Küberturvalisuse kuu raames on ENISA kokku pannud 6 lihtsat nippi, et sinu rahaasjad oleksid veebis turvaliselt aetud.
1. Veendu, et ostad usaldusväärsetest ja ohututest veebipoodidest
Kontrolli, et veebilehe aadress algaks lühendiga „https”, ning ole ettevaatlik õigekirja- ja grammatikavigade suhtes. Vaata ettevõtet tutvustavat ja kontaktandmeid sisaldavaid lehti, et veenduda õigete kontaktandmete olemasolus. Suhtu ettevaatusega „ühekordsetesse” pakkumistesse ja otsi teiste inimeste kogemusi selle veebilehega.
2. Väldi krediitkaardiga ostu sooritamist, kui oled avalikus WiFis
Kui kasutad avalikku WiFi-ühendust, puudub sul selle turvalisuse üle igasugune kontroll. Enne tundliku info (näiteks kontonumbri) sisestamist oota, kuni saad luua ühenduse turvalise võrguga. Kui sa ei saa oodata, kasuta VPN-i või lülita WiFi välja ja kasuta selle asemel mobiilset andmesidet.
3. Kasuta tugevaid salasõnu
Kui kasutad kergesti meeldejäävaid salasõnu, on küberpättidel neid kergem ära arvata. Veendu, et sinu salasõnad on tugevad, ja ära kasuta erinevatel kontodel sama salasõna. Paroolihaldur aitab sul hallata erinevaid keerulisi salasõnu. Ja mitte kunagi ära jäta oma salasõna märkepaberil arvuti ekraanile!
4. Ole kahtlustav kiirustavate sõnumite, e-kirjade või kõnede suhtes, mis väidetavalt tulevad sinu pangast või muust asutusest
Kui e-kiri on ootamatu, see on märgitud kiireks ja/või nõuab kohest tegutsemist, on see tihtipeale pettus. Petturid kasutavad kiirustavat stiili, et tabada inimesi ootamatult ja panna neid isikuandmeid jagama. Ära reageeri! Ära kiirusta ning kontrolli nõue oma panga või asutusega üle.
5. Ära usu ühtegi sõnumit või e-kirja, mis ütleb, et sul on õigus mingisugusele rahale
Sõnum või e-kiri, mis lubab ootamatult süllekukkunud varandust, köidab alati su tähelepanu. Kahjuks on tavaliselt tegu pettusega, ERITI kui sa pead selle kättesaamiseks saatma raha või isikuandmeid. Ignoreeri oma head õnne – see on pettus.
6. Ole ettevaatlik sotsiaalmeediapettuste suhtes
Küberkurjategijad kasutavad sotsiaalmeedias erinevaid pettuseid, et sinu andmetele või rahale ligi pääseda! Nad võivad peituda „tasuta testperioodide”, sõbrakutsete ja näiliselt süütute viktoriinide taha. Ja kui su sotsiaalmeedia lehele või seinale ilmub ebatavaline link, siis ära sellele kliki! See võib sind viia õngitsuslehele.
Kas
eriolukorras esineb varasemast rohkem küberpettuseid?
Ei, pigem
on RIA poolt registreeritud küberintsidentide arvukus jäänud kriisieelsega
võrreldes sarnasele tasemele. Kuid kokkuvõttes on, arvestades praegust
mastaapset kaugtöö tegemist, riskid siiski suurenenud. Oleme näinud, et
küberkelmid nii Eestis kui mujal maailmas proovivad koroonaviirust uuel moel
ära kasutada – näiteks on pahavara sisaldav e-kiri maskeeritud Terviseameti saadetud
viirusealaseks infoks.
Seda
õigesti ja teadlikult tehes on kaugtöö kindlasti turvaline. Kuigi täna kehtiv
eriolukord, kus paljud inimesed töötavad kodust, suurendab ohtu, et ettevõtted
ja nende töötajad satuvad küberrünnaku või -pettuse ohvriks, saab need riskid
elementaarseid küberhügieeninõudeid järgides miinimumini viia. Turvaliselt kaugtööle
jäädes maandad omakorda COVID-19-ga nakatumise riski nii enda kui teiste jaoks.
Millised
on hetkel levinuimad ohud?
