Autor: Indrek Kald • 7. mai 2021

Küberturbe koolitaja: mõnel firmal kulub mitu rünnakut, enne kui ollakse valmis end muutma

Mõnedel organisatsioonidel on selleks kulunud mitu küberrünnakut, enne kui ollakse valmis protsessi ja käitumist muutma, kinnitas küberturbe koolitaja Thea Sogenbits.
Äriturvalisuse ekspert ja IT Koolituse koolitaja Thea Sogenbits.
Foto: sogenbits.com

"Organisatsioonid on väga paljuski kasumile orienteeritud ning tihti ei soovita teha täiendavaid kulutusi ja toiminguid. Kui mõne turvanõrkuse paigaldamine tähendab, et tööprotsessis võib tekkida ajutiselt seisak, siis seda püütakse vältida," selgitas ta intervjuus.

Intervjuu IT Koolituse küberturbe teemade koolitaja Thea Sogenbitsiga:

Mida peaks organisatsioonid sotsiaalmeediat müügitööks või värbamiseks kasutades küberturvalisuse osas enim silmas pidama?

Valima endale hea mainega koostööpartnerid, kes pööravad tähelepanu sinu turvalisusele. Samuti tagama ise selle, et sinu kontot ei oleks võimalik kolmandatel osapooltel üle võtta.

Müüki toetava suhtlusena ja värbamiseks sotsiaalmeedia kasutamisel tuleks ennekõike tähelepanu pöörata oma organisatsiooni – aga ka suhtluspartneri – turvalisusele. Veenduda, et teine osapool on see, kelleks end väidab ning kui edastatakse dokumente või näiteks elulookirjeldust linkide või failide kaudu, siis veenduma enne avamist või lingil vajutamist nende ohutuses.

Eelmisel aastal olid levinud rünnakud, kus kandideerimisel saadetud CV lingi kaudu tungiti organisatsiooni võrku ja algatati infosüsteemi pealtkuulamine osana ärikirjapettuse skeemist.

Sotsiaalmeedia vahendusel suhtlemisel tasub kindlasti jälgida, et kanalites, mille üle puudub kontroll, ei avaldata ärisaladusi või infot, mida saab kasutada ettevõtte vastu sotsiaalse manipulatsiooni eesmärgil. Markantseim näide siinkohal on olnud potentsiaalsele tööle kandideerijale uksekoodi saatmine Facebooki vahendusel.

Kahjuks märksa levinum enese ohustamine on praegusel ajal sotsiaalmeedia või kiirsuhtlusrakenduste vahendusel krüpteerimata kujul kasutajatunnuste ning salasõnade edastamine koostööpartneritele, uutele töötajatele ja meeskonnaliikmetele, kelle parooli tuleb turvakaalutlustel uuendada.

Nüüd, kus Facebooki leke on hiljuti toimunud, kas ja mida peaks enda käitumises muutma? Ehk kuidas minimeerida selle võimalikku mõju?

Kui sinu andmed lekkisid või suheldakse inimesega, kelle andmed lekkisid, oleks vaja esmajärjekorras vahetada parool ning veenduda, et konto ei ole kolmandate isikute poolt üle võetud või teie suhtlust kolmandad isikud teile teadmata ei jälgi. Võimalusel aktiviseerida ka mitmetasandiline isikutuvastus.

Taoliste lekete korral ei saa enam eeldada, et Facebooki kasutajanime taga olev inimene on sama, kellele me arvame selle konto kuuluvat. Teatud olukordades ründaja ootab vaikselt ja jälgib ning kui näeb võimalust, võtab vestluse üle, et rünne läbi viia.

Mille järgi saada aru, et sissetulev kiri või sotsiaalmeedia postitus on tegelikult rünnak?

Kõigepealt tuleb veenduda, et saatja on see, kes väidab end olevat ning kas kiri tuleb tavapäraselt selliseks suhtluseks kasutatavalt kontolt. Järgmisena tasub kontrollida kirja sisu ja mõelda, kas sellise sisuga kiri sellisel ajal ja selliselt saatjalt on tavapärane.

