Küberturvalisus ja küberründed – tavamõtlemises seostuvad need mõisted endiselt millegi kauge ja militaarsega, mis keskmist ettevõtet ja inimest ei puuduta.

Tegelikkus on aga hoopis teistsugune: rünnatakse ikkagi täiesti tavaliste omanike arvuteid ja süsteeme, varastatakse andmeid, krüpteeritakse kõvakettaid ja esitatakse lunavaranõudeid. Need on riskid mida iga ettevõte peaks endale teadvustama ja tegelema küberkaitse kaudu nende ennetamisega, et vältida rünnakust tekkida võivat kahju.

Käesolev artikkel tugineb riigi infosüsteemi ameti (RIA) küberturvalisuse teemalise ülevaate „Küberturvalisus 2019“ (https://www.ria.ee/sites/default/files/content-editors/kuberturve/kuberturvalisus-2019.pdf) materjalidele.

Omanik vastutab esimeses järjekorras

Ettevõtete juhid peaksid endale teadvustama, et küberturvalisus ei ole ainult firma IT-osakonna või arvutiasjanduse eest vastutava inimese asi. Esimeses järjekorras vastutab süsteemi või seadme küberturvalisuse eest selle omanik (üksikisik või ettevõte) ise.

„See on ennekõike juhtkonna asi, kes otsustab äriportsessi ja investeeringute üle,“ rõhutab Uku Särekanno, riigi infosüsteemi ameti (RIA) küberturvalisuse teenistuse juht RIA ülevaates „Küberturvalisus 2019“ .

Millised on küberkaitsega mittearvestamise ohud?

Seda, et olukord Eesti küberruumis muutub üha kriitilisemaks, iseloomustab kasvõi RIA-sse pöördumiste arv. Võrreldes aasta varasemaga sai RIA 2018. aastal pea kaks korda enam teavitusi (17 440 teavitust), mille hulgas registreeriti 3390 andmeid või infosüsteeme mõjutanud intsidenti („Küberturvalisus 2019“).

Ettevõtetel tuleb silmas pidada, et küberturvalisusega mittearvestamisel võivad kannatada nii nende tooted kui teenused. Olulist kahju võib saada ettevõtte maine – kujutlege olukorda, kus teie veebilehte või arvutisüsteemi on „häkitud“ ning see paistab välja teie olemasolevatele või potentsiaalsetele klientidele. Või olukorda, kus teie e-postiaadressilt saadetakse teie ärikontaktidele välja pahavara. Kõik see võib teile tähendada klientide ja koos nendega sissetuleku kaotamist. Arutlege, kui palju kaotaksite käivet näiteks nendel päevadel, kui teil tuleb lunavaraintsidentide tõttu kaduma läinud andmeid taastada.

Kahju võivad põhjustada ebaturvalised seadmed

RIA küberturvalisuse ülevaatest nähtub, et 2018. aasta suvel avastati, et teatud väikeettevõtetele ja kodukasutajatele mõeldud internetiruutereid oli võimalik kasutada pahatahtlike tegevuste peitmiseks, informatsiooni varastamiseks, kuid ka näiteks krüptoraha kaevandamiseks.

„Andsime välja sellesisulise hoiatuse eesmärgiga teavitada kasutajaid vajadusest uuendada tarkvara,“ teavitab RIA. „Suvel välja antud hoiatustest hoolimata oleme korduvalt näinud era- ja avalikes võrkudes seadmeid, mis kasutavad sama haavatavat, uuendamata tarkvara.“

Ebaturvaline e-post

Suur osa ettevõtete vahelisest suhtlusest toimub e-kirjade teel, seetõttu tuleb selle valdkonna turvalisusele pöörata üha suuremat tähelepanu.

RIA andmetel on aga suurt osa Eesti ettevõtete ja asutuste meilikontosid jätkuvalt võimalik kerge vaevaga võltsida. See tähendab, et e-posti teel saab levitada pahavara või paluda valedele kontodele raha saata. „Mõned e-postiserverite turvalisuse jaoks mõeldud turvalisusprotokollid ja tehnoloogiad on aastaid vanad, kuid jätkuvalt uuendamata,“ tõdetakse RIA küberturvalisuse ülevaates.

Ebaturvalised veebilehed

Ettevõtte kodulehekülg on ettevõtte digitaalne visiitkaart. Ometi tuleb sageli ette olukordi, kus kompromiteeritakse veebiservereid ja -lehekülgi, mille tarkvara pole uuendatud või millel ei rakendata turvastandardeid.

