Jaanika Palm • 3 detsember 2019

Küberruumis olgu aknad ja uksed suletud

Kujutage ette, et teie tööruumis on kogu aeg aknad ja uksed pärani lahti ning iga soovija võib sisse tulla, kas või vandaalitseda ja lahkudes midagi kaasa haarata. Piltlikult just selline olukord valitseb organisatsioonis, kus ei ole hinnatud küberohte ega tehtud jõupingutusi küberuste ja -akende sulgemiseks.

RIA näidis libakirjast (kuvatõmmis)  

Küberrindel muutuseta

Hoolimata sellest, et kübermaailm muutub pöörase kiirusega, on senini kõige levinum ründeviis õngitsuskirjade saatmine. „Õngitsuskirjad olid olemas juba 1990. aastate alguses, kui internetikasutus hakkas muutuma igapäevasemaks ka tavainimeste seas. Kirjade kvaliteet on sellest ajast oluliselt paranenud ja skeemid, mida kasutatakse, on ajaga läinud keerulisemaks. Õngitsemiskirju on lihtne massiliselt laiali saata ning seetõttu on need siiani kõige levinum rünnakuviis,“ selgitas Riigi Infosüsteemi Ameti (RIA) CERT-EE infoturbe ekspert Janno Arnek.

„Vigases eesti keeles Nigeeria printside kirju kõik juba teavad ja oskavad need prügikasti suunata, kuid nagu iga tööstus, kohanevad ka kurjategijad ning õngitsuskirjad muutuvad salakavalamaks. Kui sa saad kirja, mis on korrektses eesti keeles, sinu kodupanga värvidega ja sul palutakse klikkida lingil, et minna edasi panga kodulehele, siis on suur tõenäosus, et linki klikitaksegi, sest kiri näib usaldusväärne,“ lisas Arnek.

Erinevaid IT-lahendusi, sh turvalahendusi pakkuva Primend OÜ pilveteenuste arhitekt Priit Timpson tõi välja, et õngitsuskirjade saatmine ongi lihtsam selliste suurte ettevõtete nimelt, millel on inimestele tuttav tugev tunnusvisuaal. „Inimeste teadlikkus õngitsuskirjadest on suurenenud, kuid ka petiste oskused on paranenud. Hiljaaegu oli juhtum, kus rahvusvaheline ettevõtte, mis arveldab iga kuu teatud kuupäevadel Saksamaal, sai vahetult enne tavapärast makseaega kirja, kus teatati, et arveldusarve on muutunud, ning saadeti uus arveldusarve number. Kõik oli korralikult vormistatud ja koostööpartneri sümboolikaga, vaid domeeniaadressil oli paar tähte ära vahetatud,“ selgitas Timpson. „See juhtum lõppes hästi, sest arveldusarve number oli lepingu osa ning selle muutmiseks oleks pidanud tegema lepingu muudatuse, mitte saatma ainult meili, ning see äratas kahtlust,“ rääkis ta.

Arneki sõnul on töökeskkonnas üks levinumaid õngitsuskirjade vorme kiire rahaülekande palumine ning seda tüüpi kirjad saabuvad tavaliselt ettevõtte finantsjuhile. „Sellise kirja puhul võib kurjategija olla teinud juba eeltööd. Võib-olla ta on juba eelneva õngitsusega saanud mõne ohvri, kes on sisestanud oma andmed õngitsuslehele, ning kurjategija on pääsenud ettevõtte meilisüsteemi sisse. Ta jälgib seal vestlusi ja õpib organisatsiooni tundma. Raha ülekandmise palvega kiri, mis jõuab finantsjuhini, on nii autentne, et ta võibki soovitud ülekande teha,“ seletas infoturbe ekspert Arnek. Ta soovitab kahtlust tekitavate ülekandepalvete puhul alati üle helistada ja kinnitust küsida. „Kindlasti ei tohi helistada kahtlust tekitava meili sigantuuris olevale telefoninumbrile, sest sellel numbril võib vastata kurjategija,“ hoiatas ta.

Primend OÜ tegevjuht Toomas Mõttus kiitis finantsjuhtide suurenenud teadlikkust. „Ärikultuur on aastatega paranenud ning enam ei saa niimoodi, et ülemus kirjutab raamatupidajale, et kanna kohe üle suur summa. Raamatupidajad küsivad kohe alusdokumenti,“ selgitas Mõttus, kuid lisab, et ka siin võib varitseda petiste hoolikalt punutud lõks. „Kui kelmid on ettevõtte siseelu meilivahetustes jälginud, siis võivad nad petukirjaga kaasa panna ka hoolikalt tehtud arve, mis ei tekita kahtlusi,“ rääkis ta. Ta tõi näite oma ettevõttest Primend, kus neil on pettuste vältimiseks kasutusel mitut inimest hõlmav arvete kinnitusring.

Kus andmeid hoida?

