Autor: Indrek Kald • 16. juuni 2019

Järgneb Janar Randväli kommentaar:

Tänavu esimese kvartalis registreeris riigi infosüsteemi amet 663 turvaintsidenti, mis arvatavasti on vaid murdosa nende tegelikust hulgast. Varasemalt on olnud küberrünnakute peamine motivatsioon teenida raha, olgu siis tegemist otsese väljapressimise, lunavara levitamise, tööstusspionaaži või andmekaevega. Viimastel aastatel on aga järjest jõulisemalt tõusnud esile poliitiline motivatsioon: püütud on mõjutada valmistulemusi Prantsusmaal ja USAs ning Brexiti rahvahääletust Suurbritannias.

Mis need on peamised põhjused, mis küberründed edukaks teevad? Esiteks puudulik süsteemide uuendamine. Selle maandamiseks tuleb teha uuendusplaan ja sellest ka kinni pidada, kuna uut pahavara luuakse ja turvaauke leitakse igapäevaselt.

Kaitse oma ärikriitilisi süsteeme internetiohtude eest

Teiseks riskikohaks on nõrkused IT-süsteemide disainis ja protsessides. Siinkohal on märksõnaks mitmetahuline kaitse. Tänasel päeval ei piisa vaid sellest, et arvutis on viirusetõrjetarkvara ja aeg-ajalt uuendatakse süsteeme. Ennekõike tuleb süsteemid üles ehitada selliselt, et oleks rakendatud kihiline infoturve.

Alustada võiks sellest, et avalikust internetist ei oleks kättesaadavad ettevõtte jaoks ärikriitilised andmed. Ligipääsuks ettevõtte ärikriitilistele andmetele väljapoolt kontorit tuleb kasutada korralikke autentimislahendusi ning turvalist VPN (Virtual Private Network) ühendust.

Üpris kindlalt on oma aja ära elanud ka tavaline tulemüür, kes piltlikult öeldes uksi lukku ja lahti keerab. Ettevõtte võrgu kaitsmisel tuleks vaadata aktiivsete tulemüüride ja miks mitte ka IDS/IPS (intrusion detection/intrusion prevention) süsteemide poole. Need oskavad analüüsida rakenduste võrguliiklust ning iseõppivate reeglite abil tuvastada, kas mingit liiklust lubada või hoopis blokeerida.

Üle tuleb vaadata ka protsessid, kas need on piisavalt autenditud ja kontrollitud. Piltlikult öeldes, näiteks maksekorralduse võiks koostada üks inimene, teine seda kontrollida ja kolmas makse kinnitada.

Ehk üha olulisemaks kübermaailmas on saamas andmete õigsuse kontroll ja selle automatiseerimine. Väiksemas ettevõttes pole selline ülesannete jupitamine sageli võimalik, aga kui ülemuselt tuleb pühapäeva õhtul kummaline e-kiri, et kohe on vaja Kaimanisaartele teha rahaülekanne, siis tasub enne ikkagi üle helistada.

Nõrgad paroolid on endiselt probleem

Kolmandaks juurpõhjuseks on paroolide ristkasutus või liiga nõrgad salasõnad. Uskumatu, aga tänaseni on infoturbefirma SplashData andmetel kõige levinumad kehvad paroolid maailmas 123456, qwerty ja mitmed selle modifikatsioonid. Kindlasti tuleb teadvustada ka seda, kui mõne töötaja erakonto parool lekib, siis võib olla üsna kindel, et sellega proovitakse siseneda ka tema teistesse kontodesse, olgu selleks siis asutuse e-post, domeen või mõni muu teenus. Nii võivad kurjamid hakata inimese töömeili kaudu levitama pahavara või saatma võltsitud arveid raamatupidajale.

