Suurim oht internetis on töötaja teadmatus

Tööandjatel ei tasu loota, et töötajate hobid internetis neid ei mõjuta. Klient, töötaja ja tööandja on kõik ühes n-ö toitumisahelas ning mõjutavad teineteist valguskiirusel. Veebilehe clickz.com andmetel veedetakse kolmandik interneti kasutusajast tööl ehk ettevõtte sisevõrgus. 57 protsenti ajast kulub suhtlemisele (e-post, kiirsuhtlustarkvarad nagu MSN, jututoad). Viiendik inimestest suhtleb isikutega, kellega pole kunagi kohtunud, ning kaheksandik usaldab internetist leitud kontvõõrast.

Spämmile ehk soovimatule rämpspostitusele kulub viis minutit igast internetis veedetud tunnist ehk kuni 22 tööpäeva aastas.

Eestis on üle 600 000 internetikasutaja, kogu maailmas kasutab internetti selle aasta lõpuks enam kui miljard inimest. Veebilehe netcraft.com andmetel kasvab kodulehekülgede arv viimasel ajal umbes kümne miljoni võrra aastas (kokku arvatakse neid olevat üle 60 miljoni).

Varasemad egotsentrilised häkkerid ja viirusekirjutajad on internetis tänapäeval enamjaolt asendunud kasuhuvi ja organiseeritud kuritegevusega. Lihtsalt kasutatavad ründevahendid on internetis igale koolijütsile kättesaadavad ning ründeid müüakse teenusena. Käimas on ressursside sõda, kus iga töö- või koduarvuti on saak, millest püütakse teha internetist kontrollitav zombie suurtes zombie?de armeedes ehk botnet?ides.

Honeynet Project, mis selliseid trende jälgib, on avastanud, et internetis on üle miljoni arvuti sellisel moel pidevalt võõra kontrolli all. Neid botnet?e kasutatakse selleks, et teostada üheaegselt sadade ja tuhandete arvutite kaudu mõne veebilehe või arvuti ründamist, saata rämpsposti, varastada infot ja identiteeti või teostada pettuseskeeme.

Botnet?e kasutab agaralt organiseeritud kuritegevus väljapressimiseks, kuid botnet?ide tegemine ning müümine (hinnaga paar tuhat dollarit) või rentimine (mõnisada dollarit rünnaku eest) on ka tavaliste koolijütside hobi. Identiteedi ja pangakontode vargus on muutunud pättide hulgas väga popiks.

Üha enam kombineeritakse tehnilisi rünnakuid inimestega manipuleerimisega (inglise keeles social engineering). Inimesed on palju äraarvamatumad ja kergemini mõjutatavad kui arvutid, seega nõrgim lüli. Seda fakti kasutavad pätid oskuslikult ära oma pettuseskeemides. 2004. aastal tegi üle maailma hüppelise kasvu paroolivarguste (mida tähistatakse terminiga phishing ehk password fishing) pettuseskeem. Tüüpiline paroolivarguse skeem saab alguse e-kirjast, mis sisaldab internetipanga või -teenuse viidet. Seal soovitakse väidetava tehnilise rikke tõttu ja teenuse kiire taastamise huvides teie kasutajatunnuseid ja paroole või palutakse lihtsalt teil võltspanka sisse logida.

Ajakohast infot erinevatest ülemaailmsetest paroolivarguse skeemidest annab koduleht www.antiphishing.org . Näiteks Austraalias ja Uus- Meremaal kaotas just sellise ründeliigi kiire ja massilise leviku tõttu eelmisel aastal internetipangandus ja internetiäri umbes poole seniste tarbijate usaldusest. Mõni paroolivarguse rünnak on tuttav ka Eesti pangakasutajatele.

2005. aasta alguses tekkis järsk pharming?u kasv. Pharming ehk password farming või malicious code phishing kasutab ära pahatahtlikku koodi nagu ussid, viirused ja troojad, et blokeerida turvavahendid, suunata kasutajaid võltsteenustele neilt paroolide hankimiseks või siis varastatakse infot otse kasutaja arvutist.