On vähe
inimesi, keda COVID-19 viirusega seotud info hetkel ei huvitaks. Seda huvi
kasutavad ära ka pahavara levitajad – nii saadetakse üle maailma laiali kirju,
kus on manuses mõni dokument või juures link, mis justkui annaks kirja saajale
uut informatsiooni viiruse leviku kohta. Samuti teame, et viiruse leviku kaarti
kasutatakse peibutisena ära. Need kirjad nakatavad sinu arvuti pahavaraga, mis võib
varastada sinu paroole ja muid andmeid.
Samamoodi
kasutatakse ära kaugtöö kasvavat populaarsust. Kodus töötades tuleb tihtipeale
liituda erinevate kesksete teenuste, failijaotusplatvormide ja
suhtlusvõrkudega. Kui saad kirja, mis kutsub Sind klikkima järjekordsel lingil,
mille kaudu liituda tööalase grupiga, tee kindlaks, et see on ikkagi tööandja
poolt kokku lepitud grupp või teenus.
Töömeilide
puhul tuleb kahtlemata meeles pidada, et küberkuritegevuses on üsna levinud
arvepettused ja tegevjuhi petuskeemid. Kui ülemus (kellest oled hetkel
tõenäoliselt eraldatud) palub sul teha ettevõtte arvelt ülekanne täiesti
ootamatule pangakontole, küsi mõne teise kokkulepitud suhtluskanali kaudu üle,
kas ta on selles kindel. Kui äripartner võõras riigis palub teenuste eest makse
saata uuele pangakontole, siis kinnita see ka temaga telefonitsi või mõnd muud
suhtluskanalit kasutades üle.
Viimasel
ajal on taas aktiivselt levima hakanud palgakonto pettused, kus töötaja palub
personalijuhil kanda järgmisest kuust oma palga uuele pangakontole. Tegelikult
saadavad mainitud palve aga küberkurjategijad, kes ka raha endale saavad.
Palgakonto petuskeemis saadavad küberkurjategijad töötaja nime alt lühikese,
kuid suhteliselt veenvas eesti keeles kirjutatud e-kirja personalijuhile ning
paluvad järgmisest kuust kanda palga uuele pangakontole. Selleks kasutatakse
visuaalset pettust, näiteks asendatakse nimes mõni täht või muudetakse
vaevumärgatavalt domeeni (ettevõte.ee vs ettveõte.ee). Samuti võidakse kasutada
meilikonto puudulikku turvalisust ning teeseldakse ettevõtte töötaja aadressi,
mida tavainimesel on keeruline märgata.
Kriisi
alguses levisid Eestis ingliskeelsed telefonikõned, milles küsiti ligipääsu
vastaja arvutile. Kõned tulid välismaistelt numbritelt ja helistaja tutvustas
end rahvusvaheliselt tuntud ettevõtte esindajana. Viidates praegusele
olukorrale, kus paljud töötavad kodukontoris, ja vajadusele hoida kaugtööks
kasutatavad seadmed turvalisena, küsisid helistajad ligipääsu arvutile.
Põhjenduseks tõid nad soovi kontrollida, kas seade on ikka piisavalt turvaline.
Keeldumise korral ei lõpetanud helistajad kõnet, vaid jätkasid visalt ligipääsu küsimist. Petturite
eesmärk võis olla varastada paroole ja pangakaartide andmeid. Selliste kõnedega
võidakse müüa ka hirmuvara (scareware) tooteid, mis justkui leiavad
ohvri arvutist pahavara. Petturitele makstes saab kahjuks päriselt lahti rahast
ja vaid näiliselt nn pahavarast, mida arvutis tegelikult polnudki.
Millist
tarkvara peaks video- või telekonverentsi jaoks kasutama?
Eelkõige
on oluline leppida kolleegide ja lähedastega kokku, milliste suhtluskanalite
kaudu eriolukorraaegne kaugsuhtlus toimub. Samamoodi on näiteks ka sinu lapsed
kokku leppinud oma õpetajate ja sõpradega, millistes kanalites nemad suhtlevad.
Alati on hea nende suhtluskanalite kohta lisainfot uurida, et teha kindlaks,
millised on lisaks kasutusmugavusele ka sõnumisaladuse mõistes kõige turvalisemad
– juhuks kui pead näiteks äripartneritega ärisaladustest rääkima. Loe läbi
kasutustingimused! Samas hoia silm peal ka sellel, millised suhtluskanalid on
sinu lapse jaoks tema tervise ja heaolu mõistes kõige turvalisemad.