Kui näiteks ülemus ei saada tavapäraselt maksmiseks minevaid arveid sellise sõnumiga kirja manuses, siis tasub kindlasti enne üle helistada ja uurida, kui manusele vajutada. Meeles tasub pidada, et kontaktandmeid, kuhu isiku tuvastamiseks helistada, ei tasu võtta küsimust tekitanud sõnumist.

Seejuures eelmisel aastal Eestis enim pahandust teinud kirjaründed tulid küll õige konto kaudu (ligipääs saadi meilikontole), kuid kirja sisu järgi oli võimalik aru saada, et täpselt sellises sõnastuses ja manusega saadetist sellelt inimeselt ei oodatud.

Kuivõrd suur veebitarbimine käib nutiseadmete kaudu, siis kui oluline on nende kaitsmine eraldi? Ja kas seda vajadust teadvustatakse endale?

Kindlasti tuleb rakendada kõiki tavapäraseid ettevaatusabinõusid ka nutiseadmes. Seejuures on väljakutseks, et mitmed tegevused – näiteks linkide või saatja e-posti aadressi kontrollimine – on märksa lihtsamad arvutis kui nutiseadmes.

Seega võiks näiteks kahtlaste kirjade manuste avamise ja linkidele vajutamisega oodata, kuni saadakse sama sõnumit vaadelda ka arvutis.

Üle tasub vaadata ka manuste alla laadimise ja avamise seadistus nutiseadmes. Vaadata, et seadmesse ei jääks peale manuste avamist või alla laadimist üleliigseid faile, mille lekkimine võib tekitada kahju.

Kindlasti kasutada ja aktiveerida seadme turvalisus ja privaatsusseaded ning tarbida veebi ja sotsiaalmeediat vastutustundlikult. Tähelepanelik tuleks olla SMSidega, mis sisaldavad linke.

Kuivõrd vajaks maandamist väikeettevõtete hirm, et küberturvalisus on keeruline ning kulukas valdkond või et nad lihtsalt ei saa nn tehnilistest inimestest aru?

Tehnoloogilised turvelahendused on omal kohal: tulemüürid, viirusetõrje, võrgu turve jne. Päris palju on võimalik mõistliku hinnaga sisse osta. Kuid küberturvalisus saab ennekõike alguse inimestest. Küberturve toimib siis, kui see on osa organisatsiooni äriprotsessidest ja ärikultuurist.

Muul juhul on tehnilised lahendused ainult illusioon sellest, et ollakse turvatud. Keerulistest asjadest saab rääkida väga lihtsalt ja kõigile arusaadavalt. Sama on ka küberturbega.

Kas Eesti ettevõtted tegelevad küberturbe teemal peamiselt ennetamise või tagajärgede likvideerimisega?

Enamasti tehakse küll ennetavad investeeringud erinevatesse võrgu ja lõppkasutaja turvarakendustesse, kuid kahjuks äriprotsessi ja -kultuuri turvaliseks muutmiseni jõutakse valdavalt tagajärgede likvideerimise käigus.

Mõnedel organisatsioonidel on selleks kulunud ka mitu rünnakut, enne kui ollakse valmis protsessi ja käitumist muutma. Isegi lihtsates asjades, mis organisatsioonile mitte midagi maksma ei lähe, kuid eeldavad tööd inimestega ja nende teadlikkuse tõstmist.

Kui palju ohtudest saab hea küberhügieeniga kõrvaldada?

Kindlasti ei saa ka hea küberhügieeniga tagada seda, et rünnakuid ei toimu. Aga hea küberhügieeni ja äriprotsessi ning poliitika kohandamisega on võimalik oluliselt vähendada rünnakute mõju organisatsioonile ja kaasnevaid kulutusi. Teadlik käitumine ja oskus ohte ära tunda ning teada, kuidas neid kohates käituda on suur osa võidust. Üks teadmatusest või tähelepanematusest tehtud vajutus võib tuua kaasa suure majandusliku kahju.

Võtame näiteks olukorra, kus kaks Eesti mõistes samas sektoris tegutsevat suurettevõtet on mõlemad sinu kliendid, aga omavahel konkurendid. Sisereeglid näiteks sätestavad, kuidas turvaliselt kliendile sinu organisatsiooni kasutajat teha ja talle vajalik juurdepääs luua.

