalt tehtud.

Mihkel Kukk
Väiksemail ning ka keskmise suurusega ettevõtteil on kvalifitseeritud IT-ressurssi tavaliselt keeruline hoida. See tekitab ITs kaadri voolavuse ning ka turvalisus on n-ö kultuurkiht: igaüks on natuke midagi teinud, ent uus ei tea, mis enne toimis.

Aga sealt tekib probleem, et väiksemail ning ka keskmise suurusega ettevõtteil on kvalifitseeritud IT-ressurssi tavaliselt keeruline hoida. See tekitab ITs kaadri voolavuse ning ka turvalisus on n-ö kultuurkiht: igaüks on natuke midagi teinud, ent uus ei tea, mis enne toimis. Siis võibki olla seal igasugu huvitavaid asju, mida ei peaks olema.

Seepärast ongi mõistlik aeg-ajalt välist vaadet võtta, kes ütleks, et mingid jamad on siin, mis peaks ära koristama. Tavaliselt IT-pool vaatab, et meil on siin mingid kaitsed püsti ning peaasi, et igaüks saaks oma tööd teha. Sellega aga tihtipeale ressurss ka ammendub.

Mida peaks enim kaitsma? Sisevõrku, kodulehte, wifi leviala või mida?

Seda ei saa nii üks-ühele öelda, iga ettevõte oma spetsiifikast tulenevalt peab vaatama. Tootmisettevõttele on võib-olla suva, kui koduleht on maas, aga kui tootmisliinid ei tööta, on justkui maailma lõpp. Kui kodulehele ei saa päev otsa keegi ligi, ei huvita kedagi. Aga kui tootmisliin ei tööta, siis raha ei tule.

Samamoodi võib e-poel olla ka vastupidi, et kui veebileht on maas, siis müüki ei toimu. Ettevõte peab vaatama oma äri, et kust neil raha tuleb ja mida nad peavad kaitsma. Võib näiteks olla, et tavatöötaja arvuti on täiesti suva, ent kliendi andmed on kümme korda olulisemad – vastavalt selle peabki ressursse panustama, et õigeid asju kaitsta. Kõige kaitsmiseks niikuinii pole kellelgi ressursse.

Ja kõik need on kaugelt rünnatavad, st keegi ei pea tulema sulle sinna füüsilisse asukohta? Teisisõnu nii Prantsusmaalt, Belgiast kui Põhja-Koreast saab rünnata nii sisevõrku, kodulehte kui wifit?

Eestis oleme me teinud klientidele ka seda, et ründame n-ö füüsiliselt, seda ei saa samuti alahinnata. Ka seal on asju, millele tasub tähelepanu pöörata. Tihti me kolime kuhugi kontorihoonesse ning valvesüsteem pandi püsti kümme aastat tagasi maja ehituse ajal. Tänapäeva mõttes ei pruugi olla see enam turvaline. Ka seda tasub vaadata.

Kui saan vabalt valitud ajal minna kellegi kontorisse, seal ringi tuiata ning serveriruumist asjad minema viia, siis pole ka tulemus hea. Seda ei maksa alahinnata, et ainult väljastpoolt rünnatakse ning kohapeale keegi ei tule.

Kui saab niimoodi üldistada, siis kus võidakse kõige sagedamini viga teha, mis toob kaasa andmelekke?

Mihkel Kukk
Inimeksimused on tavaliselt kõige suurem oht. Kui ka unustatakse midagi uuendamata, on see osaliselt samuti inimeksimus. Kui ei uuenda, tulebki mingi hetk andmeleke.

Tavaliselt läheb see inimeste kaela, keegi saab toreda kirja ning kompromiteeritakse tööjaamad ära. Inimeksimused on tavaliselt kõige suurem oht. Kui ka unustatakse midagi uuendamata, on see osaliselt samuti inimeksimus. Kui ei uuenda, tulebki mingi hetk andmeleke.

Suure pildi omamine ehk mis sul on ning mis peaks olema ja kuidas sul inimesed toimetavad – sealt saab see enamasti alguse. Eks erandjuhte on ka, et kompromiteeritakse näiteks su tarneahel ära, aga tavaliselt on see suunatud valitsusasutuste ning muude kriitilisemate objektide pihta.

