Oktoober on küberturvalisuse kuu. Tänavu pöörab Riigi Infosüsteemi Amet (RIA) sel puhul eriti palju tähelepanu väikese ja keskmise suurusega ettevõtetele ehk VKE-dele. Muu hulgas valmis äsja lühijuhend, mis annab otsa kätte, et küberteema igas firmas korralikult käsile võtta.

Millised ohud Eesti VKE-sid varitsevad ning kuidas oma ettevõtet kaitsta, räägivad Märt Hiietamm ja Kaisa Vooremäe RIA analüüsi- ja ennetusosakonnast.

Millised on Eesti VKE-de küberturvalisuse tagamisel kõige suuremad probleemid?

Vooremäe sõnul saab kõik alguse peast. “Kui juhtkond väärtustab küberturvalisust, suunatakse sinna piisavalt investeeringuid ja vaadatakse, et asjad toimiksid,” selgitab ta.

Kantar Emori mullune uuring näitas, et VKE-de juhid peavad küberturvalisuse teemat küll oluliseks, kuid see ei ole neile esmatähtis. Investeeringuid küberturbesse mõtestatakse pigem IT-kuludena ning suuremaid kulusid hakatakse planeerima alles siis, kui on päriselt häda majas. “Tegeletakse tulekahju kustutamise, mitte ennetusega,” sõnab Vooremäe, “kuid ennetada on alati lihtsam ja ka odavam.”

Vajaka jääb endiselt ka teadlikkusest. Ettevõtjad teavad küberruumis levivatest ohtudest pigem vähe, samuti ei ole nad kursis, millised on päriselt küberrünnakute (majanduslikud) kahjud või kui suur on intsidentide toimumise tõenäosus. “Eeldatakse, et minuga ei juhtu, juhtub teistega,” toob Vooremäe näite VKE-de tüüpilisest väärarusaamast. “Seda ei tohi eeldada!”

Kui paljud suuremad ettevõtted koolitavad töötajaid regulaarselt ja testivad nende teadmisi, siis VKE-d jätavad selle pahatihti kas ressursipuuduse, prioriteetide või millegi muu tõttu tegemata. Et töötajad oleksid ohtudest teadlikud, saab esimesed sammud teha RIA pakutavate abimaterjalidega. “Kui muuks hetkel ressurssi pole, tasub meile kirjutada ja liituda kübertestiga või vähemalt vaadata meie ennetusportaalist itvaatlik.ee n-ö igaühe testi. Sealt saab selgitavate videote ning valikvastustega küsimuste abil vajalikud algteadmised kätte,” soovitab Hiietamm. Nii ennetusportaalis oleva testi läbimine kui ka kübertestiga liitumine on kõigile tasuta.

Millised on enamlevinud küberohud ja -skeemid, millega Eesti VKE-d võivad oma töös kokku puutuda?

Kõige lihtsam ja kiirem on küberkurjategijatel tulu teenida petukirjade ja -lehtede kaudu. Ettevõtete puhul kasutatakse sageli näiteks tegevjuhi petuskeemi. See tähendab, et tegevjuhi nime alt saadetakse raamatupidajale kiireloomuline kiri – kohe on vaja mingi ülekanne teha!

Vooremäe sõnul on ettevõtted sellisest pettusest tihtilugu isegi teadlikud ja nendevastased protseduuridki on paigas, aga kuna kiri on nii kiireloomuline, tehakse sabinas ülekanne ikkagi ära. 

“Mõnikord raamatupidaja märkab kirjas midagi kahtlast ja hoiab kahju ära, aga teinekord on petukiri suhteliselt viisakas riigikeeles ja läheb läbi,” selgitab Hiietamm, kuidas haneks minnakse. Kahjud võivad olla kümnetes tuhandetes eurodes ja seda raha enam tagasi ei saa.

Arvepettuste ehk BEC-skeemide läbimineku eelduseks on, et töötaja meilikonto on juba kompromiteeritud ning küberkurjategija saab jälgida meilivestlust näiteks ettevõtte ja tema partneri vahel. Sobival hetkel pettur sekkub, asendab arve peal kontonumbri enda omaga ja kanne tehaksegi kurjategija kontole.

Vooremäe sõnul on selline skeem väga levinud. Hiietamm soovitab äripartneri uue kontonumbri ehtsuse enne makse tegemist kindlasti kahepoolse suhtluse teel üle kinnitada.

Kõige raskemate tagajärgedega on lunavararünnakud. See tähendab, et ettevõtte süsteemid ja andmed krüpteeritakse ning nende tagasisaamiseks tuleb tasuda kas lunaraha või näha palju vaeva, et kuidagi teisiti oma andmed taastada. Senikaua töö päevade kaupa lihtsalt seisab, tulu ei teki ja kõige hullemal juhul järgneb pankrot. “Sellele lisandub ka mainekahju, sest kliendid ei saa teenust tarbida või tooteid kätte,” selgitab Vooremäe.