Arvutiressursi kasutamine krüptoraha kaevandamiseks

Meediatarbijale ei ole kindlasti jäänud märkamata krüptoraha populaarsuse (ja hinna) kasv 2017. aasta lõpus. RIA andmetel püüdsid kurjategijad sellega seoses leida üha paremaid viise krüptoraha kogumiseks.

Kuna krüptoraha „kaevandamine“ nõuab enamasti elektrit ja protsessorite ressursse, andsid „avalikult teadaolevate haavatavustega seadmed (näiteks kodukasutuses olevad ruuterid), millel ei ole uuendatud tarkvara, ründajatele lihtsaid viise teiste inimeste arvutiressursside kasutamiseks,“ avaldab RIA, kelle andmetel nimetatud trend 2018. aasta esimeses pooles veelgi jätkus.

Rünnatakse nõrgimat, mitte kõige väärtuslikumat lüli

Väikeettevõtte juht või üksikisik võiks küsida: miks peaks keegi mind ründama, minu andmetes ei ole midagi väärtuslikku ega konfidentsiaalset?

RIA juhib tähelepanu, et süsteemis rünnatakse enamasti mitte kõige väärtuslikumat lüli, vaid kõige nõrgemini kaitstut. Statistika näitab, et „enamik küberründeid ei pööra mingit tähelepanu kasutaja isikule, vaid sihivad valimatult kõiki kaitsmata seadmeid ja kasutajakontosid,“ juhib RIA tähelepanu.

Delikaatsete andmete töötlemine nõuab erilist tähelepanu

Seoses hiljuti vastu võetud küberturvalisuse seadusega on eriti oluliseks muutunud delikaatsete isikuandmete töötlemisega seotud küsimused.

RIA rõhutab, et isikuandmete lekkimise vältimise juures on esimene oluline samm küberturvalisuse tagamine. „See tähendab selleks vajalike meetmete süsteemset rakendamist, millele peavad taas kord tähelepanu pöörama organisatsioonide juhid. Isikuandmete talletamise ja käitlemise süsteemid vajavad järjepidevat riskide maandamist, tarkvarauuendusi ja uutele turvalisematele standarditele üleminekut organisatsiooni suurusest hoolimata“ („Küberturvalisus 2019“).

Mis on küberkaitsega arvestamise eelised?

Küberkaitse ja uuenevate turvastandarditega arvestamine neelab kindlasti ettevõtte aega ja raha. Kuid see näitab ka, et tegemist on vastutustundliku ja hooliva ettevõttega, kes on kursis kaasaegsete arengutega küberturvalisuse valdkonnas.

Küberturvalisusega tegeledes annab iga ettevõte oma panuse Eesti küberturvalisuse maine hoidmisel. Kindlasti ei jäta ükski ettevõte kasutamata võimalust Eesti kui arenenud e-riigi kuvandit enda huvides ära kasutada. Sellisel juhul tuleks selle kuvandi hoidmisesse anda ka oma panus.

Tihti ei olegi küberkaitsele tähelepanu pööramine nii keeruline: kui on välja töötatud uus tarkvaraversioon või uuendatud turvastandardit, on vastutustundlik vana versioon uue vastu vahetada. Samamoodi tuleb uuendada e-posti kontosid, veebiservereid, operatsioonisüsteeme ja sidekanaleid.

Küberturvalisusele tasub tingimata pöörata tähelepanu enne, kui intsident on juba juhtunud. Tavaliselt kiputakse toimima risti vastupidi, kuid just ennetavalt tegutsedes on kahju kõige väiksem.

Küberturvalisuse seaduse täitmine

2018. aastal võeti Eestis vastu küberturvalisuse seadus. Sellest tulenevalt peavad küberturvalisusele muuhulgas suuremat tähelepanu pöörama ka ettevõtted, kes tegelevad elutähtsate teenuste pakkumisega nagu näiteks arstiabi osutamine, elektriga varustamine või ID-kaardiga isikutuvastuse tagamine.

Ka e-poed ja otsingumootorid ning muud digitaalsete teenuste osutajad peavad pöörama tähelepanu oma klientide andmete küberturvalisuse tagamisele. Vastavas määruses on kirjas, kuidas tuleb küberturvalisuse riske tuvastada ning millised on turvanõuded riskide vältimiseks.