Tänase turvalise interneti päeva puhul uurisime, kui lihtne võib olla ettevõttele ohtlikuks osutuda, selle infoturbe nõrkusi ja halba küberhügieen kurjasti ära kasutada ja millise vea teevad juhid, kui turvalisuse teemad kergekäeliselt IT õlule lükkavad. ITuudised.ee küsimusetele vastab Security Software sertifitseeritud infoturbeanalüütik Ats Onemar.
- Ats Onemar Foto: Ats Onemar, Security Software infoturbeanalüütik
Ats Onemar
Lõpetatud Estonian Business School’i IT-juhtimise eriala
Sertifitseeritud infosüsteemide audiitor (CISA)
Tänukirjad Siseministeeriumist, Rahandusministeeriumist ja Politsei- ja Piirivalveametist erinevates projektides osalemise ja tööülesannete täitmise eest.
10 aastat kogemusi infoturbe valdkonnas.
Täiendanud end pidevalt auditeerimise ja infoturbe teemadel.
Ats Onemar on infoturbe valdkonnaga olnud seotud 10 aastat. Ta on aidanud mitmetel erinevatel organisatsioonidel lahendada valdkonda puudutavaid küsimusi. Täna keskendub ta peamiselt infoturbe ja küberhügieeni alastele koolitustele, konsultatsioonidele ja analüüsidele.
Millised on markantsemad näited või olukorrad, millega olete ise kokku puutunud ettevõtteid nõustades ja olukordi analüüsides?
Lihtne näide turvalisusest, andmetest ja ligipääsust. Ettevõttesse külla minnes ma alati tutvustan ennast, ütlen kelle juurde lähen, ja kui tean, siis ütlen ka, kuhu ruumi. Tulemuseks on vahest vägagi üllatav usaldus – olen järgmisel hetkel kontoris ilma saatjata ja kõnnin vabalt ringi, heal juhul tean ka suunda kuhu liikuda. Lõuna ajal võib olla on mõni inimene kuskil silmapiiril. Mulle vaatavad vastu lahti jäetud ekraanidega arvutid ja prinditud paberid printeris. Minul on küll head kavatsused, aga kas ikka kõigil alati on?
Internetist rääkides. Igal ajahetkel on keegi, kes proovib saada internetist sissepääsu kellegi kontorisse või koduvõrku. Kui leitakse mingi seade, näiteks server, mis sissepääsu päringule vastab, siis kohe proovitakse ka selle seadme kasutajanimesid ja paroole ära arvata. Seda tööd teevad nii-öelda robotid, mis lihtsalt otsivad ja proovivad. Enamik neid proovimisi on võrdlemisi ohutud ja ei ole ka kuigi koormavad. Samas, kui on oldud hooletud, siis võib juhtuda nii nagu näidati hiljuti saates „Radar“, kus oli näha kuidas paljude kodude või firmade kaamerad olid võõrastele silmadele avatud. Uksed olid lahti ja robotid leidsid tee nende kaamerateni.
Üldiselt kõik, mis on internetis ja ei ole kaitstud, on internetis igavesti. Riigi Kinnisvara AS riputas 2015. aastal riigihangete registrisse plaanitava presidendi residentsi projekti, mh turvasüsteeme puudutava info. Diskussioon käis tol korral lausa teemal, et kas avalikustati riigisaladuse väärilist infot. Kui see projekt oli internetis üleval neli päeva ja seda infot on juba alla laetud mitmeid kordi, siis ei tea tegelikult keegi, mis nende andmetega edasi saab ja kes neid edasi kasutab.
See on väike osa, millest avalikult räägitakse. Teame oma tööst lähtuvalt, et olukord on tegelikult vägagi väljakutsuv. Ettevõtted ja eraisikud satuvad juhuslike ja sihitud internetikurjategijate ohvriteks. Palju sellest ei jõua kuhugi, sest Politsei- ja Piirivalveametit ei teavitata, kuigi peaks. Hiljutine avalikkuse eest peidus olnud näide on meil ettevõttest, kelle e-posti konto kaaperdati ja sellelt saadeti välja ettevõtte logodega arveid, reaalsete teenuste eest ja reaalsetele klientidele. Kõik paistis õige, ainult kontonumber oli vale. Mainekahju, rahaline kahju või mõju ettevõtte sisekliimale - see ei ole just pidupäev.
