Küberkurjategijate kohta võib piltlikult öelda, et nemad unest ei hooli ning veedavad ööd ja päevad mõeldes välja uusi rünnakuvõimalusi. See tähendab, et iga arvuti- ja internetikasutaja peaks püüdma mõista nõrku kohti enda kaitses ning jälgima turvahoiatusi. 

Nii Riigi Infosüsteemide Ameti (RIA) küberturvalisuse teenistuse juht Gert Auväärt kui ka TalTechi küberkriminalistika ja küberjulgeoleku keskuse projektijuht Anu Baum nendivad aga, et pahatihti ei võeta turvahoiatusi tõsiselt. 

Toome välja mõned andmeturberiskid, millega pea igapäevaselt silmitsi seistakse, kuid mida ohuks pidama paraku ei kiputa või ei osatagi. 

Isegi printer või saunakeris võib olla küberoht

Suur osa moodsast kodutehnikast on ühendatud internetiga ning pole haruldus, et omanik saab arvutist vaadata, mis kodus parasjagu toimub, välisukse äpi abiga lukust lahti teha, kohvimasina tööle ning sauna sooja panna. Tuleb aga hoolega mõelda, kas seda kõike on vaja. 

Kui vastus on jah, pead hea seisma selle eest, et võrku ühendatud seadmed oleksid rünnakute eest kaitstud ning internetiühendus nii turvaline, et häkkeritel oleks vaja sisse murdmiseks näha rohkem vaeva, kui ainult võrku pääseda. 

Et ohud kõrvaldada, tee kodune turvaaudit ja vaata üle, missugused seadmed on sinu koduvõrku ühendatud – arvutid, turvakaamerad, tahvlid, televiisor, mängukonsool, printer, nutikülmkapp… Nimekiri võib olla uskumatult pikk. 

Ning nagu kirjutatakse RIA küberturvalisuse aastaraamatus 2022, siis omanik ei pruugi teadagi, et tema ruuter, printer või valvekaamera on nakatunud pahavaraga, liidetud mõnda robotvõrgustikku ja püüab “maha joosta” tema kodupanka või laste kooli. 

Selleks, et ohutu väljanägemisega seadmed ei muutuks mõne küberkurjategija käes ohtlikuks ründerelvaks, tasub nende tarkvara uuendada.

Kas sina tead, kes ja milleks sinu isikuandmeid hetkel töötleb?

TalTechi küberkriminalistika ja küberjulgeoleku keskuse projektijuht Anu Baum esitab küberohtudest kõneldes retoorilise küsimuse: “Kas sina tead, kes ja milleks sinu isikuandmeid hetkel töötleb?”. Ta nendib, et olgem ausad – suurem osa meist seda ei tea ja tegemist on üldiselt levinud probleemiga. Inimesed ei tea oma õiguseid ja ega ettevõtted ka väga ei selgita, milleks nad kogutud isikuandmeid tegelikult kasutavad. 

Baum soovitab, et tasuks võtta aega ning katsuda kaardistada, millistel ettevõtetel ja missugused teie isikuandmed olemas on. Seejärel tuleks paluda ettevõtetel, kellega teil enam n-ö lähedast suhet ei ole, lõpetada teie isikuandmete töötlemine. 

Kust kaardistamisega alustada? Baum suunab, et üle tuleks vaadata näiteks meilipostkasti pakkumiste osa ning analüüsida, kas ollakse ikka kõikidest neist pakkumistest tegelikult ka huvitatud. Kui ei, siis tuleks konto kustutada või paluda andmete töötlemine lõpetada. 

“Mida rohkemates kohtades teie andmeid töödeldakse, seda suurem on võimalus andmete lekkimiseks,” põhjendab Baum. 

Ta lisab, et näiteks igas netipoes ei pea end tingimata registreerima – paljudest saab sooritada oste ka külastajana. Hea oleks ka meelde tuletada ning inventuur teha kõigis foorumite ja keskkondades, mida te aastaid tagasi kasutasite ja mille olemasolugi olete tänaseks unustanud.

Hoia paroole ja PIN-koode endale

Anu Baum viitab, et jätkuvalt on murekoht ka see, et oma salasõnasid ja PIN-koode ei hoita piisavalt hoolikalt ega panda teiste silma alt ära. 

“PIN-koodid asuvad kas ID-kaardi juures või hoitakse neid niimoodi, et kõrvalistel isikutel on neile ligipääs, mis annab võimaluse kuritarvitamiseks,” sõnab Baum ja lisab, et sama käib ka mobiil-ID ja Smart-ID andmete kohta.

Salasõnade ja PIN-koodide turvaliseks hoidmiseks on kõige parem nipp muidugi need pähe õppida. Kui numbrikombinatsiooni või salasõna meelde jätta ei suuda, tuleks neid hoiustada viisil, kus kolmandad isikud neile ligi ei pääseks. 

Kas tead, millele just allkirja andsid?

