Pandeemia oli soodne aeg küberkurjategijatele, kuna ettevõtetel polnud aega kodukontorite turvalahendustele mõelda ning kiiruga avatud e-poed olid kergesti haavatavad.
- Cybernetica küberturvalisuse osakonna müügi- ja partnersuhete juht Mai Mitt
“Pandeemia oli lihtne aeg küberkurjategijatele, kuna ettevõtjad pidid kiiresti reageerima ning saatma oma töötajad kodukontoritesse. Samas kaugtöö lahendused kodust töötamiseks ei pruukinud olla kõige turvalisemad,” tõdes Cybernetica küberturvalisuse osakonna müügi- ja partnersuhete juht Mai Mitt.
Sel perioodil loodi ka palju e-poode, kuna firmad pidid oma äri klientidele kiiresti kättesaadavaks tegema. Kuid need esimesed töötavad versioonid ei pruukinud kõige turvalisemad olla.
Samuti märgib Riigi infosüsteemi (RIA) küberturvalisuse aastaraamat, et 2021 oli turvanõrkuste aasta. Möödunud aastal tuli päevavalgele mitu kriitilist turvanõrkust, mis põhjustasid paksu pahandust nii Eestis kui ka mujal maailmas. Aeglane reageerimine turvaaukudele võimaldas mitmel juhul Eesti ettevõtteid ja asutusi kerge vaevaga rünnata.
IT-süsteeme üle maailma rünnatakse alatasa ning avastatud turvanõrkustest on palju kasu neile, kes üritavad selle abil rikastuda või mõju avaldada. RIA registreerib aastas rohkem kui 20 000 pöördumist ning enam kui 2300 tõsist küberintsidenti, millel on reaalne mõju süsteemile või selle toimimisele.
“Väga paljudel firmadel puuduvad IT-spetsialistid, rääkimata siis küberturbespetsialistidest,” sõnas Mitt. Kuid olukord on hakanud paranema ning just e-kaubanduse valdkonna ettevõtted on hakanud probleemi teadvustama. Cybernetica on märganud, et rohkem ettevõtteid otsivad koostööpartnerit, kes aitaks neil küberturvalisuse olukorda hinnata ja neid riske maandada.
Kaardista infovarad ja kriitilised äriprotsessid
Rääkides keskmisest tootmisettevõttest, soovitas Mitt, et esiteks tasuks koos IT-juhiga üle vaadata ja kaardistada ettevõtte infovarad ning millised on kõige kriitilisemad äriprotsessid, mille äralangemine küberründe tõttu tekitaks ärile kahju.
“Tavaliselt on need üsna selgelt teada, millised tootmisseadmed peaksid töötama kogu tööaja, et tagada tellimuste täitmine. Selle vara oskavad tootmisettevõtted väga lihtsalt enda jaoks ära kaardistada,” lausus Mitt. Pärast seda saab hinnata selle haavatavust turvanõrkuste skaneerimise tööriistade või auditi kaudu. E-poodide turvalisust saab kontrollida näiteks läbistustestimisega.
“Selline üldine teenus on digitaalse jalajälje analüüs, millega ettevõte saab väga madalate kuludega selgeks teha, millised on tema nõrkused väljastpoolt vaadatuna. Selle järgi saab hakata juba konkreetsemalt plaanima, millised on järgmised sammud,” lausus Mitt.
Kontrolli turvalahenduste pakkuja tausta
Koostööpartneri valikul soovitas Mai Mitt võtta valikusse vähemalt kolm firmat ning nende köögipoolega lähemalt tutvuda. Uurida tasuks nende spetsialistide taset, et millise kogemuse ja kvalifikatsiooniga inimesed selles firmas teenuseid osutavad.
Samuti tasub küsida enda ettevõttele spetsiifilist pakkumist, sest siis tulebki välja teenusepakkuja professionaalsus. “Tihti pakutakse valikust lihtsalt mingit teenust, kuulamata ettevõtte reaalset vajadust,” möönis Mitt. “Cybernetica eelis on see, et me pakume ettevõttele sellist lahendust, millest on reaalset kasu ning väärtus ettevõttele,” lisas ta.
Lisaks võiks küsida ka näidisraporteid teenuste kohta ja konkreetset eelarvet, et teha informeeritud otsus.