Väikesel asutusel midagi selle vastu teha on tavaliselt üsna võimatu. Kui inforuumis olla ning see avastatakse, pead kiiresti reageerima. Selle vastu ettevõttel endal on tavaliselt midagi keeruline teha.

Kuid oma inimeste kompetentsi hoidmine ning arusaamine, mis tarkvarad ja seadmed meil on ning kuidas neid haldame-uuendame, mis meil peaks olema ning mida mitte, sealt saab see alguse.

Samas tavatöötajal pole eriti võimalik aru saada, et ta tegi midagi valesti, vajutas kuhugi ning midagi hakkas toimuma. See kõik käib ju n-ö taustal?

Tavapraktikatest võiks ta ju aru saada ning kui tekib küsimusi või kahtlusi, võiks ka teada, mida nüüd tegema peab. See ei ole see, et ma katsetan lingile vajutades, vaid et ma tean, kuhu siis helistan ja küsin. Seal on ka küll tihtipeale puudujäägid.

Teatud inimeste puhul muidugi ongi käitumismuster selline, et ta katsetab kõike. Nendel tuleb siis natuke teistmoodi seadistada töökeskkonnad ja asjad, peab lihtsalt teadlik olema.

Kui suur risk on avalik wifi leviala, olgu siis Eestis või näiteks ka välismaal lennujaamas või hotellis? Peaks seda võimalusel vältima?

Kindlasti peaks vältima. Tänapäeval on telefonides 4G ja peagi ka 5G, mis on nii kiired, et pole enam vajalik avalikke wifi-punkte kasutada. Ja kui ka on vajadus, siis kasutage VPNi või muid selliseid lahendusi, et oma ühendusi turvata.

Kui tihti esineb lunavarakampaaniaid, kus eesmärk on mingite süsteemide tööd halvata ja raha välja pressida?

See on küberkurjategijaile tavarünnak ja seni, kuni see mõistlikult raha sisse toob, seni nad seda kasutavad. Ei ole märgata, et see trend niipea muutuma hakkaks ja see päris ära kaob. Leitakse uusi nõkse, kuidas ja mida teha.

Mihkel Kukk
Lunavararünnakute mahu osas mängib rolli, kuidas krüptovarade enda hinnad liiguvad. Kui hinnad on kõrged, on ka ründajate motivatsioon natuke suurem neid asju rohkem teha.

Mahu osas mängib rolli, kuidas krüptovarade enda hinnad liiguvad. Kui hinnad on kõrged, on ka ründajate motivatsioon natuke suurem neid asju rohkem teha. Kui hinnad on madalad, tegeletakse natuke rohkem mingite muude rünnakutega.

On mingit tüüpi ettevõtted rohkem riskigrupis?

See pigem kvalifitseerub suhteliselt tavapäraseks küberrünnakuks, millega valimatult enamasti minnakse kõigi pihta. Või kui on konkreetne rünnak ühe ettevõtte vastu, siis kasutatakse seda näiteks tõendite hävitamiseks. Krüpteeritakse kõik kokku, et ei oleks võimalik mingi reaalse rünnaku jälgi ajada väga lihtsalt. See on pigem küll erandjuht. Raha kättesaamise eesmärgil, et makske meile, on pigem see valimatu rünnak.

Kui tihti juhtub seda, et maksad küll, aga andmeid tagasi ei saa?

Kindlasti seda juhtub, aga niipalju, kui seda turgu jälgida, siis – teenus on võib-olla kuritegevuse kohta halb öelda – nende motivatsioon on ikkagi tagada seda, et nad saaks raha. Kui liigub jutt, et kandsin raha, aga midagi ei juhtunud, siis soov maksta langeb. Pigem on mudel selline, et me saame raha ja te saate n-ö teenust vastu.

Üha levib andmete pilve panek. Kuivõrd see turvalisust suurendab? Või kätkeb hoopis lisariske?

Pilve ühe ostu lahendusena, mis kõik probleemid ära lahendab, ei maksa kindlasti võtta. Meil on olnud kliente, kel näiteks arenduskeskkonnad on pilves olnud, ent midagi on valesti konfigureeritud ja andmed on muutunud vabalt kättesaadavaks.