Turvariskid, millele piisavalt tähtsust ei omistata, valitsevad ka dokumentide meiliga digiallkirjastamiseks saatmises ja allkirjastamises. 

Anu Baum toob ta välja, et kui on peetud läbirääkimisi dokumendi sisu osas, siis enne allkirjastamist ei vaadata uuesti üle, mis lepingusse kirja sai ja millele allkiri antakse. Tegelikult tuleks kogu dokument kindlasti taas üle lugeda. 

Veel toob Baum välja, et dokumendid, millele tahetakse allkirja, sisaldavad enamasti ka isikuandmeid. Need võivad olla eriliigilised (vaata täpsemat selgitust andmekaitse inspektsiooni veebilehelt siit) ja sisaldada tundlikku infot ning kui neid edastada lihtsalt e-kirja manusena, valitseb siingi andmete lekkimise oht.

E-kirja teel failide vahetamisele on turvaline alternatiiv kasutada keskkonda, kus saab dokumente üles laadida, digiallkirju anda, teistelt osapooltelt allkirju koguda, automaatseid meeldetuletusi saata, dokumentide staatust jälgida ning kõik dokumendiga tehtud tegevused on seejuures logitud.

Baumi sõnul on sellisest keskkonnast kindlasti abi ka juhul, kui on vaja e-allkirja valideerida. (Valideerimise kohta saad täpsemalt lugeda artiklist siit.) Näiteks kui rahvusvaheliste suhete ja suhtluse puhul antakse elektroonilisi allkirju ka teistest riikidest ning Eesti kasutaja ei pruugi olla pädev hindamaks nende kehtivust. 

“Platvormist võiks minu hinnangul olla abi ka siis, kui tegutsetakse ainult või peamiselt nutiseadmega – nõnda oleks olemas koht, kus dokumente turvaliselt allkirjastada ja neid avada ning hoiustada,” avaldab Baum arvamust.  

Rohkem kui lihtsalt digiallkirjastamise portaal

Dokobiti portaal võimaldab hoida kõik dokumendid turvalises keskkonnas, kus need on ligipääsetavad ainult selleks volitatud isikutele. Lisaks on nii välistatud võimalus, et dokumendid hävivad, kui arvutiga peaks midagi juhtuma.

Dokobiti portaali kasutuselevõtuga saad võimaluse dokumente vaid mõne klikiga nii arvutis kui nutitelefonis allkirjastada. Lisaks digiallkirjastamisele pakub Dokobiti aga ka teisi kasulikke lahendusi.

Keskkonda saad kasutada nii isiklikuks tarbeks, kui ka ettevõtte protsesside kaasajastamiseks. Olemas on kasutajate turvalise autentimise ja dokumentide digitembeldamise võimalus ning kvalifitseeritud valideerimisteenus dokumendile lisatud digiallkirjade ja digitemplite kehtivuse kontrollimiseks.

Kõigi Dokobiti teenustega saad lähemalt tutvuda veebilehel www.dokobit.ee.

2022 – turvariskide aasta: hoiatusi ei võeta tõsiselt ka ettevõtetes

Riigi Infosüsteemide Ameti (RIA) küberturvalisuse teenistuse juht Gert Auväärti tõdeb Küberturvalisuse aastaraamatus 2022, et möödunud aastat võiks pidada turvanõrkuste aastaks, kus võidujooksus aja ja kurjategijatega tuli võtta vastu valusaid õppetunde. 

Auväärti sõnul kasutavad küberkurjategijad rünnakuteks avalikustatud turvaauke ehk teisisõnu juba sissetallatud teid. “Kui tehakse avalikuks, et mõnes tarkvaras uks on lahti jäetud ning seal on turvaauk, siis proovitakse kohe ka läbi selle sisse tungida. Aastaraamatus on mitu sellist näidet,” ütles Auväärt. 

Selliste olukordade vältimiseks jagab RIA aktiivselt infot küberturbejuhtidega, et säärased turvaaugud esimesel võimalusel sulgeda. “Iga meie hoiatus või ohuhinnang on suure kaaluga ning kui neile õigeaegselt reageerida, siis saab päris palju jamasid ära hoida,” toonitas Auväärt.

Ta viitas aga, et näiteks kui Microsoft avalikustas eelmise aasta märtsis oma Exchange’i turvanõrkuse ning selle paikamise info, mille kohta RIA edastas juhised ka teistele asutustele, siis nädal hiljem tehtud seire näitas, et kaks kolmandikku informeeritutest polnud võtnud vajalikke meetmeid kasutusele. Nende asutuste meiliserverid olid endiselt haavatavad ehk töötajate e-post sisuliselt kaitseta ja avatud. Hoiatust ei võetud tõsiselt. 

Paikamata süsteemide tulemuseks on reeglina see, et pahategijad leiavad need üles ja paiskavad süsteemidesse pahavara, mis võimaldab näiteks ligipääsu e-kirjadele ja muudele andmetele.