Küberruum – nii kasulik ja ohtlik
Üks asi, mida oleme COVID-19 pandeemia ajal äriajamise kohta õppinud, on küberruumile toetumisest saadav suur kasu, aga ka sellega kaasnevad riskid. Sõnavabaduse ja kaubanduse jõu mitmekordistajana on küberruum samal ajal ka reguleerimata mänguruum, mida kasutavad ära sellised vastased nagu Hiina, Venemaa, Iraan ja Põhja-Korea ning ka kurjategijad ja terroristid.
Organisatsioonid tõdevad enam kui kunagi varem, et hoolimata kehtestatud tehnilistest kontrollidest ja eeskirjadest on nende suurim (nii sisemine kui ka väline) oht inimtegevus. Ehkki interneti kasutamine võimaldab tööd teha, muudab see samal ajal nii ettevõtted kui ka nende töötajad ärakasutamise suhtes haavatavaks.
Kodukontor toob uusi turvariske
Erinevalt kontoris töötamisest, kus turvameetmed on juba ammu välja kujunenud, on töö kodukeskkonnas toonud esile uued turvariskid ettevõtetele. Riskide seas on nii töötajate isiklike kaitsmata seadmete kasutamine, üldise küberhügieeni puudumine kui ka teadmatus.
Kui me töötasime USA luurekogukonnas, tähendas terrorismivastase operatsiooni juhtumitele reageerimise faasis viivitamine seda, et me polnud piisavalt erinevaid luureandmeid kokku kogunud ega võib-olla analüüsinud neid nõuetekohaselt, et rünnakut ära hoida. Enamasti teevad terroristid nagu häkkeridki enne rünnaku korraldamist luuret. Kui vaenlase luure jääb avastamata ja oht tuvastamata, on ründajal võimalik ära kasutada üllatusmomenti.
Ärge laske end üllatada
Sel põhjusel peaksid küberteadlikud ettevõtted rünnakueelses faasis keskenduma ennetamisele. Kõigepealt on neil aga vaja jõuda mõistmiseni, et ettevõtet hakatakse (või juba on hakatud) häkkima, ning tegutseda tuleks vastavalt sellele. See kehtib ka inimohu või siseringiohu kohta.
Kombineerides nii tehnilisi kui ka mittetehnilisi meetodeid, on organisatsioonide ennetustegevus tõhusam ja nad reageerivad tulemuslikumalt vahejuhtumitele olukorras, kui midagi kahtlast on toimumas. Vahejuhtumitele reageerimine tähendab nii rünnakust tuleneva kahju leevendamist kui ka ennetavate meetmete ja varasematest rünnakukatsetest saadud teabe kasutamist.
Ettevõttes peaks olema küberintsidentide seiresüsteem, kus vahejuhtumitele reageerimine algab ohu tuvastamisest turvaintsidentide haldamise tööriista abil. Seejärel teadet käsitletakse ja juhtum tuvastatakse automaatselt, hinnates ohtu ja andes kohase vastuse. Parim platvorm vähendab reageerimisaega sekunditeni, põhiline analüüs viiakse lõpule enne inimese otsest sekkumist.
Ettevõtted saavad tõhusalt riske maandada ning reageerida juhtumitele õigeaegselt, kaitstes servereid ja ruutereid, kasutades tulemüüre ja keerukaid veebikoode ning rakendades järjekindlalt nii hädaparandusi kui ka varuprotokolle.
Muidugi on parem ohte ennetada ja neid kõrvaldada intsidendile eelnevas reageerimisfaasis, et mitte anda vaenlasele võimalust andmeid muuta, varastada või hävitada. Jällegi on nende stsenaariumide leevendamiseks olemas end tõestanud tehnilised kontrollid, kuid ettevõtted kipuvad mittetehnilisi ennetusmeetodeid vahele jätma. Vaadeldes küberrünnaku ohtu kui üksnes tehniliselt lahendatavat IT-probleemi, jäetakse tähelepanuta klaviatuuri taga olev inimene kui ohuallikas.
