Õngitsuskirjad töötajate e-postkastides, DDoS-rünnakud – küsimus pole selles, kas ettevõte langeb küberrünnaku ohvriks, vaid millal see juhtub.
„Ellu jääb see, kes suudab paremini rünnakule vastu pidada. See sõltub omakorda süsteemide töökindlusest ja inimeste valmisolekust,“ nendib Eesti Energia infoturbe juht Olev Sepp.
Ligi 5700 inimesele tööd andva energiatootmise ja -müügiga tegeleva Eesti Energia kontserni IT-meeskond on paarisajapealine. Neist 10–15 seisavad iga päev hea selle eest, et küberkurjategijad n-ö uksest sisse ei pääseks. Kübervalvurite töö muutub aga järjest keerulisemaks, sest naljaga pooleks võib öelda, et ka küberkuritegevuses on trendid ja nendega kursis olemine ning reageerimine nõuab ressursse.
Ühtlasi muutub küberturvalisuse tagamine aina enam riskipõhiseks – kuna ohte ja ründajaid on järjest rohkem ning küberturvalisuse meetmed kallid, on igas ettevõttes riskide hindamine ja prioritiseerimine ülioluline, et tuvastada enda jaoks elutähtsad äriprotsessid ja keskenduda nende kaitsmisele.
Järgneb intervjuu Olev Sepaga.
Kaks aastat tagasi tegi ärinõustamisfirma Grant Thornton 35 riigis 2500 ettevõtja seas uuringu. Selgus, et küberrünnaku ohvriks oli langenud 15% vastanuist, aga suisa pooltel ettevõtetel polnud välja töötatud IT-turvalisuse poliitikat. Põhjusena toodi välja, et ettevõttes pole midagi väärtuslikku, mida varastada. Kas Eestis võib olukord ja suhtumine olla samasugune?
Kahe aastaga on olukord tublisti muutunud ja küberrünnakute all kannatanud ettevõtete protsent on oluliselt kasvanud. Seetõttu oleme liikumas sinnapoole, et kahe aasta pärast ei ütle tõenäoliselt keegi, et nad ei tegele küberturvalisuse teemaga.
Oletame siiski, et Eestis pole kõigis tööstusettevõtetes küberkaitse eeskujulikus korras – millest tuleks alustada?
Alustame küberturvalisuse olemusest: see on infosüsteemide ja andmete kolme põhiomaduse – konfidentsiaalsus, terviklikkus ja kättesaadavus – kaitsmine. Edasi jõuame selleni, kui sõltuv on konkreetne ettevõte oma andmetest või infosüsteemidest, näiteks kas tal peavad andmed infosüsteemist kättesaadavad olema ööpäev läbi või on neid vaja ainult tööajal.
Seega tuleb tuvastada ettevõtte kõige kriitilisemad äriprotsessid koos tugiprotsessidega ning neisse küberturvalisuse mõttes esmajoones panustada. Tavalises tootmisettevõttes on kriitilised äriprotsessid näiteks tootmine, logistika, kliendi- ja varahaldus. Need kõik on eraldi kaetud spetsiifiliste infosüsteemidega, mis jagavad ja edastavad omavahel andmeid. Lisaks on ettevõttes tugiinfosüsteeme, mis toetavad äriprotsesse, nt e-post, välisveeb, siseveeb, dokumendihaldus jne. Kui tavalises kontorisuhtluses on e-kiri vähem ajakriitiline, siis logistikasüsteemi osana vägagi ärikriitiline element ning peame sinna lisakaitsemeetmeid rakendama. Iseküsimus, kas e-kiri kui tehnoloogia üldse ongi parim valik nii tähtsat rolli täitma.
Teenuste sisseostmine on tänapäeval populaarne – kas seda saaks teha ka küberturvalisuse puhul?
Tänapäeval tasub enamiku infosüsteemide puhul kaaluda, mida teha ise ja millist teenust võiks sisse osta ning kas võtta sinna teenuse osana või lisana juurde ka turvalisuse tagamine. Küberturbele saab läheneda sarnaselt füüsilise turbega, kuid otsus sõltub ennekõike ettevõtte profiilist, äriprotsesside/infosüsteemide iseloomust ja vajadustest.
