Foruse juhatuse liige Einar Laagriküll osales hiljuti küberturvalisuse tippkohtumisel „Nordic-Baltic Security Summit“. Ta arutleb, milliste väljakutsetega ettevõtted peavad praegu silmitsi seisma ja kui oluline on järjest sagenevate küberrünnakut ajastul mõelda ka füüsilisele turvalisusele. Kui füüsilise turvalisuse samme läbi ei mõtle, võivad ülejäänud mehhanismid osutuda täiesti kasutuks.
Kui ettevõtte põhiäri on turvalisuse ja ohutuse pakkumine, nagu Foruses, peame oleme keskmisest teadlikumad ohtudest, oma süsteemidest ja nende kaitsmisest. Ettevõttena, kellel on palju klientide andmeid ja kes müüb turvateenuseid ning turvaseadmeid, pakume usaldusväärsust. Küberrünnaku korral on usalduse kadu väga suur. Eksimisruumi siinkohal ei ole.
Alates Ukraina sõjast on hüppeliselt kasvanud küberrünnakute arv ja need lähevad järjest keerulisemaks. Ründajate nutikus kasvab. See tähendab, et üha rohkem kombineeritakse erinevaid võimalusi, nende hulgas kasutatakse küberründe kõrval ka füüsilist rünnakut või nende kombinatsioone. Näiteks võib ette tulla olukordi, kus IT-süsteemi ründele välisvõrgust kombineeritakse samaaegselt füüsilise ründega. Selle käigus proovitakse saada sisse ettevõtte füüsilisse ruumi, et paigaldab sinna lisaseadmeid või üritatakse varastada kasutajate seadmeid, et suurendada rünnaku edukust.
Mõelge nüüd hoolikalt, kas lasete toidukulleril mugavuse pärast tulla oma ettevõtte kontoriruumidesse uitama? Võibolla on mõistlikum temaga õues või fuajees kohtuda. Maailmas ja meil Eestiski on hulk näiteid, kuidas end kullerina või koostööpartnerina esitlev inimene pääseb mõnda büroohoone ruumidesse ja paigaldab võrku seadmeid, mis aitavad pealt kuulata või andmeid saada.
IT-süsteeme kaitseme me erinevate mehhanismidega, kuid tegelikult on väga oluline paralleelselt hoolitseda füüsilise turvalisuse eest. Tippkohtumisel „Nordic-Baltic Security Summit“ rääkis üks esineja, kuidas käis aastaid tagasi üliturvatud andmekeskuses. Tal oli sel hetkel kaasas Apple’i pleier, mis oli oma olemuselt väga suur kõvaketas. Kui see inimene oleks soovinud, oleks ta saanud sisuliselt „pool andmekeskust“ oma seadmesse tõmmata. Andmekeskuse ruumi polnud tegelikult lubatud siseneda ühegi salvestusvõimekusega seadmega. Tol hetkel unustas ta selle ära ja teised ei pööranud sellele samuti tähelepanu, millega täpselt tegemist. See näitab, et osad füüsilise turbe riskid ja maandusmeetmed olid antud objektil täiesti läbi mõtlemata.
Olukord on hea näide sellest, kui me füüsilise turvalisuse samme läbi ei mõtle, võib küberturvalisus osutuda kasutuks. See on nagu maja vundament – kui hoonel pole vundamenti, ei püsi see püsti. Sama lugu on infotehnoloogia ja küberturvalisusega – füüsiline turvalisus on IT-turvalisuse üks alustalasid.
Inimene on suurim risk
Turvalisuse tippkohtumise paneelis “Praeguse aja küberohud ja vastupanuvõimelise infoturbe loomine organisatsioonides” üheskoos Sunly IT-juhi Paul Posti ja Hanza Group infoturbe juhi Kristian Teiteriga arutledes tuli välja, et valdavalt on ettevõtetel küberturvalisuse mured sarnased. Kõige suurem on inimestest tulenev risk. Kuidas on lood meie ettevõtetes digihügieeniga? Kas inimesed on piisavalt teadlikud küberturvalisusest?
Tugevate paroolide kasutamine tundub paljudele elementaarsena, et end ootamatute rünnakute eest kaitsta. Samuti oma isiklike või ettevõtte andmete jagamist tundmatutel ja kahtlastel saitidel. Ilmselt aga ei mõtle me kuigi sageli töötajatena, miks peame regulaarselt oma arvuti või telefoni operatsioonisüsteeme ja tarkvara uuendama. Paljude jaoks on tavapärane, et lükkame neid uuendusi kogu aeg edasi. Tegelikult ei tohiks.
