Autor: Äripäeva eriprojektide ja sisuturunduse üksus: [email protected] • 26. aprill 2021

Ettevõtete IT-juhi ja süsteemiadministraatorite roll on muutunud ja sisuliselt täidavad IT-osakonna töötajad äriarendaja rolli, s.t suurem osa ajast kulub uute kommunikatsioonilahenduste juurutamisele, personali koolitamisele või dokumentide kolimisele pilve.

Viimase aastaga on hüppeliselt suurenenud nõudlus nii ohtude tuvastamise ja reageerimise lahenduste (ehk EDR – Endpoint Detection and Response), kui ka infoturbeteenuse vastu.

„Kui tavapärane tööpäev kestab 8 tundi ning on seotud konkreetse asukoha ja ajavööndiga, siis küberkuritegevus on globaalne nähtus ja selle tegevus käib 24/7 ning suurem osa rünnetest toimub öösiti. Peamiselt jahitakse tundlikke andmeid. Lunavararünnakute arv meditsiiniasutuste, kindlustusseltside, finantsorganisatsioonide ja riigiasutuste vastu on hüppeliselt suurenenud. Klassikaliste ja lunavararünnakute eesmärgiks on kurjategijatele raha teenimine,“ lisab Zujev.

Alusta auditist

Infoturbele mõeldes peab alati jälgima tervikpilti – alates süsteemide turvalisusest ja kaitsevõimest küberrünnete vastu kuni töötajate teadlikkuse tõstmiseni. „Kõige parem viis infoturbe olukorrast ülevaadet ja hinnangut saada on läbi viia turvaaudit, mille käigus kaardistatakse ja dokumenteeritakse hetkeolukord, analüüsitakse seda ning tuuakse välja soovitused ja tegevuskava olukorra parendamiseks,“ ütleb Baltic Computer Systemsi tegevjuhi kohusetäitja Marti Mänd. „Tihti arvatakse, et olukord on hoopis teistsugune, kui see tegelikult on, ja turvaaudit annab hea ülevaate, milline on reaalne seis,“ sekundeerib Baltic Computer Systemsi tehnilise toe üksuse juht Tuuli Zahvatkin.

Ettevõtetel võib puududa ülevaade, mis tarkvara on töötajate arvutites kasutusel, kas neidsamu arvuteid kasutavad ka töötaja lapsed või teised pereliikmed. Kas lisaks lubatud ja kasutuses olevale tarkvarale on arvuti kasutaja paigaldanud arvutisse midagi veel. Ei tasu alahinnata torrent- või teiste failijagamise programmide ohtu, mille kaudu kasutajad võivad arvutisse kogemata (või teadmatusest) alla laadida pahavara.

„Märkimisväärne arv intsidente on juhtunud arvutikasutaja vea tõttu, olgu see pahalast sisaldava e-kirja mõtlemata avamine, lingile klikkamine, või tundliku info jagamine õngitsuslehtedele. Oleme kuulnud ka intsidentidest, kus infoturbelahendus oli parooliga kaitsmata ja selle tulemusena said kurjategijad need välja lülitada ja arvutid oma kontrolli alla võtta,“ ütleb Zujev.

Ohtlike viiruste ja pahavara levik on üha sagedasem ja nendega nakatumise tagajärjed üha hullemad, mistõttu viirustõrje tarkvara kasutamine on tänapäeval kõigest minimaalne baaskaitse. Tuleb aga arvestada sellega, et pidevalt muutuvas küberruumis tuleb aina rohkem olukordi, kus baaskaitsest enam ei piisa.

Infoturbe ABC

Kindlusta, et:

-tarkvara on uuendatud

-kasutusel on korralik viirustõrje tarkvara

-võrguseadmed on turvaliselt ja korrektselt seadistatud

-vajalikud andmed on varundatud ja neid on võimalik ka taastada

-oled võimeline ohtusid ennetama ja nende puhul kiiresti reageerima

-kasutatavad paroolid oleksid turvalised ja võimaluse korral oleks kasutusel mitmeastmeline autentimine

Tuvasta ohte

Kuna Zahvatkini sõnul on kasutajad nõrgim lüli arvutisüsteemis, siis kõige parem kaitse on kasutajaid koolitada, et nad teaks, mida arvutisüsteemis võib või ei või teha, kuidas ennast erinevate küberohtude eest kaitsta ning kuidas käituda intsidendi kahtluse puhul. Kasutajate teadlikkuse tõstmise koolitusi on mõistlik teha regulaarselt ning lisaks tuleb õpitud teadmisi kinnistada ka testide ja küsitluste kaudu.