Samuti ei räägita eriti küberkiusamisest, identiteedivargusest ja muust, mis tegelikult kõik toimub.
See jutt ei ole mõeldud hirmutamiseks, vaid selleks, et ettevõtted ja töötajad ning ka töötajad kui lapsevanemad teaksid, millises keskkonnas nad on. Keskkonna tundmine võimaldab meil kohandada oma riskikäitumist või siis positiivsemalt öeldes tõsta oma alalhoidlikke hoiakuid internetiohtude suhtes. Ettevõtete jaoks tähendab see, et need samad inimesed töötavad nende juures oma paremate või siis hoopis riskialtimate käitumismustritega. Ja nende käitumine tööl mõjutab ettevõtte ja selle kasutuses olevate andmete turvalisust.
Kuidas ja kas on muutunud ettevõtjate arusaam küberturvalisusest?
Riik on teinud palju tööd sellele teemale tähelepanu juhtimiseks. Kasutajate turvateadlikkuse tõstmisel on kindlasti suur roll Riigi Infosüsteemi Ametil. Nende töö tulemus paistab välja ka meie töös. Riik on teadlikum tellija ja ametnikke on selleks ette valmistatud juba mitmeid aastaid.
Erasektori tase on aga väga kõikuv. Finantsteenuste pakkujad, börsiettevõtted, rahvusvaheliste korporatsioonide tütarettevõtted on tihti väliste ja sisemiste nõuete tõttu paremas seisus kui ülejäänud. Paljude ettevõtete jaoks võivad küberturvalisus, infoturve, andmekaitse ja GDPR olla võõrad mõisted. See võib olla ohtlik nii nendele ettevõtetele kui ka nende kätesse usaldatud andmetele. Oht puudutab nii ettevõtet kui ka seal töötavaid inimesi, aga ka andmeid, mis on selles ettevõttes klientide kohta.
Millega peame arvestama 3 aasta pärast?
Tehnoloogia areng toimub metsiku kiirusega. Hetkel me räägime peamiselt suurandmetest, masinõppest, inimkäitumise analüüsist, asjade värkvõrgust, aga ka paljust muust. Me liigume suunas, kus tehnoloogia jälgib meid 24/7 ja meil tegelikult juba on olemas teadmine, kuidas neid meeletuid andmemahtusid kasutada üldise heaolu tõstmiseks, äri tegemiseks, aga samamoodi saab neid andmeid kasutada ka üksiksisiku või ettevõtte töötajate jälgimiseks. Privaatsus muutub järjest rohkem näiliseks. Tehnoloogiatootjate vastutus peab tõusma, st turvalisus tuleb planeerida tootesse, mitte mõelda sellele hiljem.
Millised on esimesed soovitused ettevõtte juhtidele?
Esiteks tuleb pöörata tähelepanu oma ettevõttega seotud tegevustele. Mis on see, mis ettevõtet edasi viib? Kui palju on seost andmetel ja eelmainitud tegevustel? Küsige endalt, kas need andmed on väärt kaitsmist ja mis saab siis, kui teil neid andmeid ei ole või need on konkurendi käes. Kui sellele küsimusele ei oska kohe ise vastata, siis selles osas on Eestis piisavalt kompetentsi, kes oskaks aidata.
Teiseks ei ole antud vallas IT-inimene või -osakond ainuke panustaja. Siin on vaja toimetada ka personali valdkonnas koolituste korraldamisega ja motivatsiooniga ning üldiste haldus- ja juhtimisküsimustega, nagu protsessid ja töötegemise viisid, mis tihti IT pädevusest kaugele jäävad. Kahjuks on ka Eestis näiteid, kus andmete lekkimises on süüdi ettevõtte oma töötaja. Põhjused selleks on erinevaid: kättemaks, töö konkurendi heaks, kogemata valele aadressile saadetud kiri jne.
Kolmandaks peab ettevõte mõtlema, et mida on ta teinud, et neid andmeid kaitsta ja kas ta teab, kuidas neid kaitsta.