Mitt rõhutas, et kuigi ühekordne turvaaudit on väga kasulik, on parima tulemuse saavutamiseks soovitatav testida regulaarselt. Kui ettevõttes on küberturvalisuse riskid hästi juhitud, siis seda ei pruugigi sagedamini kui kord kahe aasta tagant vaja minna. Oluline on ka ettevõtte töötajate koolitused ja küberhügieen. Kui ettevõtte töötajad on teadlikud ja kasutavad parimaid teadaolevaid praktikaid, siis polegi vaja küberturvalisuse teenuseid kasutada nii suures mahus.
“Kui ettevõttes võetakse kasutusele uusi rakendusi või tehakse suuremahulist koodi muutmist ja uuendamist, siis tasub kindlasti mõelda sellele, et see kõik toimuks turvaliselt,” sõnas Mitt.
Mis on läbistustestimine ja miks seda vaja on?
“Läbistustestimine on sissetungirünnete imiteerimine turvameetmete toimivuse kontrollimiseks, tihti süsteemi sertifitseerimistestimise osana,” selgitas Cybernetica küberturvalisuse osakonna turvainsener Aivo Toots.
- Cybernetica küberturvalisuse osakonna turvainsener Aivo Toots
Testimise käigus kasutatakse meetodeid ehk imiteeritakse ründeid, mida kasutavad tüüpilised ründajad ehk häkkerid. Testimine viiakse sageli läbi n-ö ründaja vaatepunktist – omamata informatsiooni süsteemi sisemise toimimise kohta. Testimise aluseks on erinevad referents-metoodikad, lisaks aitavad testija isiklik pädevus ja kogemused.
Miks peaks ühel tootmisettevõttel või 10 inimesega väikefirmal vaja olema läbistustestimist?
Tasub mõelda, mis juhtub, kui tootmisettevõttes või väikefirmal jääb kriitilise tähtsusega seadme ründamise tõttu töö seisma üheks, kaheks või enamaks päevaks? Kas on olemas plaan selliseks olukorraks?
Kindlasti tasub konsulteerida spetsialistidega, nemad oskavad anda nõu, kas läbistustestimine võiks olla vajalik. Kindlasti ei ole tegemist hõbekuuliga, mis lahendab kõik probleemid.
Kuidas Cybernetica seda läbi viib? Kaua see aega võtab ja milline on testimise tulemus?
Läbistustestimist viiakse läbi kas distantsilt või kliendi juures kohapeal. Kuna tegemist on teenusega, mis võib süsteeme “katki teha”, on oluline, et kõik potentsiaalselt mõjutatud osapooled oleksid testimisest teadlikud. Ohutum on viia testimist läbi test/arendus-keskkonnas, mis on võimalikult sarnane toimiva tootmissüsteemiga.
Ühe testimise iteratsiooni kestus võiks olla 3–8 nädalat ning suuremad projektid võiks tükeldada osadeks. Vähemaga ei pruugi testijad jõuda minna piisavalt süvitsi, märkimisväärselt pikem testimine ei pruugi anda enam leide. Oluline on mõista, et läbistustestimise tulemuseks ei ole väide, et süsteem on rohkem või vähem turvaline, vaid testimiseks panustatud aja jooksul tuvastati ühel või teisel määral haavatavusi.
Tulemuseks on lühem kokkuvõttev raport ja pikem detailne tehniline raport, kus on välja toodud tuvastatud haavatavused, näited kuidas neid haavatavusi on võimalik ära kasutada, ja spetsialisti hinnang, millist mõju võiks ühe või teise haavatavuse ärakasutamine süsteemile avaldada. Testimise tulemusel leitud vigade parandamine vähendab tõenäosust sattuda automaatsete / vähem sihitud rünnakute ohvriks.
Cybernetica saab mais 25aastaseks
“Cybernetica on üks Eesti vanimaid IT-ettevõtteid. Kasvasime välja teadusasutusest ning tänase päevani on ka teadustöö tugev alus kõigele, mida me teeme. Meil on pikaajaline ja jätkuv kogemus olla Eesti e-riigi arendamisel strateegiline partner – näiteks on Cybernetica arendatud Eesti internetivalimised, mitmed missioonikriitilised teenused nagu maksu- ja tolliameti süsteemid ning nii Eestis kui ka mujal Baltikumis Smart-IDna kasutusel olev digitaalse identiteedi tehnoloogia. Oleme osalenud kõikide Eesti infoturbe standardite väljatöötamises ning kõrgeimatele nõudmistele vastav infoturve on alati vaikimisi olnud osaks sellest, mida me teeme. Lisaks Eestile teeme koostööd erinevate riikide ja asutustega globaalselt ning täna kasutatakse meie tehnoloogiaid rohkem kui 35 riigis üle maailma,” rääkis Mai Mitt.
