Autor: Aali Lilleorg • 1. oktoober 2018
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Turvalisemaks ähvardusega: vaheta parool või muidu saab abikaasa teada!

Kieren Nicolas Lovell
Foto: Roberta Lupp
Infoturbe konverentsil möödunud kolmapäeval räägiti mitmeid elulisi näiteid selle kohta, kuidas infoturbega võivad asjad kergesti nihu minna ja mida peaks tegema, et ohte vähendada. Riske ja ohukohti on üllatavalt palju ja keerulises olukorras tuleb siiski leida võimalused, kuidas turvalisemalt edasi tegutseda.

Konverentsi avades tõdes tuntud infoturbe evangelist Peeter Marvet, et käsitledes erinevaid infoturbega seotud pooli, kipub alati silma torkama raha teenimise pool.

„Väga suur hulk asju, mis on infoturbes probleemsed on seotud sellega, et keegi seda raha enam ei maksa. Või siis makstakse raha sel hetkel, kui tullakse küsima juba lunavara. Sel hetkel on ilmselt tegemata varukoopiad, ilmselt on kaitsmata võrk või siis tulevad küsima advokaadid kui andmekaitse üldmäärusega seoses on midagi juba lekkinud ja tekib kas siis andmekaitse inspektsiooni poolt või tekib see soov mõningatel kannatanutel,“ kirjeldas Marvet.

Kõik infoturbega seonduv on tema sõnul otsapidi juhtimisega seotud. Infoturbega seotud probleeme on Marveti arvates sageli keeruline mõista kui ettevõttes ei ole kõik omavahel mõelnud läbi, mis infoturbega seoses võiks juhtuda ehk mis on kulud ja mis on riskid, millega tuleks tegelda.

Huvitava näitena rääkis Marvet sellest, kuidas ühel hetkel kadusid eesti.ee keskkonda sisenemisel pangalinguga autentimised. Need ei kadunud ära selle pärast, et pangad oleks liiga palju raha küsinud. Ühel hommikul lihtsalt taipas keegi, et eesti.ee on mõeldud ID-kaardi ja Mobiil-IDga sisse logimiseks ning need inimesed, kes tulevad pangalingi kaudu ei pruugi olla turvaliselt autenditud. „Kõik see aeg on toiminud meie eesti.ee niimoodi, et kasutajad on turvaliselt autenditud, aga tegelikult on selle taga olnud ka paroolikaardiga autentimine. Seetõttu võeti maha võimalus sisse logida pangalingiga sisenemine, kuni mõeldi välja kuidas sisse saavad vaid need, kes on turvaliselt, st mitte koodikaardiga sisse loginud,“ rääkis Marvet.

Konverentsi peaesineja Kieren Nicolas Lovell, kelle üks eelnevaid töökohti oli Cambridge ülikooli CERT keskuse juht tekitas oma koomilise esinemismaneeriga elevust ja tõi väga elulisi näiteid selle kohta kuidas võiks käituda, et infoturbe ohte vähendada.

Turvalisuse juures tema sõnul üks suuremaid probleeme on see, et kui midagi juhtub, siis inimesed tahavad seda hirmsasti varjata, et keegi teada ei saaks. „Ja probleem seisnebki selles, et kui juba meiega midagi juhtub, siis võib see ka teistega juhtuda. Me peame seda mõtteviisi muutma ja sellist infot julgemalt jagama,“ rääkis ta.

Samas tõi ta välja, et suurenenud kommunikeerimine võib viia liigse info jagamiseni. Näiteks võib mõni meist saada paarsada meili päevas ja neist oluline on tõesti ainult üks. Kui meil on liiga palju infot, siis see annab võimaluse seda seostada ehk töödelda ja viib võimaluse intsidentide juhtumiseni.

Ühe kelmika näitena rääkis Lovell edukast Kanada suhtlusportaalist, mis oli mõeldud inimestele, kes on abielus või kooselus otsivad salasuhteid.

Juhtus aga nii, et 1,3 miljoni Briti kodaniku andmed lekkisid ja siis selgus, et Cambridge on Inglismaa petupealinn. Piinlik. Selgus, et Cambridge’i ülikooli töötajad olid selles keskkonnas kasutanud oma töökoha meiliaadressi. „Ja siinkohal ei hakka ma küsima, kas teie ikka kasutate erinevatesse keskkondadesse sisse logimisel erinevaid paroole,“ muigas Lovell konverentsil osalejate poole.

Ja nagu sellest juhtumist välja tuli, olid enamlevinud paroolid 123456, Cambridge1 ja Password. See oli CERT keskuse juhil hea võimalus minna tähtsate professorite jutule ja nõuda neilt parooli vahetamist, ähvardusega et muidu saab abikaasa teada.

Lisaks tõi Lovell näite e-mailidest, mis saadetakse kas siis üle ülikooli 12 000 inimesele, palvega annetada mingile fondile või „vaese“ tudengi poolt, paludes toetada õpinguid. Esimesel juhul sai Domino’s Pizza Floridas 20 000 dollarit ja teisel juhul selgus, et selle rahaga toetati terrorismi.

