Tag Archives: CERT-EE

Kuidas muuta ettevõte küberkurjategijate jaoks keeruliseks sihtmärgiks?

Me kõik sõltume oma tegemistes ja toimetamistes üha enam moodsatest IT-lahendustest, mis on muutnud meie elu ja tööprotsessid mugavamaks ja kiiremaks. Tihti jõuavad uued tehnoloogiad kiiresti turule ning tarbija ei pruugi teada, millised ohud võivad selles peituda. Näiteks nutikas ukselukk teeb koju sisenemise lihtsaks, aga kas koduomanik teab ja pöörab tähelepanu sellele, et nutilukk oleks uuendatud ja nõrkustest prii?

GERT AUVÄÄRT
riigi infosüsteemi ameti peadirektori asetäitja küberturvalisuse alal

Küberturvalisus ja infoturve võivad olla paljudele võõrad või siis liiga tehnoloogilised terminid. Samas me kõik puutume iga päev nendega kokku – tavaliselt nutitelefoni ja arvuti kaudu. Jah, inimene saab ära elada nii, et ta ei kasuta nimetatutest kumbagi, aga ükski ettevõte ei saa asju ajada ilma arvutite ja tarkvarata. Ettevõtlus ja tehnoloogiad moodustavad sisuliselt lahutamatu terviku.

Sajad miljonid rünnakud kuus

Oleme kokku puutunud ja usun, et jäämegi kokku puutuma ettevõtetega, kes arvavad, et nende pakutav teenus või toode on maailma mastaabis väga väike – kellelgi pole põhjust neid rünnakutega torkida. Näeme, et pahatahtlikud robotvõrgustikud proovivad riigisektoris (täpsemalt riigivõrgus) rohkem kui 500 miljonit korda kuus, kas mõni uks on jäetud või unustatud lahti ja kas selle kaudu saab end sisse pressida. Need on katsed, mis kohe tõkestatakse. Pole alust arvata, et erasektori olukord siin eristuks. Küberrünnakute katsed on pidevad ja automatiseeritud.

Küberruumis pole mõtet ettevõttel end ise väheoluliseks mängida. Kui aga sellist äriühingut tabab kübertorge, siis saab juhtkonna läbielamisi kirjeldada läbi leinaprotsessi etappide. Esmalt tabab neid šokk ja eitamine, siis viha, tingimine, depressioon ja lõpuks leppimine. Leppimine, et jah, ka meie võime olla sihtmärk.

Õnneks saavad ettevõtjad aina rohkem aru, miks on vaja mõista, kuidas konkreetne tehnoloogia või lahendus mõjutab kogu ettevõtte käekäiku. Esimene samm on tajuda, et see on miski, millesse on tarvis oma aega ja ressursse planeerida. Parim viis selleks on palgata infoturbejuht. Selleks, et infoturbejuht saaks pakkuda suurimat lisaväärtust, peaks ta alluma otse juhile ning kindlasti ei tohiks tema eelarve olla osa nn klassikalisest IT-eelarvest. Infoturbejuht on mõnes mõttes ka tõlk kahe kultuuri vahel. Ta selgitab juhtkonnale IT-d ja sellega seotud protsesside olulisust ning IT-inimestele omakorda juhtide äriliste otsuste tagamaid ja kaasnevaid turvanõudeid.

Ettevõte peaks kindlasti koostama põhjaliku riskianalüüsi, et end paremini kaitsta ja tegevusi planeerida. Riskianalüüs peab lähtuma ettevõtte tegevusriskidest, mitte pelgalt küberturbe vaatevinklist.

Kolmas oluline aspekt on testimine, sest turvalisus selgub testides. Hea praktika, mida soovitan kindlasti järgida, on see, et uus lahendus (näiteks e-pood või äpp) ei läheks käiku enne, kui selle kaitstus on proovile pandud. Parim lahendus on suunata kohe teatud protsent arenduseelarvest turvatestimisteks. See tundub kallis, kuid on odavam, kui hiljem rünnakujärgselt tagavaarakoopiaid otsida ja kliendiandmebaase taastada.

Nii nagu ettevõtted, mida KTK esindab, soovivad ka kurjategijad teenida tulu võimalikult väikeste kuludega. Tulemüüride või tehnoloogiate lõhkumine on kallis, kui neis ei peitu turvanõrkust, mida pole veel paigatud. Seega on väga vähe juhtumeid, kus kurjategijad proovivad toore jõuga läbi murda töötavatest kaitsekihtidest, näiteks tulemüürist või VPNist.

