Andmeleketest ja küberrünnakutest lugedes mõtlevad inimesed tihtipeale ainult suurte ettevõtete peale. Tundub justkui loogiline, et rünnatakse neid, kellel on on palju väärtuslikke andmeid. Tegelikkus on pisut teistsugune.
“Väga levinud on seisukoht, et küberturvalisus on eksklusiivselt vaid suurettevõtete mure. Ei tajuta, et väiksemad ettevõtted ja startupid võivad olla kellegi sihikul,” sõnas KPMG uute ärisuundade juht Marek Mühlberg.
Uuringute kohaselt on lõviosa rünnakutest suunatud just väikese- ja keskmise suurusega ettevõtete (VKE) pihta.
Suurbritannia kindlustusfirma Towergate Insurance andmetel sattusid 2019-2020 küberrünnaku ohvriks keskmiselt 46% kõikidest ettevõtetest, kuid väikese ja keskmise suurusega firmade puhul oli osakaal lausa 65%. Samuti toodi välja, et 68% VKE-des ei ole paika pandud protokolle küberturvalisuse tagamiseks.
Miks on väiksemad ettevõtted heaks sihtmärgiks?
Küberrünnakute üheks peamiseks eesmärgiks on saada kätte organisatsiooni jaoks väärtuslikke andmeid, olgu selleks töötajate või klientide isikuandmed – krediitkaartide numbrid, info tehingute kohta, kasutajanimed ja paroolid – või hoopis ärisaladuste alla liigituv info.
Idufirmade puhul tuleb võimalikest ohtudest rääkides võtta arvesse ka seda, et nende kasvupotentsiaal on eksponentsiaalne. Ühel päeval teenindab ettevõte vaid käputäit kliente, kuid juba lühikese aja jooksul võib ettevõtte tegevus hõlmata sadade tuhandete inimeste andmeid erinevatel kontinentidel. Seetõttu on väga oluline, et ettevõtte võimekus end ohtude eest kaitsta, kasvaks samas tempos koos ülejäänud äriga.
“Kasvuettevõtted on küberkurjategijatele suurepäraseks sihtmärgiks ka tulenevalt spetsiifilisest tööloogikast, mida seda tüüpi äride arendamisel kasutatakse. Reeglina keskenduvad startupid esmalt funktsionaalsusele –tehakse valmis asi, mis päriselt töötab ehk minimaalne versioon tootest (nn MVP). Prioriteet number üks on seega võimalikult kiirelt kliendile mingi väärtuse pakkumine, mistõttu kipub küberturvalisus selles protsessis olema teisejärguline,” rääkis Mühlberg.
Ainult funktsionaalsusele keskenduva ettevõtte pihta on rünnakuid aga tunduvalt lihtsam planeerida kui mõne suurema firma puhul, kus on eraldi küberturvalisuse osakond ja piisavalt ressursse, et end rünnakute eest kaitsta. Sama nõrkus peitub ka väikeettevõtetes üldiselt – neil pole võimalik majasisest kaitsevõimekust kiirelt ega soodsalt välja arendada, mis teeb neist ideaalsed sihtmärgid.
Lisaks kasutajate andmetele võib idufirmadel olla ka intellektuaalset omandit või uudset tehnoloogiat, mis on välistele osapooltele huvitav ja mille kaitsmine peaks alati olulisel kohal olema. Samas tuleb meeles pidada, et ründajate huvid võivad ulatuda kaugemale sinu ettevõttest.
“Tihti kasutatakse väiksemaid ettevõtteid, kolmandaid osapooli ja edasimüüjaid, et pääseda ligi mõnele suuremale ettevõttele või võrgustikule. Isegi kui sihtmärgiks valitud firma ise ei pruugi kõige väärtuslikumat “saaki” hoida, võivad küberkurjategijad kasutada mõne startupi turvaauke, et saada ligipääs tema koostööpartneritele. Seetõttu pole kohane rääkida sellest, et meilt pole midagi varastada või meil pole midagi varjata,” selgitas ekspert.
