Eestimaalastele meeldib endast mõelda kui puhtast, hoolsast ja töökast rahvast, ent on üks teema, kus oleme üsna räpakad ja laisad – see on küberhügieen, kirjutab Security Software`i infoturbeanalüütik Ats Onemar.

Võibolla oleme selles valdkonnas isegi paremad paljude teiste riikidega võrreldes, kuid meie küberhügieen pole siiski kaugeltki mitte vajadustest lähtuv. Oleme selle eest hoolitsemise osas laisad ja seda eriti eraettevõtluses, sest isegi kui riigil on teatavad küberhügieeninõuded olemas ja puhtuse mõõtmine auditi näol toimib, siis erafirmades on palju kehvemad lood. Kuigi esineb ka positiivseid erandeid.

Kübermustuse osas pannakse ettevõtetes silm kinni ja ignoreeritakse seda kui ebamugavat teemat. Ega siin pole suurt erinevust kätepesemise ja grippi nakatumise seosega. Kui ikka küberhügieeni eirata, siis on „haigus“ varsti käes. Kas ettevõte intsidendist terveneb, on tegu vaid nohuga või saadakse gripi tüsistusena ka südamelihasepõletik – see on siis juba varasema immuunsüsteemi tugevuse ja ravi küsimus. Kui enda tervise osas on teadlikkus aastate jooksul tõusnud ja gripivaktsiini kasutamine või haigusega kojujäämine on normaalsus, siis küberturvalisuse mõttes ei ole paljudel vaktsiinist veel aimugi.

Seega julgen väita, et tegu on süsteemse probleemiga, mille tulemust me igapäevaselt ajakirjandusest loeme. Enamus ettevõtteid vist ootavadki seda, et haigus tuleb läbi põdeda ja saabub immuunsüsteemi iseeneslik kaitsevõime. See ei ole nii. Samuti ei ole siin abi nõiasõnast või MMS-ist.

Seda kinnitavad ka RIA oma igakuised küberruumi ülevaated. Nt märtsi ülevaates tõdeti, et aktiviseerusid ettevõtete vastu suunatud e-posti ja arvepettused. Lisaks kurjategijad kasutasid andmete õngitsemiseks ära Swedbanki ja SEB sümboolikat ning saatsid pahavaraga kirju Tallinna ülikooli ja Tartu ülikooli nimel.

Taustast:

1. Õngitsuskirjad, petukirjad, social engineering – inimese manipuleerimine ja mõjutamine, et saada sisse ettevõtte võrku postkastile ligipääsemiseks- on oluliselt lihtsam, odavam ja edukam viis kui tehnoloogia murdmine. Inimesed oma teadmatusega on ideaalsed sihtmärgid. Küberturvalisuse valdkonnas nenditakse, et igas organisatsioonis leidub alati see üks inimene, kes pahavaraga kirja avab või valele lingile klikib. Seejärel on küsimus vaid selles, kui hull on pahavara või kui palju on ligipääse sellel inimesel, kes seda teeb. Sellest sõltub ka see, kui hull on tagajärg.
2. Seda kinnitavad ka meie vestlused klientidega. On kasutajaid, kelle puhul ei aita selgitamine, koolitamine, karistamine või ähvardamine, sest nad justkui põhimõtteliselt peavad need halvad kirjad lahti tegema ja oma paroolid kuhugi valesse kohta sisestama. Teeme aegajalt teste ettevõtetes ja jällegi kinnitab see sama seisukohta, et alati on keegi, kes mälupulga viirusega oma arvutisse torkab või e-kirju valimatult avab.
3. Küberturvalisuse tehnoloogia tootjad on samal meelel – öeldakse, et üle 90% jamadest saab alguse kasutaja ja e-posti kaudu, mille puhul on äärmiselt oluline roll just teadlikkusel ja hügieenil ehk sellel,   kuidas kasutaja käitub. Osaliselt tarkvaratootjad saavad ja ka üritavad oma tehnoloogiaga pehmendada kasutajate tegevuses/tegevusetusest tingitud tagajärgi.

Kuidas „haigusi“ ravimise asemel ennetada?

Üks asi on kasutajaid saata koolitustele, mis tõstavad teadmist ja annavad mõtteid, aga see ei tähenda veel, et „kätepesemisest“ saab uus normaalsus. See on aga üks esimene ja lihtsasti teostatav komponent. On, mille pinnalt ettevõttes diskussiooni algatada.

Teiseks leian, et suur roll on siin just ettevõtete juhtidel, kes kannavad endas ettevõtte väärtusi ja näitavad eeskuju. Kui juht leiab, et palavikuga on normaalne tööle ronida, vaatamata sellele, et pärast on kogu kontor gripiga siruli, siis see ongi normaalne selles ettevõttes.

Kolmandaks on oluline roll inforuumil. Neid hügieeninõudeid, nagu kätepesemise juhend wc seinal, saab juurutada läbi info jagamise ja meeldetuletamise. Selleks võib olla siseveeb, infokirjad, sisemised koosolekud – nende kaudu saad küberturvalisuse teemat meelde tuletada, kokkuleppeid teha ja isiklikult arenguvestlustel teemaks võtta, seada kasutajale arengueesmärgid ja küsida tagasisidet tekkinud murekohtade ja motivatsiooni osas.

Ravi pärast nakatumist

Nagu me kõik teame, siis gripi vastu vaktsineerimine ei tähenda veel immuunsust. Vaktsiini tõhusus sõltub sellest, kui hästi suudavad ravimitootjad uue hooaja võimalikke viirusetüvesid ette ennustada.

Samuti ei hoia küberhügieen alati intsidenti ära. Küberturvalisuse ja intsidentidega tegelemiseks on vaja ettevõtte sisemist valmidust, mille puhul on oluline nii organisatoorne kui ka tehniline pool.

Organisatsiooni valmidust näitab see, kas on olemas äri jätkumiseks vajalikud plaanid. Kas osatakse käituda olukorras, kui äri jaoks vajalikud andmed ei ole kättesaadavad või nendega on midagi juhtunud? Kas on teenuspartner, kes tuleb appi? See on nagu majahaldur, kes veeavarii korral tuleb ja aitab torud lappida või tuletõrjuja tulekahju korral.

Organisatsiooni vaates on ka äärmiselt oluline, et infoturvalisus, aga kitsamalt ka küberturvalisusega seotud ülesanded on organisatsioonis jaotatud, teenuspartnerid kaasatud või neile nõuded esitatud ja toimub pidev areng selles valdkonnas. Ega küberkuritegevus ei maga – see on kasumlikkuses juba aastast 2015 võistelnud narkokuritegevusega.

Tehnoloogia mõttes tasub ettevõttel lähtuvalt oma tegevusest ja organisatsiooni ülesehitusest võtta kasutusele just need asjakohased meetmed, mis on nii rahaliselt kui ka sisuliselt vajadusele vastavad. Kahjuks pole ühte või kahte võluvitsa sellel teemal. Tehnoloogia aitab kasutaja poolt majja lastud pahavaral kuhugi püünisesse kinni jääda või on võrku tunginud häkkeril raskem oma eesmärke saavutada ja tema tegevusele saadakse kiiremini jälile.

Oluline aga on teadvustada, et ammu on aegunud seisukoht, nagu oleks viirusetõrje ja tulemüür ainukesed ja piisavad küberturvalisust tõstvad meetmed. Kindlasti ainult neist ei piisa ja meeles peab pidama, et küberturvalisus pole ainult IT-inimese, vaid iga ettevõtte töötaja mure.

Artikkel ilmus ajalehes Äripäev