Küberkurjategijad kraabivad iga veidigi suurema ettevõtte ust
Vastasseis läänemaailma ja Venemaa vahel on hiljuti järsult kasvatanud küberrünnakuid ka väikeste ja keskmiste ettevõtete vastu, kes moodustavad enamiku Eesti majandusest, aga mõne lihtsa meetodiga on võimalik riske oluliselt maandada, annab nõu Finora Panga tehnoloogiajuht Marek Piller.
Marek Pilleri sõnul on küberrünnakud läänemaailmas seoses Ukraina sõjaga tuntavalt intensiivistunud. „Nii Eestis kui mujal läbi viidud analüüsid näitavad, et poliitiliselt motiveeritud küberkurjategijate aktiivsus on viimase aastaga oluliselt kasvanud,“ ütles ekspert.
Tehnoloogiajuhi sõnul oleks ekslik arvata, et rünnakud puudutavad ainult riigiasutusi või suurfirmasid. „Samavõrd saavad pihta ka väikesed ja keskmised ettevõtted. Riikidel ja suurkorporatsioonidel on vahendeid, et ehitada üles suuri kaitsesüsteeme, mistõttu võib neile keskenduv küberrünnakute statistika näida ka liiga optimistlik,“ rääkis Piller.
„Näiteks Ühendkuningriigis äsja läbi viidud uuringu kohaselt langes mullu küberrünnaku ohvriks ligi 40% rohkem väike- ja keskmise suurusega ettevõtteid kui aasta varem ning oluliseks põhjuseks oli konflikt Venemaaga. Võib arvata, et rinderiigis Eestis on olukord vähemalt sama hull. Samuti on karta, et mida enam riigiasutused ja suurfirmad end läbistamatute tulemüüridega ümbritsevad, seda rohkem suunduvad küberpätid väikefirmade kallale,“ lisas ekspert.
„Lootust annab see, et enamik küberrünnakutest ei ole tehnoloogiliselt kuigi kõrgel tasemel. Need pole tihti läbi viidud suurte ressurssidega, vaid peamiselt kasutavad küberkurjategijad ära levinud hooletusvigu või meetodeid, mille vastu on olemas kulutõhusad tööriistad,“ selgitas Piller.
Piller on enam kui 15-aastase kogemusega küberturbeekspert ning toob välja viis konkreetset küberkaitsemeetodite soovitust, mis on ilmselt jõukohased igale Eesti ettevõttele ning mahuvad ka keerulisel ajal eelarvesse.
Tööarvuti olgu tööandja kontrolli all
Levinud on komme, et kui inimene saab tööandjalt kasutamiseks uue äriklassi sülearvuti, siis ta endale uut arvutit ei ostagi ning ajab tööarvutis ka isiklikke asju. See on ohtlik, sest sageli libistatakse näiteks meelelahutuseks maskeerituna kellegi arvutisse tarkvara, mis võib siseneda töökeskkondadesse ja võtta need pantvangi.
Ühel hetkel võivad ettevõtte töötajad ja omanikud avastada, et nad ei pääse enam oma andmetele ligi ning neilt nõutakse ligipääsu taastamise eest lunaraha. See ei ole ainult suurfirmade probleem: USAs tabasid 2021. aastal sellistest rünnakutest ligi pooled ettevõtteid, millel oli alla saja töötaja, ehk siis väike- ja keskmisi ettevõtteid.
Seetõttu peaks tööarvutid olema hallatud tsentraalselt, sätete muutmise õigused peaks olema piiratud ja kasutuses peaks muidugi olema ka korralik pahavaravastane tarkvara. Lisaks peaks olema piiratud USB mälupulga kasutamine, kuna ka mälupulk kui selline võib sisaldada mõnda arvutiviirust.
Tööarvutitesse tarkvara installeerimine peaks olema tavakasutajale süsteemiseadetega keelatud ning lubatud ainult IT-juhile. Muidugi ei ole viie või ka kahekümne viie töötajaga ettevõttes tingimata vaja luua IT-juhi töökohta. Ettevõtte digiseadmete kasutust ja haldust saab sisse osta, mis võib olla ka puhtmajanduslikult mõistlik.
Muuda mitmeastmeline sisselogimine kohustuslikuks
Küberturvalisuse kõige nõrgem lüli on inimene. Enamik küberkurjategijate taktikaid on suunatud töötajate inimlike eksimuste ärakasutamisele.
Sealjuures, nagu näitas 2021. aastal USAs läbiviidud ja miljoneid intsidente hõlmanud uuring, ähvardavad sellised sotsiaalse petturluse rünnakud väikeettevõtete töötajaid lausa kolm-neli korda tõenäolisemalt kui suurfirmade töötajaid.
Seda, et kurjategijatel õnnestub viisil või teisel saada teada mõni oluline salasõna, võib juhtuda igaühega. Selle vastu aitab meetod, mida oleme ilmselt kõik näiteks e-postkasti sisse logides kogenud – mitmeastmeline isikutuvastus.
See tähendab, et lisaks salasõnale tuleb end identifitseerida veel kuidagi: sisestada SMSiga tulnud kood, kasutada sõrmejälge või mõnda muud kahetasemelise kinnitamise võimalust. Tõenäosus, et pättidel õnnestub korraga kätte saada sama töötaja mõlema astme andmed, on sisuliselt null.