Nüüd teadmatusest või kiirustades töötaja eksib nende reeglite vastu ning annab konkurendile juurdepääsu teise organisatsiooni kontole. Kogemata. Sellega aga lekib sinu kaudu konkurendile väärtuslik ärisaladus...

Kus võidakse tihedamini või lihtsamini viga teha, mille tulemusena hiljem tekib andmeleke või langetakse küberrünnaku ohvriks?

Enamasti on tegemist inimliku veaga. Näiteks kui on teemad, mida organisatsiooni infosüsteemi kasutamise sisereeglistik või juhised ei käsitle või kui inimesed ei järgi tegelikult etteantud protsessi.

Samuti mitmed tehnilised vead tulenevad inimlikest vigadest: tähelepanematus, oskamatus, uus ja tundmatu olukord või teadmatus, et taolised tegevused või otsused võivad kaasa tuua tagajärjed. Kõigil juhtub.

Kuigi see ei ole alati emotsionaalselt lihtne, siis harjumuste ja protsessi muutmisega on tihti väikese rahalise kuluga võimalik saavutada väga palju.

Kui palju on kaugtöö ebaturvalisem kui kontoris töötamine?

Kindlasti on kaugtööd tehes riskid kõrgemad. Kontoris vastutab tööandja perimeetrikaitse eest. Iga töötaja kodus ei ole seda tööandjal kuidagi võimalik teha. Väljaspool kontorit ei saa tööandja tagada, et töötaja tahtlikult või tahtmatult ei võimalda tööandja süsteemidele ja andmetele juurdepääsu. Kontoris on kolleeg, kellega tekkinud olukordi ja küsimusi arutada. Kodus on käepärast selleks teised inimesed.

Oluline risk kaugtöö puhul on oht, et kolmas osapool näeb või kuuleb kõrvalt midagi, mis pole talle suunatud või pääseb füüsiliselt ligi töövahendile. Alati ei ole vaja ligi pääsemiseks saada käsi klaviatuurile, vaid piisab ka avatud Bluetooth-ühendusest või turvamata wifi-võrgust.

Andmete või teenuste n-ö pilve panek levib üha enam. Kuidas see turvalisust suurendab? Ja samas mis riske kätkeb?

Ettevõtte jaoks võib pilveteenuste kasutamine hajutada vastutust ja vähendada igapäevast halduskoormust ning olla odavam kui ise kogu infrat üleval pidada ja vajalikku personali palgata. Kindlasti tuleb aga koostööpartneri osas olla väga valiv ning lugeda ka lepingu nn väikest kirja, et veenduda, kas teenusepakkuja ikka pingutab küberturvalisuse nimel, on kursis uute ründevektorite ja kaitselahendustega ning kes vastutab ja hüvitab tekkinud kahju.

Samuti on oluline, et oleks olemas kindlustus ja plaan, mida teha andmelekete korral või juhul kui teenusepakkuja ise satub ründe ohvriks nii õnnetult, et sinu andmeid ei ole enam võimalik taastada.

Oht on ka selles, et peale teenusepakkuja või sinu vastu suunatud rünnet sa avastad, et lepinguga ei ole varundus tellitud ning oma andmetele juurdepääsemiseks on vaja nüüd täiendavalt maksta.

Ja alati on võimalus – nagu ka majasiseste lahendustega –, et teenusepakkuja andmelekke tagajärel on kõik sinu pilves olevad andmed mustal turul müügiks või internetis tasuta allalaetavad.

Kuidas mõjutab turvalisust masinõppe, tehisintellekti ja asjade interneti levik?

Masinõpe ja suurandmed ning ka asjade internet muudavad ettevõtlust mugavamaks ja otsustamist informeeritumaks, kuid loovad ka võimalusi uut tüüpi küberrünnakute tekkeks.