Taaskord niisiis aspektid, millele tuleb tähelepanu pöörata. Lisaks tekib teenusepakkuja ots juurde, millest pead aru saama, mis teenust sulle reaalselt tagatakse. Pilveteenuse pakkuja võib sulle öelda, et meil on täiesti okei, kui päev otsa midagi ei toimu ja kõik on maas. Samas su enda teenuse vaatest pole see OK.

Neist aspektidest tasub ka aru saada ja vastavalt käituda. Näiteks majutades asjad mitme teenusepakkuja juures või mitmes andmekeskuses. Tuleb päris palju erinevaid tahke juurde, millele peab tähelepanu pöörama, et see asi toimiks adekvaatselt.

Meil on siin ka GDPR [isikuandmete kaitse üldmäärus], tekib küsimus, et kus riigis sa võid oma andmeid majutada.

Mingitel tasemetel pilveteenus probleeme lahendab, samas uued probleemid tekivad kõrvale. Seega stabiilne muutus!

Kui suur risk see on, et kasutatakse mitme erineva turbelahenduse tootja lahendusi ettevõttes?

Üldiselt ma seda riskina ei näe. Pigem on see tihtipeale isegi natuke pluss. Näiteks on sul väline tulemüür ühe teenusepakkuja oma ning sisemine tulemüür teise oma. Kui siis ühel neist avastatakse mingi turvaviga, teisel seda aga pole, siis pole kogu kaitse kadunud. Viirusetõrjes samamoodi, võib-olla mingid definitsioonid on ühel uuendatud ja teisel tuleb see uuendus natuke hiljem.

Otseselt probleemi ma ei näe, aga taaskord pead sa seda suutma hallata, et su lahendused oleks korrektselt seadistatud ja uuendatud.

GDPR hakkas Euroopa Liidus kehtima kolm aastat tagasi, kuivõrd on see teinud küberruumi turvalisemaks?

Mihkel Kukk
Hirm GDPRi ees tundus alguses päris suur. Selle rakendamise järel nähti, et kohe ei tulegi ulmetrahvid ja kõik rahunesid maha, unustasid tõenäoliselt ära.

GDPR ise midagi väga turvalisemaks ei tee. Kui trendi vaadata, siis hirm selle ees tundus alguses päris suur. Selle rakendamise järel nähti, et kohe ei tulegi ulmetrahvid ja kõik rahunesid maha, unustasid tõenäoliselt ära.

Regulatsiooni taha ei maksa turvalisust seada. Kõik need annavad sulle midagi ette. Teeb natuke turvalisemaks, aga mõistliku ettevõtte käitumine ei ole selline, et võtame mingi suvalise raami ning teeme sealt miinimumi ära. Pigem on vaja aru saada, mis on oluline ning seda siis väga hästi teha. Miinimum on küll parem kui mitte midagi, aga pole hea turvapraktika.

Eestis on mitu aastat kehtinud küberturvalisuse seadus. Kas sellest on ka konkreetset abi olnud?

Otseselt ma väga palju ei näe, et see meie valdkonda väga palju mõjutanud oleks.

Seadus ise ei teinud küberruumi turvalisemaks?

Mihkel Kukk
Et sul hea turvapraktika tekiks, see algab siiski juhtkonna arusaamast, et tekiks infoturbekultuur ettevõttes. Seda peale suruda on enamasti üsna raske.

Ise ei tee jah. Regulatsioon – nagu meil on näiteks ISKE – aitab nii palju, et kõik üritavad vähemalt oma miinimumi ära teha. Seda saab regulatsiooniga heal juhul teha, et miinimum paika sättida. Aga et sul hea turvapraktika tekiks, see algab siiski juhtkonna arusaamast, et tekiks infoturbekultuur ettevõttes. Seda peale suruda on enamasti üsna raske. On vaja arusaama, miks me seda teeme ning sealt tuleb ka lahendus, et kuidas oleks kõige mõistlikum seda teha.

Kui sunniviisiliselt seda rakendada, kipub olema nii, et teeme siis miinimumi kuidagi ära ja tegeleme edasi muude asjadega, mis meie meelest on olulised. Kui saadakse aru, et turvalisus on oluline, siis leitakse ka paremad lahendused, mis selle tagavad.