Kõige elementaarsemad asjad, millele kohe tähelepanu pöörata
Mitmefaktoriline autentimine, viirusetõrje programmid arvutites, tulemüürid, tugevad salasõnad (vähemalt 12 karakterit, sisaldab väiketähti, suurtähti, sümboleid, numbreid) ja salasõnade haldurid ning õigeaegsed tarkvarauuendused nii serveri tarkvara osas kui ka töötajate arvutites, on täna niivõrd elementaarseks saanud, et neil ei ole mõtet pikemalt peatudagi.
Küberturvalisuse üks alustõdesid on see, et kui asjad tõesti halvaks peaksid minema, on ettevõttel selle olukorra lahendamiseks mingi plaan varuks. Pandeemia on loonud uue reaalsuse, kus iga äri on digitaalne äri. Aina enam ettevõtteid kasutab klientideni jõudmiseks digitaalseid kanaleid ja hoiab ning töötleb nende andmeid. Seega on (naljatamata ja liialdamata) miljoni dollari küsimus see, et mida teha siis kui need andmed sattuvad valedesse kätesse? Kuidas selleks valmistuda?
“Me ei räägi startupi puhul 30-leheküljelisest eeposest, aga kondikava, kuidas me andmeid kaitseme, haldame ja taastame, kui asjad halvasti lähevad, võiks kindlasti olemas olla. Sama kehtib ka igapäevase töö kohta. Näiteks võiks läbi mõelda, kes ja millisele infole peaks ligi saama. Ning millist infot ja kus üldse hoida tasub.”
Kõige olulisem on Mühlbergi sõnul siiski see, et küberturvalisusega arvestatakse juba ettevõtet luues, protsesse planeerides ja inimesi palgates. Ühtlasi rõhutas ta, et kõige kriitilisem komponent mistahes küberrünnakute puhul on alati inimfaktor ehk firma töötajad.
“Suurimaks turvariskiks organisatsioonides on reeglina tihend monitori ja tooli vahel ehk inimene ise. Seega võiks nutikas juht täna keskenduda tehnoloogilise vundamendi ehitamisele ja inimkapitali harimisele. See tähendab, et juba eos palgatakse sobivate teadmistega inimesi, luuakse protsesse ja kordasid, mida siis sobiv tarkvara saab toetada. See muudab konkureerimise väga lihtsaks, kui konkurendid peavad tegelema töötajate järeleaitamisega ja katkiste protsesside parandamisega,” märkis Mühlberg.
Elementaarne on see, et küberturvalisus on ettevõtte päevakorras juba esimesest päevast saati, et töötajatel oleks olemas mingisugunegi ettevalmistus. See võib tähendada nii koolitustel osalemist, aga miks mitte ka sisemist koolitamist, kui ettevõttel on see kompetents endal olemas. Oluline on, et teema vastu hakataks huvi tundma, et tehtaks algust – ei ole ühte ideaalset lahendust, küberturvalisuse tagamisest saame me rääkida vaid erinevate meetmete koosmõjus.
Et viimasel ajal on oluliselt suurenenud igasuguste õngitsuskampaaniate hulk, juhtis ta tähelepanu ka e-kirjade ohutuse põhitõdedele:
“Hästi tüüpiline rünnak on näiteks nn “CEO fraud”, kus raamatupidajale tuleb kiri näiliselt ettevõtte juhilt, palvega mingi arve kiiresti ära maksta. Kõige lihtsam on sellises olukorras alustada saatja andmete kontrollimisest. Kas kiri tuleb õigelt domeenilt? Kas ettevõtte juht on varem selliselt aadressilt kirju saatnud? Kas selline palve on tavapärane? Vähimagi kahtluse korral tasub teha kõne ettevõtte juhile ja küsida, kas ta on sellise kirja saatnud ning on kursis kõnealuse arvega. Oluline on teostada kontroll teises kanalis kui see, mille kaudu soov edastatati.”
