Suurim vale küberturbes: “Meid see värk ei puuduta”

Suurim risk ettevõtte küberturvalisusele ei ole mõni tehniline viga, vaid enesepettus. Kuigi turvamuredest kuuleb pidevalt, elavad paljud organisatsioonid seni veendumuses, et nemad on rünnakute jaoks liiga väikesed või et nende andmed pole piisavalt väärtuslikud. Samas nendib Elisa IT-juht Villu Teearu, et tegelikkus on vastupidine ja just selline suhtumine muudabki väikefirmad sageli kõige haavatavamaks – kui turvalisusele mõeldakse alles siis, kui kahju on juba juhtunud, on juba hilja.

Olgugi et küberrünnakutest on hakatud rohkem rääkima, siis avalikkuseni jõuavad enamasti siiski ainult suuremad juhtumid, mis on suunatud mainekate ja tuntud organisatsioonide vastu. Tegelikkuses satuvad just väikeettevõtted ja keskmise suurusega organisatsioonid sagedamini rünnaku alla. Ainuüksi tänavu juulis registreeris Riigi Infosüsteemi Amet 783 mõjuga intsidenti, mis olid suunatud nii ettevõtete kui ka riigiteenuste pihta.

Põhjus, miks rünnakute eest pole kaitstud ka väiksed ettevõtted, on väga lihtne: kurjategijad ei vali oma ohvreid käsitsi, vaid see kõik on automatiseeritud. Automatiseeritud skännerid ja pahavarabotid otsivad pidevalt internetist ohvreid, kellele kahju teha. Otsitakse turvamata paroole, uuendamata tarkvara või avalikult ligipääsetavaid andmeid. Kui ettevõtte süsteemid on uuendamata, kasutatakse vananenud tarkvara või kuhugi on jäetud ripakil ligipääs, langeb see automaatselt sellise skannimise tulemuste hulka ning ründajal on juba olemas täpne tee sissetungiks.

Seega pole “radarile sattumine” abstraktne oht või midagi sihitut, vaid tehniliselt määratletud protsess, mille lõppfaas on sageli ainult aja küsimus.

Väärtus on suhteline

Kahjuks arvatakse sageli ka seda, et kui ettevõte andmed ei ole turul miljoneid väärt, siis puudub ka oht. Tegelikult on väärtuslik igasugune info, mis aitab ründajal raha teenida. See võib olla klientide kontaktibaas, töötajate isikuandmed või lihtsalt ligipääs organisatsiooni meiliserverile, mida saab edasi müüa. Kui mitte midagi muud, saavad küberpätid raha teenida ohvri seadmete krüpteerimise ja raha nõudmisega. Võimalus kahju teha leitakse alati.

Ning just siin tulebki mängu organisatsiooni suutlikkus rünnakuga toime tulla. Suurtes ettevõtetes, on tihti olemas turvatiim, kriisijuhtimise plaan ja ajakohased varusüsteemid, mis vähendavad rünnaku mõju ja lühendavad taastumisaega. Väiksemates ettevõtetes võib üks õnnestunud rünnak seevastu tähendada täielikku töökatkestust, klientide usalduse kaotust ja hiiglaslikku majanduslikku kahju.

Praktika näitab, et on piisavalt juhtumeid, kus firmad on pidanud tegevuse lõpetama, kuna peale rünnakut ei suudetud enam töökorda piisavalt kiiresti taastada.

Küberturvalisus ei alga tehnikast, vaid juhi suhtumisest

Küberturvalisuse tugevdamine ei nõua aga alati kalleid ja keerulisi lahendusi. Väga palju sõltub distsipliinist ja teadlikkusest. Tarkvara regulaarne uuendamine, mitmeastmeline autentimine ja lihtne harjumus kahtlastele linkidele mitte vajutada vähendavad riske oluliselt. Ning kõige rohkem kahjustavad organisatsioone endiselt inimlikud vead nagu paroolide jagamine, pahatahtlike kirjade avamine, seadmete hooletu kasutamine ja vale kultuur.

Turvalisus tähendab ka valmisolekut halvimaks. Kui ettevõttel on olemas ajakohased varukoopiad ja läbimõeldud plaan rünnaku puhuks, saab töö taastada kiiresti ja minimaalse kahjuga. Kui need elemendid aga puuduvad, sest keegi pole sellele varem mõelnud, siis võib ka väike intsident paisuda kriisiks, mille mõju on tunda aastaid.

Keskne roll on siin juhtidel. Kui turvalisus jääb ainult IT-spetsialistide või üksikute entusiastide õlgadele, ei muutu see kunagi kogu organisatsiooni osaks. Eriti väikeettevõtetes, kus puudub eraldi turvaosakond ja iga töötaja täidab niigi mitut ülesannet. Turvalisuse kultuur algab juhtkonna suhtumisest ja levib sealt edasi igale töötajale. Küsimus ei ole ainult tehnikas, vaid ka selles, kuidas inimesed igapäevaselt süsteeme ja töövahendeid kasutavad ning kas mõistetakse, et turvateemad on osa igapäevast.

Kõige suurem viga on seega uskuda, et “meid see ei puuduta”. Reaalsus näitab vastupidist – rünnakud puudutavad kõiki. Ainus erinevus on selles, kas organisatsioon on selleks valmis või mitte. Need, kes loovad ennetavalt kaitsemehhanismid ja õpetavad töötajaid ohtusid märkama, jäävad ka rünnaku korral tugevamaks. Need, kes lükkavad turvateemasid edasi või peavad end immuunseks, riskivad nii oma töö jätkusuutlikkuse kui mainega.