RIA soovitus lunavararünnakute korral on küberkurjategijatele mitte maksta, kuid osa ettevõtjaid seda siiski teeb. Kõige suurem summa, mis RIA-le teadaolevalt on Eesti ettevõttelt küsitud, oli kaks miljonit eurot. See puudutas sõidukite müügiga tegelevat firmat, mis sai lunavararünnakuga pihta, sest nende kaugtöölaud (RDP – Remote Desktop Protocol) oli “tervele maailmale” avatud.

Väikekaupmeestele paneb Vooremäe südamele, et nad oma veebilehti aeg-ajalt uuendaksid. Pahatihti leidub lehtedel haavatavusi ja turvanõrkusi, näiteks on mingid pistikprogrammid ehk pluginad uuendamata. Nende nõrkuste kaudu lipsavadki küberkurjategijad süsteemi sisse.

“CERT-EE (RIA intsidentide lahendamise osakond – toim.) teavitab ka aeg-ajalt ettevõtteid, kui on teada, et veebilehel on turvanõrkusi. Kui uuendusi ei tehta, kasutatakse haavatavust ära ja paigaldatakse veebilehele näiteks pahavara,” räägib Vooremäe sagedasest probleemist.

Miks räägitakse viimasel ajal nii palju tarneahelarünnakutest? Mida need tähendavad?

“Oletame, et mõne IT-ettevõtte või teenusepakkuja teenust kasutavad nii advokaadibüroo, kaubanduskett kui ka ehitusettevõte. Selmet rünnata kõiki eraldi, võtavad küberkurjategijad ette IT-teenuse pakkuja, kelle kaudu nad jõuavad edasi ka tema klientideni,” selgitab Vooremäe, mida tarneahelarünnak endast kujutab. See on risk, mida tuleb kolmanda osapoole teenuseid, riistvara või tarkvara kasutades arvestada.

“Tuleb teha endale selgeks, millist teenust kasvõi oma veebilehe haldajalt saad. Väga sageli näeme, et vastutust ja riske, mis tarneahelas on IT-teenuse või muu teenuse pakkumisel, ei ole üldse lepingus fikseeritud. Halvemal juhul ei ole isegi kohta, kuhu kirjutada või helistada, kui probleem tekib,” loeb Hiietamm VKE-dele sõnad peale.

Millised on peamised ja kõige lihtsamad asjad, mida VKE-d saaks oma küberturvalisuse tagamiseks ära teha?

Vooremäe sõnul peab ettevõtja täpselt teadma, millist riist- ja tarkvara ta kasutab. “Kui tead, milliseid süsteeme kasutad, siis tead ka seda, mida on vaja kaitsta. Kindlasti tuleks läbi mõelda uuenduste haldamine, juurdepääsuõigused, panna paika turvaline paroolihalduspoliitika, kasutada mitmikautentimist,” loetleb Vooremäe terve rea asju, millele tähelepanu pöörata. Samuti tuleb töötajaid järjepidevalt koolitada ja õpetada rünnakuid ära tundma.

Juhuks kui midagi tuksi läheb, peab olema paigas varundussüsteem. “Tähtis on tagada ka varunduse edukas toimimine, sest muidu ei ole võimalik andmeid taastada. Kindlasti ei tohiks varundus olla koos kõigi teiste andmetega samas serveris,” tuletab Vooremäe meelde.

Kui esimese hooga ei tea, millest alustada, tasub RIA kodulehelt võtta lahti küberturvalisuse sektsioon ja lugeda, mida peaks tegema. Ka itvaatlik.ee ennetusportaalis on üleval soovitused ja videod, kus on lihtsas keeles ära seletatud, milliste ohtudega tuleb arvestada.

Mida teha, kui ettevõte on juba rünnaku ohvriks langenud ja piltlikult öeldes katus põleb?

Vooremäe sõnul peab esmalt selgeks tegema, mis on intsidendi põhjused ja allikas. Teavitada tuleks kohe ka CERT-EE-d (selleks on olemas eraldi küberintsidendi teavitusvorm). “Kui tuleb lunavararünnak, on CERT-EE-s olemas inimesed, kes annavad kasvõi nõu, kuidas nende pättidega suhelda, et asjad tagasi saada,” soovitab Hiietamm julgelt abi küsida. 

Kui kasutatakse mõnda kolmandat osapoolt, näiteks IT-teenuse pakkujat, siis peab teavitama ka neid. Ja kui on andmelekke oht, tuleb sellest teada anda andmekaitse inspektsioonile. Samuti on asjakohane oma töötajaid, kliente ja koostööpartnereid jooksvalt intsidendi lahendamisega kursis hoida.

Vooremäe sõnul muretsetakse küberrünnaku alla sattudes tihti mainekahju pärast ning jäetakse seetõttu CERT-i teatamata. “Kardetakse, et riigiasutuse teavitamisel alustatakse ettevõtte suhtes järelevalvet või menetlust. Tegelikult on RIA eesmärk aidata ja toetada. Kui intsident juhtub VKE-ga, pole meil seaduse järgi isegi võimalust neid menetleda. Kindlasti ei levita me seda infot ka avalikult,” kinnitab Hiietamm, et kartuseks pole põhjust.