KPMG äriblogi

Küberturvalisuse eksperdid: kurjategijaid alahindavad ettevõtjad riskivad oma vara ja mainega

Küberkurjategija võib rünnata igaüht.Foto: Shutterstock

Kui ehitusfirma juht või veebipoe pidaja arvab, et küberturvalisus pole nende äris teema, siis nad eksivad rängalt. Homme võib olla juba hilja! Sellest, miks on ettevõtetel oluline vaadata üle ja vajadusel uuendada oma küberturvalisust, räägivad KPMG küberturvalisuse eksperdid Igmar Ilves ja Mihkel Kukk

Kõik ettevõtted, olenemata tegevusvaldkonnast, kasutavad tänapäeval oma äritegevuse toetamiseks infotehnoloogilisi lahendusi ja ka neil, kes iga päev IT-ga kokku ei puutu, tasub end digimaailmas toimuvaga pidevalt kursis hoida. “Võtame kasvõi ehitusfirma või mõne muu teenusepakkuja, siis enamasti käib neil planeerimine ikkagi kuskil IT-keskkonnas. Neil on olemas ka kodulehed,” rääkis KPMG küberturvalisuse ekspert Igmar Ilves. 

KPMG küberturvalisuse teenuste juht Mihkel Kukk lisas, et palju on tekkinud ka e-poode ja  projektihalduse keskkondi, kelle äri sõltub sellest, mis toimub internetis. “Kui need nüüd n-ö maha kukuvad ehk rünnaku alla satuvad, siis jääb tihtipeale ka äri seisma. Olenevalt rünnaku iseloomust, võivad teenused maas olla tunde, päevi või koguni tuleb teenuste IT pool nullist üles ehitada.”

Rünnaku tagajärjel võivad küberpättide kätte sattuda kliendiandmed, info rahavoogude ja muude tundlike andmete kohta – ja see seab ohtu kogu ettevõtte tegevuse. Hullemaks muutub lugu veel siis, kui kurjategijad krüpteerivad ettevõtte olulised andmed lunavaraga ning nõuavad info taastamise eest raha. “Tihti hoitakse IT-keskkonnas näiteks ärisaladust, lepinguid ja isikuandmeid, mis on konfidentsiaalsed. Puuduliku küberturvalisuse korral on need kurjategijale lihtne saak. Mis puudutab statistikat, siis lunavara puhul saab krüpteeritud andmete tagasisaamiseks teostatud rahalise makse järel kõigest 8 protsenti ettevõtetest enda andmed krüpteerimata kujul tagasi – see on selgunud 2021. aastal läbi viidud uuringus, mille viis läbi tuntud küberturvalisuse tark- ning riistvara looja Sophos. Seega on paljude ettevõtete jaoks lunavara rünnaku alla sattunud andmed igaveseks kadunud,” sõnas Ilves.

Infoturbe tagamist võib reeglina vaadata läbi järgneva kolme eesmärgi: andmete konfidentsiaalsus, käideldavus ja terviklus. Andmete konfidentsiaalsus tähendab andmete kättesaadavust ainult selleks volitatud isikutele (nt e-poe kasutaja pääseb ligi enda andmetele ning kõrvalistel isikutel ligipääs antud kasutaja andmetele puudub). Andmete käideldavus tähendab andmete õigeaegset kättesaadavust (nt e-poe veebilehelt on alati kättesaadav, kasvõi öösel). Andmete terviklus tähendab andmete õigsust, usaldusväärsust ja ajakohasust (nt e-poe veebilehel kajastatud hinnad on kontrollitud ning neid ei ole võimalik pahatahtlikel osapooltel muuta). Kui üks neist rünnaku alla satub, jääb ettevõte väga kehva olukorda. Sellele ei mõelda tihtipeale enne, kui tuli on juba räästas. 

