IT-turvalisus nõuab pealekeeramist

 

Aastaid tagasi oli IT-maailm märksa lihtsam – kaitsta tuli kontori sisevõrku ja töötajate arvuteid ning küberohud püsisid enamasti kaitseperimeetri taga ettevõttest väljaspool. Nüüd aga töötavad inimesed kõikjalt ning kasutavad selleks ka oma isiklikke nutiseadmeid, nii et ettevõte sisevõrguks on muutunud sisuliselt kogu internet. Seetõttu vajab tublisti pealekeeramist ka IT-turvalisus.

 

Kuna turvaperimeeter on muutunud hägusaks, ei rünnata täna enam niivõrd välist tulemüüri, vaid töötajat ja tema digitaalset identiteeti sisselogimisandmete väljameelitamiseks. Küberkuritegevus on tõusnud narkokaubanduse ees ülemaailmsaks kriminogeenseks käibeliidriks. Usutavana tunduvatele eestikeelsetele õngitsusrünnetele on andmas uut hoogu tehisintellektil põhinevad keelemudelid. Epideemiana levinud lunavararünnetest on saanud omamoodi IT-äri varipilt, kus tegutsemiseks palgatakse lisaks häkkeritele IT-juhid, programmeerijad, testijad, süsteemiadministraatorid, pöördprojekteerijad tehniline heldpesk, klienditugi, „müük“ jne nagu tavalises IT-ettevõttes. Suurimate „turuosaliste“ käivet selles vallas mõõdetakse juba sadades miljonites eurodes.

Seetõttu on turvatase täna iga IT-taristu ja -teenuse lahutamatu parameeter nagu arvutil mälumaht ja protsessorikiirus või e-posti teenusel postkastide arv ja suurus. Kui ettevõte on aastaid tagasi soetanud tollal kõige uuemad IT-seadmed, siis täna on neis kindlasti avastatud hulgi turvanõrkusi. Sama kehtib ka IT-teenuste kohta, mis vajavad uute küberohtudega rinda pistmiseks pidevalt ajaga kaasaskäimist.

 

Investeeringud lükatakse edasi esimese kriisini

Paraku näitab praktika, et paljud väikesed ja keskmise suurusega ettevõtted eelistavad investeerida vaid sinna, mis otseselt raha sisse toob, kõrvalkulud IT-taristusse lükatakse aga võimalusel edasi. Suhtumine muutub pärast esimest edukat lunavararünnet või muud tõsisemat turvaintsidenti, sest siis on selge, et kui on halvatud kogu ettevõtte võime raha teenida, pole mingit kasu ka tootmisse või teenusepakkumisse tehtud investeeringutest.

 

Mida riskide maandamiseks ette võtta? Nii nagu autod käivad regulaarselt tehnoülevaatusel, peaks ka iga ettevõtte IT-keskkond vähemalt kord 3 aasta jooksul läbima hindamise, olgu IT-halduriks firma enda meeskond, väline teenusepakkuja või mõlemad koos. Võrreldes mahuka ja kuluka IT-auditiga toob IT-keskkonna hindamine kõigest nädalate jooksul välja kitsaskohad IT-taristu erinevates osades ning paneb paika konkreetse tegevusplaani nende kõrvaldamiseks, mille tulemusel sünnib sisuliselt IT arengukava. Lisaks otsestele turvanõrkustele näitab hindamine, millised osad ettevõtte IT-taristust ja -protsessidest on lootusetult vananenud ning takistavad juba igapäevast äri ja kasvu.

 

IT-riskide võtmine peab olema kaalutletud

IT-keskkonna hindamise eesmärgiks ei ole tekitada igasse väikeettevõttesse CIA-ga võrreldav turvatase. On täiesti loomulik, et ettevõtja võtab küberriske, kuid need peavad olema kaalutletud ehk realiseerumise korral ei ole halvatud kogu ettevõtte äri või on riskid maandatud muude vahenditega. Näiteks toimivad mitmes tehases tootmisliinid 2003. aasta operatsioonisüsteemil, mis tänast turvateadmist arvestades on auklik nagu Šveitsi juust, aga kui kogu tootmissüsteem on internetist ja muudest ettevõtte võrkudest füüsiliselt eraldatud ning ligipääs sellele on rangelt reglementeeritud, võib see küberrisk võrreldes tootmisliinide väljavahetamiseks vajaliku investeeringuga olla talutav.

 

Seetõttu tuleks küberturvalisuse investeeringute otstarbekuse kaalumisel arvestada infoturbe baastaset. Kui see on mõnes IT-taristus saavutatud ning ettevõtet häkkida keskmisest kulukam, kukub tõenäosus rünnaku ohvriks langeda kordades. Piltlikult öeldes on see sarnane olukorraga, kus koos sõbraga lõvi käest pääsemiseks pole tingimata vaja joosta lõvist kiiremini, vaid piisab sõbrast nobedam olemisest. Kindlasti on aga vajalik regulaarne IT-haavatavuste haldus, sest ainult nii on võimalik kõrvaldada pidevalt avastatavad turvaaugud enne nende pahatahtlikku ärakasutamist ning välistada automaatründe sihtmärgiks sattumine.

 

Esimene samm: olemasolevate võimaluste parem ärakasutamine

Sageli ei ole esimene samm turvataseme tõstmisel investeeringud, vaid hoopis olemasolevate IT-seadmete ja -teenuste nutikam seadistamine ning olemasolevate funktsionaalsuste parem ärakasutamine. Paljud ettevõtted ei tea, et nende soetatud tarkvaralitsentsid juba sisaldavad peamisi andmekaitsevõimalusi baastasemel küberohtude tõrjumiseks. Nende turvafunktsionaalsuste aktiveerimiseks piisab tihti mõnest töötunnist või minimaalsetest lisakulutustest.

 

Siiski tuleb arvestada seda, et küberturvalisust ei ole võimalik tagada üksnes tehniliste vahenditega, vaid see on hästi korraldatud kooslus inimestest, tööprotsessidest ja tehnoloogiast. Kõige nõrgemaks lüliks selles ketis on inimene, sest vähemalt 90% küberintsidentidest saab alguse inimese süül või hooletusest. Näiteks ei hoia ükski turvatarkvara või muu tehniline lahendus väga tõhusalt ära tegevjuhi petuskeemi, kus arveid ja e-kirju võltsides üritatakse ettevõttelt rahaülekannet välja meelitada. Küll aga takistavad taolisi ründeid IT-turvalisuse komponenti sisaldavad äriprotsessid, kus näiteks kiirülekande tegemist nõudva e-kirja saamisel tegevjuhilt peab raamatupidaja selle info telefoni teel üle kontrollima. Täiesti asendamatu on töötajate turvateadlikkuse tõstmine iga-aastaste infoturbe koolituste, uuringute ja usutavate ründesimulatsioonidega, sest teadlikku kasutajat on märksa keerulisem mistahes petuskeemidega õnge võtta.

 

Soovid rohkem infot? Kirjuta meile aadressil [email protected] 

 

 

 

Loe lisaks:

Datafox +1 hallatud teenused viivad küberturvalisuse kaasaaegsele tasemele
ChatGPTst on kasu ainult siis, kui saad ka ise aru, mida robotilt küsid