Mida panna tähele kaugtöö ja kodukontorite maailmas?
Koroonast tingituna on kaugtöö osakaal ülemaailmselt tunduvalt suurenenud ning see tähendab, et sagenenud on ka isiklike seadmete kasutus. Näiteks soovitakse teha tööd suure ekraaniga või kiirema arvutiga, mistõttu võidakse teadmatusest tõsta tööarvutist faile isiklikule seadmele. See aga läheb vastuollu nn domeenide lahususe printsiibiga – lihtsustatult tähendab see töö- ja eraelu lahus hoidmist. Kui seda ei järgita, võib kaduda ülevaade sellest, millised failid ja kellele kättesaadavad on.
Kui töötaja soovib ikkagi oma seadmeid kasutada, tuleks ettevõtet sellest teavitada. Sellisel juhul on võimalik rakendada ettevõtte turvapoliitikaid ka isiklikul seadmel. Kuna sellega kaasnevad ka mõningad piirangud, ei pruugi see kõigile kasutajatele sobida.
“Andmeturbe osas võiks samuti plaan olemas olla – seda just ligipääsude osas. Esimese asjana võiks koostada ülevaate sellest, kes milliste inforessurssidega tegeleb ja üritada vältida olukorda, kus inimestele antakse igaks juhuks rohkem ligipääsu. Juurde saab õigusi alati anda ja tegelikult on neid ka lihtne ära võtta, kuid selleks hetkeks kui ligipääsuõiguste konflikt avastatakse, võib kahju olla juba tekkinud,” selgitas Mühlberg.
Kaugtöö osas on täna mitmetes ettevõtetes levinud kodukontoris VPN-i kasutamine. Selle lahenduse puhul on oluline aru saada, et tegemist on tehnilise meetmega, millega laiendatakse ettevõtte võrguperimeetrit arvutini - eesmärk on liita võrgust eemal paiknev arvuti ettevõtte sisevõrguga. See ei tähenda, et kõik kodused turvariskid on saanud maandatud.
Kõike ei pea ise tegema
Iseseisvalt piisava võimekuse loomine võib väiksema ja keskmise suuruse ettevõtete puhul olla tarbetult kulukas. Seetõttu tasub kaaluda oma ettevõtte küberturvalisuse taseme testimiseks ja tõstmiseks väliste ekspertide kasutamist.
“Kui sul pole oma turvatiimi, mis kehtib algusfaasis olevate 99% idufirmade, aga ka väikese ja keskmise suurusega ettevõtete puhul, siis ma täitsa ausalt soovitan kasutada väliste ekspertide abi. Eraldi töötajate värbamine, sertifikaatide tegemine, kompetentsi hoidmine, jooksev palgakulu – see võib mitmete ettevõtete jaoks olla ebamõistlik. Ning hea partner on siin väärt oma kaalu kullas,” nentis Mühlberg.
Lisaks koolitustele saab oma ettevõtte turvalisuse testimiseks tellida ka näiteks läbistusteste ja õngitsuskampaaniaid, et oma toodet, teenust ja töötajaid proovile panna. Paljude idufirmade puhul on läbistustestide olemasolu nõudeks ka välisturgudele laienemiseks ja investorite kaasamiseks. Samuti võivad mõned investorid soovida, et läbitud on SOC2 audit (vajalik SaaS platvormide pakkujatele).
Investor tahab reeglina panna raha millessegi, mis on tehnoloogiliselt edasijõudnud, hea funktsionaalsusega, kasutajatele vajalik ja ka turvaline. Keegi ei taha endale andmelekke õudusunenägu.
“Tegelikult annab seda kõike vältida ja küberturvalisusega tegelemine ei ole sugugi nii kallis ja keeruline kui tihtipeale arvatakse,” sõnas KPMG uute ärisuundade juht Marek Mühlberg.