Lihtsalt põhimõtte pärast ettevõtte palgal küberturvamehi pidada pole reeglina mõistlik ning näiteks pilveteenuste kasutamisel saaks IT-riskihalduse ja turvaseire panna teenusepakkuja kohustuseks. Kui aga ettevõtte infosüsteemid on suuremad ja keerukamad, osa neist on sisseostetud ja osa tehakse ise, oleks siiski vaja ka endale hädavajalik infoturvaseire ja reageerimisvõimekus kübervalvurite näol tööle rakendada.
Eraldi tähelepanu tuleks pöörata ettevõttespetsiifiliste infosüsteemide, näiteks tööstusautomaatika töökindluse ja turvalisuse tagamisele. Kuna reeglina on need ärikriitilised ning eriteadmisi nõudvad, tuleks hoolega üle vaadata teenusepakkujaga sõlmitud hooldus- ja tugilepingud ning vastutuspiirid ja reageerimisajad võimalikult täpselt kokku leppida. Küberturbeteenuse sisseostmisel peab arvestama ka sellega, et suuremate pahavararünnakute ja intsidentide korral ei tarvitse teenusepakkujal olla piisavalt ressurssi ettevõttesse kohapeale appi tulla.
Riskide maandamiseks tuleks ettevõttel endal siiski tagada hädavajalik ja kvalifitseeritud personal kõnealuste ärikriitiliste infosüsteemide talitluspidevuse tagamiseks ning intsidentide lahendamiseks.
Mida Eesti Energias küberturvalisuse tagamiseks tehakse?
Esiteks oleme määratlenud oma elutähtsad äriprotsessid ja neid toetavad infosüsteemid. Sellest omakorda tuleneb, kuhu täpsemalt küberturvalisuse tagamiseks raha pannakse, sest küberturvalisuse lahendused on kulukad.
Laias laastus võib Eesti Energias küberturvalisuse tagamiseks kasutatavad meetmed jagada neljaks – esiteks kasutaja teadlikkuse tõstmine, teiseks infosüsteemide kasutuskordade ja haldusdokumentatsiooni loomine ning korrastamine, et inimesed teaksid, milline on õige ja milline vale tegutsemisviis. Kolmandaks kaitsetehnoloogia rakendamine – näiteks ligipääsukontrollid võrgusüsteemides, turvameetmed lõppkasutajatele tööjaamades ja kesksüsteemides, intsidentide tuvastamise süsteemid, mis suudavad rünnakut või selle katset õigeaegselt märgata ja selle mõju vähendada. Neljandaks talitluspidevuse tagamine – mis saab siis, kui ettevõttes midagi juhtub. Selleks, et kõik teaksid, mil moel kriisiolukorras reageerida ja kellele helistada, on loodud talitluspidevuse plaanid. Aga paberil asjade kirja panemisest on vähe kasu, kui me ei tea, kas sellest reaalses elus ka kasu on, seetõttu testime talitluspidevust pidevalt.
Kui tihti Eesti Energia küberrünnakutega kokku puutub?
Piltlikult öeldes, ust käiakse katsumas iga päev. Katsujad on erineva tasemega. Kasutajad on saanud halbu e-kirja manuseid, lunavaranõudeid, õngitsuskirju kasutajate paroolide hankimiseks, et saada kontroll meie tööjaamade üle. Klassikalistest massiivsetest ründekatsetest ettevõtte infosüsteemi halvamiseks ja teenuste tõkestamiseks (nn DDoS-rünne) oleme pääsenud, nagu ka infrastruktuuri (võrguseadmete) ründamisest. Eks rünnakutele vastupidamine olenebki sellest, kui head on kaitsesüsteemid ja kui valmistunud on inimesed.
Ega asjata ei öelda, et tehnoloogia suudab kaitset pakkuda teatud piirini.
Jah. Seetõttu ongi meie jaoks väga tähtis teadlikkuse tõstmine nii juhtkonna, keskastmejuhtide kui ka töötajate ehk lõppkasutajate puhul. Juhtkond peab mõistma, miks küberturvalisus on oluline ja millised riskid ettevõtet ohustavad. Keskastmejuhid tegelevad tootmise ja tööprotsesside korraldamise ning inimeste tööle rakendamisega ning seetõttu peavad nad küberriskidest ja nende maandamise meetmetest aru saama. Lõppkasutajad peavad suutma sisemisi infosüsteeme puhtana hoida.
