8 minute read
Kuidas muuta ettevõte küberkurjategijatele keeruliseks sihtmärgiks?
from Aare Koppel: iga klient peab saama hea emotsiooni |Teataja 6/2021
by Eesti Kaubandus-Tööstuskoda / Estonian Chamber of Commerce and Industry
FOOKUSES
Advertisement
Me kõik sõltume oma tegemistes üha enam moodsatest IT-lahendustest, mis on muutnud meie elu ja tööprotsessid mugavamaks ja kiiremaks. Tihti jõuavad uued tehnoloogiad kiiresti turule ning tarbija ei pruugi teada, millised ohud võivad selles peituda. Näiteks nutikas ukselukk teeb koju sisenemise lihtsaks, aga kas koduomanik teab ja pöörab tähelepanu sellele, et nutilukk oleks uuendatud ja nõrkustest prii?
GERT AUVÄÄRT riigi infosüsteemi ameti peadirektori asetäitja küberturvalisuse alal Küberturvalisus ja infoturve võivad olla paljudele võõrad või siis liiga tehnoloogilised terminid. Samas puutume kõik iga päev nendega kokku – tavaliselt nutitelefoni ja arvuti kaudu. Jah, inimene saab ära elada nii, et ta ei kasuta nimetatutest kumbagi, aga ükski ettevõte ei saa asju ajada ilma arvutite ja tarkvarata. Ettevõtlus ja tehnoloogiad moodustavad sisuliselt lahutamatu terviku.
Sajad miljonid rünnakud kuus
Oleme kokku puutunud ja usun, et jäämegi kokku puutuma ettevõtetega, kes arvavad, et nende pakutav teenus või toode on maailma mastaabis väga väike – kellelgi pole põhjust neid rünnakutega torkida. Näeme, et pahatahtlikud robotvõrgustikud proovivad riigisektoris (täpsemalt riigivõrgus) rohkem kui 500 miljonit korda kuus, kas mõni uks on lahti jäetud või unustatud ja kas selle kaudu saab end sisse pressida. Need on katsed, mis kohe tõkestatakse. Pole alust arvata, et erasektori olukord siin eristuks. Küberrünnakute katsed on pidevad ja automatiseeritud.
Küberruumis pole mõtet ettevõttel end ise väheoluliseks mängida. Kui aga sellist äriühingut tabab kübertorge, siis saab juhtkonna läbielamisi kirjeldada leinaprotsessi etappide kaudu. Esmalt tabab neid šokk ja eitamine, siis viha, tingimine, depressioon ja lõpuks leppimine. Leppimine, et jah, ka meie võime olla sihtmärk.
Õnneks saavad ettevõtjad aina rohkem aru, miks on vaja mõista, kuidas konkreetne tehnoloogia või lahendus mõjutab kogu ettevõtte käekäiku. Esimene samm on tajuda, et see on miski, millesse on tarvis oma aega ja ressursse planeerida. Parim viis selleks on palgata infoturbejuht. Selleks, et infoturbejuht saaks pakkuda suurimat lisaväärtust, peaks ta alluma otse juhile ja kindlasti ei tohiks tema eelarve olla osa nn klassikalisest IT-eelarvest. Infoturbejuht on mõnes mõttes ka tõlk kahe kultuuri vahel. Ta selgitab juhtkonnale IT-d ja sellega seotud protsesside olulisust ning IT-inimestele omakorda juhtide äriliste otsuste tagamaid ja kaasnevaid turvanõudeid.
Ettevõte peaks kindlasti koostama põhjaliku riskianalüüsi, et end paremini kaitsta ja tegevusi planeerida. Riskianalüüs peab lähtuma ettevõtte tegevusriskidest, mitte pelgalt küberturbe vaatevinklist.
Kolmas oluline aspekt on testimine, sest turvalisus selgub testides. Hea praktika, mida soovitan kindlasti järgida, on see, et uus lahendus (näiteks e-pood või äpp) ei läheks käiku enne, kui selle kaitstus on proovile pandud. Parim lahendus on suunata kohe teatud protsent arenduseelarvest turvatestimisteks. See tundub kallis, kuid on odavam, kui hiljem rünnakujärgselt tagavarakoopiaid otsida ja kliendiandmebaase taastada.
Nii nagu ettevõtted, mida kaubanduskoda esindab, soovivad ka kurjategijad teenida tulu võimalikult väikeste kuludega. Tulemüüride või tehnoloogiate lõhkumine on kallis, kui neis ei peitu turvanõrkust, mida pole veel paigatud. Seega on väga vähe juhtumeid, kus kurjategijad proovivad toore jõuga läbi murda töötavatest kaitsekihtidest, näiteks tulemüürist või VPN-ist.
Küll aga proovitakse lihtsate vahenditega kätte saada töötajate kasutajatunnuseid ja paroole ning nende abil pahandust teha. See on sarnane inimese immuunsüsteemiga – kui antikehad tunnevad viiruse ära, siis see hävitatakse silmapilkselt. Aga kui viirus paistab antikehade jaoks justkui tavaline rakk, siis saab see kehas rahulikult ringi uidata. Sellisel juhul ei saa tehnoloogia aidata, sest kurjategija käes on legitiimsed ja tegelikud andmed, millega peabki saama näiteks postkasti või siseveebi sisse logida.
