Põhisisu algus

Küberrünnak ettevõtte vastu - küsimus pole mitte "kas", vaid "millal"

05.05.2021

Viimane aasta on toonud nihke nii meie käitumistesse eraisikutena kui ka ettevõtluses - kõik on kolinud suuremas osas digimaailma. Kauplused on suures osas kinni ja müük toimub ennekõike e-poes. Kontorid on inimtühjad ning igapäevaste tööasjadega toimetatakse kodudes. Arvukad veebikoosolekud, suuremahuline infovahetus (dokumendid jm failid) käib kõik üle interneti. Selle kõigega on kaasnenud üheltpoolt paras annus digiväsimust igapäevase töötegemise tasandil. Kuid on veel teinegi oht, mis ettevõtteid ohustavad - praeguse digistressi situatsioonis on küberkurjategijad olukorda enda kasuks ära pööramas ning otsivad teenimisvõimalusi. 

See trend on globaalne ning üleilmselt ületab küberkurikaelte poolt ettevõtetele tekitatud kahju suurusjärk triljon dollarit. Prognooside kohaselt see kasv jätkub ja aastal 2025 võib see ületada juba 10 triljoni dollari piiri. Pannes need numbrid konteksti – ainuüksi mullune triljon dollarit on 76 korda (!) rohkem kui näiteks Eesti riigi tänavune riigieelarve. Laiemas kontekstis vaadates on kuritegevuse "jälg" juba praegu sama suur kui globaalselt saamata jäänud tulu turismist 2020 aastal. Ja turismisektori probleemidest oleme viimase aasta jooksul palju kuulnud, Eestis väga palju ka oma silmaga näinud.
Tulles suurte numbrite juurest lähemale, siis kahjuks tuleb nentida, et hoolimata meie ajalooliselt kõrgetest kohtadest erinevates IT-edetabelites ja heast kuvandist välismeedias ei ole meilgi lood palju paremad. Suurusjärgud on muidugi väiksemad, kuid sellegipoolest – RIA hinnangul  oli 2020. aasta pettusekatsete võtmes rekordiline ning reaalne kahju Eesti ettevõtetele üle miljoni euro. Ning võrreldes näiteks 2016. aastaga on registreeritud küberkuritegude arv kahekordistunud. Kardetavasti on selle hinnangu puhul aga tegemist pigem jäämäe veepealse osaga, sest enamik ettevõtteid ei anna põhjusel või teisel kahjudest teada. 

Sihikul "tavalised" ettevõtted

Kui veel mõne aasta eest olid küberrünnakute sihtmärgiks valdavalt suure kliendibaasiga finants-, telekomi- ja jaekaubanduse ettevõtted või ka avaliku sektori organisatsioonid, siis nüüd on sihtmärkide ring oluliselt laiem. Üha autentsemana näivad õngitsus- ja petukirjad koos tehnoloogia arenguga ehk rünnete automatiseerimisega on toonud kõikjal maailmas selle ohu iga ettevõtteni sõltumata suurusest. Ning arvestades, et lõviosa (80-90 protsenti) rünnakutest on seotud rahalise kasu sooviga, siis ettevõtja vaatest pole enam küsimus selles, kas rünnakut karta, vaid hoopis millal see tulla võib? 
Kõrvuti üha kasvava ohuga on murekohaks sihtmärkide - meie kõigi - valmisolek ohtudega tegelemiseks. Paljudel juhtudel just väiksemad, aga ka arvestatava suurusega ettevõtted turbelahendusi kas ei kasuta või on need aegunud. Põhjusi on kaks - üheltpoolt on lahendused keerukad ning sageli ei pruugi rünnakud välja paista. Sageli võib juhtuda, et käegakatsutavat kahju koheselt ei tekigi. Ent suuremgi mure on selles, et keskmiselt avastatakse rünnakud isegi kuus kuud või enamgi hiljem.


Keerukus ei tohi saada takistuseks

On muidugi tõsi, et turbelahendused võivad tunduda äärmiselt keerukad, eriti mittespetsialistile. Aga sellega on nagu iga uue asjaga. Samas tegelikult - tehnoloogia kasutamiseks ei pea seda ju üdini tundma. Ka mobiilse interneti või ka tavalise nutitelefoni toimimise tehnilist poolt ei tea enamik kasutajaid, ent kasutame neid mõlemat ju me kõik. Seetõttu on olulisem endale ohte teadvustada ning astuda esimesed sammud selleks, et end kaitsta. Kõige lihtsam on seda teha neljast punktist n-ö spikrit kasutades:

1. Mõistmine. Ja see ei ole kasutatava tehnoloogia mõistmine, vaid oma vajaduste mõistmine. Ka parimad mõtted kukuvad tõenäoliselt läbi, kui selle tegelikus väärtuses kaheldakse. Oluline on mõista, et suure tõenäosusega langeb iga ettevõte varem või hiljem mingilaadse ründe ohvriks. Ja see võib minna väga kulukaks

2. Turvatehnoloogia ehk kasutatav võrk ja seadmed. Rünnaku ohvriks saab langeda ainult võrku ühendatud seade, samas on enamus inimesi enamuse ajast võrgus ning just inimlik eksitus (või hooletus) põhjustab 95% küberkahjudest. Samas on selle vastu tõhus ennetusmeede - antiviirused, tulemüürid ja tarkvaravärskendused peaksid olema elementaarsed iga kasutaja arvutis.

3. Protsessid. Kui n-ö hügieeninõuded on täidetud, peaks iga ettevõtte sees kriitiliselt üle vaatama,  kes millistele andmetele ligi pääseb ja milliste seadmetega. Kehtesta sisemised reeglid ja n-ö ohutasemed ning sellest lähtuvalt piira ebavajalikud seadmed ja ligipääsud.

4. Inimesed. Kui vundament laotud, siis on ees kõige keerulisem ülesanne ehk inimeste koolitamine ja harjumuste muutmine. Isegi kui endale teadvustame küberturbe vajadust, siis eraisikutena sageli mõtleme - "miks just nüüd see tarkvarauuendus tuli" või "ma ei suuda neid kõiki paroole ju eluilmas meeles pidada". Ent kui tahta end ja oma ettevõtet hoida, tuleb inimeste käitumist ja mõttemalli muuta ning mis seal salata, mingil määral ka kontrollida reeglitest kinnipidamist. 
Tänuväärne on, et riigi eestvedamisel on loodud ka väga ülevaatlik veebileht itvaatlik.ee, mille abil enda kaitstust suurendada ja mitmesuguste soovitustega tutvuda. 

Muidugimõista võib ka käega lüüa ning eeldada, et mind ja minu ettevõtet see teema ei puuduta. Kuid paralleeli tuues - nii nagu me keerame kodust lahkudes ukse lukku, siis on ka küberturvalisusse investeering põhimõtteliselt "lukus uks", millest igaüks sisse jalutada ei saa. Ning kui kurikaelal tuleb pingutada, siis otsitakse pigem juba ust, mis ei oleks lukus!

 

Tarmo Linnamägi, Elisa Eesti IT-teenuste valdkonnajuht

Seotud märksõnad