Kuna
kaugtöö vajadus kestab nii Eestis kui ka mujal maailmas veel mõnda aega, on
tõenäoliselt oodata kampaaniaid, kus kurjategijad püüavad erinevaid
kaugtöörakendusi matkides levitada pahavara või varastada andmeid. On olnud
näha, et pahavara levitamiseks kasutatakse ära mõne videokonverentsitarkvara
populaarsust: ohvrile jäetakse mulje, et lingi on talle saatnud mõni selline
programm või jagatakse näiliselt mõne sellise programmiga seotud lehekülgi, mille
kaudu korjatakse kokku kasutajaandmeid.
Ministeeriumites
või nende allasutustes töötavatele inimestele rõhutame eraldi, et asutusesiseseks
kasutamiseks (AK) mõeldud teabe edastamiseks on lubatud kasutada ainult sellist
videokonverentsisüsteemi, mis on teabevaldaja kontrolli all (majutatakse teabevaldaja
IKT-taristul). Kui sellist süsteemi ei ole võimalik kasutada, ei tohi AK-teavet
videokoosoleku kaudu edastada.
Millised
on soovitused paroolide kohta?
Kaugtöö
ja -õppe puhul tuleb pidevalt kuskile sisse logida ja paroole sisestada. See
võib tekitada kiusatuse kasutada ühtainust (ja võimalikult lihtsat) parooli
igal pool. Sellega sisenetaks nii tööle, kooli, poodi, sotsiaalmeediasse,
jututubadesse kui ka mängukoobastesse. Kui aga see üks parool peaks lekkima (ja
paroolid aeg-ajalt lekivad!), siis katsetavad häkkerid juba lekkinud paroolide
ja kasutajanimedega, kas nendega saab sisse ka teistesse kohtadesse.
Üks
võimalus kasutada erinevates kohtades eri paroole nii, et sa ei pea ise pikki
paroole meeles pidama, on uurida paroolihaldurite võimalusi. Neid on mitu, neid
saab kasutada tasuta (nt LastPass, Keepass, 1Password) ja nii on sul vaja
meeles pidada vaid ühte pikka parooli oma paroolihalduri jaoks.
Kuna aga
kodune töö, meiliaadressid ja kõiksugu kontod on praegu töö, õppimise ja
suhtlemise jaoks üliolulised, siis on üks väga oluline abimees oma kontode
kindlustamiseks mitmetasemeline autentimine. See tähendab, et isegi kui keegi
saab kätte sinu parooli (õngitsuse, pahavara või varem lekkinud paroolide
kaudu), ei saa ta sinu meilikontole sisse ilma sinu telefonis oleva koodita.
Ei, sul ei tule iga kord oma koodi sisestada, kui sa Gmaili tahad sisse saada.
Aga kui keegi soovib geograafiliselt kaugest kohast või uuest seadmest sinu
meilikontole ligi saada, siis see tal ei õnnestu.
Kas
kaugtööks või –õppeks kasutatud seadmeid tuleb kuidagi ette valmistada?
Tee
kindlaks, et nii sinu kui ka su lapse arvutil või seadmel on kasutusel võimalikult
viimane tarkvara. See on ülioluline! Näiteks võib aegunud tarkvara tõttu
nakatuda sinu arvuti ainuüksi vale netilehekülge külastades.
Kui sa
oskad otsida üles ka oma nutika teleri, oma ruuteri ja oma internetti ühendatud
beebikaamera seaded, siis ka nende tarkvara tuleks regulaarselt uuendada. Kõike
seda selleks, et sinu kodus asuvate seadmete kaudu ei saaks kedagi teist
rünnata. Samamoodi ei taha sa ju olla viiruse edasikandja.
Lisaks on
oluline üle vaadata, kas su seadmete viirusetõrje on saanud end regulaarselt uuendada.
Viirusetõrje ei kaitse kunagi kõigi ohtude eest – pahavara loojad on alati
sammu võrra viirusetõrjeprogrammidest ees. Kuid kui pahavara on juba mitu tiiru
maailmale peale teinud, siis tunnevad ka viirusetõrjeprogrammid need ära ja
takistavad neid enne, kui need jõuavad sinu või su lähedaste arvuti nakatada.
Kindlasti
uuri, kas ka su lähedastel on arvutites operatsioonisüsteemide ja viirusetõrje
viimased versioonid. Windowsi operatsioonisüsteemil tähendab see näiteks
Windows Defenderi definitsioonide uuendamist.
Kuidas
kindlustada andmete säilimine?