Erinevad apsud ja õnnetused info jagamisel on kerged juhtuma ning sellekohaseid näiteid elust enesest humoorikas võtmes tõi Lovell veel mitmed. Kõik need rääkisid sellest kui halb tegelikult on inimeste küberhügieen ja kui suured tagajärjed võival sellel olla suurte organisatsioonide jaoks. Ta rõhutas, et kui mingi infoturbealane intsident juhtub, siis tuleb sellest rääkida just selle tõttu, et teisi hoiatada ja mitte aidata halval asjal levida.

Olulise info varjamise kohta oli ka Lovellil hea lugu rääkida. Nimelt saadeti ülikoolis töötavatele meestele reede õhtul e-mail, et e-maili aadress ja parool on teada ja see, et veebikaamera on tööle pandud ja on salvestatud eneserahuldamist. Kui nõutud raha ei maksa, siis see avalikustatakse. „250 tuhat naela maksti ja mitte keegi ei julgenud sellest rääkida, sest see oli ju piinlik. Emotsionaalne barjäär töötab,“ kinnitas Lovell.

Peeter Marvet üritas oma ettekandes asetada end IT-juhi rolli ja püüdis aru saada ühes fiktiivses ettevõttes aset leidvast tüüpilisest olukorrast infosüsteemide ja –turbega. Et kui tema oleks IT-juht, siis kuidas asjadest aru saaks ja kuidas sellest ettevõtte juhile räägiks. Tööjaamad ja neis toimuda võivad olukorrad, õigused ja mis nendega peaks saama teha, isikuandmete salvestamine ilma seda teadvustamata ja võimalus nende lekkimiseks, võimalus kaasa haarata kas laua- või krüpteerimata sülearvuti jne jne. Asjaolude kirjeldus tekkinud küsimuste rivi oli Marvetil päris pikk

Oma praktikast tõi ta ka paar näidet kuidas temagi küberhügieeni vastu eksida võib ja need olukorrad võivad olla täiesti teistsugustest turvakaalutlustest tingitud. Neid hetki on tema kinnitusel siiski kahtlaselt palju.

Vallatu häkkerina on Marvetil alati kiusatus seina sees olevaid aukusid katsetada et siis juhtmetpidi uurida, et kuhu nende kaudu pääseb. Enamasti võrku pääseb ja siis saab uurida, et kuhu ligi pääseb ja mis teenused on.

„Keegi kunagi tegi ja läks ära on üsna tavapärane olukord. Näiteks tulemüürid ja nende funktsionaalsused,“ loetles Marvet jätkuvalt ettetulevaid olukordi ja teadmatust.

Erinevaid küsimusi ja asjaolusid tuli välja nii palju, et kui Marvet peaks ise alustama mingist ajaloo käigus tekkinud olukorra tuvastamisest ettevõttes ja sinna juurde panema hinnanumbrid ja riskinumbrid, siis tõdes ta lahkumisavalduse laua panemine on ainus asi, mida ta teeks. See number, mida peaks 10 töötajaga ettevõttes investeerima oleks lihtsalt röögatu.

Tauno Telvik Võrguvarast tõi oma ettekandess välja mõningaid fakte, mis muuhulga ütlesid, et 76% rünnetest on rahaliselt motiveeritud ja 58% ohvritest on väikeettevõtted.

Valdav enamus pahavarast üritatakse Telviku sõnul istutada süsteemidesse läbi emaili. „Seda on suhteliselt lihtne mõista, arvestades, kui lihtsasti häkitav on see seade, mis istub tooli ja kuvari vahel,“ lausus ta ja tõstatas küsimuse, et kas ikka on nii, et inimene on nii lihtsasti ülekavaldatav?

„Tuleb välja, et valdav enamus siiski ei ole. 78% inimestest ei klikka mitte ühelgi phishing emaili lingil, ei saada kahtlast arvet raamatupidamisse maksmisele, ei vasta Nigeeria printsile ja ei saada talle 1000 dollarit, et saada vastu 100 miljonit,“ rääkis Telvik.

Paraku 4% teeb seda igal võimalusel. „Statistiliselt kui teil on vähem kui 25 töötajat, võib juhtuda, et see teid ei puuduta, aga tegelikult on asi tõsine. Piisab ühest klikkijast kombineerituna kehvasti seadistatud võrgu ja kasutajaõigustega, et ettevõtte töö päevadeks seisata,“ rääkis Telvik.

Lõpetuseks tõstatas Telvik küsimuse, et kui palju annab meie tegevusele väärtust juurde see kui süsteemid on turvalised, info ei leki, serverid ei seisaks jne. Tema sõnul peaks sellele küsimusele otsa vaatama organisatsiooni juhtkond. Telvik jagas mitmeid abistavaid küsimusi ja juhtnööre, millest alustama peaks ja milliste abistavate küsimustega jõuda lahenduseni, et aru saada, mille eest tuleb maksta.

Infoturbe konverents 2018 „Maksa raha!“ toimus 26. septembril Tallinnas. Selle korraldasid Äripäev ja teemaveeb ITuudised. Konverentsi toetasid Võrguvara, Security Software, BCS infoturbekeskus ja F-Secure tugikeskus. Moderaatori rollis oli Peeter Marvet.

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755