Elisa infoturbejuht: küberpätid kolistavad nüüd juba automaatselt igat ust
Meediast võib tihti lugeda lugusid, kus mõnd ettevõtet või teenust on küberkurjategijate poolt väga eesmärgipäraselt rünnatud, olgu põhjuseks maailmas valitsev poliitiline olukord või midagi konkreetse organisatsiooni poolt tehtut. Kuigi väga sihitud rünnakuid tuleb ette, siis ei tohiks end liiga turvaliselt tunda ka peamiselt avalikkuse pilgu alt eemale jäävad ettevõtted – valdav enamus rünnakutest töötab täna puhtalt automaatika peal ning “robotid” üritavad läbi pääseda igast teele ette jäävast uksest, hoolimata killukenegi sellest, kelle uksega tegu on, räägib Elisa infoturbejuht Mai Kraft.
Järjest laiem automaatika kasutamine tähendab ka seda, et võitlus küberkurjategijate vastu peab tänapäeval toimuma ööpäevaringselt ja 365 päeva aastas – laiskust, lohakust või oskamatust kasutatakse ära kiiremini kui kunagi varem. Kuigi automaatne süsteem ei suuda enamasti ise klientide andmeid kaasa haarata, siis suudavad need kiirelt nõrgad kohad kätte näidata – mida kõvemini uks koliseb, seda kõrgemale tõuseb ettevõte “päriselt” rünnatavate sihtmärkide edetabelis.
Mitmetahulises ja kiiresti muutuvas küberrünnakute maailmas peavad ettevõtted seega võrdselt panustama mitmel rindel. Kuigi küberturvalisust aitab tagada suur hulk erinevaid turvameetmeid, siis vähemalt baastasemel kaitse tagamiseks tuleks igal organisatsioonil mõelda kolmele suuremale aspektile.
Turvalisusele tuleb mõelda algusest peale
Viimastel aastatel on ettevõtete ja ka riigiasutuste süsteemidest avastatud väga mitmeid kriitilisi turvanõrkuseid ning oma viimases küberturvalisuse aastaraamatus tituleeris RIA 2021. aasta isegi tõrvanõrkuste aastaks. Kuna küberkurjategijate jaoks ei ole vahet, kas rünnaku sihtmärgi näol on meeletu andmebaasi ja süsteemidega suurfirmaga või e-poega, kus töötab üks-kaks inimest, siis on turvanõrkused ja kuulikindla IT-taristu üles ehitamine midagi, mida ei saa tähelepanuta jätta keegi – kui kurjategija leiab midagi väärtuslikku, siis ta seda ka tahab, hoolimata sellest, kellele vara hetkel kuulub.
Niisamuti on oluline meeles pidada, et turvalisusele tasuks mõelda juba süsteemide loomise käigus, olgu hinnatud varaks vaid üks oluline andmefail või suur ports ärisaladusi ja kriitilisi teenuseid. See eeldab, et süsteeme ja taristut luues mõeldakse sellele, milline peab nende turvatase olema ja vastavalt sellele pannakse paika ka pädevad turvareeglid ja -nõuded. Security by design võis aastaid tagasi olla vaid uhke moesõna, kuid tänapäeval IT-d tehes on see midagi, millest ei saa üle ega ümber.
Iga inimene teeb vigu
Enamikes ettevõtetes, kus süsteeme, faile, andmeid ja töötajaid on rohkem kui paar, enam ainult paroolist ja andmete krüpteerimisest ei piisa. Mida suuremaks ettevõte kasvab, seda rohkem tuleb mõelda ka arvutite füüsilisele kaitsele, telefonide turvalisusele, süsteemide arhitektuurile ja muidugi töötajate turvateadlikkusele. Ka kõige kogenum turvatiim ei suuda ettevõtet kaitsta, kui oma inimesed hooletusest, laiskusest – või mis kõige hullem – teadmatusest uksed lahti jätavad.
Õnneks aga on teadmatus tihti kõige lihtsamini kõrvaldatav riskifaktor, kui sellele vaid õigel ajal ja regulaarselt tähelepanu pöörata. Oma töötajate turvateadlikkuse tõstmine peaks iga küberturvalisusesse panustava ettevõtte jaoks olema sama oluline kui tulemüüri ja paroolide olemasolu. See muidugi ei garanteeri, et töötajad social engineering rünnete ohvriks ei lange, kuid iga natukene aitab. Küberturvalisus on skaala, kus iga uus meede aitab riski veidi langetada ning mida nutikamad ja teadlikumad on ettevõtte töötajad, seda väiksemaks muutub risk, et valus hoop jõuab ettevõtte pihta just läbi nende.
Turvalisus ei saa kunagi valmis
Erinevaid viise ettevõtete nõrkuste ära kasutamiseks, avastamiseks ja inimeste manipuleerimiseks on palju ja võib kindel olla, et just praegu mõtlevad küberpätid veel uusi ründevektoreid välja. Seetõttu peavad kaitsemüürid iga päevaga paksemaks muutuma ning kui üks osa sellest on uute kaitsemeetmete rakendamine, siis teise olulise poolena ei saa unustada ka olemasoleva hooldamist ning ilusa ja säravana hoidmist.
Seega on ülioluline, et ettevõtted viiks oma süsteemides kõik tarkvara- ja turvauuendused õigel ajal sisse ega jääks loorberitele puhkama, mõeldes, et kunagi sai töö tehtud ning nüüd saab jalad seinale visata. Kui küberkurjategija peaks oma screening’u käigus tuvastama, et ettevõte pole oma IT-süsteeme hiljuti uuendanud, viimaseid tarkvaraversioone kasutusele võtnud või kaitset parandanud, on lihtne muutuda sihtmärk number üheks.
Kuna enamasti küberkurjategijaid ei huvita, kelle käest nad oma ihaldatud sihtmärgi kätte saavad, paneb vananenud või liialt nõrkade süsteemide kasutamine kellegi peas kiirelt tulukese vilkuma – miks kulutada tunde ühe tipptasemel süsteemi ründamiseks, kui kuskil on täpselt sama hea sihtmärk, kelle aegunud või auklikust turvalisusest saab läbi joosta loetud minutitega.