Masinõpe on leidnud oma niši ärikirjapettustes ja äriprotsessipettustes, aga leidub ka mitmeid kurivara arendajaid, kes pakuvad uue kooli ründevara, mis kasutab ära nii suurandmeid kui ka asjade internetti. Mida rohkem ollakse maailmale avatud, seda rohkem on ka võimalusi, kuidas sinu süsteemiga saavad tutvuma tulla need, keda sa külla ei oota.

Kuivõrd on Eesti ettevõtteis kasu olnud andmekaitseametnikest?

Andmekaitseametnike roll on ennekõike seotud ELi isikuandmete kaitse üldmääruse järgimise tagamisega ja valdkondliku kohaliku õiguse järgimisega organisatsioonide tegevuses ja protsessides. Isikuandmete kaitse korraldusel on reaalne mõju meie kõigi andmete kaitsele ning ka meie privaatsusele.

Vastutustundlikul andmetega ümberkäimisel on positiivne mõju ettevõtetele mitmes vaates: andmetöötluses minimaalsuse printsiibi jälgimine, vähendades sellega liigset ja mitteasjakohast andmetöötlust. Näiteks läbimõeldud protsess ja kohandatud reeglid aitavad vähendada seda, et töötajad isiklikust huvist käivad teiste andmeid vaatamas: mis teenuseid naaber kasutab ja kui suured ta arved ikka on.

Miks Eesti IT-juhid ja IT-ettevõtted ei tähtsusta turvanõrkuste paikamist?

Organisatsioonid on väga paljuski kasumile orienteeritud ning tihti ei soovita teha täiendavaid kulutusi ja toiminguid. Kui mõne turvanõrkuse paigaldamine tähendab, et tööprotsessis võib tekkida ajutiselt seisak, siis seda püütakse vältida.

Paljus on nõrkuste paikamisel või võimalike rünnete tõkestamisel takistuseks ka organisatsiooni sisene vastuseis, kui need tegevused toovad kaasa harjumuspärastesse tegevustesse muudatusi.

Näiteks kui turve soovitab kasutusele võtta MFA [mitmeastmeline autentimine], aga tavatöötajad ja juhid tunnetavad seda kui mugavustsooni kadumist. Või kui selgub, et organisatsioonis kasutusel oleval rakendusel on tuvastatud kriitiline turvanõrkus ja mitmel pool toimub juba ka seda nõrkust ära kasutavaid ründeid, ning vajalik oleks kasutusele võtta näiteks kas teine veebilehitseja või rakendus või teine töövõte.

Tavakasutaja jaoks tähendab see olulist muutust tema igapäevategevustes ja organisatsioonilt saadaks palju negatiivset vastukaja. Osadel juhtudel eeldab see ka täiendavaid investeeringuid arendusse või teise rakenduse litsentside soetamist. Lihtsam on loota, et midagi ei juhtu, kui käia kogu see valulik protsess läbi.

Millised on suuremad eksiarvamused, mida oma töös seoses küberturvalisusega näete?

1. Turvalisus on tehniliste inimeste teema ja see ei puuduta tavatöötajat – tegelikult on turvalisus meie kõigi vastutus ja toimib koosmõjus: kuidas käitume, suhtume ja milliseid valikuid teeme tööandja vahenditega, samamoodi ka see, milline on meie käitumine isiklikus elus. Samuti sõltume teenusepakkujatest ja ka kõigist nendest, kellega oleme digitaalses suhtluses.

Toon näite: äpid, mida kasutame isiklikes seadmetes, ei pruugi olla piisavalt turvalised tööandja seadmetes kasutamiseks. Kui tööandja lubab isiklikest seadmetest e-kirju lugeda ja oma infosüsteemile juurdepääsu, siis isikliku seadme pahavaraga nakatumise korral on ohus ka tööandja infosüsteem ja seadmed.

Isiklik seade võib nakatuda nii selle tagajärjel, et jäetakse uuendused tegemata, ei kasutata pahavarakaitset või näiteks vajutatakse suhtlusrakendustes saadetud kahtlastele linkidele. Kahtlane link tuleb küll tuttava isiku kaudu, aga isiku konto on kaaperdatud ning seda kasutatakse pahavara levitamiseks. Pahavara jõuab isiklikku seadmesse ja sealt juba tööandja infosüsteemi.