Inimeste koolitamine võtmetähtsusega
Tehnoloogia ei saa aidata seal, kus inimene ise käitub hooletult. Sellepärast ongi riigi infosüsteemi ameti (RIA) roll vaadata otsa nii tehnoloogiatele, inimestele kui ka ettevõtetele.
Seda, et 2021. aastal on endiselt nõrgimaks lüliks inimene arvuti või nutiseadme taga, nendib enamik infoturbeeksperte. Üks meetod selles vallas paremaid tulemusi saavutada ja turvalisust suurendada on parandada küberhügieeni. Politsei pole lõpetanud selgitamast, et turvavöö kinnitamine võib päästa sinu elu. Seda on räägitud 30 aastat ja kuigi suur osa inimestest saab sellest aru, leidub ikka neid,
Hoia end kursis!
h Loe nii eraisikutele, sh lapsevanematele, kui ka avalikule sektorile ja ettevõtetele mõeldud küberturvalisuse teemasid selgitavat portaali www.itvaatlik.ee. h Tutvu Eesti infoturbe standardiga: https://eits.ria.ee. h Liitu CERT-EE küber- ja IT-uudiseid sisaldava uudiskirjaga: www.ria.ee/et/kuberturvalisus/cert-ee.html.
kellele peab seda kordama. Küberhügieenist rääkides oleme justkui veel 2000. aastates, mil taksojuhid panid turvavööpesasse jupi, mis peatas häiresignaali lakkamatu piiksumise. Nii sai ilma vööta sõit rahulikult jätkuda.
Seega peavad ettevõtted jätkama koolitusi, et töötajate digioskusi edendada. RIA ulatab siin samuti hea meelega abikäe. Lisaks kampaaniatele ja infopäevadele, millest viimane toimus novembri teisel nädalal, on meil juba mõnda aega käigus lihtsat ja selget kübernõu jagav portaal itvaatlik.ee.
Nüüd jõuan jutuga teemani, mis võib tunduda kuiv, aga mis aitab ettevõtteid kaitsta: infoturbe standardi rakendamine. Praegu kehtib veel ISKE standard, mida on oma olemuselt ja ka rakenduslikult üsnagi keeruline kasutada. Uuel aastal liigume üle täiesti uuele n-ö rätsepalahendusele ehk Eesti infoturbe standardile (E-ITS), mille eesmärk on pakkuda organisatsioonile infoturbe riskidega toimetulekuks infoturbe halduse süsteemi. Küsimusele, kas standardi
rakendamine hoiab ära küberründeid, on lihtne vastus – ei. Küll aga muudab see teie ründamise keerulisemaks ja aitab panna paika konkreetse plaani, kuidas pärast rünnakut kiiresti jalule tõusta ja ettevõtte tegevus taastada.
RIA intsidentide käsitlemise osakond CERT-EE on möödunud aasta vältel käsitlenud üle 2000 küberintsidendi, millel oli reaalne mõju. Sellele arvule lisanduvad automaatseire tuvastatud ja tõrjutud sajad miljonid rünnakukatsed. Anname 2021. aasta septembrist välja ka igapäevast CERT-EE uudiskirja, mis räägib Eesti küberruumis toimunust ja olulistest rahvusvahelistest küberuudistest. Seda tellib umbes 1300 inimest. Soovitame kindlasti ka kõigil kaubanduskoja liikmetel seda tellida ja sellest oma juhtidele rääkida. Kui olete juba infokirja lugeja ja teil on mõtteid, kuidas RIA saaks seda teenust paremini osutada, siis ootame teie ettepanekuid.
Loodan, et eelnev jutt pani teid korraks mõtlema oma ettevõtte küberturvalisusele. Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada. Oleme alati valmis kaaluma eri sektorite küberturbekoolitusi ning võite meie poole pöörduda ka sooviga turvatestida teie teenuseid ja infosüsteeme.
Ja mis peamine – pole olemas 100% turvalisust, küll aga saate rakendada eri meetmeid, et muuta ettevõte kurjategijate jaoks keerulisemaks sihtmärgiks ja tagada võimalikult valutu töö taastamine, kui küberrünnak on aset leidnud.
PETUKIRJAD KAUBANDUSKOJAST? Kahjuks jah
Tänavu 18. oktoobril saadeti kolmanda osapoole poolt kaubandus-tööstuskoja nime kasutades välja usskirju, mis jõudsid teadmata hulga ettevõtjateni. Tekkinud olukorra tõsidust ja ulatust aitab mõista see, et koja töötajad said järgnevate tundide ja päevade jooksul tagasisidet paarisajalt ettevõttelt ja inimeselt.
KAUR ORGUSAAR kaubanduskoja kommunikatsioonijuht
Kaubanduskoja nimel 18. oktoobri hommikul saadetud petukirjadele reageeris kiiresti RIA, kes teavitas koda selliste kirjade levimisest.
