3. aprill
Jaga lugu:
Arvamused
Ainult tellijale

Miks on meie küberhügieen nii kehv?

Eesti elanikele meeldib endast mõelda kui puhtast, hoolsast ja töökast rahvast, ent on üks teema, kus oleme üsna räpakad ja laisad – see on küberhügieen, kirjutab Security Software'i infoturbeanalüütik Ats Onemar.

Ats Onemar.  Foto: DianaUntPhotography

Võib-olla oleme selles valdkonnas isegi paremad paljude teiste riikidega võrreldes, kuid meie küberhügieen pole siiski kaugeltki mitte vajadustest lähtuv. Oleme selle eest hoolitsemise osas laisad ja seda eriti eraettevõtluses, sest isegi kui riigil on teatavad küberhügieeninõuded olemas ja puhtuse mõõtmine auditi näol toimib, siis erafirmades on palju kehvemad lood.

Kübermustuse osas pannakse ettevõtetes silm kinni ja ignoreeritakse seda kui ebamugavat teemat. Ega siin pole suurt erinevust kätepesemise ja grippi nakatumise seosega. Kui ikka küberhügieeni eirata, siis on „haigus“ varsti käes. Kas ettevõte intsidendist terveneb, on tegu vaid nohuga või saadakse gripi tüsistusena ka südamelihasepõletik – see on siis juba varasema immuunsüsteemi tugevuse ja ravi küsimus. Kui enda tervise osas on teadlikkus aastate jooksul tõusnud ja gripivaktsiini kasutamine või haigusega kojujäämine on normaalsus, siis küberturvalisuse mõttes ei ole paljudel vaktsiinist veel aimugi.

Seega julgen väita, et tegu on süsteemse probleemiga, mille tulemust me igapäevaselt ajakirjandusest loeme. Enamik ettevõtteid vist ootavadki seda, et haigus tuleb läbi põdeda ja saabub immuunsüsteemi iseeneslik kaitsevõime. See ei ole nii. Samuti ei ole siin abi nõiasõnast või MMSist.

Seda kinnitavad ka riigi infosüsteemide ameti (RIA) igakuised küberruumi ülevaated. Nt märtsi ülevaates tõdeti, et aktiviseerusid ettevõtete vastu suunatud e-posti ja arvepettused. Lisaks kasutasid andmete kurjategijad õngitsemiseks ära Swedbanki ja SEB sümboolikat ning saatsid pahavaraga kirju Tallinna ülikooli ja Tartu ülikooli nimel.

Kuidas „haigusi“ ravimise asemel ennetada?

Üks asi on saata kasutajaid koolitustele, mis tõstavad teadmist ja annavad mõtteid, aga see ei tähenda veel, et „kätepesemisest“ saab uus normaalsus. See on aga üks esimene ja lihtsasti teostatav komponent. On, mille pinnalt ettevõttes diskussiooni algatada.

Teiseks leian, et suur roll on siin just ettevõtete juhtidel, kes kannavad endas ettevõtte väärtusi ja näitavad eeskuju. Kui juht leiab, et palavikuga on normaalne tööle ronida, vaatamata sellele, et pärast on kogu kontor gripiga siruli, siis see ongi normaalne selles ettevõttes.

Kolmandaks on oluline roll inforuumil. Neid hügieeninõudeid, nagu kätepesemise juhend WC seinal, saab juurutada läbi info jagamise ja meeldetuletamise. Selleks võib olla siseveeb, infokirjad, koosolekud – nende kaudu saad küberturvalisuse teemat meelde tuletada, kokkuleppeid teha ja isiklikult arenguvestlustel teemaks võtta, seada kasutajale arengueesmärgid ja küsida tagasisidet tekkinud murekohtade ja motivatsiooni osas.

Ravi pärast nakatumist

Nagu me kõik teame, siis gripi vastu vaktsineerimine ei tähenda veel immuunsust. Vaktsiini tõhusus sõltub sellest, kui hästi suudavad ravimitootjad uue hooaja võimalikke viirusetüvesid ette ennustada.