2. Kui rünnakut ei ole näha, siis rünnet ei toimunud – tegelikult on paljude rünnete eesmärk jääda esmapilgul märkamatuks. Inimene vajutab talle saabunud kirjas olevale lingile, avanev leht "mõtleb" pikalt, leht pannakse kinni ja usutakse, et kõik on hästi ja midagi halba ei juhtunud, kuna rünnet ei olnud näha.

Või leht avaneb ja inimesel palutakse soovitud sisule juurdepääsemiseks (arve, dokument, video jms) sisestada oma kasutajanimi ja parool. Inimene sisestab küsitud andmed, kuid midagi ei juhtu. Arvatakse, et ju läks midagi valesti. Tihti isegi korratakse protsessi, sisestades mõne teise konto andmed ja lõpuks loobutakse.

Selle tegevuse käigus said aga ründajad kätte väärtusliku info ning võis juhtuda, et seadmesse paigaldati ka pahavara, mille kaudu saadakse juurdepääs juba palju enamale. Pahavara aga ei pruugi pahavaratõrje kätte saada, kuna tegu on talle uue ja seega tundmatu ja raporteerimata pahavaraga või pahavaraga, mis püüab oma koodi muutes end viirusetõrje eest peita.

Ründe ohvriks olemisest võidakse teada saada palju hiljem: siis kui ohvriga võtavad ühendust temaga varasemalt suhtluses olnud inimesed ja annavad talle teada, et tema konto alt saadetakse välja kahtlaseid kirju. Või kui näiteks tema seadmes ja selle abil saadud andmed on tumeveebis müügis. Või kui ta avastab, et tema identiteeti kasutades on tehtud tehinguid.

3. Meiega seda ei juhtu – reaalsus on see, et juba juhtus, aga sa veel ei tea, mis juhtus, kuidas juhtus ning millal ja kustkaudu see ilmsiks tuleb. Tänane kaitse peaks olema tulevikku suunatud. Vaja on võtta aega planeerimiseks, kogu meeskonnaga olukordade läbimängimiseks ja kui ollakse ründe all või selgub, et rünne on juba toimunud, lahendada asju olukorrast tulenevalt ja teades, et varasemad plaanid ei toimi.

Toimib oskus oma meeskonnaga koostöös leida sellel hetkel sobivad lahendused. Suure töö saab ära teha sellega, et valdkonnast omavad teadmisi kõik organisatsiooni liikmed ja saadakse aru, millest on jutt. Igaüks teab oma rolli ning teab ja ka tegelikult juhindub talle antud teadmistest ja reeglitest.

Kui kodukontorist ja isiklikust seadmest töötavale töötajale on antud suunised kindlasti kasutada teatud operatsioonisüsteemidega viirusetõrjet, tulemüüri ja organisatsiooni sisevõrku ühendumiseks VPNi, siis sellest protsessist on vaja kinni pidada, mitte proovida leida mugavamaid lahendusi.

Näiteks viirusetõrjet kasutamata jättes, kuna teatud lehekülgi külastades muutub viirusetõrje häirivalt aktiivseks või takistab kasutajat.

4. Väga palju saab tegelikult ära teha kohandades ja parendades äriprotsessi – äriprotsess on vaja disainida turvaline ja hoida seda turvalisena. Paljud tehnilised lahendused muudavad meie elu mugavamaks, võimaldavad kiiret reageerimist turuolukorrale ja kliendi soovidele, saada andmeid kätte, kus iganes viibides ja toimetada sealt, kus parajasti ollakse.

Kuid see kõik toob endaga kaasa ohte. Oluline on vaadata suurt pilti, hinnata riske ja teha teadlikke valikuid ning olla valmis koheselt reageerima ja oma taktikat muutma.

Registreeru IT Koolituse klassikoolitusele meeskonna ja organisatsiooni kaitsmisest hübriidohtude eest SIIN.

Thea Sogenbitsiga koostöös valmis küberturvalisuse e-kursus

Liitu ITuudiste uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Indrek KaldITuudised.ee toimetajaTel: 511 1112
Anne WellsReklaami projektijuhtTel: 5880 7755