Elisa infoturbejuht: mis juhtus, kui üritasime oma töötajaid ise küberrünnakutega pommitada?
Töötajad on ettevõttes küberturvalisuse vaates alati eesrindel ning nende tegevusest sõltub suuresti see, kui hästi on kaitstud nii ettevõte ise kui ka selle kliendid. Kuigi täna pööravad paljud ettevõtted tähelepanu sellele, et äsja tööperega liituvatele kolleegidele põhiprintsiibid selgeks teha ja igapäevaseid tegevusi selgete reeglite ja tehniliste lahendustega turvalisemaks muuta, siis sõnab Elisa infoturbejuht Mai Kraft, et ainult sellest enam ei piisa.
Aja jooksul valvsus paratamatult langeb. Vahetult pärast ohtude tutvustamist suudavad tähelepanelikuna püsida kõik, kuid mida päev edasi, seda kaugemana ohud tunduvad. Just see näiline turvatunne on aga see, mille toel suudavad tänaseni õngitsuskirjad ja teised üsnagi lihtlabased rünnakud suurt kahju valmistada. See aga ei tähenda, et tegu oleks probleemiga, mida lahendada ei saa.
Turvakoolitused, töötoad ja pidevalt kõige olulisemate ohtude meelde tuletamine on valvsuse ülal hoidmiseks kriitilise tähtsusega, kuid neist üksi piisata ei pruugi. Pidev harimine on justkui koolis käimine, kuid ilma eksamiteta on raske mõista, kas seniräägitust ka midagi päriselt kohale jõudnud on. Selleks, et senise töö edu hinnata ja murekohad üles leida, tasub oma inimesed proovile panna – neid ise kontrollitud keskkonnas küberrünnates.
Sina oled pahalane
Elisas oleme oma töötajaid simuleeritud rünnakutega testinud juba mõnda aega ning tulemused on selgelt nähtavad. Tänaseks oleme jõudnud punkti, kus 70% töötajatest teavitavad õigete kanalite kaudu postkasti jõudnud petukirjast, kuid sellesse punkti jõudmine on olnud omaette väljakutseid täis tee. Heaks näiteks kohatud raskustest on meie esimene katse simuleeritud rünnakud päriselt käiku panna.
Simuleeritud rünnaku eesmärgiks on olla tavapärasest ründeviisist eristamatu. See on justkui iga teine postkasti sattuv petukiri, millega soovime näha, kas töötaja klikib “pahavaraga” nakatunud lingile, või teavitab sellest õigeid kanaleid pidi vastutavaid osapooli. Kui tänaseks seda juba suuresti tehakse, siis esimene katse näitas selgelt, et ruumi paranemiseks on kõigil – nii töötajatel reeglite järgimisel kui ka turvatiimil endal inimeste harimise ja rünnakute läbiviimisega.
Esimene simuleeritud rünnak algas juba halvasti. Kirjade välja saatmiseks kasutatud süsteem hangus ning soovitud ühe kirja asemel jõudis töötajateni kuus identset petukirja. Oli selle taga vaid süsteemi enda viperus, või aeglusest tulenevast frustratsioonist korduvalt “saada” nupu vajutamine, jäägu hetkel mõistatuseks. Kuigi võiks arvata, et kuus veidrat kirja on piisav, et punased lipud tõsta ja inimesed linke mitte vajutama panna, siis kahjuks see nii polnud.
Petukiri jäljendas klassikalist kasutajatoe meili, kus paluti inimestel lingile vajutada ja tarkvara uuendada. Lingile klikkis kirjalaviinist hoolimata nii suur hulk inimesi, et testi jaoks loodud maandumisleht, mis pidi kuvama sõnumit “Palju õnne, oled võitnud infoturbe koolituse”, joosti pikali. See tähendab, et tänaseni puudub meil täpne ülevaade, kui suur hulk kirjade saajatest lõpuks lingile vajutas. Küll aga saab üheselt väita, et tulemused üllatasid pigem negatiivses valguses.
Meeletult parem polnud pilt ka juhtudel, kus töötajad otsustasid lingile mitte vajutada. Reeglid näevad ette, et petukirjadest tuleb kindlaid kanaleid pidi turvatiimile teada anda, kuid suure kirjalaviini valguses need põhimõtted ununesid. Teavitusi tuli kõnede teel, meilitsi, Teamsi kaudu ja kõiki muid võimalikke pidi. Testi ajal oli see üleelatav, reaalse massiline rünnaku puhul oleks aga risti-rästi igas kanalis teavitamine küberturbetiimi ja IT-kasutajatoe töö halvanud.
Aga igas põrumises on midagi positiivset. Esimene test näitas isegi kõigi viltu vedamistega selgelt kätte, mis on hästi ja mis on halvasti. Oli selgelt näha, et õigetele teavituskanalitele rõhumine on jätkuvalt oluline, pettuste äratundmiseks on vaja teha veel üksjagu tööd ning testide läbiviimises on arenguruumi kõvasti. Kui simuleeritud rünnakut toimud poleks, siis poleks seda infot meil kuskilt võtta.
Ei saa ka jätta märkimata, et tänu veidi ebaõnnestunud katsele said paljud töötajad teadlikumaks selles osas, millised õngitsuskirjad päriselt välja näevad ja kuidas neist tead andmine tegelikult töötama peaks.
Täna kasutame simuleeritud rünnakute läbiviimiseks automaatset süsteemi, kus uus õngitsuskiri jõuab postkasti iga 7-14 päeva tagant. Kõik töötajad ei saa kirja üheaegselt ning ka kirjade sisu on erinev, tagades nii, et raporteerimine tuleneb päriselt petukirja äratundmisest, mitte lihtsalt sellest, et keegi kolleegidest kohvinurgas seekordse õppuse olemuse välja rääkis.
Praktilised õppused ei pea e-kirjadega piirduma
Kuigi simuleeritud õngitsuskirjad on üheks kõige lihtsamaks viisiks on töötajate testimiseks, siis ei tasu võimalusel vaid nendega piirduda. Erinevaid praktilisi teste on palju ning kui ressursse jätkub, siis tasub nendega tegeleda.
Headeks valikuteks on näiteks füüsilise turvalisuse testid, mis võiva hõlmata nii territooriumile “nakatunud” mälupulkade vedelema jätmist ja vaatamist, kas keegi need oma arvutisse pistab, kuni kollase vesti testini välja. Viimase puhul peaks keegi „suvaline“ selga panema kollase vesti ja haarama kätte redeli, väitma end näiteks suitsuanduri kontrollijaks ja jalutama sisse serveriruumi või tundlikke andmeid sisaldava tööarvuti poole. Suuresti on füüsiliste testide puhul piiriks fantaasia.
Testida tasub ka turvatiimi ja tänaseks üles ehitatud süsteeme. Näiteks tasuks kontrollida, kui hästi suudavad küberturbemeeskonnad rünnakuid tuvastada ja kuidas pärast “intsidendi” toimumist sellega toime tullakse. Ka siin on ohtralt ruumi fantaasiale, sest pärispahalastel õelatest mõtetest puudust pole. Mida raskem õppustel, seda kergem lahingus.