Loomulikult tuleb ka kõiki paroole vähemalt iga poole aasta tagant vahetada!
Tee omaenda turvaline virtuaalvõrk – see on lihtsam, kui arvad
VPN ehk virtuaalne privaatvõrk (virtual private network) on lihtsalt öeldes kinnine arvutivõrk, kuhu pääsevad sisse ainult volitatud kasutajad. Miks on seda vaja? Üks levinud küberohtudest on see, et kurjategijad tegelevad tavalistes avatud wifi-võrkudes niiöelda pealtkuulamisega – ning sobivate juhuste kokkulangemisel pääsevad ligi salasõnadele ja muule tundlikule infole.
Selle vastu aitab see, kui luua ettevõtte tegevuse ja sisesuhtluse jaoks VPN ning lubada kõigi töörakenduste kasutamine ainult selle kaudu. Vahe tavalise veebikasutuse ja VPNi vahel on piltlikult öeldes sama, kui pidada kontorit pargis või oma bürooruumides. Esimesel juhul saab (juhuslik või ka pahatahtlik) möödakäija kuulda ja näha, mida tehakse, teisel juhul pääsevad ligi vaid need, keda kutsutakse.
Kui keegi üritab teie järel nuhkida, näeb ta vaid seda, et oled loonud turvalise ühenduse anonüümse serveriga. Ta ei saa aga teada mitte midagi teie digitaalse tegevuse sisu kohta. Samuti tasuks piirata ettevõtte sisemiseks kasutamiseks mõeldud rakenduste ligipääsu nii, et neid saab kasutada ainult üle VPN-i.
Pane püsti tulemüür – sa ilmselt juba oled rünnaku all
Lisaks VPN-ile võiks ettevõttel olla ka oma tulemüür. Tulemüür kujutab endast kas tarkvararakendust või spetsiaalset seadet, mis tõkestab keelatud või pahavaraga nakatunud andmete edastamist. Tulemüüriga tuleks kindlasti kaitsta ka ettevõtte veebileht ja näiteks e-pood. Vastavaid lahendusi leiab märksõna Web Application Firewall (WAF) abil.
Veebilehtede kaitsmise tähtsust ei tasuks alahinnata ka juhul, kui kliendid on seni valdavalt Eestist. Näitena elust enesest saab välja tuua, kuidas hiljutisel Eesti ettevõtte veebilahenduse uuendamisel algasid sisuliselt kohe pärast lehe avalikuks tegemist edutud katsed sisse tungida Venemaalt, Hiinast ja mujaltki. Sarnane „kraapimine“ toimub tõenäoliselt peaaegu iga veidigi suurema käibega ja üle veebi tegutseva ettevõtte digitaalse ukse taga.
Nii VPNi kui tulemüüri ülesseadmine ja pidamine ei nõua eriti palju aega ega raha. Kiire veebiotsinguga saab leida hulgaliselt eestikeelseid juhiseid VPNi loomiseks, erinevaid teenusepakkujaid, nende võrdlusi ja soovitusi ning muud tehnilist-praktilist infot. Väikeettevõtja elu teeb lihtsamaks see, et tehnilise lahenduse mõttes käivadki tulemüür ja VPN tavaliselt koos.
Töö kolib telefoni ja tahvlisse – seal olgu selleks eraldi profiil
Tööasju ei tehta enam ainult tööarvutis. Tahes-tahtmata kolib tööalane suhtlus aina rohkem telefoni või tahvelarvutisse, sest nii on paindlikum ja kiirem. Telefon või tahvel on aga kõikjal kaasas, lülitub sageli automaatselt erinevatesse kaitsmata võrkudesse ning on üldiselt vähem turvaline seade kui arvuti.
Samal ajal on viimase mõne aastaga muutunud kordades odavamaks telefoni kasutamiseks erinevate profiilide loomine. Loogika on selles, et tööprofiil (niiöelda eraldi konto, millega telefoni sisse logida) on märksa paremini turvatud välise sekkumise vastu ning ühtlasi eraldatud isiklikust telefonikasutusest. Samuti on võimalik piirata, milliseid rakendusi võib töötaja ettevõtte profiili alt kasutada.
Juhul kui seade läheb kaduma või varastatakse, on võimalik sulgeda ettevõtte profiil nii, et ükski võõras ei saa e-kirjadele ega muudele andmetele ligi. Üks kättesaadavaid ja odavaid lahendusi profiilide loomiseks on näiteks Microsoft Intune.
Marek Pilleri sõnul on paratamatu, et kübervarguste üritamine muutub tehnoloogia arengu tõttu aina odavamaks ja ka pisikuritegevus kolib aina rohkem internetti.
„Rahakoti asemel varastatakse pangaparoole, kaubalao asemel murtakse sisse andmebaasi. See ei ole enam ainult valitsustevaheline ega ka kitsalt IT-spetsiifiline probleem. Nagu kontorile või masinaruumile pannakse ette lukk ja alarm, samamoodi tuleks elementaarselt turvata ettevõtte digitaalset kodu. Selle jaoks on ühtlasi ka just praegu saadaval EASi ja KredExi toetust,“ soovitas Finora Panga tehnoloogiajuht.
Artikkel ilmus Delfi Ärilehes.