Süsteemide kaitsmisel on samuti tähtis, et kõik seadmed ja tarkvarad oleksid uuendatud ja ajakohased – et oleks minimaalselt turvanõrkuseid, mida ründaja saab ära kasutada. Tavaliselt ei märgata, kui keegi üritab ettevõtet rünnata ja sellest saadakse teada alles siis, kui kahju on juba tekitatud. Kasutaja ei pruugi ise märgatagi, et ründaja või pahavara on juba arvutis ja tegutseb. Kuidas ennast kaitsta? Siin aitavad erinevad tarkvaralised lahendused. F-Secure Rapid Detection and Response (RDR) aitab tuvastada turvaintsidente, näiteks kui süsteem käitub mingil põhjusel teisiti kui tavaliselt, ja nende levikut piirata. F-Secure RADAR omakorda tuvastab turvanõrkuseid, mida potentsiaalselt on võimalik ära kasutada, ja annab soovitusi, kuidas neid parandada. „Seadmed, mille turvaauke ei saa parandada, tuleks ennetavalt isoleerida ja nende ligipääsud piirata, et vähendada rünnakupinda,“ lisab Zahvatkin.

Avastamine võib olla vahel keeruline – ründajad valivad aegu, millal süsteemid pole aktiivses kasutuses, ja lisaks oskavad nad väga osavalt oma jälgi peita. „Turvaintsidendi avastamine on tihtipeale juhuslik või avastatakse siis, kui on midagi tõsist juba juhtunud – raha on varastatud, failid krüpteeritud, info konkurentidele maha müüdud. Tähtis on pidev serverite hooldus, logide kogumine kesksesse kohta ja ka nende ülevaatamine – automaatika aitab palju, aga vahel on just vajalik spetsialisti silm, mis märkab, et midagi on kahtlast,“ teab Zahvatkin. Abiks on infoturbeteenus, mille puhul Baltic Computer Systemsi infoturbekeskuse eksperdid jälgivad klientide võrgus toimuvat ja võimalike turvaohtude korral sekkuvad.

Reageeri kiiresti

„Infoturbe intsidendi korral peab reageerimine toimuma kiiresti ja kriitilise määratlusega ohtude puhul automaatselt. Rünnaku korral on kõige tähtsam isoleerida ründe alla sattunud seade ja määrata rünnaku ulatus. F-Secure RDR isoleeribki esimese asjana ohtliku seadme ülejäänud võrgust ja edasi saab IT-spetsialist ise täpsemalt uurida, mis ohuga oli tegemist ja mida tuleks teha,“ ütleb Mänd.

„Kui rünnaku sisu on selgunud, siis tuleks süsteem vaadata üle – kasutatud nõrkus / rünnaku koht tuleks ära lappida ning seejärel puhastada süsteem ründajast. See eeldab tihtipeale ka süsteemide taastamist ja arvutite puhasinstalli. Samuti tuleks teavitada vajadusel vastavaid asutusi – näiteks CERT-EE, RIA, politsei,“ jagab nõu Zahvatkin.

Kuid kuidas käituda, kui midagi on juba juhtunud ja endist olukorda on vaja taastada?

„Peab kasutama töökindlat varunduslahendust, mis võimaldab võimalikult kiiresti ja lihtsalt endise seisu taastada. See tähendab, et varundus peab olema seadistatud nii, et hoitaks alles mitut erinevat varukoopiat ja oleks kokkulepe, kui vanu andmeid peab olema võimalik kätte saada,“ soovitab Mänd. Kuna alati varukoopiate automaatne tegemine ei pruugi õnnestuda, siis oluline on ka regulaarselt kontrollida varunduse toimimist ja teha perioodilisi proovitaastamisi.

Turvaintsidendi korral ei ole aga alati võimalik määrata, kui suur on olnud selle mõju, ja võib tekkida olukord, kus tuleb asju suures mahus taastada või isegi nullist uuesti üles ehitada. „See on ettevõtte jaoks väga suur ressursi kulu – nii töötajate ajakulu kui ka tööseisakust tulev rahaline kahju. Sellist olukorda aitabki hästi ennetada F-Secure RDR, mis lukustab rünnaku ühte masinasse ning tuvastab, kui see peaks edasi levima,“ soovitab Zahvatkin.

„Väga sagedane on olukord, kus infoturbe lahenduste kasutamise peale ei mõelda enne, kui on toimunud juba mõni tõsisem turvaintsident,“ rõhutab Mänd. Sellisel juhul tagajärgede likvideerimine on aga üldiselt oluliselt kulukam kui olukorra ennetamine. Kuna küberruumis olevaid ohte on palju ja nende kaitseks mõeldud lahenduste valik on suur, tasub õigete lahenduste leidmisel pöörduda selle ala ekspertide poole.

Infoturbealased soovitused ettevõttele:

Koolita töötajaid – kuna arvutikasutaja on alati nõrgim lüli, siis väga oluline on tõsta töötajate infoturbealast teadlikkust

Enneta ohtusid – kasuta ohtude ning nõrkuste monitoorimiseks ja tuvastamiseks tarkvaralisi lahendusi (F-Secure RDR ja RADAR)

Hoolda IT-süsteeme – veendu, et kasutatavad IT-lahendused oleksid uuendatud, turvapaigatud ja nõrgad kohad süsteemide seadistuses eemaldatud

Oma ülevaadet – vii läbi regulaarseid IT-süsteemide auditeid, et teada oma süsteemide seisukorda, planeerida IT arendusi ja kaitsta nõrku kohti

Kaalu infoturbeteenuse sisseostmist – lase kogemustega professionaalidel tegeleda infoturbega, et saaksid panustada oma ettevõtte põhitegevusse