KPMG küberturvalisuse ekspert Igmar Ilves. Foto: KPMG

Küberturvalisuse seis kehvem, kui arvatakse

“On üsna levinud, et pärast seda, kui oleme kliendi ettevõttele teinud küberturvalisuse kontrolli, selgub, et seis on palju halvem, kui klient ise arvas,” sõnas Kukk. 

Ilves lisas, et kõigepealt tehakse kliendiga põhjalik intervjuu, mille jooksul saab selgeks, mida klient ise oma ettevõtte küberturvalisuse ja -kaitse tasemest arvab. “Me kaardistame olukorra ja teeme seejärel tehnilise testi ehk vaatame reaalselt, kuidas need asjad toimivad. Tihti oleme avastanud, et kas täielikult või siis osaliselt ei vasta küberturvalisuse tase kliendi arvamusele või ootustele,” selgitas Ilves.

Kuke sõnul on kurioosne, et Eesti armastab end küll promoda suure IT-riigina, kus kasutatakse innovaatilisi lahendusi, aga ettevõtete poolel on küberturvalisuse valdkonnas näha pigem tugevat alainvesteeringut. “Kindlasti on erandeid, kuid üldpilti iseloomustab ikkagi see, et paljudes ettevõtetes on IT-osas tööl üks või poole kohaga inimene, kes muuhulgas turvalisusega tegeleb. Kuid see ei ole kahjuks piisav, sest muude töökohustuste kõrvalt võib jääda aega turvalisuse teemadega tegelemiseks napiks.” 

Ja kui IT-tugi ostetakse sisse mujalt, siis ei tähenda see Kuke sõnul automaatselt seda, et hinna sees on ka küberturvalisuse tagamine. IT-toe lepingupartner tegeleb lepingus paika pandud põhiülesannetega ning üsna tihti jääb küberturvalisus kui toetav funktsioon lepingus sätestamata. Reeglina on see tingitud ettevõtete ekslikust eeldusest, et tellitava IT-toe teenuse sisu hõlmab endas ka kõiki turvalisusega seotud aspekte. “Sel juhul tuleb teenuse ostjale tihti üllatusena, et ettevõtte turvalisus ei ole just kõige paremas korras.” 

Õngitsusrünnakutega püüavad küberkurjategijad palju ohvreid

Ilvese sõnul on kõige levinum viis ettevõtete ründamiseks õngitsusrünnakud – küberkurjategijatel õnnestub konksu otsa saada 60–80 protsenti sihtmärkidest. “Õngitsusrünnak võib olla sihitud rünnaku osa, mille raames üritatakse kindlat sihtmärki – näiteks teatud ettevõtte töötajat – spetsiaalselt valmistatud e-kirja abil kurjategija kasuks mõjutada. Kõige tavalisem, mida me viimasel ajal näinud oleme, on see, et ettevõttele saadetakse võltsarve,” rääkis ta.

Selleks võib olla igati tõesena näiv arve näiteks mõnelt telekommunikatsiooni(telekomi)firmalt, milles märgitakse, et klient pole tasunud mitme tuhande eurost arvet. “See on väga lihtne juhtum. Raamatupidaja vaatab, et oleme jah antud telekomifirma klient, ning maksab arve ära. Aga seal arve peal võib olla mingi välismaa kontonumber ja nii läheb see raha väga valesse kohta. Pärast on seda tagasi saada üsna keeruline,” selgitas Kukk.

Et taoliste pettuste ohvriks mitte sattuda, piisab ekspertide sõnul lihtsatest nippidest. 

Raamatupidamislikud protsessid peavad olema piisavas ulatuses rakendatud, et oleks täpselt teada, millistele kontodele ülekandeid tehakse ning kui ülekandeid palutakse teha tundmatutele kontodele, siis tuleb antud info tõepärasus mitmekordselt üle kontrollida. “Raamatupidajal piisab sellest, et helistada telekomifirmale ja küsida, mis arve see on ja kas tõesti on kontonumber muutunud. Nii saab kohe teada, kas tegemist on tõesti mingi muudatusega või hoopis õngitsusrünnakuga,” rääkis Kukk.