KPMG on Eestis küberturbega tegelenud kolm aastat. Kas viimaste aastate jooksul on mõistetud selle teema olulisust rohkem, kas on nüüd ettevõtetele seda n-ö kergem müüa?

Natuke on see paranenud, aga mitte väga olulisel määral. Taaka on siiski suhteliselt palju kaasas. Tavaettevõtete juhid on enamuses siiski veidi vanem generatsioon ajast, mil IT veel ei olnud nii prioriteetne.

Vahepeal on ka muid väärarusaamu: ostetakse mingid kastid, tuli põleb, meil pole intsidente olnud, või vähemalt me ei tea, et oleks olnud – järelikult on kõik hästi!

Siiski liigub kõik üha rohkem IT poole ning ka ettevõtete juhid saavad aru, et ei ole tore lõpetada Äripäeva või Delfi esilehel, et meil oli hull andmeleke ja kõik varastati ära. Siis tekib ka mingi arusaam, et peaks ehk midagi tegema, et seda ei juhtuks.

Kui mõelda tuleviku peale – masinõpe, tehisintellekt jms –, siis kui palju see turvalisust suurendab, või tekib ohte hoopis juurde?

Eks tehnoloogiaid tuleb kogu aeg peale. Vahepeal oli suur ralli, et tulevad IoT ehk asjade interneti seadmed, isesõitvad autod jms. Ma ei näe, et tehnoloogiate tulek ära lõppeks. Tehisintellekt on maailma kõigi asjade ära lahendamisest ikka üsna kaugel.

Tihti on näha, et uue tehnoloogiaga tulevad vanad probleemid uue ringiga. Näiteks mingitest probleemidest saadi veebikeskkondades ja arvutimaailmas aru, ent siis tulid nutitelefonid ning need vanad probleemid läksidki uuele ringile. Natuke tekib tunne, et ei õpitagi sellest, mis enne valesti on olnud.

Mihkel Kukk
IoT asjade puhul on tihtipeale nii, et odavalt-kiirelt seade välja, turvalisus aga – kui kunagi tekib aega, no siis vaatame.

IoT asjade puhul on tihtipeale nii, et odavalt-kiirelt seade välja, turvalisus aga – kui kunagi tekib aega, no siis vaatame.

Samas tuleb tehnoloogiaid juurde, Eestis ootame näiteks 5Gd?

Tehnoloogiaid jääb tulema igasugu erinevaid. Eks igal neist on mingid oma uued või vanad probleemid. Võluvitsa me ei näe, et näiteks tehisintellekt kaotaks kõik probleemid ära.

Samamoodi on arenduses tulnud peale palju praktikaid ja asju, kuidas turvalisemalt koodi kirjutada. Endiselt on aga veebilehtedel ja rakendustes palju vigu.

Kuigi võiks ju loota, sest sõnadel masinõpe ning tehisintellekt on juba ise teatud sügavam tähendus.

Tahaks loota, et turvalisus hakkab tõusma, aga väga kiireid muutusi ma ei näe, et tehnoloogia tooks. Esiteks on küsimus, kui kiiresti jõuab üks või teine tehnoloogia küpsesse ikka, et neist ka kasu oleks. Alguses on ju iga tehnoloogiaga rohkem jama kui kasu.

Mis on suuremad eksiarvamused, mida KPMGs küberturvalisusega seoses näete?

Tihti üritatakse endale võltsturvalisust luua, et ostsime mingi kasti või läksime pilve ning me ei tea, et midagi oleks üldse juhtunud. Osalt see seostub ka sellega, et mingi sammu tegime ära ning nüüd on rahu majas, ei pea mõnda aega sellega nüüd tegelema. See pigem ei ole hea praktika.

Teine, mida tihti rakendatakse, et üritame enda ümber hullu seina ehitada, et jumala eest sealt keegi läbi ei tuleks. Aga see, mismoodi meil elu ettevõtte sees toimub, sellest pole aimugi. Suur paks sein, et keegi sisse ei saaks, on iganenud arusaam.