Korduma kippuvad küsimused Cyberneticale küberturvalisuse kohta
Millised on TOP 10 ohukohad, mille vaates keskmine ettevõte võiks oma turvaolukorra hindamist teha?
- e-post (õngitsuskirjad) ja suhtlusründed
- autentimine (paroolide ristkasutus, vargused jms)
- kaasaskantavad seadmed (mälupulgal kaitsmata andmed, krüpteerimata kõvakettad jms)
- uuendamata tarkvara/riistvara
- turvareeglite mittemõistmine ja -jälgimine
- avalike võrguteenuste mõtlematu kasutamine (tundliku informatsiooni hoiustamine ja liigutamine avalikes pilveteenustes, Google Translate nt)
- kaitsmata võrkude kasutamine (avalik Wi-Fi jms)
- vastavus standarditele/nõuetele ei tähenda turvalisust
- puudulik koolitus
- IoT-võrku lubatakse kontrollimata turvalisusega (ka vaikeseadetega) seadmed
Kui haavatav on minu ettevõte küberrünnakutele?
Selle kontrollimiseks on näiteks haavatavuste skaneerimise ja läbistustestimise teenused. Antud teenused võimaldavad tuvastada erinevaid levinud haavatavusi. Tuvastatud haavatavuste lappimine vähendab riski langeda automaatsete, vähem sihitud rünnakute ohvriks. Ka ründajad on ärimehed – maksimaalne kasu võimalikult väikse kuluga, näiteks automaatseid ja vähem sihitud (käsitöö) rünnakuid on odavam läbi viia – kogemus näitab paraku, et ohvreid on ka niimoodi piisavalt.
Kuidas hinnata lõppkasutajate ehk töötajate kogemust ja käitumist?
Lähenemisi on erinevaid – näiteks regulaarsed koolitused koos testidega või võltsründed (nt õngitsuskirjade kampaaniad) tuvastamaks, kui hästi oskavad kasutajad neid ära tunda. Oluline on põhimõte, et usalda, aga kontrolli. Hirmuõhkkonna loomine õngitsuskampaanias ebaõnnestunute äramärkimisel ei pruugi anda soovitud tulemust.
Kuidas kontrollida faili viiruste vastu?
Antiviirus või spetsiaalselt selleks mõeldud keskkonnad, nagu näiteks CERT-EE, Cuckoo või VirusTotal.
Miks on krüpteerimine oluline?
Lihtsustatult öeldes, et kaitsta andmeid lubamatu ligipääsu eest – andmeid saavad kasutada ainult need, kellel on dekrüpteerimiseks vajalik võti. Oluline on, et krüpteerimine on mõeldud andmete turvaliseks edastamiseks (näiteks e-posti teel), mitte pikaajaliseks säilitamiseks.
Kas VPNi kaudu töötamine on turvatud?
Virtuaalne privaatvõrk on võrk, kus IT-süsteeme ühendavad turvalised tunnelid ebaturvalise avaliku võrgu, näiteks interneti kaudu; need luuakse krüptograafia vahenditega. Kasutatakse tüüpiliselt selleks, et turvaliselt ühendada geograafiliselt eri kohtades asuvaid kontoreid (võrke).
VPN võimaldab krüpteeritud ühendust näiteks kodust kontori võrku. See tähendab, et võrguliikluse sisu on varjatud (krüpteeritud). Küll ei kaota see ära aga muid riske – näiteks avalikus kohas näeb keegi kasutaja parooli sisestamist pealt. Tegemist ei ole hõbekuuliga.
Seotud lood
Rahvamassid, ekstreemsed ilmastikuolud, elektrikatkestus, probleemid tehnikaga, vara lõhkumine, veekogude lähedus ja keelatud esemed – need on vaid mõned näited, millega tuleb arvestada ühe ürituse turvalisuse tagamisel. Iga turvapartner peab kõikvõimalikud stsenaariumid läbi mõtlema, mis võib juhtuda ning mis võib minna valesti. Vahel võib pisieksimus ühe meeldiva koosviibimise hetkega rikkuda.