Kõige esimene teadaanne, et midagi on toimumas, saabus kotta 18. oktoobril 10.14, kui tuli kõne murelikult kirjasaajalt, kes sai aru, et tegu on õngitsuskirjaga, ning andis sellest teada. Järgneva mõne minutiga saabus veel hulk kirju ja telefonikõnesid pea kõigile koja töötajatele, kus enamik juhtis tähelepanu, et koja nimelt saadetakse pahavara sisaldavaid kirju. Järgneva mõnekümne minuti jooksul teavitati nii koja IT-partnerit kui ka neid koja töötajaid, kes olukorraga otseselt tegelema pidid. 34 minutit pärast esimest kõnet, mis teavitas pahavarakampaaniast, kinnitas seda ka CERT-EE / riigi infosüsteemi amet (RIA). Nimelt saatis RIA kojale informeeriva kirja, kus toodi välja, mis tüüpi rünnakuga on tegu ja kuidas võimalikku tekkinud probleemi tulevikus ennetada. Nimetatud kirja saatis CERT-EE ilma koja sekkumiseta. Koda oli selleks hetkeks teavitanud küll oma IT-partnerit, kuid puudus täpne arusaam näiteks sellest, millistele nimekirjadele kiri saadeti ja kas need on koja enda kontaktid. Samuti polnud me teadlikud sellest, mis täpselt kirja manuses sisaldub.
Pärast CERT-EE kirja saamist postitasime info pahavarast ka koja infokanalitesse, et teavitada võimalikke kirjasaajaid tekkinud ohust. Samal ajal informeeriti esmase teadaoleva info baasil ka kõiki koja töötajaid. Suhteliselt kiiresti sai selgeks, et kiri ei läinud koja e-posti nimekirjadele, sest ühendust võtsid organisatsioonid, kes ei ole koja liikmed ning kelle kohta kojal puudus info.
Alguses tegutsesime eeldusega, et pahavara sisaldav kiri on läinud kõigile koja liikmetele ja seetõttu valmistasime ette kirja liikmete teavitamiseks, et kirja ja selles sisalduvat manust ei avataks, või kui seda on juba tehtud, siis mida ette võtta. Kuid kuna IT-partneri abiga sai selgeks, et kirjasaajate nimekirjad ei ole koja omad ja saajate hulk on teadmata, siis võtsime vastu otsuse, et eraldi kirja välja ei saada, kuid jagame operatiivselt infot oma suhtluskanalites.
Kuigi suur osa koja poole pöördujatest informeerisid, et nad on sellise kirja saanud ja said ka aru, et tegu on petukirjaga, oli ka hulgaliselt pöördujaid, kes andsid teada, et kirjale lisatud manus ei avane – enamasti ka mitmes arvutis proovides. Tuli ette ka olukordi, kus oldi veidi pahased, et fail ei avanenud pärast mitut katset. Neil soovitasime kohe pöörduda oma IT-partneri poole ja edastasime ka CERT-EE kirja.
Pahavara sisaldanud e-kiri saadeti võltsitud aadressilt inimese nimel, kes ei ole kojaga seotud, kuid kes on päriselt olemas. Samuti olid kirja all olevad kontaktid valed, kuid piisavalt sarnased, et lugeja esmapilgul ära petta. Sealhulgas oli telefoninumbriks tegelik lauatelefoni number, mille omanik sai palju telefonikõnesid, kus uuriti hinnapakkumise kohta.
Sündmuste areng 18. oktoobril 2021
10.14
Koda teavitas IT-partnerit, et kontrollitaks majasiseseid süsteeme. Samal ajal teavitasime ka koja töötajaid toimuvast pahavarakampaaniast.
10.48
Teavitused sotsiaalmeediasse ja koja kodulehele, et koja nimega saadetud kiri „vaja hinnapakkumist“ on pahavaraga nakatunud ning seda ei tohiks avada.
Esimene telefonikõne kirja saajalt kaubanduskojale, järgneva paarikümne minutiga laekus veel hulk kõnesid ja kirju.
10.40
Selgus koostööst ITpartneriga, et tegu ei ole koja enda e-posti nimekirjadega ja otsest rünnakut koja vastu ei ole toimunud. Riigi infosüsteemi ameti CERT-EE osakond saatis kojale info pahavarakampaania kohta.
12.00 11.00
Siseministeeriumi infotehnoloogia ja arenduskeskus (SMIT) informeeris koda, et siseministeeriumi haldusala asutused said pihta koja nimel tehtud pahavarakampaaniaga.
13.45
Kuigi pahavara sisaldanud kirjade aktiivne saatmine paistis olevat lõppenud, sai koda jätkuvalt kõnesid ja e-kirju tähelepanelikelt kirjasaajatelt.
19. 10. 2021
Koja põhjalik teavituskiri kõigile töötajatele, et koja nimel saadetakse pahavara. Samuti sai loodud üldine kirjapõhi, mida saata kõigile koja poole pöördunutele, et lihtsustada kommunikatsiooni.
11.06
20. 10. 2021
Kirjas mainitud telefoninumbri omanik võttis lisaks kojale ühendust politsei- ja piirivalveameti ning Teliaga, sest sai jätkuvalt kõnesid ning soovis need blokeerida.