Sooduspakkumine võib olla hoopis rünnak

Õngitsusrünnaku läbiviimisel võivad küberkurjategijad rakendada ka juhuslikkuse printsiipi, mille raames saadetakse väga paljudele adressaatidele spetsiaalselt valmistatud e-kirjad lootuses, et mõni “sihtmärk” avab ka sellega kaasas oleva lingi. Näiteks saadetakse laiali masskiri mõne tuntud ettevõtte nimel, milles kasutatakse antud ettevõtte logo ja muud kujundust, mis justkui viitab, et tegemist on legitiimse e-kirjaga. “Seal võib olla pakkumine mingi sooduskoodiga, palutakse keskkonda logida ja küsitakse paroole,” rääkis Kukk. 

Ilves tõi teisegi näite, kuidas häkkerid ettevõtte töötajate andmeid kätte saavad. “Nendes kirjades kasutatakse ettevõtte sümboolikat ja ettevõttes päriselt töötava inimese kontakte – need andmed on küberkurjategijad eelnevalt avalikest allikatest ning sotsiaalmeediast üles leidnud. Näiteks võib ettevõtte töötajale tulla personaliosakonna juhatajalt kiri, mis sätestab, et käesoleval aastal makstakse ettevõtte poolt välja preemiaid. Aga kuna preemia väljastamiseks on vaja uuendada töötaja andmeid uues IT-keskkonnas, siis peab töötaja klikkima lingile ning uues keskkonnas end autentima.”

Kuna kiri paistab tõesti olevat personaliosakonna juhatajalt, siis heauskne töötaja klikib lingile ja satub justkui enda ettevõtte kodulehele, mis näeb välja ehtne, kuigi seda tegelikult ei ole. Preemia saamise nimel palutakse töötajal võltsitud kodulehele sisestada isiklikke andmeid ja ka kasutajatunnuseid ning paroole. Teatud juhtudel võib õngitsusrünnak avada küberkurjategijatele ka ligipääsu sihtmärgiks valitud ettevõtte andmesidevõrgule ning selles asuvatele seadmetele – see võimaldab halvima stsenaariumi realiseerumisel ligi pääseda mitte ainult ühe töötaja andmetele, vaid kogu ettevõtte andmetele.

KPMG küberturvalisuse teenuste juht Mihkel Kukk. Foto: KPMG

Kuidas häkkerite rünnakust pääseda? 

“Number üks on töötajate teadlikkuse tõstmine,” sõnas Ilves. Ettevõte ja selle töötajad peavad teadma, kuidas end kaitsta õngitsusrünnakute eest. See teadmine on oluline ettevõtte igas osakonnas: ei oma tähtsust, kas räägime IT-töötajast või raamatupidajast – kõik võivad sattuda õngitsusrünnaku ohvriks.Teadlikkust saab tõsta koolituste, teavituskampaaniate ja praktiliste näidete abil. “Kui läbida infoturbealane koolitus üks kord aastas või isegi harvemini, siis sellest paraku töötajate teadlikkuse tõstmiseks ja hoidmiseks ei piisa,” ütles ta.

Ekspertide sõnul on ideaalne, kui koolitusi või infopäevi korraldatakse vähemalt kaks korda aastas. Seejuures peab ettevõttel olema koolituste korraldamise kõrval kindlasti ka laiahaardelisem strateegia, kus IT-osakond või infoturbe eest vastutajad saadavad regulaarselt infoturbealaseid teabekirju ja hoiatusi (nt õngitsuskirjade meetodeid selgitava sisuga kirjad). Kukk tõi eeskujuks ettevõtted, kus tehakse aastas kolm kuni neli teadlikkuse tõstmise koolitust. “Nendes ettevõtetes langeb nende töötajate arv, kes väga kaasa ei mõtle ja klikivad igale poole, umbes viiele protsendile. See on oluliselt väiksem osakaal kui algne 60–80 protsenti.”