Mida see tähendab – lõppkasutajad peavad sisemisi infosüsteeme puhtana hoidma?
Me võime kasutada ükskõik kui kallist kaitsesüsteemi, aga inimene kui infosüsteemi kasutaja on tavaliselt see, kes vea teeb. Peame arvestama ka sellega, et töötamine muutub järjest enam mobiilseks – ükskõik mis ajal ja kohas võib tööd teha. Järelikult on küberturvalisus oluline nii tööl kui ka kodus ja seetõttu peame inimesi küberohtude teemal harima. See tähendab näiteks oskust ära tunda, mis on infosüsteemides võimaliku rünnaku või pahaloomulise tegevuse tunnused ja kellele ning kuidas sellest teatada.
Paljud arenevad küberohud on seotud seadmete mobiilse kasutusega – hotelli, lennujaama või ühistranspordi wifi-võrgus oled suuremas ohus kui oma kodu või töökoha võrgus. Kui minna näiteks rongis mobiili või muu seadmega avalikku wifi-võrku, siis kas oled kindel, et kasutad rongifirma pakutavat wifit või sisenesid hoopis enda kõrval istuva kurjategija võrku?
Mobiilsete seadmete kasutajate tähelepanematuse ärakasutamine on küberkurjategijate seas trend. Milliseid trende veel nimetada võib?
Neid on mitmeid ja needki arenevad kiiresti. Üks ja kasvav on ettevõtete võtmeisikute ründamine, mille eesmärk on kas mainekahju või rahalist kahju tekitada. Teine trend on ettevõtte ründamine tema partnerite kaudu – näiteks tööstusettevõtet võidakse rünnata tema arendus- või turunduspartneri kaudu ja kui turvalisus pole piisav, võib ründaja saavutada tööstusettevõtte süsteemidele ligipääsu.
Tarneahela ründamine on selgelt kasvav küberruumi ohutrend. Ilmekas näide on Eesti ID-kaardi teoreetiline turvarisk: riik kui tellija saab sinna vähe parata, et meile tarnitud ID-kaartide kiip on vigane.
Siin tekibki tööstusettevõtete jaoks tõsine küsimus, kellelt oma seadmeid osta, kes on nende seadmete komponendid tootnud, kas hooldus on hiljem usaldusväärselt saadaval jne.
Tänapäeval on IT elutsükkel muutunud kiireks ja paraku on see kaasa toonud süsteemide töökindluse vähenemise ja keerukuse suurenemise. Tööstusettevõtte jaoks on IT-riskid seetõttu väga eriloomulised ja omavahel põimunud, mistõttu peamegi tegelema süsteemse riskide tuvastamise ja hindamisega, et välja selgitada, millistel tingimustel need riskid oleksid meile vastuvõetavad või maandatavad.
Neli soovitust tööstusettevõttele
- Analüüsige, millised on ettevõtte jaoks elutähtsad äriprotsessid ja nendega seotud infosüsteemid. Küberturvalisuse tagamisel peab fookuse suunama just neile infosüsteemidele.
- Kasutajate turvateadlikkust tuleb kasvatada, et nad käituksid turvaliselt nii töö- kui ka koduarvutis ja mobiilsetes seadmetes. Ka elementaarsed asjad väärivad üle kordamist – ei tohi avada kahtlasena tunduvate kirjade manuseid, klõpsida suvalistel linkidel, sest selle tulemusel võib kasutaja seade nakatuda pahavaraga.
- Pahavara rünnakute arv on üha kasvamas. See tähendab, et tuleks kindlasti rakendada tulemüüre ja viirustõrjet, võimalusel ka ründetuvastussüsteeme. Ettevõtte kõiki kriitilisi IT-süsteeme tuleks järjepidevalt uuendada ning paigaldada turvapaikasid. Suur osa rünnetest on edukad just uuendamata jäetud infosüsteemide tõttu.
