Kasvab interneti riskiaste

Suve lõpp sarnaneb põnevusfilmi stsenaariumile. Valget Maja ründavad Aasia häkkerid. Liikvel on ?Code Red?-nimeline ussviirus, SirCami ja teiste krüptiliste lühendite taha varjuvad arvutiviirused, mis on sama vastikud kui suvine gripp.

Interneti kasvav kasutamine suurendanud ka selle riskiastet. Viiruserünnet võib võrrelda olukorraga, kus keegi kõnnib sisse firma kontorisse või lattu ja lihtsalt ?kustutab? sealoleva vara. Õnneks ei olnud SirCam siiski läbini destruktiivne, piirdudes halvemal juhul vaid konfidentsiaalse materjali avalikustamisega.

Või võtame Code Redi. Mida teeks Hansapank, kui ühel heal päeval keegi tema kontoritele lihtsalt plangu ette ehitaks? Aga sama juhtus mitmete tuntud ettevõtete veebiserveritega. Maailmas hinnati selliste juhtumite arvuks 350 000 ning kogukahju miljardites dollarites.

Internet ja veeb on nagu iga teinegi infrastruktuur, millesse tuleb investeerida, seda hooldada ja amortiseerida ning vajalikke turvameetmeid tarvitusele võtta. Oma sidevõrkude ja digitaalsete andmekandjate kaitsmine on sama elementaarne kui autoalarmi paigaldamine, sest see vähendab ettevõtte varadega seotud riske. Füüsilise vara puhul on iseenesestmõistetav selle kindlustamine ja valvamine, digitaalsel kujul hoitava vara osas on suhtumine seevastu radikaalselt boheemlaslik.

Töötan andmeturbefirmas ja näen igapäevaselt, milline on ettevõtete tase oma info eest hoolitsemisel. Tänases Eestis on avalik sektor mäekõrguselt erasektorist digitaalse vara hoidmisel ees, välja arvatud mõnest suuremast infrastruktuuri ettevõttest. Minu naiivse ja idealistliku arusaama kohaselt on Eesti riik lihtsalt liiga vaene, et oma digitaalse varaga hooletult ringi käia.

Mitmed välisriikide saatkondade esindajad unistavad sellisest VPN-lahendusest (Virtual Private Network), nagu seda on Eesti välisministeeriumil, kus kõik saatkonnad on ühendatud ühtsesse turvalisse privaatvõrku. Millise sidekulude kokkuhoiu see annab, ei taha nad mõeldagi. Sarnast lahendust kasutavad justiitsministeerium ja paljud teised riigiasutused.

Code Redi ja SirCami puhul ei olnud kuulda, et riigi infosüsteemid oleksid massiliselt rivist väljas olnud, küll aga saabus ja saabub siiani viirustega meili mitmete tuntud firmade aadressilt. EMT oli sunnitud tunnistama, et www.airport.ee on maas just Code Redi tõttu.

Andmeturve ei ole suurfirmade luksus või riigi priiskamine. Eestis tegutseb mitmeid andmeturbefirmasid ning laialt on kättesaadavad erinevas kaalukategoorias andmeturbetooted ja -teenused.

Uuringufirma Gartner hinnangul kasvavad ettevõtete kulutused andmeturbele (riist- ja tarkvara, füüsiline valve ja inimeste koolitus) aastaks 2011 kümnekordselt, moodustades 4 ettevõtete kogukäibest, võrreldes 0.4ga käesoleval aastal.

Computer Security Institute?i uuringus leiti, et keskmine kahju arvutikuriteo tagajärjel on 2 miljonit USA dollarit. Selgus, et arvutiviirused on kõige levinum risk, aga äriinfo varastamisest tulenev kahju moodustas poole rahalisest kahjust.

Eesti puhul on absoluutsummad kindlasti väiksemad, kuid suhtarvud mitte oluliselt erinevad, arvestades infotehnoloogia kasvavat osakaalu igapäevaelus. Arvan, et paari aasta pärast on infoturbeaudit kohustuslik osa firmade iga-aastaset auditist, arvestades digitaalse kujul hoitava vara osakaalu firma varade struktuuris.

Andmeturbe temaatika on tehnoloogiarikas ja lai, aga kokkuvõttes soovitan vaadelda seda mitte kui tehnoloogilist küsimust, vaid kui riskide haldamise küsimust, millega tegeleb tavaliselt firma juhtkond. IT-mees on siin täideviija, mitte varahoidja rollis.

Oma digitaalse vara hoidmine eeldab süstemaatilist tegevust riskide hindamisel, nende haldamisel ja vastavate meetmete tarvitusele võtmist, milles firma juhtkond peab aktiivselt osalema. Iga firmajuhi kohus on kaitsta ja hoida aktsionäride ja firma vara, niisiis vaktsineerige end korralikult enne sügiskülmade tulekut.

Autor: Indrek Kasela