Küll aga proovitakse lihtsate vahenditega kätte saada töötajate kasutajatunnuseid ja paroole ning nende abil pahandust teha. See on sarnane inimese immuunsüsteemile – kui antikehad tunnevad viiruse ära, siis see hävitatakse silmapilkselt. Aga kui viirus paistab antikehade jaoks justkui tavaline rakk, siis saab see kehas rahulikult ringi uitada. Sellisel juhul ei saa tehnoloogia aidata, sest kurjategija käes on legitiimsed ja tegelikud andmed, millega peabki saama näiteks postkasti või siseveebi sisse logida.

Inimeste koolitamine võtmetähtsusega

Tehnoloogia ei saa aidata seal, kus inimene ise käitub hooletult. Sellepärast ongi RIA roll vaadata otsa nii tehnoloogiatele, inimestele kui ka ettevõtetele.

Seda, et 2021. aastal on endiselt nõrgimaks lüliks inimene arvuti või nutiseadme taga, nendib enamik infoturbe eksperte. Üks meetod selles vallas paremaid tulemusi saavutada ja turvalisust suurendada on parandada küberhügieeni. Politsei pole lõpetanud selgitamast, et turvavöö kinnitamine võib päästa sinu elu. Seda on räägitud 30 aastat ning kuigi suur osa inimestest saab sellest aru, leidub ikka neid, kellele peab seda kordama. Küberhügieenist rääkides oleme justkui veel 2000. aastates, mil taksojuhid panid turvavööpesasse jupi, mis peatas häiresignaali lakkamatu piiksumise. Nii sai ilma vööta sõit rahulikult jätkuda.

HOIA END KURSIS!

Seega peavad ettevõtted jätkama koolitusi, et töötajate digioskusi edendada. RIA ulatab siin samuti hea meelega abikäe. Lisaks erinevatele kampaaniatele ning infopäevadele, millest viimane leidis aset novembri teisel nädalal (järelevaadatav siit), on meil juba mõnda aega käigus selget kübernõu jagav portaal itvaatlik.ee.

Nüüd jõuan jutuga teemani, mis võib tunduda kuiv, aga mis aitab ettevõtteid kaitsta: infoturbe standardi rakendamine. Praegu kehtib veel ISKE standard, mida on oma olemuselt ja ka rakenduslikult üsnagi keeruline kasutada. Uuel aastal liigume üle täiesti uuele n-ö rätseplahendusele ehk Eesti infoturbestandardile (E-ITS), mille eesmärk on pakkuda organisatsioonile infoturbe riskidega toimetulekuks infoturbe halduse süsteemi. Küsimusele, kas standardi rakendamine hoiab ära küberründeid, on lihtne vastus – ei. Küll aga muudab see teie ründamise keerulisemaks ning aitab paika panna konkreetse plaani, kuidas pärast rünnakut taas kiiresti jalule tõusta ja ettevõtte tegevus taastada.

Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada.

RIA intsidentide käsitlemise osakond CERT-EE on möödunud aasta vältel käsitlenud üle 2000 küberintsidendi, millel oli reaalne mõju. Sellele arvule lisanduvad automaatseire tuvastatud ja tõrjutud sajad miljonid rünnakukatsed. Anname 2021. aasta septembrist välja ka igapäevast CERT-EE uudiskirja, mis räägib Eesti küberruumis toimunust ning olulistest rahvusvahelistest küberuudistest. Seda tellib umbes 1300 inimest. Soovitame kindlasti ka kõigil KTK liikmetel seda tellida ja sellest oma juhtidele rääkida. Uudiskirjaga liitumise juhendi leiab siit. Kui olete juba selle infokirja lugeja ja teil on mõtteid, kuidas RIA saaks seda teenust paremini osutada, siis ootame julgesti teie ettepanekuid.

Loodan, et eelnev jutt pani teid korraks mõtlema oma ettevõtte küberturvalisusele. Soovitan võtta infoturvet tõsiselt, sest ühest seadistusveast või õngitsuskirjast võib piisata, et ettevõtte töö peatada. Oleme alati valmis kaaluma erinevate sektorite küberturbekoolitusi ning võite meie poole pöörduda ka sooviga turvatestida teie teenuseid ja infosüsteeme.

Ja mis peamine – pole olemas 100% turvalisust, küll aga saate rakendada eri meetmeid, et muuta ettevõte kurjategijate jaoks keerulisemaks sihtmärgiks ja tagada võimalikult valutu töö taastamine, kui küberrünnak on aset leidnud.