Oht võib tulla seestpoolt
Saime oma vastuluurekogemustest teada, kui oluline on end kaitsta siseringiohu vastu. Siseringioht tuleneb nii ebateadlikest töötajatest, keda tuleb informeerida ohtudest ja sellest, kuidas end ohtude vastu kaitsta, kui ka halbade kavatsustega töötajatest. Inimressursside, IT ja turvalisuse omavaheline ühendamine on täiendav eelis, mille abil luuakse ettevõttes turvalisust väärtustav keskkond, mida tunnistavad kõik töötajad ja millest sõltub nende kõigi sissetulek.
Andmete, raha ja maine kaitse seisab kolmel sambal
Hea strateegia ärilise edukuse aluseks olevate andmete, raha ja maine kaitsmise nimel peaks keskenduma kolmele põhielemendile.
- Sotsiaalmeedia ohud ja sotsiaalne manipulatsioon. Veenduge, et töötajad oleksid teadlikud sotsiaalmeedia ja võrgustikusaitide kaudu tehtavatest pakkumistest; ärge kunagi jagage konfidentsiaalset teavet oma ettevõtte, paroolide või dokumentide kohta ilma kontrollimata, kes ja mis põhjusel seda küsib.
- Kasutage konkreetset koolitusprogrammi. See peab keskenduma töötajate teadlikkuse suurendamisele, sealhulgas ohumärkidest teavitamisele, kolleegide kaasamisele ja probleemidest teatamise protseduuridele.
- Püstitage endale kindel eesmärk. Selle saavutamiseks võib kasutada mitmeastmelisi tehnoloogilisi kontrolle. Need hõlmavad kohustuslikku VPN-i (virtuaalne privaatne võrk) ning võrgu- ja tundlike failide krüptimist; samuti rollipõhiseid juurdepääsukontrolle, sisseehitatud tugeva viirustõrjetehnoloogiaga tulemüüri ning kodu- ja töövõrkude selget eraldamist.
Häkkeri eesmärgi – andmete ärakasutamine, muutmine või varastamine – saavutamine sõltub kõige sagedamini sellest, kas saaja avab pahatahtliku manuse, klõpsab lingil või langeb mõne muu pettuse ohvriks. Organisatsioonid peavad teadvustama, et probleemi ignoreerimine ei kaota probleemi ära ja nende töötajad on nende suurim vara, mille kaitsesse nad peaksid investeerima.
Endine Eesti president Toomas Hendrik Ilves on võrrelnud eesseisvat võimepõhise strateegia ülesehitamise probleemi kaosega, mis tekiks siis, kui pahatahtlikud häkkerid muudaksid kõik Manhattani valgusfoorid roheliseks: meie kujutlusvõimest hoolimata oleksid vaenlased sihtmärkide valimisel meist alati mitme sammu võrra ees. Ainult parimate ettevalmistus- ja kaitsemeetmete abil saame vähendada oma küberruumis tegutsemise riski, mida nii CIA kui ka NSA endine juht Michael Hayden on võrrelnud ujumisega haidest tulvil meres, kus isegi delfiinid on ohuks.
Ohud on reaalsed ka Eestis
Jaanus Rahumägi ESCGS-i tegevjuht
Autorid on USA tipptaseme luure ja vastuluure eksperdid, kes on valmis Eesti ettevõtjaid, teadlasi ja poliitikuid huvi korral konsulteerima, kuidas seista vastu ebatervele huvile oma tegemiste ja saladuste vastu ebatavalises olukorras, kodukontoris ja mujal, kus ei kehti harjumuspärased IT-turvareeglid ja kaitstus.
Ohud, mis maailmas ringlevad, on kahtlemata reaalsed ka Eestis. Eriti maailmatasemel teadlaste, ettevõtjate ja poliitikute ümber. Rääkimata tavapärastest ideede ja intellektuaalsete väärtuste vargustest või nende kaotamisest hooletuse ning teadmatuse tõttu. Teadlikkuse suurendamine oma saladuste ja plaanide kaitsmiseks ei jookse kellelgi mööda külgi maha, eriti kui koolitust pakuvad eksperdid, kes tunnevad saladuste varguste maailma väga hästi seestpoolt.
Artikkel ilmus kaubanduskoja ajakirja Teataja 1/2021 numbris rubriigis "Kasulikku".
Autorid: Daniel Hoffman endine CIA MENA asedirektor, Shawnee Delaney küberturvalisuse ekspert