Samuti ei hoia küberhügieen alati intsidenti ära. Küberturvalisuse ja intsidentidega tegelemiseks on vaja ettevõtte sisemist valmidust, mille puhul on oluline nii organisatoorne kui ka tehniline pool.

Organisatsiooni valmidust näitab see, kas on olemas äri jätkumiseks vajalikud plaanid. Kas osatakse käituda olukorras, kui äri jaoks vajalikud andmed ei ole kättesaadavad või nendega on midagi juhtunud? Kas on teenuspartner, kes tuleb appi? See on nagu majahaldur, kes veeavarii korral tuleb ja aitab torud lappida või tuletõrjuja tulekahju korral.

Organisatsiooni vaates on ka äärmiselt oluline, et infoturvalisus, aga kitsamalt ka küberturvalisusega seotud ülesanded on organisatsioonis jaotatud, teenuspartnerid kaasatud või neile nõuded esitatud ja toimub pidev areng selles valdkonnas. Ega küberkuritegevus ei maga – see on kasumlikkuses juba aastast 2015 võistelnud narkokuritegevusega.

Tehnoloogia mõttes tasub ettevõttel lähtuvalt oma tegevusest ja organisatsiooni ülesehitusest võtta kasutusele just need asjakohased meetmed, mis on nii rahaliselt kui ka sisuliselt vajadusele vastavad. Kahjuks pole ühte või kahte võluvitsa sellel teemal. Tehnoloogia aitab kasutaja poolt majja lastud pahavaral kuhugi püünisesse kinni jääda või teeb võrku tunginud häkkeril raskemaks oma eesmärkide saavutamise ja tema tegevusele saadakse kiiremini jälile.

Oluline aga on teadvustada, et ammu on aegunud seisukoht, nagu oleks viirusetõrje ja tulemüür ainukesed ja piisavad küberturvalisust tõstvad meetmed. Kindlasti ainult neist ei piisa ja meeles peab pidama, et küberturvalisus pole ainult IT-inimese, vaid iga ettevõtte töötaja mure.

Autor on 4. aprillil Kultuurikatlas toimuva Baltikumi ja Põhjamaade suurima info- ja küberturbekonverentsi Security Summit peakorraldaja.

Õngitsuskirjad, petukirjad, social engineering – inimese manipuleerimine ja mõjutamine, et saada sisse ettevõtte võrku postkastile ligipääsemiseks - on oluliselt lihtsam, odavam ja edukam viis kui tehnoloogia murdmine. Inimesed oma teadmatusega on ideaalsed sihtmärgid. Küberturvalisuse valdkonnas nenditakse, et igas organisatsioonis leidub alati see üks inimene, kes pahavaraga kirja avab või valele lingile klikib. Seejärel on küsimus vaid selles, kui hull on pahavara või kui palju on ligipääse sellel inimesel, kes seda teeb. Sellest sõltub ka see, kui hull on tagajärg.

Seda kinnitavad ka meie vestlused klientidega. On kasutajaid, kelle puhul ei aita selgitamine, koolitamine, karistamine või ähvardamine, sest nad justkui põhimõtteliselt peavad need halvad kirjad lahti tegema ja oma paroolid kuhugi valesse kohta sisestama. Teeme aeg-ajalt teste ettevõtetes ja jällegi kinnitab see sama seisukohta, et alati on keegi, kes mälupulga viirusega oma arvutisse torkab või e-kirju valimatult avab.

Üle 90% jamadest saab alguse kasutaja ja e-posti kaudu. Selle puhul on äärmiselt oluline roll just teadlikkusel ja hügieenil ehk sellel, kuidas kasutaja käitub. Osaliselt tarkvaratootjad saavad ja ka üritavad oma tehnoloogiaga pehmendada kasutajate tegevuses/tegevusetusest tingitud tagajärgi.

Jaga lugu:
Hetkel kuum Äripäevas