Kõige turvalisem on end autentida ID-kaardi, mobiil-ID või SmartID-ga, aga see ei ole alati võimalik ning paljudesse kohtadesse saabki sisse logida ainult kasutajanime ja parooliga. Lihtsam meetod nende riskide maandamiseks on kasutada igas keskkonnas unikaalset parooli, mis on vähemalt mitmesõnaline fraas suurtähtede, numbrite ja erimärkidega.

Soovitav on võtta kasutusele paroolihaldur, mille abil saab igale keskkonnale genereerida eraldi salasõna ning võimalusel kasutada kaheastmelist autentimist, mida on palju keerukam rünnata.

Viimaseks ja tänapäeval kõige olulisemaks riskiks on inimeste vähene teadlikkus küberhügieenist. Siin tasuks alustada lihtsatest asjadest, näiteks õpetada töötajatele, kuidas parema hiireklikiga vaadata, kuhu e-kirjas olev link tegelikult viitab ning kuidas kontrollida selle usaldusväärsust mõnel linkide kontrollimise veebilehel.

Koosta käitumisjuhised küberintsidendi korral

Samuti on oluline anda käitumisjuhised küberintsidendi korral: kui inimene ongi uisapäisa tundmatule lingile vajutanud ja lunavara arvutisse laadinud, tuleb sellest kohe IT-töötajale teada anda, mitte jääma häbistatult nurka istuma.

Puutusin aasta jooksul kokku nelja lunavara juhtumiga, millest kolme puhul saime tänu õigeaegsele teavitusele lunavarale jaole enne, kui see jõudis arvuti ära krüptida. Viimasel juhul krüpteerimine küll toimus, kuid lahendamisel oli abiks korralik varundussüsteem, tänu millele oli olemas andmete koopia viimasest ööst ning inimene kaotas vaid paari tunni töö.

Küberturvalisuse tagamisel tuleb lähtuda sellest, et andmekaitse ei ole ammu enam üksnes IT-küsimus, vaid hästi korraldatud kooslus inimestest, reeglitest ja tehnoloogiast. Kuna sageli on inimene nõrgim lüli turvalisuse tagamise kolmikus, siis ei ole puudulikku küberhügieeni võimalik kompenseerida süsteemidesse investeerimise või protsesside täpse kirjeldamisega.

Neli soovitust küberünnete ennetamiseks

• Mõtle läbi IT-süsteemide ülesehitus ja tööprotsessid: kas tootmisliinid, kontori haldussüsteemid ja teised ärikriitilised lahendused on kaitstud ning internetist eraldatud? Millistele IT-süsteemidele töötajad väljapoolt kontorit ligi pääsevad? Kas kasutatakse kahetasandilist autentimist ja kaugtöö käib VPNi krüpteeritud tunnelite kaudu?

• Taga ärikriitiliste andmete varundamine: kuna 100% turvalisust ei ole võimalik saavutada, tuleb ettevõtte jaoks olulisi andmeid varundada, sest need võivad muidu kergesti kaotsi minna näiteks seadmerikke või krüptoründe tõttu. Lisaks andmete varundamisele tuleb nende taastamist ka korrapäraselt testida.

• Monitoori pidevalt sisevõrgus toimivat: tänapäevased aktiivsed tulemüürid suudavad võrguliiklust analüüsida ja teavitada automaatselt anomaaliatest. Kui tulemüüri, võrguseadmete, viirusetõrje, VPNi ja teiste oluliste süsteemide logid kokku koondada ning analüüsida neid SIEM-süsteemis, siis on võimalik ennetada ligi 90% turvaintsidentidest ja riskikohtadest juba enne suurema kahju tekkimist.

• Tõsta töötajate turvateadlikkust: töötajate koolitamine küberhügieeni alal aitab ära hoida küberintsidentide levikut hooletusest või teadmatusest ning vähendada enamikke IT-riske, mida üksnes tehnoloogia ja protsesside täiustamisega ei maanda. Lisaks tuleb anda töötajatele selged käitumisjuhised, mida teha küberintsidendi korral.