- Intsidentide tuvastamise kiirust ja käsitlemise võimekust tuleb suurendada. Loomulikult peab olema toimiv kriisiohje-plaan – mida ja kuidas teha siis, kui infosüsteeme rünnatakse.
NB! Kõigist küberrünnetest – väljapressimis- ja õngitsemiskirjad, pahavaranakkused, süsteemidesse sissemurdmine – tasub alati RIA küberintsidentide käsitlemise üksusele teada anda: cert@cert.ee. RIA saab pakkuda abi ja nõu ründe ohvrile, aga ka hoiatada ohtudest avalikkust.
Süsteemi kaitsmise eest vastutab omanik
Tekst: Kadri Kaska
Riigi Infosüsteemi Ameti juhtivanalüütik
Selle aasta esimese üheksa kuu jooksul on RIA registreerinud 7958 küberturbejuhtumit – teenusekatkestused, kahtlase sisuga e-kirjad või veebilehed (mis võivad nt levitada pahavara), lisaks otsesed küberründed.
Neid juhtumeid, millega on kaasnenud ka tegelik mõju, on septembri lõpu seisuga 2341 – tänavu kolme kvartaliga juba rohkem kui 2016. aastal kokku. Erinevad küberründed moodustavad sellest ligi kolmveerandi. Tööstusettevõtete kohta me eraldi statistikat ei tee, küll võime öelda, et 80–85% igakuisest juhtumite arvust pärineb erasektorist.
Motiiv reeglina rahaline
Kui vaadata küberrünnete olemust, siis teenustõkestusrünnete (DDoS) osakaal on üsna väike, kuigi murettekitava trendina on neist, nagu lunavarast, saanud väljapressimise vahend – ähvarduskirju, kus nõutakse teatud summas bitcoin´ide ülekandmist ja ähvardatakse maksmata jätmise korral küberründega, tuleb lainetena ikka ja jälle ette.
Enamasti on need jäänud tühjaks ähvarduseks, kurjategijad loodavad – ja mitte alusetult – et mõni sellise kirja saaja ikka maksab. Tihti on bitcoin´i aadress kõigile adressaatidele sama, mistõttu maksnut ei ole tegelikult võimalik mittemaksnust eristada ja raha ülekandmine ei anna seega mingit garantiid küberründest pääsemiseks.
Tööstusettevõtteid ohustavatest küberrünnetest on levinuimad ettevõtte töötajatele ja juhtkonnale saadetud nn õngitsuskirjad, millega püütakse välja petta raha või andmeid. Mõni selline õngitsuskiri on reaalsega erakordselt sarnane – nt võltsitakse ettevõtte juhi aadressi ja antakse finantsjuhile korraldus libaarve alusel ülekanne teha. Ka paroole ja muid andmeid püütakse selleks, et need otse või kaudselt rahaks teha – viimast nt tööstusspionaaži puhul, kui ründaja sihib pikaajalist kasu.
Teiste riikide kogemusest näeme, et just energiasektorist on saanud küberrünnete sage sihtmärk, seejuures pigem hiilivate rünnete jaoks, mille puhul püütakse pääseda ligi juhtimissüsteemidele ja nende üle kontroll saavutada. Sellist kohalolu saab ründaja soovi korral kasutada nii spionaažiks kui ka sabotaažiks.
Teadlikkus ja investeeringud
Tööstussektori teadlikkus on küberohtudest üsna kirju. Need, keda hädaolukorra seadus käsitleb nn elutähtsa teenuse osutajatena, mõistavad küberohte oluliselt paremini ja on nendeks ka paremini valmistunud. Neile kehtivad küberturvalisuse nõuded, kohustus hinnata ja hallata kõiki teenuse toimepidevuse riske, sh neid, mis kaasnevad sõltuvusega digitaalsest keskkonnast.
Nende teadlikkus ja valmisolek, kes otseselt seaduse huviorbiidis ei ole, sõltub sellest, kuivõrd ettevõte ise küberturvet prioriteetseks peab ning sellesse investeerib. Ka küberturbes kehtib üldine põhimõte, et oma süsteemi kaitsmise eest vastutab esmalt süsteemi omanik ise. Küll saab RIA aidata nõu, teavituse ja vahenditega.