Kübermaailmas peetakse andmeid digitaalseks kullaks: andmeid krüpteerides on võimalik nende omanikult lunaraha nõuda ja pettusega saadud andmete abil saab uut kuritegu kavandada. „Mõtteviis, et me oleme väike Eesti ettevõte, kes meie andmeid ikka soovib, ei pea paika. Kui sa oled internetis, siis sa oled üks paljudest, keda küberpetised jahivad,“ rääkis infoturbe ekspert Arnek.

Mõttuse sõnul on ettevõtete andmete väärtus erinev. „Kõige täpsemalt määrab andmete väärtuse kurjategija jaoks see, kui olulised on need andmed ettevõttele. Organisatsioonil tuleb analüüsida ja hinnata, kui suur on kahju, kui puudub ligipääs meilidele või ei ole võimalik raamatupidamisprogrammi kasutada. Kujutage ette arhitektuuribürood, kes vahetab klientidega suuremahulisi disainifaile, ning küberrünnaku tõttu on süsteemid krüpteeritud. See tähendab, et tuleb tööprotsessid ümber korraldada ning samal ajal tegeleda süsteemi töökorda saamisega. Rääkimata konfidentsiaalsetest andmetest, mis on võõraste meelevallas,“ tõi ta hoiatava näite.

Kui ettevõte ei ole küberohte kaardistanud ja vajalikke „aknaid ja uksi“ sulgenud, siis võivad suuremat küberrünnaku riski tööandjale kujutada kaugtöö tegijad. „Kui tööandja soovib töötajaid kaugtööle lubada, siis ta peab kindlaks määrama riskid ja hindama, kas see on seda väärt. Meie näeme küberruumi monitoorides, et kaugtöö töölaua tööriistad on tihti avalikult kättesaadavad,“ muretses Arnek.

Pilveteenuste arhitekt Timpsoni sõnul tuleks andmete kaitsmisel kasutada alati kaheastmelist autentimist. Lisaks saab tööandja andmeid erineval moel kaitsta. „Tööandja saab määrata, missugustele andmetele ja millal töötaja ligi pääseb ning mida ta nendega teha võib. Näiteks kui töötaja ei viibi oma seadmega kontoris, siis ta ei saa andmeid alla laadida või muuta. Samasuguseid erinevaid piiranguid saab panna ka mobiiltelefonile. Näiteks ei saa töötaja telefonis tööandja faile alla laadida ega kuvatõmmist teha,“ seletas Timpson.

„Lahendusi on palju ja tööandjal tuleb valida oma organisatsioonile sobivaim,“ lisas ta.

Mõttuse sõnul on andmete kaitsmiseks oluline pakkuda töötajate vajadustega arvestavaid töövahendeid. „Kui tööandja ei paku töötajatele pilve salvestamise teenust, siis hakkavad töötajad andmeid hoidma sellistes kohtades, mille üle tööandjal puudub igasugune ülevaade ja kontroll. Kui tööandja on näiteks keelanud meilide lugemise telefonist, siis töötaja suunab oma töömeilid gmaili. Kui tööandja ei paku töö tegemiseks töötajale sobivaid võimalusi, siis leiab inimene need ise, kuid need ei pruugi olla piisavalt turvalised,“ ütles Mõttus.

Kurjategijad otsivad nõrgimat lüli

Nii RIA kui ka Primendi eksperdid leiavad, et inimesed on teadlikumad, kuid küberpettuste ja -kuritegude ennetamise vallas on veel palju teha.

„Meie ettevõttekultuur on veel selline, et küberturvalisuse peale mõeldakse liiga vähe ja liiga hilja. Kurjategijad kasutavad alati ära kõige nõrgemat lüli. Kui töötajad on hästi koolitatud, kuid IT-süsteemid on avatud, siis murtakse sealt sisse. Tuleb leida tasakaal töötajate teadlikkuse ja IT-süsteemide turvamise vahel,“ selgitas Arnek.

„Suuremates ettevõtetes investeeritakse IT-süsteemide turvalisemaks muutmisesse rohkem ja seal ka koolitatakse inimesi rohkem, aga nõrgimaks lüliks jääb alati inimene. Tehnoloogia abil saame oma küberruumi kaitsta ligikaudu 80% ulatuses, aga ülejäänu on inimese kätes ja inimene on ekslik,“ rääkis Timpson.

Arneki sõnul valitseb uskumus, et meie ettevõte küll ohvriks ei lange. „Inimesed, kes juhivad ettevõtteid ja on tööandjad, usuvad, et küberrünnakud neid ei taba. See hoiak on väga inimlik. See mõttemall kandub ka ettevõttesse,“ ütles ta. „Küberturvalisuse tagamisel on kõik töötajad olulised. Ka need, kes võib-olla kasutavad ainult meili. Küberturvalisus algab ka temast,“ lisas ta ning meenutas juhtumit, kus petturil õnnestus üks meilikonto üle võtta ja sellelt saata petukirju, mistõttu intsident eskaleerus.