“Ja teine pool sellest, mida rünnaku vastu teha saab, on nii-öelda tehnilised meetmed. Need meetmed kontrollivad näiteks, milliselt meiliaadressilt kirjad tulevad. Juhul, kui tegemist on domeeniga, millelt pole ettevõttesse kunagi kirju tulnud või on need tulnud harva, siis informeerib süsteem kasutajat, et ta oleks ettevaatlik kirja manuste või linkide avamisel,” rääkis Ilves. Näiteks, kui autentsena näiv kiri on tulnud justkui @eesti.ee domeenilt, millelt ettevõte saab tihti kirju, siis õngitsusvastane automatiseeritud lahendus informeerib kasutajat koheselt kahtlasest kirjast ning annab teada, et tegelikult on kiri tulnud meiliaadressilt, mis kasutab hoopis @eesti.de domeeni. 

Ekspertide sõnul on paljude ettevõtjate ja ettevõtete juhtide hulgas pigem levinud arvamus, et neilt ei ole midagi võtta ja häkkeritel pole põhjust neid rünnata. “Arvatakse, et tegeletakse suures plaanis võib-olla mitte nii huvitava asjaga – aga nagu ma juba enne ütlesin, siis raha annab igalt poolt välja võtta, kui seal seda natukenegi on. Väga palju rünnakuid on üsna valimatud. Kui ette jääd, siis sinu juurde ka tullakse,” rääkis Kukk. 

Suhtu küberturvalisusesse kui maja ehitamisse

“Kui räägime A-st ja O-st ehk kõige olulisemast, siis ma tõmbaksin siin paralleeli maja ehitamisega. Esimese asjana ehitad vundamendi. Õigemini ajad enne vundamendi tegemist korda dokumentatsiooni,” rääkis Ilves. 

Ehk tuleb korralikult läbi mõelda, kuhu maja püsti panna, milliseid õiguslikke toiminguid on tarvis maja ehituseks teha, millisest materjalist maja ehitada, mitu korrust sellel on, kuidas seda soojustada jpm. Just samasuguse lähenemise järgi tuleb paika panna ka infoturbe ning küberturvalisuse rakendamise plaan ja strateegia. 

“Alustada tuleks infoturbe ja küberturvalisuse vajalikkuse teadvustamisest juhtkonna tasemel. Tuleb mõista, et infoturve on oluline, olenemata ettevõtte põhitegevusest ja suurusest. Ka väiksemad ettevõtted peavad olema teadlikud võimalikest infoturbealastest riskidest, mis võivad nende äri olulisel määral mõjutada. Siinkohal on meie soovitus – parem karta kui kahetseda. Järgnevalt tuleb ettevõttel paika panna strateegilised eesmärgid ning alustada infoturbealase dokumentatsiooni loomist – esimesena tuleb kirjalikult vormistada vastav strateegia, mis sisaldab endas infoturbealaseid eesmärke ning kirjeldust, kuidas antud eesmärgid toetavad ettevõtte põhitegevust. Seejärel saab ettevõtte juhtkond otsustada, kuidas läheneda eesmärkide saavutamisele ning kuhu paigutada esmased investeeringud.”

Kui infoturbe strateegilised eesmärgid on paigas, saab minna dokumentatsiooniga detailidesse. Järgneva sammuna tuleks kaardistada ettevõtte IT-varad: milliseid seadmeid kasutatakse, kus need asuvad, kust jooksevad kaablid, millised on kasutusel olevad infosüsteemid, millised on ettevõtte tähtsamad andmed, kes on seadmete, andmete ning infosüsteemide eest vastutajad jpm. “Ei tohi unustada, et kui me tahame infoturvet parandada, siis tuleb teha selleks mingeid spetsiifilisi tegevusi – selleks, et mitte iga kord läheneda tegevustele pimesi, tuleks kehtestada ettevõttes infoturvapoliitika ning koos sellega ka vastavad protsessid, mismoodi asjad peaksid ettevõttes käima. Infoturvapoliitika lähtub eelkõige ettevõtte infoturbe strateegilistest eesmärkidest, aga abiks on siinkohal kindlasti ka valdkonnas kasutusel olevad parimad praktikad ning rahvusvaheliselt tunnustatud standardid,” märkis Ilves.