Artikkel ilmus Eesti Kaubandus-Tööstuskoja väljaandes Teataja nr 6/2021

RIA-t külastab aastas ligi sadakond välisdelegatsiooni

21. mail külastasid RIA-t Rwanda partnerasutuse liikmed. Foto: Nelli Pello

Keskpäevane kohtumine Vietnami delegatsiooniga. Pärastlõunased külalised esindasid rahvusvahelist organisatsiooni OECD. Vaid tunnike hiljem kohtumine Saksamaa delegatsiooniga. Need nopped ei pärine pelgalt ühest nädalast, vaid ühest päevast ja ilmestavad hästi, kui tihe on RIA rahvusvaheline suhtlus.

„Meil käib külalisi igast maailmajaost. Väga raske on leida riiki, kust meil ei oleks külas käidud või kus meie enda inimesed pole käinud,“ ütleb RIA rahvusvaheliste suhete juht Piret Urb, kes võtab aastas RIA-s vastu ligi sadakond välisdelegatsiooni. Viimase kahe kuu jooksul on RIA-t väisanud külalised näiteks Rwandast, Prantsusmaalt, Bruneist, Tšehhist, Poolast, Lõuna-Aafrika Vabariigist, Luksemburgist, Rootsist, USA-st, Jaapanist, Singapurist, Taiwanist, Ukrainast, Kamdodžast, Türgist, Austraaliast, Arubast ja Kosovost. Kui võtta kõik kohtumised kokku ühe märksõnaga, siis on selleks kahtlemata Eesti digiriigi edu. Kitsamaks minnes tunnevad väliskülalised kõige rohkem huvi X-tee, e-teenuste ja küberturvalisuse vastu.

Kõik need kolm teemat olid kõneaineks 21. mail toimunud kohtumisel RIA partnerasutusega Rwandast. „Rwandalased on just praegu selles ristkohas, kus nad otsivad viise, kuidas panna käima andmevahetus oma asutuste vahel. Rääkisime neile oma X-teest, kuidas see ligi 18 aastat tagasi alguse sai ning kuidas see töötab. Ei ole mõtet jalgratast uuesti leiutada, kui meil on see juba olemas ja nö lastehaigused on läbi põetud. Sellepärast jagamegi alati hea meelega oma kogemusi,“ tõdeb Piret. X-tee vastu tundsid 20. mail toimunud visiidi käigus huvi ka prantslased, kes on samuti otsimas viise asutustevaheliseks andmevahetuseks ning tutvuvad eri riikide kogemustega.

21. juunil külastasid RIA-t Jaapani inseneride föderatsiooni esindajad, kes tutvuvad Euroopa riikide kogemustega tuuma- ja küberturvalisuses. Jaapanlased tundsid huvi meie küberturvalisuse põhimõtete ja CERT-i töö vastu ning uurisid, kuidas on korraldatud kriitilise infrastrukuuri kaitse ja kuidas me rakendame ISKE-t. Väliskülalised kiitsid meie X-teed, mille on nemadki osaliselt kasutusele võtnud.

Jaapani inseneride föderatsiooni esindajad RIA-s 21. juunil. Foto: Nelli Pello

Kahepoolsed koostöölepped

Kõige tihedam koostöö on RIA-l Soome, Läti, Saksamaa, USA, Prantsusmaa ja Jaapaniga. Viimasel ajal on märgatavalt tugevnenud suhtlus Austraalia ja Lõuna-Koreaga. Digilahenduste ja küberkaitse teemadel on RIA-l väga hea koostöö Iisraeliga, kellega on sõlmitud eelmise aasta novembris digilahenduste arendamise koostöölepe. Sarnased koostöölepped küberturvalisuse tõhustamiseks on RIA-l ka mõnede teiste riikidega. Mitmed on veel huvitatud nende sõlmimisest.

Samamoodi nagu käiakse palju külas RIA-l, käime ise teistes riikides kogemusi vahetamas. Kutseid suurtele digiteemade konverentsidele, töötubadele, seminaridele ja õppustele üle maailma tuleb igal nädalal. Kõige rohkem käiakse tööreisidel Brüsselis, aga ka Bukarestis, mis on praegu EL-i eesistuja maa. Maikuus käisid RIA eksperdid jagamas Eesti digiriigi kogemusi ja suhteid loomas näiteks Riias, Sydneys, Bukarestis, Londonis, Varssavis, Amsterdamis, Vilniuses, Reykjavikis, Singapuris, Genfis ja nimekiri läheb aina edasi. „Väga oluline on leida õige inimene, kes oskab rääkida just sellel teemal, mida meilt oodatakse ning mille vastu tunneb kuulajaskond huvi,“ täpsustab Piret. Seetõttu on rahvusvaheliste suhte hoidmine ka logistiliselt korralik ettevõtmine, sest inimeste graafikud on tihedad ning sobivate aegade leidmine võib olla paras väljakutse.

