Turvaaudit annab tervikpildi küberrünnakute ennetamiseks
Küberturvalisuse valdkonnas ei ole ettevõtete jaoks enam küsimus selles, et kas neid rünnatakse, vaid millal neid rünnatakse. Taoliste rünnakute ennetamiseks annab hea sisendi IT-turvalisuse audit.
IT-turvalisust ei ole võimalik tagada üksnes tehniliste vahenditega, vaid see on hästi korraldatud kooslus inimestest, tööprotsessidest ja tehnoloogiast. Kõige nõrgemaks lüliks selles ketis peetakse inimest, sest ligikaudu 90% küberintsidentidest saab alguse inimese süül või hooletusest. Turvaaudit koosnebki legoklotsidena tehnoloogiate, protsesside ja töötajate turvateadlikkuse hindamisest, kusjuures tervikpildi annab ainsana kõigi nende kolme valdkonna kombineerimine
Simuleeritud õngitsusrünnak
IT-auditi tegemist alustatakse töötajate turvateadlikkuse hindamisest, mis hõlmab kaht osa. Esiteks simuleeritud õngitsusrünnak (phishing), kus kuni kuuajalise perioodi jooksul saadetakse kõigile töötajatele 2–3 libakirja. Nende sisu ja eesmärk erinev: näiteks esimene meelitab inimest tundmatut linki klikkima, teine võltskeskkonda sisse logima (credential harvesting) ning kolmas kirjale lisatud faili avama. Lisaks linkide avamisele või andmete sisestamisele näitab simuleeritud õngitsusrünnak ka seda, kui palju töötajaid teatab juhtunust hiljem IT-osakonnale nagu turvaintsidentide käsitlemise protsess võiks ette näha.
Simuleeritud testrünnaku läbiviimine on kliendipoolse kontaktisikuga alati kooskõlastatud, libakirjad saadetakse turvalisest keskkonnast ega sisalda reaalset pahavara. Samuti ei salvestata inimeste sisestatud paroole ega kontrollita nende õigsust sisenemiskatsetega ettevõtte IT-süsteemidesse.
Turvateadlikkuse seireuuring
Teise osana viiakse läbi töötajate turvateadlikkuse uuring, mis koosneb baastasemel küsimustest üldise turvateadlikkuse, küberhügieeni, interneti, sotsiaalmeedia ja nutiseadmete kasutamise ning ettevõtte turvaalaste protsesside kohta. See annab üldise pildi, mis valdkonnas tunnevad töötajad end kindlamalt ja kus mitte nii väga.
Simuleeritud õngitsusrünnak ja seireküsitlus annavad tervikpildi töötajate turvateadlikkusest, kus küsitlusega saadud inimese enda hinnanguid kontrollitakse simuleeritud ründe käigus reaalse testiga. Selle põhjal valmib töötajate turvateadlikkuse auditi raport, mis hindab erinevate käitumismallide riskiastet konkreetses ettevõttes ning annab riskihinnangust lähtuvalt konkreetsed koolitussoovitused olukorra parandamiseks.
Tehnoloogia auditeerimine
Kasutuseloleva tehnoloogia turvaalaseks auditeerimiseks kaardistatakse ettevõtte arvutisüsteemide ja -võrkude ning IT-seadmete riskifaktorid. Selle käigus tehakse haavatavuste seire ning tuuakse raportis välja teadaolevad turvanõrkused koos parandussoovitustega, olgu nendeks siis süsteemide ümberseadistused, varundussüsteemid, paremad viirusetõrjelahendused, tulemüürid või ründe tuvastus- ja tõkestustarkvarad. Üldjuhul on IT-süsteemide seire passiivne, kuid vajadusel võib seda kombineerida ka läbistustestiga (penetration testing ehk pentesting).
Turbeprotsesside audit
Infoturbe protsesside auditi käigus analüüsitakse olemasolevat dokumentatsiooni, tehakse töötajatega intervjuusid ning vajadusel ka vaatlusi, et hinnata, kas asjad toimivad vastavalt paika pandud tööprotsessidele. Praktika näitab, et sageli on turbeprotsessid kõige enam katmata osa: inimesed ei tea, kuidas üht või teist tegevust õigesti teha ning ettevõte pole paljusid asju kirja pannud juhuks, kui mõni võtmetöötaja jääb haigeks või vahetub. Üldjoontes annab infoturbe protsesside audit vastuse, kas ettevõttes on asjad terviklikult läbi mõeldud ja omavahelised kokkulepped ettevõtte struktuuriüksuste vahel kirja pandud ning kuidas üks või teine asi ka praktikas toimib. Lisaks kitsaskohtade väljatoomisele ning ettepanekute tegemisele protsesside täiustamiseks saame olla abiks ka IT-alaste juhendite ja reeglistiku loomisel.
Siseaudit ISO või ISKE sertifikaatide taotlemiseks
Kokkuvõttes annab audit annab ülevaate ettevõtte infoturbealasest hetkeseisust, kaardistab kitsaskohad ning teeb ettepanekud nende lahendamiseks. Kuna turvaauditi tegemisel lähtutakse infoturbe juhtimise standardi ISO27001:2013 ja/või ISKE turvameetmete süsteemi nõuetest, siis saab seda kasutatakse ka siseauditina enne infoturbealaste sertifikaatide taotlemist. Nii aitab turvaaudit ettevõttel valmistuda sertifikaadi saamiseks vajalikuks välisauditiks ning kui siseauditis toodud parandusettepanekud on ellu viidud, ei teki üldjuhul probleeme ka ISO või ISKE sertifikaadi saamisega.
Kuna infoturbe tagamine on tehnoloogia arengust tulenevalt igikestev protsess, siis peab lähtuma sellest, et 5 või koguni 10 aastat tagasi tehtud turvaaudit ei anna enam kindlust ettevõtte küberturvalisuse osas. Üldjuhul võiks turvauditi teha iga 2-3 aasta järel, et olla veendunud ettevõtte IT-alases hetkeseisus. Kui aga ettevõttel on mõni infoturbe sertifikaat, võib jätkuauditi vajadus tekkida veelgi kiiremini, et sertifikaat jääks kehtima.
Kui soovid lisainfot turvaauditi kohta või esmast tasuta konsultatsiooni, siis võta ühendust:
Janar Randväli
Datafoxi infoturbe juht
Artikkel ilmus 10.01.2021 ITuudised.ee portaalis.
Loe lisaks:
Infoturbe juht Janar Randväli: peame olema kurikaeltest pidevalt ühe sammu ees
Kas koroonaepideemia teine laine toob kaasa arvepettuste tsunami?