Sõltuvalt ettevõtte iseloomust on heaks soovituseks samuti hoida töö- ja eraasjad eraldi arvutites. See lihtne tõde kipub tihti meelest minema. Me ei või iial teada, kas meie isiklik e-posti aadress on keskkonnas, kus turva- või kaitsemehhanismid on piisavalt hästi seadistud. Kui ei ole, võivad lihtsalt läbi tulla pahavaraga kirjad või spämmid, mille kaudu liiguvad viirusest kiiresti arvutisse. Lukustamata arvuti kontoris on samuti turvarisk.
Teine suur risk on vanad süsteemid. Kui ettevõttel on pikk ajalugu või on aja jooksul mitu ettevõtet ühinenud, saavad üks hetk süsteemid millegi suurema osaks ning vastutus võib ära hajuda. Pahalased valivad rünnakuid selle järgi, kes on haavatav. See tähendab, et kui sul on kasutuses vanad süsteemid, võib seda kurjalt ära kasutada.
Viimasel ajal sagenenud küberrünnakutega tuleb üha enam välja ka kriitilisi tarkvara vigu ehk esineb rohkem nullpäeva turvaauke. See tähendab, et tootja poolt on tarkvarasse viga sisse jäänud ja häkkerid kasutavad seda ära. Varem tuli selliseid vigu harvem välja. Need olid ka varem kindlasti olemas, aga neid ei tuvastatud, kuna ründeid oli vähem. Tänane olukord tähendab ettevõte jaoks, et vead tulevad kiirelt likvideerida, vastasel juhul on pahalastel võimalus üsna lihtsalt IT-süsteemidest andmeid kätte saada või seal pahandust teha.
Kolmas oluline risk on kokkulepitud rutiinidest kinni pidamine – kui ettevõttes on välja kujunenud protsessid ja neid ei järgita, võivad üks hetk asjad samuti halvasti minna.
Nii nagu paljud teised ettevõtted, teeb ka Forus samme ISO 27001 sertifikaadi suunas. See tähendab, et vaatame kogu äriprotsessi üle alates klienditeenindusest kuni tehnoloogiliste süsteemideni välja, et infoturve oleks juurutatud läbivalt ja see aitaks meil riske võimalikult palju vältida.
Mõtleme, kas ja mida kasutada
Üha rohkem kasutatakse oma tööprotsessides tehisintellekti ehk AI abi. Viimasel ajal on populaarsust kogunud ChatGPT. Kui näiteks koodi kirjutamisel küsida tehisintellektilt nõu, siis me ei tea, kas ta pakub koodi, mis on puhas või on sinna peidetud ka midagi lisaks, mis võin endas kujutada turvariske.
Me ei tea täpselt, millal hakatakse tehisintellekti kasutama selleks, et kätte saada kliendi andmeid või muud tundlikku infot. Seega tuleb tänapäeva nutikaid tööriistu kasutades teha teadlikke otsuseid, kas neid kasutada ja kuidas tagada turvalisus.
Tehisintellektist on kindlasti kasu näiteks lihtsamata ja universaalsete tekstide koostamisel, kuid kindlasti pole see tööriist mõeldud kõigeks. Me ei tohiks tehisintellektile ette sööta oma klientide või muid sensitiivseid finantsandmeid. Kuigi teenusepakkuja võib öelda, et andmeid oma mudeli treenimiseks ei kasutata, ei tea me sajaprotsendilise kindlusega, mida nendega tehakse ja ei suuda tagada, et need ei jõuaks kolmandate osapoolteni.
Sajaprotsendilist turvalisust ei ole mitte kunagi, sest kõik ei ole elus ette ennustatav. Iga ettevõte saab riske aga oluliselt maandada. Kõige parem viis on asjad läbi mõelda, tagada korras süsteemid ja testida regulaarselt kriisiplaane. Lõpuks taandub sellele, millist infot ja milleks kaitsed. Sealt tulevad ka meetmed, mida peab oma ettevõttes küberrünnakute eest kaitsma ja milliseid piiranguid seadma.
Ründajad lähevad aina loomingulisemaks ja kasutavad järjest uuemaid tehnoloogiaid. Tehisintellekti pealetungiga on läinud ka petu- ja õngitsuskirjad paremaks. Seega meie kaitsevahendid, mida kasutame ründe tuvastamiseks ja tõrjumiseks, peavad olema võimalikult automaatsed, AI-põhised ning targad. Me oleme ühest küljest olukorras, kus tehisintellektiga võidelda saab ainult tehisintellekti kasutades. Kui lähed käsitööna probleeme lahendama, oled juba kaotanud.
Pidevalt tuleb tegeleda oma arvutite ja süsteemide uuendamisega, kuna riskid ei lähe väiksemaks. Niikaua, kui inimene peab seda käsitsi tegema, siis see risk on suur. Siinkohal on oluline läbi mõelda, kuidas süsteeme uuendada võimalikult automaatselt ja seal oleks vähe inimest vahel.
Ja nagu arutelu käigus tulnud publiku küsimus meile osutas ja on väga ülioluline – ärme unusta kiitmist ja oma turvateadlike töötajate tunnustamist.