Kirjalikult vormistatud ning ettevõtte juhtkonna poolt kinnitatud dokumentatsioon ja selles sisalduvad protsessid peavad olema kõigi infoturbealaste tegevuste aluseks. Selliselt on ettevõtte võtmeisikute jaoks selge, millised on eesmärgid infoturbe tagamisel ning kuidas käituda, et vastavad eesmärgid saavutada. Sealhulgas peavad infoturbe dokumentatsioonis olema sätestatud tehniliste turvameetmete rakendamise põhimõtted.

Kõige efektiivsem viis hoida ettevõtte IT-infrastruktuuri tehnilisest seisukohast turvalisena on Kuke sõnul turvapaikade ajakohane paigaldamine, multiautentimise (ingl k multi-factor authentication) juurutamine ning seadmete turvaline seadistamine vastavalt parimate praktikate suunistele. “Arvutites olevat tarkvara tuleb järjepidevalt uuendada. Uuendused parandavad tihtipeale tarkvaras olevaid turvaauke ning neid tuleks installida niipea, kui uuendus tootja poolt avalikustatakse. Samas oleks kindlasti tark esmalt installida uuendused testkeskkonnas, veendumaks, et uuendused toimivad,” ütles Ilves.

Kui protsessid on paigas, tuleks teha ettevõtteülene riskianalüüs ning kaardistada ära, millised on ettevõtet ohustavad riskid – eelkõige arvestades riskide avaldumise tõenäosust ning võimalikke tagajärgi ettevõtte põhitegevusele. “See viimane on oluline ka selles mõttes, et ettevõte tahab ju kuskilt optimeerida ka kulusid. Ehk kõik investeeringud infoturbesse peavad olema riskipõhised: kus on kõige suuremad ning tõenäolisemad riskid, sinna tulekski suunata valdav osa ressurssidest. Kõikide võimalike turvameetmete täiemahuline rakendamine, ka väikese tõenäosusega avalduvate riskide osas, oleks ilmselgelt liiga kulukas ka suuremate ettevõtete jaoks,” sõnas Ilves.

Kuke sõnul on kõige olulisem teadvustada, et turvalisus ei ole midagi sellist, mida teed ainult ühe korra. “Näeme tihti, et tahetakse lahendust, kus ühe korra tehakse midagi ära, et siis järgmised viis või kümme aastat ei peaks selle teemaga väga tegelema. Arvestades seda, et küberruumis muutub olukord väga kiiresti, siis pole selline mõtteviis kaugeltki jätkusuutlik.” 

Ka riskide mõttes soovitab Kukk teatud stsenaariumid läbi mängida, kaasates kindlasti ka juhtkonda ning ettevõtte finantside eest vastutavaid inimesi, et vaadata, kui palju ühe või teise rünnaku realiseerumisel ettevõte raha kaotaks. “Siis hakkab tekkima see tunnetus, et selge, me kaotame antud stsenaariumi realiseerumisel sedavõrd palju raha, ettevõtet tabab mainekahju ning tark tegu oleks analüüsida, milliseid turvameetmeid tuleks rakendada ning kui palju tuleks sellest tulenevalt valdkonda investeerida,” soovitas Kukk. 

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Telli Geeniuse kõige hinnalisemad lood oma postkasti

Saadame sulle igal argipäeval ülevaate DigiPRO ja Ärigeeniuse olulisematest lugudest.