Peamiselt n-ö kohalikule turule suunatud massilise rünnakuga märtsi lõpus politseile vahele jäänud 24aastane Tallinna noormees kombineeris samuti edukalt inimeste eksitamist emakeelsete müügi- või tööpakkumistega. Selle tulemusena laeti avatud veebilehelt ohvri arvutisse infovarguseks keskselt uuendatav ja enesehävitussüsteemiga troojalane.

Nagu varasemategi Eestis ja mujal maailmas nähtud paroolivarguste ja pharming?ute puhul, oleks tähelepanelik petukirja saaja pidanud rohmakaid kirjavigu märgates hästi järele mõtlema, kas kirja saatja ja sisu vastavad tõele. Kuid eksimine on ju inimlik, eriti kiiresti kasvavas infoühiskonnas, kus turvateadlikkus on alati sammu võrra maas.

Kindlasti tuleb ettevõtetel end rünnete, viiruste ja rämpsposti vastu kaitsta nii võrgu tasandil kui ka tööarvutites. Tehnoloogia ainuüksi siin siiski ei päästa, sest päeva lõpuks on nõrgimaks lüliks töötaja ning mitte ainult tööl, vaid ka kodus, kuhu tööd kaasa võetakse. Heaks näiteks on märtsis läbi MSNi levinud nn zombie-võrke tekitav ussviirus, mis jõudis ka paljude Eesti ettevõtete sisevõrku, kuna paar inimest pidas vajalikuks aktsepteerida kahtlase nime ja pif-laiendiga faile. MSNist tulnud sõnum oli lihtsalt liiga atraktiivne. Epideemia vältimiseks sulges mitu Eesti suurettevõtet oma tulemüüris ajutiselt kogu MSNi liikluse ning keelas ära ka veebipõhised MSNi sisselogimise lehed.

Paljud kiiret infovahetust vajavad firmad, nt meediaettevõtted, sõltuvad suurel määral MSNi taolistest suhtluskanalitest. Seetõttu suutis see ussviirus lühikese ajaga halvata mõnegi Eesti toimetuse töö. Ehkki mõne ettevõtte puhul on odavam ja õigustatud suhtlustarkvarast täielik loobumine, jääb seda laadi ettevõttes üle vaid üha rohkem panustada nii tehnilistesse kaitsevahenditesse kui ka kasutaja turvateadlikkusesse.

Ka parimad tehnilised vahendid on pahatihti uutest turvaaukudest, viirustest ja pettuseskeemidest sammukese maas ja seda üürikest edumaad suudab kõige paremini kahandada läbimõeldud IT-kasutus koos turvateadliku lõppkasutajaga.

Seetõttu peaks iga ettevõte hästi läbi mõtlema oma IT vajaduste prioriteedid ning panustama oma töötajates turvateadlikkuse kasvatamisesse nii tööl kui ka kodus. Paljud töötajad kasutavad sülearvuteid, pihuarvuteid, mälupulki, digikaamerate mälukaarte ja muid andmekandjaid paralleelselt mitmes kohas.

Pätid püüavad meid aga kõikjalt ja tõenäosus, et kasutaja toob oma kodused turvaprobleemid ja interneti kasutamise harjumused ka tööandja sisevõrku, on väga suur. Pelgalt tehnoloogia siin paraku sajaprotsendilist garantiid ei anna.

Kindlasti pole rahaliselt otstarbekas kaitsta kõiki teenuseid, vaid ainult neid, mis on ettevõttele äriliselt olulised. Ülejäänu kasutamisest tuleks loobuda või leida turvalisem alternatiiv. Mõistlik on keskenduda oma ärivajadustele ja otsida IT-teenustele partnerfirma. Nii jääb aega planeerimiseks ja oma personali turvateadlikkuse tõstmiseks. Infoturve on igapäevane protsess, milles kõigil oma osa. Tehnoloogia abil on küll võimalik probleeme kahandada, kuid infoühiskonnas jääb alati kõige haavatavamaks lõppkasutaja, keda ilma turvateadlikkuseta on võimatu kaitsta.q