Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Netis lööb välku, hangi piksevarras!
Paljud väike- ja keskmiste ettevõtete juhid arvavad, et küberriskid neid ei puuduta, sest neilt pole midagi võtta. See on rumal ja ohtlik seisukoht, kirjutab ASi CGI Eesti küberturbe valdkonna ärijuht Martti Kebbinau.
Foto: Aivo Kallas KliffKlaus
Küberturvalisuse trummi on Eestis, nagu ka mujal arenenud maailmas, taotud juba aastaid. Selgitustööd tehakse erinevatel tasanditel ning kahtlemata on inimeste teadlikkus tõusnud. Aga riigi infosüsteemi ameti (RIA) regulaarselt avaldatav „olukorrast küberruumis“ näib sellegipoolest rahutukstegev. Aasta varasemaga võrreldes on viimastel kuudel turvaintsidentide arv Eestis selgelt suurenenud. Iga kuu toob endaga kaasa keskmiselt 300 registreeritud rünnet ja intsidenti. Hoogustunud on väljapressimiskirjad ja lunavaraga nakatamine. Alles hiljaaegu toimus teenusetõkestusrünne järjekordse suurettevõtte (Ekspress Grupp) vastu.
Riigi infokaitsjad hoiatavad, et välisriikidest lähtuvaid koordineeritud rünnakuid Eesti ettevõtete ja riigiasutuste töö halvamiseks on tarvis endiselt pidada tõenäoliseks. Küberrünnakute alla on hiljuti langenud ka Soome valitsusasutused ja Leedu meediaväljaanded. Ning rääkides kogu maailmast, siis kasvavad järjekindlalt kiires tempos nii rünnete koguarv kui ka nende põhjustatud rahaline kahju.
Võib jääda juhusliku kuuli ette
See näitab, et risk küberrünnaku käigus „juhuslikust kuulist pihta saada“ on vaieldamatult suurem kui kunagi varem ning see suureneb jätkuvalt. Iial ei või teada, millal töötaja e-postkasti potsatab kiri, mis sisaldab küberkurjamite värskeimat kavalust ettevõtte arvutivõrku tungimiseks. Ning kui sissetungija endast kohe märku ei anna, läheb organisatsioonil keskmiselt aega 6 kuud, enne kui saadakse aru, et neid on häkitud.
Ehkki uudisekünnise ületavad peamiselt rünnakud suurettevõtete vastu, siis tegelikult on oluliselt sagedamini sihtmärgiks väike- ja keskmised ettevõtted – just seetõttu, et nende eeldatav kaitse- ja reageerimisvõimekus on madalam ning üldjuhul on nad turvameetmetesse vähem investeerinud. Reeglina on kergem rünnata sadat väikest ettevõtet kui üht suurt. Ning üsna levinud seisukoht, et „seni pole midagi juhtunud“ või „minu ettevõttest pole midagi võtta“, ei ole kuigi mõistlik. Tark peremees paigaldab piksevarda enne, kui välk sisse lööb ja maja maha põleb.
Alusta küberhügieenist
Keskmise ettevõtja jaoks on kogu IT-temaatika endiselt pigem keeruline ja võõras valdkond. See toodab omakorda ka suhtumist, et „kuna ma asjast päris hästi aru ei saa, siis on lihtsam mitte midagi teha ja loota, et ehk ei juhtu midagi“. Tegelikult on esimese kaitseliini loomine üsna lihtne ja selle tõhusus on võrreldav regulaarse kätepesuga viirushaiguste vältimisel. Oluline on panna paika mõned kindlad reeglid ja rutiinid ning nende täitmist järjekindlalt kontrollida ja juhtkonna poolt eeskuju näidata.
Organisatsiooni küberkaitse neli keskset elementi on regulaarne tarkvara uuendamine, andmete varundamine, kasutajaõiguste haldus ning kasutajate koolitamine. Eriti oluline on just viimane, sest elu näitab, et kõige sagedamini jõuab pahavara ettevõtte arvutivõrku töötaja avatud e-kirja või külastatud veebilehe kaudu. Töötajate teadlikkuse tõstmine nõuab pidevat ja järjekindlat tööd, mitte üksnes käskude-korralduste edastamist, ning eelistatavalt ka juhtkonna head eeskuju turvanõuete järgimises.
Selline esmatasandi turvataseme saavutamiseks vajalik küberhügieen peaks olema jõukohane ka väiksematele firmadele. Keerulisema tegevuse või suurema avaliku huviga ning tundlikke andmeid haldavad organisatsioonid peaksid ohu maandamiseks kindlasti kaaluma põhjaliku riskihinnangu, ohuanalüüsi ja tegevusplaani tegemist või looma lausa ettevõttesisese turvakeskuse. Ettevõtted, kus teemale sisuliselt läheneda suutev juht või spetsialist puudub, peaksid aga konsulteerima ekspertidega, et organisatsiooni infosüsteemi haavatavamad kohad üle käia ja neile lahendused leida.
Turvalisus on pidev pingutus
Küberründest tulenev otsene rahaline kahju ei löö ühtegi tõsist ettevõtjat võib-olla isegi kuigi valusalt: võimalik lunaraha, kulutused ründe tagajärgede likvideerimisele, tööseisaku tõttu saamata jääv tulu, need kümned ja sajad tuhanded eurod teeniks ju jälle tagasi. Hoopis valusam on mainekahju: isegi kui ründe ohvriks võib sattuda igaüks, siis kas ettevõte, kes seab ohtu oma klientide, koostööpartnerite või töötajate andmed, on ikka piisavalt usaldusväärne? Võib kuluda aastaid, enne kui usaldus taastub.
Kindlasti ei tohiks küberturvet võtta ühekordse projektina. Ükskõik kui põhjalik oli IT-turbe audit ja kui asjakohased selle tulemusel tehtud muudatused – et olla kaitstud, peavad küberturve, seire ja töötajate koolitus toimuma pidevalt, olema osa ettevõtte DNAst.