Arnek tunnistab, et tal endalgi on mõnikord hoiak, et mis minuga ikka juhtub. „Ma olen ju iga päev teema sees ja tean kõike. Kui isegi minul kaob ohutunne ja seetõttu ka tähelepanelikkus, siis ettevõtte juhil on veelgi raskem turvasüsteemide vajalikkust mõista. Oluline roll on siin IT-juhil, kui organisatsioonis on olemas selline inimene, kes tutvustab juhile arusaadavalt võimalikke küberohte,“ lisas ta.

Primendi pilveteenuste arhitekt Timpson teab, et pahad liiguvad headega samas tempos ja vahel isegi kiiremini ning et see on küberturvalisust pakkuvatele ettevõtele paras väljakutse.

„100% kaitset ei saa kunagi, sest kurjategijad õpivad ja arenevad. Inimesi koolitatakse veel vähe, kuid uus generatsioon on ohtudest teadlikum,“ kinnitas Timpson ning innustas tööandjaid julgemalt küberturvalisuse ekspertidelt nõu küsima. „Ehitusettevõtja ei peagi teadma, kuidas oma ettevõtet küberkurjategijate eest kaitsta, kuid ta peaks tutvuma võimalustega kaitsta organisatsiooni küberrünnakute eest,“ selgitas Timpson.

Turvalisuse hind

Juba sõna „küber“ paneb paljud inimesed nõutult käsi laiutama. Kui sellele lisandub ka soovitus ennast selle ohtude eest kaitsta, siis võib nõutus ainult suureneda.

RIA ja Primendi eksperdid kinnitavad, et küberturvalisusesse investeerimine ei ole mahavisatud raha. „Küberturvalisusesse peab investeerima, sest kokkuhoid IT turvamise pealt tuleb millegi arvelt,“ kinnitas Arnek. Ta lisas, et ettevõtted saavad baaskaitse ka ise tagada ning kui see on tehtud, siis peaks mõtlema, kas ja missugust kaitset peaks veel teenusena sisse ostma. „Ei ole mõtet osta uusi uhkeid turvalahendusi, kui ettevõttes on lahendamata probleemid baastaseme varundamise, paroolide turvalisuse ja lihtsate teenuste konfigureerimisega,“ selgitas Arnek.

Põhilised asjad, millele ekspertide sõnul tuleb tähelepanu pöörata, on olulistest andmetest varukoopiate tegemine, tugevad ja teatava regulaarsusega vahetatavad paroolid ning kaheastmeline autentimine andmetele juurdepääsuks.

RIA CERT-EE infoturbe ekspert Arnek julgustab tööandjaid RIA poole pöörduma nõu saamiseks, aga ka juhul, kui märgatakse küberruumis midagi kahtlast. „Ühise turvalisema küberruumi saavutamiseks tuleks meid teavitada alati, kui teid on küberruumis rünnatud või selleks katseid tehtud. Informeerida tuleks ka juhul, kui te ei kannatanud kahju, sest kurjategija võib teilt teie märkamata kaaperdatud identiteeti kasutada muude pettuste kavandamiseks. Sellest teavitamine aitab välja selgitada, kui palju ja mis tüüpi rünnakuid Eesti küberruumis sooritatakse,“ selgitas Arnek.

Primend OÜ tegevjuht Mõttus kummutab arusaama, et küberturvasüsteemid on kallid ning et neid saavad endale lubada vaid suure rahakotiga tööandjad. „Need, kes arvavad, et turvasüsteemid on kallid, ei tea tänapäevaseid hindu. Arvatakse, et tuleb osta serverid ja tarkvara ja mis kõik veel, kuid nii see ei ole,“ kinnitas ta. „Paarkümmend aastat tagasi oli igal ettevõttel oma kodukootud meilisüsteem ja tuli palgata inimene, kes seda töökorras hoiaks, kuid praegu on võimalik see teenus paari euro eest kuus tellida ning see on juba ka turvatud: kõigist andmetest tehakse koopia ja viirusetõrje on e-postisüsteemi sisse ehitatud,“ rääkis Mõttus. Tema sõnul on saadaval mitmeid turvapakettide standardlahendusi, mida saab endale lubada ka väikeettevõte. „Alati peavad olema tehtud varukoopiad ja paroole tuleb vahetada,“ tuletas ta lõpetuseks veel kord meelde.

TUTVU kampaaniaga ''Ole IT-vaatlik'' lähemalt SIIN.

Artikkel ilmus Tööinspektsiooni ajakirja Tööelu talvenumbris.

Jaga lugu:
SEKRETÄRI UUDISKIRJAGA LIITUMINE

Telli olulisemad Sekretäriuudised igal nädalal enda postkasti.

Sekretär.ee toetajad:

Liina Leiten
Liina LeitenSekretar.ee ärijuhtTel: 51 84 004
Cätlin Puhkan
Cätlin PuhkanSekretär.ee reklaami müügijuhtTel: 53 315 700