Praegusel
ebatavalisel ajal on veel üks hea viis, kuidas vähendada ärevust oma töö ja
õppimise suhtes: varundamine. Keegi ei taha tehtud tööd uuesti teha. Kuid me
teame, et seadmed ütlevad aeg-ajalt üles või veelgi hullem – nakatuvad
pahavaraga, mis ei lase enam andmetele ligi. Koolilastel võib olla esialgu tore
öelda, et nad ei saanud kodutööd esitada, kui arvuti ei töötanud, kuid lõpuks
peavad ka nemad selle töö ikkagi uuesti tegema. Oma tehtud töö kaotamine
lunavara või ootamatult üles öelnud seadme tõttu on veelgi suurem mure.
Varundamiseks
on olemas hulk kommertspilvelahendusi (Google Drive, Microsoft Onedrive, Amazon
Drive, Dropbox), mis automaatselt interneti kaudu su dokumente varundavad. Sinu
ülesanne on salvestada oma failid vaid õigele kettale ja kui seadmega midagi
juhtub, otsida teisest seadmest oma dokumendid uuesti üles.
Soovitame
kasutada ka välist kõvaketast või mälupulka, et enda kõige olulisemad andmed
varundada. Suuremahuliste andmete puhul võib aidata see ühelt poolt kiiremini
oma andmeid taastada, teisalt on suurte andmete hoidmine pilvelahendustes
võrreldes väliste andmekandjatega ka kallim. Uuri ka oma tööandjalt, milliste
varunduslahendustega ta üldse nõus on – kas näiteks töödokumente üldse tohib pilves
hoida või on ettevõtte poliitika teistsugune.
Mu laps
istub päevad läbi internetis – e-kool, suhtlus sõpradega, niisama ajaviide.
Mida pean silmas pidama?
Tunne
regulaarset huvi, mida laps arvutis istudes teeb. Mugavam on seda teha, kui
lapse arvuti ekraan paikneb nõnda, et sellel toimuvat on võimalik möödudes
kergesti tuvastada. Samuti tunne huvi, suhtle, küsi. Proovi selleks aega leida
ka kaugtööd tehes.
Olen
ettevõtte juht. Millele peaksin erilist tähelepanu pöörama?
RIA tegi
8. aprillil eesti keeles kättesaadavaks rahvusvaheliselt tunnustatud
küberturvalisuse meetmete kogumi „CIS 20 Controls“. See on tunnustatud küberturbeekspertide koostöös
valminud tööriist, mida saavad kasutada IT-juhid ja kõik teised, kes vastutavad
oma ettevõtte IT eest, et tagada oma asutuses küberturvalisus. CIS 20 meetmete
viimane versioon eristab ka meetmeid, mis on mõeldud rakendamiseks nii suurtele
kui ka väikestele ja keskmise suurusega ettevõtetele. Eestikeelne meetmekogum
ning vastavad lühijuhendid ning õpivideod eesti ja vene keeles on leitavad https://www.ria.ee/et/kuberturvalisus/ennetus-ja-nouanded/nouanded.html.
Kuigi sul
ei pruugi olla võimalik neid meetmeid enne praeguse eriolukorra lõppu rakendada,
tasub seda järjekindlalt teha keskmist ja pikemat perspektiivi silmas pidades.
Nõnda elad turvaliselt üle nii võimalikud tulevased ühekordsed küberrünnakud
kui ka järgmised eriolukorrad.
Kriisi
möödudes tuleks kõigil järjepidevalt jätkata küberhügieeni nõuete järgmist. Nii
asutustel kui ka ettevõttetel tuleks meeles pidada tõsiasja, et IT pole enam
ammu väike ja toetava rolliga killuke organisatsioonist, vaid vahel just kõige
kriitilisem osa, sest kogu töö käib arvutites ning ettevõtte või asutuse
toimimiseks vajalik info talletatakse serveritesse või kõvaketastele.
Mis
on viis kõige olulisemat soovitust turvaliseks veebis käitumiseks?
Ära ava tundmatutelt saatjatelt
saadud manuseid ega linke.
Ära usu ähvardavaid ja kiiret
tegutsemist nõudvaid kirju tundmatutelt saatjatelt.
Ära anna tundmatule helistajale
ligipääsu oma arvutile.
Veendu, et kasutad tarkvara värskeimat
versiooni ning turvauuendused on paigaldatud.
Tee nii arvutis kui ka telefonis
olevatest failidest regulaarselt tagavarakoopiaid.