Kui kursis on ettevõtete juhid infoturbe valdkonnaga?
Paraku visatakse infotube teemal vastutus ja teadmine IT-inimestele. Sellega ettevõtte juht aga programmeerib enda organisatsiooni vea. Turvalisuse küsimus ei ole pelgalt IT küsimus. See on ka organisatsiooni kultuuri küsimus – väärtused, juhtimine, protsessid. Selle teadlikkuse tõstmine on hetkel kõige suurem väljakutse. Tegemist on tihtilugu juhtide jaoks uue ja ebamugava teemaga, millele ei pöörata enne tähelepanu, kui hakkab liiga valus, ehk juba on kannatatud kahju.
Kui hästi/halvasti on kaitstud Eesti ettevõtted?
Enamik ettevõtteid on kaitstud vanamoeliselt. IT mõtleb, kuidas on vaja ja siis ostab näiteks tulemüüri ja palju teisi keerulisi tehnoloogilisi seadmeid, kui suudab nende vajadust juhtkonnale põhjendada. Heal juhul on need seadmed asjakohaselt häälestatud ja pakuvad mingisugust kaitset. IT kaitsemeetmete murdmiseks piisab aga tihtilugu ühest inimesest, kes avab ühe vale e-kirja. Kogemus näitab, et see üks inimene on alati olemas. Kui teha ettevõtetes teste mälupulkade pillamise ja nö õngitsuskirjade saatmisega, siis kahjuks ei ole me ettevõtetes selliseid teste tehes veel läbi kukkunud, st alati paneb keegi nakatanud mälupulga arvutisse või avab võltsitud e-kirjas asuva lingi.
Samas võib üldistatult öelda, et infoturbe ülesande endale teadvustanud ettevõtted on paremas seisus ja nende andmed on paremini kaitstud. Ainuüksi IT-le ülesande seadmisest ei piisa.
Millest peaksid ettevõtted alustama? Millised on soovitused?
Võttes appi lihtsa elulise näite üksikinimese tasandil võib öelda, et meie enda käitumine defineerib enamuse meie turvalisusest. Nii nagu tänavalgi olles, kui võtta öösel kesklinnas joobeseisundis välisöögikoha ees lahti pakk 50 euroseid, siis tõenäosus sattuda kuriteo ohvriks on väga suur. Alalhoidlikuna, alkoholiga piiri pidades, võimalusel pangakaarti kasutades on meie turvalisus mõnevõrra suurem. Eriti veel juhul, kui pangakaardi limiit on seatud selline, mis ei võimalda kurjategijal ka hiljem liigset kahju tekitada.
Kui internetis avaldada sotsiaalmeedias kõigile avalikult liigselt isiklikku infot, nagu elukoht, pildid kodus olevast 60+ tollisest telerist, ilusast autost, oma igaõhtusest jooksutrajektoorist, oma kahenädalalasest reisist Taimaale – see on nagu kutse vargale, et ma olen kodunt kaks nädalat eemal – tule ja võta. Või hullem veel, kui jooksutrajektoor mõne seksuaalkurjategija tema huviobjektile lähemale juhatab. Me kunagi ei tea, kes või mida meie kohta internetis loeb või jälgib.
Ettevõtte juhtkond peab ühe olulise asjana alustama inimesest ja teadlikkuse tõstmisest – nii juhtide tasandil, et rääkida infoturbe funktsioonist kui ka kasutaja vaates, nö hea küberhügieen.
Seotud lood
Kui tellimiskeskus kaks päeva ei tööta küberrünnaku tõttu, pood on suletud või kliendiandmed satuvad võõraste inimeste kätte halva küberhügieeni tõttu ja ettevõtte suurt kahju kannatab, siis on see äririsk ja selle ärahoidmise eest vastutab juht. Maailmas on viimasel ajal näiteid nii palju, et ei ole väga raske kedagi veenda, et andmekadu on risk. Kuidas Coop Eestis äri- ja infoturbe juhtimisega tegeletakse ning milliseid praktikaid rakendatakse, sellest rääkis ITuudistele antud intervjuus IT direktor Kaspar Hioväin.
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.