Ründaja võib olla su oma töötaja, võib olla mingi viga tekkinud ja ikkagi saadakse sisse. Pead ise aru saama, mis su ettevõtte sees toimub. Ning suudad reaalselt tuvastada seda sissesaamist võimalikult kiiresti.

Statistika järgi tuvastusperiood võib ulatuda keskmiselt lausa aastani, kus ettevõte saab lõpuks aru, et oi-oi, keegi on meil siin sees käinud. Aastaga suudaks enamuse ettevõtteid üsna paljaks varastada.

Kui KPMG testib kliente küberrünnakuga, siis kui tihti on teil standardolukorrad, et sama asi, mis töötas ühes ettevõttes, töötab teises ka?

Neid ikka on klientidel. Tihtipeale suurematel ettevõtetel on tavaline see, et sul on tehnoloogia või tarkvara kultuurkiht tekkinud. Ongi mingid süsteemid näiteks Windows XP peal või vanemad, mida ei saa maha võtta või muuta. Seda oleme tihti tuvastanud, siis peame konsulteerima klienti, kuidas testi võimalikult turvaliselt teha, et see pihta ei saaks.

Mihkel Kukk
Kui täisskaala peal rünnata, kus võid kõike teha, siis inimfaktor on enamasti suhteliselt vastuvõtlik eri rünnakutele. Sealt saab tihti sisse.

Kui täisskaala peal rünnata, kus võid kõike teha, siis inimfaktor on enamasti suhteliselt vastuvõtlik eri rünnakutele. Sealt saab tihti sisse. Füüsiline turvalisus samamoodi pole hea, kas saab füüsilise turvalisuse veaga sisse või social engineering’uga, et tulin teie serveriruumi hooldama. Enamasti need asjad toimivad päris hästi.

Aga IT konfiguratsiooni teema taandub sellele, kui hea praktika ettevõttes on eri asjade haldamisel ja uuendamisel. Kui see on mõistlikult paigas, toimib asi täitsa okeilt. Kui seda aga pole, siis on neid auke päris palju.

Ründamist klientide vaatest natuke kardetakse. Meie teenust vaadatakse auditina, et keegi tuleb siia, käib Exceli üle ning meil tekib hull nõuete kogum – peame tegema midagi. Pigem tasuks hirmust natuke mööda saada ja võttagi seda niimoodi, et nüüd tulevad IT-spetsialistid, teevad selle rünnaku ja näitavad ära, kus need augud reaalselt on.

Erinevalt sellest, et tuleb päris rünnak ja neid auke kasutatakse ettevõtte vastu ära. Pigem peaks selles nägema kasutegurit. Kas pärast tuleb midagi ka ise teha, selle peale ei maksa esialgu liiga palju mõelda.

Sul on ju kaks võimalust, kuidas see rünnak toimub. Ühel juhul öeldakse, et mis on valesti, teisel juhul tehakse ettevõte tühjaks. See valik peaks olema mõttes, kui kaalutakse seda teemat. Mitte nimekiri tegevustest, mida peab hiljem veel tegema.

Kui palju aega ning inimesi teil keskmiselt üks selline rünnak nõuab?

Mihkel Kukk
Kalastuskampaaniad teeme ära nädala jooksul. Netipoe-laadse veebikeskkonna testimine võtab nädal-kaks. Terve ettevõtte ründamine, kus me võime kõiki rünnakuid teha, on kuu aega tööd.

Natuke sõltub ettevõtte suurusest ja mis osas nad rünnakut tahavad. Kalastuskampaaniad teeme ära umbes nädala jooksul. Netipoe-laadse veebikeskkonna testimine võtab tavaliselt nädal-kaks. Terve ettevõtte ründamine, kus me võime kõiki rünnakuid teha, on pigem kuu aega tööd.

Pigem üritame teha neid lühikesel perioodil, kuna see võib mingil määral mõjutada ka ettevõtte enda äritegevust. Samuti nõuab ettevõtte enda poolt mingit toetust ja ressursse. Tahame minimaalselt koormata ettevõtet ennast selle tegevusega.

Jaga lugu
Ituudised.ee toetajad:
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Erkki VilippReklaamimüügi projektijuhtTel: 517 7736
Kertu KarnerIT konverentside projektijuhtTel: 553 7112