Infoturve ei ole ühekordne projekt

„Võtame näiteks ühe metallitööstusfirma. Võib tunduda, et metalli töötlemisel ei puutu infoturve kuidagi asjasse. Lähemalt vaadates selgub, et ettevõttel on kaheksa programmjuhtimisega tööpinki ja täitmisel kaitsetööstuse leping,“ näitlikustab Oruaas. Ta tõstatab küsimused, mida iga sellise firma juht peaks endalt küsima: kuidas minu firma tööpinke juhitakse? Kus asuvad tööpingi andmed? Kes nendele andmetele ligi pääseb? Kas ma usaldan täielikult oma teenusepakkujat, kes tema firma tööpinke seadistamas, hooldamas või uuendamas käib?

„Oleme paaris firmas leidnud avatud kanaleid, kus keegi võõras „istub“ arvutivõrgus ja loeb kõiki e kirju. Sealhulgas neid, milles firmajuht hankeinfot vahetab ja pakkumisi välja saadab. Firmajuht kurtis, et ei võida enam hankeid, sest konkurent pakub alati samu asju n eurot odavamalt ja saab nii töö endale,“ tõi Oruaas näite, miks on infoturbe juhtimine vajalik ka ehitus-, tööstus-, logistika- või kaubandussektori ettevõtetes.

„Kui potentsiaalsete klientidega infoturbest rääkima hakkame, siis esimene asi, millele mõeldakse, on salastatus. Väidetakse, et neil ei olegi midagi salajast. Tegelikult on kõikidel firmadel esmajoones vaja, et nad saaksid oma infovara (andmed, infosüsteemid jms) soovitud otstarbel kasutada ning et andmed oleksid õiged, “ ütleb Matteus. Näiteks võib metallitööstuse ettevõttel küll mitte olla salajast infot, küll aga on tema jaoks eluliselt vajalik, et tööpingid töötaksid ning seda täpselt nii, nagu vaja.

Oruaas rõhutab asjaolu, millele tihti ei mõelda. Kui firma või asutuse infosüsteemid on pahatahtliku kasutaja poolt üle võetud, siis selle keskmine avastamise aeg maailmas on 9 kuud. „Kui seadmed ära varastatakse, paistab see välja. Kui keegi järjepidevalt infot varastab, saadakse sellest teada tavaliselt juhuslikult ja kaua aega hiljem. Süsteemselt infoturbe meetmeid rakendades on võimalik seda aega oluliselt vähendada“

Ta tuletab meelde ka tõsiasja, et häkkerid on kahjuks alati paar sammu infosüsteemide haldajatest ja kaitsjatest ees: „Näiteks vahetult enne USA presidendi valimiste lõppu võeti üle Donald Trumpi veebileht – vaatamata sellele, et presidendi käsutuses on suurriigi väga tugevad küberturbe asutused. Ikka võeti üle.“

Nende elu on siiski võimalik raskemaks teha. „Eesti politsei ja RIA teevad infoturbe teavitustöö osas head tööd. Pidevalt hoiatatakse erinevate rünnakuviiside – telefonipettused, e-kirja teel levivad pettused - eest. Ka iga firma juht peab hoolt kandma, et töötajaid rünnakute osas pidevalt haritakse, see aitab. Aitab pidev teadlikkuse tõstmine ja oma küberturbesüsteemi üles ehitamine,“ sõnab Oruaas.

Focus IT on ligi kümme aastat pakkunud erinevatele firmadele ja asutustele infoturbe juhtimist teenusena, mida saab sisse osta nagu raamatupidamisteenust. „Näeme, et Eesti firmad on väga „õhukesed“ – keskmise suurusega ettevõtetes on sageli vaid tegevjuht ja heal juhul IT-juht. Viimane sipleb tihti päevast päeva igapäevaste probleemide ja kasutajatoe ülesannetega ning infoturbe strateegilise juhtimiseni ei jõuagi,“ tõdeb Matteus. See võib aga valusalt kätte maksta. Matteus: „Võib jääda mulje, et info turvamiseks piisab, kui soetada uus äge tulemüür või viirusetõrje. Tegelikult on infoturve aga rutiinne tegevus, kus võtmesõnaks on püsivus.“ Tehnoloogia ja rünnete viisid muutuvad kogu aeg. Infosüsteemide ja rakendustarkvara loojad ise avastavad pidevalt turvavigu oma toodetes ja pidev parandamine on nende igapäevatöö osa. Näiteks Adobe ja Microsoft teevad aastas sadu turvaparandusi. Pidevast infoturbest ei pääse keegi. „Kui tegeleda infoturbega projektipõhiselt, kui muudest ülesannetest aega üle jääb, võib kindel olla, et riskid on suured.“

Oruaas toob näite, kus ettevõte tellis maailma tipus olevalt küberturbefirmalt rünnaku. Nad ei teadnud, millal rünnatakse, muudkui ootasid ja olid rünnakuks igati valmis. Aga siis leidis ründaja lihtsalt tee, kuidas ühelt selle firma töötajalt kasutajaõigused üle võtta. Oruaas: „Selle loo moraal oli see, et kuigi tehniliselt oli kõik korras, siis ei ole kõik veel turvaline. Firma töötaja lihtsalt klikkis vales kohas või hoidis oma paroole valesti ja kogu firma IT-süsteemi üle tekkis võõrastel kontroll.“

Üks võimalus on võtta tööle inimene või inimesed, kes infoturbega pidevalt tegeleb. Teine võimalus on osta teenust sisse. Mõlemal on oma plussid ja miinused.

Matteus: „Teenust sisse ostes ei pea juht ise igapäevaselt tegelema infoturbe planeerimise ega monitoorimisega. Samas infoturbe reeglite järgimine ja vajalike otsuste tegemine jääb ikka ettevõtte vastutuseks, neid tegevusi ei saa väline osapool teha. Küll aga saab väline osapool anda juhile meelerahu, et kõik on kontrolli all.“

Oruaas toob välja esimese probleemi, mis infoturbe vajalikkust mõistva ettevõtte ees seisab – kust pihta hakata: „Nn valge lehe hirm on täiesti arusaadav - ülesanne on ees, aga sa ei tea, mida teha ja millest alustada.“ Sellisel juhul tasub spetsialist endale appi kutsuda. Ta aitab õigele rajale ning vajadusel aitab ka asjad ära teha.

Aeg ajalt tasub väliseid spetsialiste kaasata ka siis, kui endal on IT-juht ja infoturbe juht firmas olemas. Nii-öelda topelt kinnituse saamiseks. Oruaas: „Minu praktikas on näide, kus firmasse tuli uus IT-juht, kes otsustas välise partneri abil enne tööle asumist olukorrast pildi ette saada. Eelmine juht oli seal olnud juba väga kaua ja nagu selgus, langenud mugavustsooni. Uus IT-juht avastas päris mitu ohtlikku turvaauku,“ märgib Oruaas.

Küsimusele, kuidas siis ära tunda, kas sinu firma IT-juht on langenud mugavustsooni, vastas Oruaas, et kõige lihtsam on tellida väline sõltumatu kontroll: „Neilt võib tellida auditi või ülevaatuse või ka lihtsalt öelda - rünnake meie firmat ilma, et me teile räägiksime, mis me teeme ja kes me oleme.“ Avalikus sektoris on näiteks väline audit teatud aja tagant kohustuslik.