IT-turvalisus

Appi! Küberrünnak!

Mis juhtuks teie ettevõttega, kui häkkerite rünnaku tõttu oleks firma veebileht paar päeva rivist väljas? Või mis juhtuks siis, kui häkkerid saaksid kätte teie klientide andmed ning kasutaksid neid enda huvides?

Grant Thornton viis möödunud aastal 35 riigis 2 500 ettevõtte seas läbi uuringu, millest selgus, et mullu sattus neist ettevõtteist häkkerite rünnakute alla rohkem kui 15%.* Kokku said need ettevõtted küberrünnakute tagajärjel 300 miljardit dollarit kahju. Seejuures selgus, et 2 500 ettevõttest pooltel ei olnud IT-turvalisuse poliitikat välja töötatud. Kõige sagedamini toodi IT-turvalisusele mõtlemata jätmise põhjusena välja, et ettevõttes pole ju midagi väärtuslikku, mida varastada.

Kuid lisaks otsesele rahalisele kahjule, mida küberrünnakud tekitavad, peaks muretsema ka maine pärast, mida kliendiandmete lekkimine ja avalikustamine ettevõttele tekitab. Nii et mõelge uuesti – kas teie ettevõttes tõesti pole midagi väärtuslikku, millele küberrünnak võiks kahju teha? Näiteks mis juhtub, kui te ei saa paar päeva oma klientide andmebaasile ligi?

Eesti ärimaastikul on paraku domineeriv mõtteviis ja tegutsemislaad, kus paljud väikesed ettevõtted ei soovi IT-taristusse investeerida. Siiski võib viimase aja trendiks pidada üha enam levima hakanud pilveteenuseid. Tänu pilveteenustele on mingil määral ettevõtte IT-taristu kaitstud. See tähendab, et ettevõtte dokumendid on näiteks olemas kahes asukohas ja üldjuhul on pilveteenustel ka turvameetmed  erinevate  rünnakute vältimiseks.

Eesmärk on raha saada ja mainet kahjustada

Paljud küberrünnakute toimepanijad on hästivarustatud kriminaalsed organisatsioonid. Nad ründavad hoiatamata ja vahel ka nii, et ohver ei saa kohe arugi, et on rünnaku alla sattunud. Seejuures on ründajate eesmärgid erinevad.

Üks eesmärkidest on finantsinfo saamine – selleks kasutatakse nn õngitsemist. See tähendab, et luuakse näiteks mõne finantsettevõtte veebilehega sarnane veebileht ja palutakse selle kasutajatel avaldada oma pangakonto number ja paroolid, et maksutagastust saada. Teine liik küberrünnakuid on sihitud ettevõtete veebilehtede ründamisele massiliste mõttetute päringutega (DDoS), mille tulemusel saab rünnatav server nii suure ülekoormuse, et selle toimimine on tugevalt häiritud. Seejärel nõuavad häkkerid 5000–10 000 eurot rünnaku lõpetamise eest.

Ka kõige suurem ja märkimisväärsem Eestis toimunud küberrünnak oli DDoS rünnak, mis toimus 2007. aasta aprillis. Ühtlasi oli see maailma esimene rünnak konkreetse riigi vastu. Botnetid kõikjalt maailmast olid suunatud DDos rünnakuks Eesti vastu ning sõnumite saatmiseks halvatud veebilehtedele. Peamisteks sihtmärkideks olid Eesti presidendi ja parlamendi, ministeeriumide, parteide, uudisteportaalide, kahe suurema panga ja telekommunikatsiooniettevõtete veebilehed.

DDoS rünnakuid võikski pidada üheks kõige suuremaks ohuks, kuigi nende vältimiseks on ka mõningaid vastumeetmeid kas siis eraldi teenusena või juba sisse ehitatuna parematesse tulemüüridesse. Paremate tulemüüridena võiks loetleda Ciscot, Fortineti, Juniperi, Checkpointi ja veel palju analooge. Kuid kui on tegemist ulatusliku ründega, siis ei pruugi ka nendest kasu olla.

Viimase aja märkimisväärseks ründeks võib lugeda CryptoLockeri pahavara aktiveerimist ja jagamist. Olemuselt on tegu krüpteeriva väljapressimistarkvaraga. Arvutis aktiveerituna alustab CryptoLocker failide krüpteerimist ja selle tegevuse käigus on suures ohus ka ettevõtte andmed, juhul kui tegemist on nakatunud arvutiga, mis on ettevõte võrgus.

Mõelge, mis juhtub, kui kõik Wordi, Exceli ja pdf-failid on võrguketastel  krüpteeritud ehk teisisõnu on failid muutunud kasutuskõlbmatuteks, sest neid ei ole võimalik avada? Kui on olemas töötav varukoopia, siis pole hullu, aga kui tuleb välja, et pole?

Kui CryptoLockeri pahavara 2014. aasta lõpus välja tuli,  siis polnud selle vastu muud rohtu, kui kuritegelikule rühmitusele failide dekrüpteerimiseks maksta. Nüüdseks on olemas CryptoLockeri vastu ka rohi. Viirusetõrje ja turvatarkvara tootja Kaspersky on näiteks loonud spetsiaalse programmi, millega saab krüpteeritud faile lahti teha, lingi leiab siit.

IT-turvalisust ei saa ainult tehnoloogia abil tagada

Ettevõtted näevad IT-turvalisuse küsimust sageli tehnoloogia valdkonna probleemina, kuid kui küberrünnak ettevõtet tabab, saab tehnoloogia kaitset pakkuda vaid teatud piirini. Väga sageli peitub probleem siiski lülis, mis asub tooli ja arvuti vahel – inimeses. Ikka kipuvad ettevõtte töötajad vajutama linkidele, millele pole vaja vajutada või avama e-kirju, mida avama ei peaks. Ja nii pääsevadki häkkerid teie ettevõttesse. Järelikult pole olemas tehnilist lahendust, mis kaitseks inimliku rumaluse eest.

Soovitused ettevõtte IT-turvalisuse tõstmiseks:

  1. Krüpteerige kõvaketas.
  2. Pilveteenuste puhul uurige kindlasti nende tingimusi ja turvalisuse taset.
  3. Juhendage  kasutajaid mitte avama  erinevaid linke ja kirjade manuseid, selgitage turvariske. Kõige suurem risk on vähe koolitatud töötaja.
  4. Paroole ei tohiks hoida arvutis mõnes tekstifailis, vaid selle jaoks võiks kasutada spetsiaalseid paroolide hoidmise tarkvarasid (password manager ). Samuti tuleb keelata paroolide meeldejätmine veebilehitsejates.
  5. Kui tundub, et tegu on kahtlase kirjaga, kuigi see tuleb te „parimalt sõbralt“, siis võtke telefon ja küsige üle.
  6. Ükski pank ei taha, et te talle nende poolt väljastatud PIN-koode saadate.
  7. Ettevõte võiks omada tulemüüri, mis on korrektselt konfigureeritud.
  8. Operatsioonisüsteemid peaksid olema tänapäevased ja uuendatud.
  9. Hankige aktiivne viirusetõrje.

* Grant Thornton International Business Report (IBR) uuring annab kord kvartalis ülevaate 35 riigis tegutsevate ettevõtjate ootustest riigi majanduse ja oma ettevõtte käekäigu suhtes. Viimane uuring käsitles ka küberturvalisuse teemat.