Diplomaatiline kunst

Rahvusvaheline suhtlus on mõistagi suur diplomaatiline kunst, sest kursis tuleb olla paljude nüanssidega. „Tuleb teada riikide tausta ja millised suhted Eestil nende riikidega on. Millised on riikide omavahelised suhted? Peab teadma riikide kohalikke tavasid ja kombeid ning ajalugu. Kas oleme riikidega meile olulistes küsimustes sama meelt ÜRO-s ja teistes rahvusvahelistes organisatsioonides? Millised on Eesti välispoliitika prioriteedid?“ loetleb Piret.

Oluline on tunda ka riikide kultuurilisi eripärasid. Näiteks armastavad jaapanlased viia end enne välisreisi väga põhjalikult kurssi külastatava riigi ja asutuse taustaga, muidugi ka kõnealuse teemaga, aga lisaks soovivad nad tutvuda ka nende inimeste CV-dega, kellega nad kohtuvad. Jaapanlased ulatavad visiitkaardi alati kahe käega ning selle juurde käib väike kummardus. India ja Bangladeshi delegatsioonidega on aga juhtunud, et keset ettekannet on osa grupist püsti tõusnud ja läinud võtma endale teisest toast kohvi või lihtsalt koridoris jalgu sirutanud. „Nende jaoks on see täiesti tavaline, aga meile oli see ja on siiani suureks üllatuseks. Aja jooksul jäävad sellised asjad meelde ning nendega harjub ära,“ tõdeb Piret, kes on puutunud nii RIA-s kui ka varem välisministeeriumis töötades kokku kõikvõimalike väliskülalistega seotud ootamatute situatsioonidega, mis tuleb kiirelt ära lahendada.

Jaapani inseneride föderatsiooni juht Kaoru Naito RIA-s 21. juunil. Foto: Nelli Pello

Rahvusvahelises suhtluses tuleb olla alati valvas, sest esindatakse ju Eesti riiki ja RIA puhul Eesti digiriigi mainet. „Minu jaoks on väga oluline, et RIA välissuhtlus on kooskõlas Eesti välispoliitiliste prioriteetidega ja et Eesti oleks digiteemadel maailmas nähtav. Sellepärast me ei käigi pelgalt konverentsidel osalemas, vaid RIA inimesed on valdavalt kutsutud ekspertideks, kes teevad ise ettekandeid, juhivad debatte või osalevad töötubades. Eestil on ikkagi väga tugev digiriigi maine ja oleme neil teemadel maailmas esiviisikus.“

Kõige suurem rahvusvaheline projekt

RIA kõige suurem rahvusvaheline projekt on Euroopa Liidu arenguabiprojekt Cyber Resilience for Development ehk lühidalt Cyber4D, mida kutsutakse ka NICO projektiks. Selle eesmärk on toetada Aafrika ja Aasia riikide küberturvalisuse tõstmist ning projekti veavad eest RIA töötajad Liina Areng ja Martin Indrek Miller. „Läbi selle projekti saavad paljud RIA töötajad külastada kaugeid ja eksootilisi maid, et jagada oma parimaid teadmisi ja kogemusi küberturvalisusest. Eelmise aasta suvest on ligi kümme kolleegi käinud Sri Lankal, Botswanas ja Mauritiusel. Paari nädala pärast toimub CERT-ide koolitus Ugandas ning aasta teises pooles plaanime alustada tegevust ka Rwandas,“ räägib Liina, kes on olnud projekti juures alates taotluse esitamisest saadik neli aastat tagasi.

Projekt sai alguse seetõttu, et saada häid kogemusi ja tutvustada Eesti kogemust küberturvalisuse valdkonnas. „Kindlasti aitab see tõsta ka Eesti positiivset kuvandit maailmas ning on hea võimalus panna kolleegidel proovile oma koolitajaoskused. Vähemtähtis pole ka see, et nii suure projekti juhtimine aitab meil teha paremat koostööd projekti partnerite Suurbritannia ja Hollandiga ning kokkuvõttes aitab saada nö jala ukse vahele ka teistele suurtele rahvusvahelistele projektidele,“ lisab Liina.

Martin Indrek Miller NICO projektiga Rwandas. Foto: erakogu

Nelli Pello
RIA kommunikatsiooniosakond