Ettevaatust! Küberkriminaalid on võtnud sihikule kõik tundlike andmetega ettevõtted

Ohuhinnagut kinnitab tõsiasi, et Iirimaa tervishoiusüsteemi lukustanud ning teadaolevalt maailma suurim lunavararühmitus Conti on teatanud kõikide Venemaad ähvardavate riikide sihikule võtmisest. Olukorras kus pantvangi võib sattuda iga ettevõte alates toidupoest kuni rehvitootjani, on raske leida juhti, kes pole juba kuulnud üleskutseid oma ettevõtte turvalisusele mõelda.

Küberkriminaalide silmis on kõige tulutoovamateks sihtmärkideks aga jätkuvalt raamatupidamisettevõtted, õigus- ja advokaadibürood ja meditsiiniasutused ning kõik teised kelle serverites leidub suures hulgas tundlike andmeid. Neid ettevõtteid saab lausa kahekordselt kuritarvitada - üks kord küsitakse lunaraha andmete taastamiseks ning teist korda selleks, et hoida ära nende andmete internetti avalikult üles laadimine.

Kuidas selline lunavara ettevõtete võrkudesse jõuab? Hea näide on veebruari alguses toimunud rünnak Ühendkuningriikide raamatupidamisettevõttele Optionis. Lunaraha maksmata jätmise karistuseks laeti internetiavarustesse sadu lehti konfidentsiaalset kirjavahetust, üle tuhande passikoopia, pangaväljavõtteid ja lepinguid.

Tegu oli klassikalise tarneahelarünnakuga, kus kriminaalid leidsid kõigepealt nõrkuse mitte Optionise, vaid nende teenusepakkuja Parasol Groupi võrgus. Sealtkaudu kasutati ära juba inimlike eksimusi ja lohakust, et jõuda omakorda soovitud mahlase raamatupidamisettevõtte andmeteni.

Ettevõtte kultuuri ja küberhügieeniga seotud apsakad on korralik õppetund kategoorias „kuidas mitte ümber käia oma andmetega“.

Tõepoolest, selle suure ja võimsa büroo teenuseparter ei jälginud elementaarseid nõudeid - kümned töötajad jagasid omavahel paroole võtmesüsteemidele ligipääsemiseks. Mis kõige hullem - paroolid olid kirjas ka ettevõtte võrgukettal ja failid, kus salasõnu hoiti olid lihtsalt otsitavate pealkirjadega nagu „kasulikud lingid ja paroolid.docx“. Kiire otsingu viljad võimaldasid ründajatel kiiresti edasi liikuda ja järjest sügavamale süsteemi ennast süüa, jõudes lõpuks ka kliendi, Optionise, võrku. Sealt edasi lukustusid kõik andmed maksumüüri taha ning büroo majanduslik tegevus seiskus.

Optionise näide demonstreerib, et infoturvalisus ei ole tehniline probleem, mida saaks lahendada mõne uue tulemüüri või paroolipoliitikaga. Ettevalmistus lahinguks ja kaitsete planeerimine on laiapõhjaline tegevus, mis ei saa piirduda ainult ühele ja ühekordsele kaitsele. See on pidev ja pikaajaline tegevus koos oma eesmärkidega. Kui arvata, et küberlahing on ainult tehnoloogiline lahing, siis on see küllaltki suure tõenäosusega juba ette kaotatud, sest oleme pannud kaardid ainult ühetüübilisele kaitsele. Ajaloost analoogia tuues võib võrdluseks tuua esimese teise maailmasõja järgselt ehitatud Maginot liini, kuhu investeeriti metsik resurssi, et saada kaitset otseründe eest. Vastase lahendus oli aga minna müürist ümber.

Peamine õppetund ka Eesti raamatupidamisettevõttele, advokaadibüroodele ja teistele tundlike kliendiandmetega töötavatele asutustele on see, et enam ei piisa vaid sellest, et sinu ettevõtte süsteemid on võõrastele suletud. Sihtmärkidele ei minda otse kallale, vaid otsitakse ohvriga tihedalt seotud kergemini rünnatav osapool. Valideerima peab nii küberhügieeni kui ka vastutust - kas partneril on endal kindel inimene, kes vastutab andmete turvalisuse eest? Teenusepakkujad võivad muidugi selliste nõudmiste taustal ka kõrgemat hinda nõuda. See on aga vajalik kulu, süsteemi kindlustamine hind on alati väiksem, kui rünnaku tagajärgedega tegelemise koorem.

Seega tuleb auditeerida, kontrollida ja vajadusel ka sundida koostööpartnereid kasutama samu rangeid küberturbemeetmeid, nagu endalgi asutuse sees kasutuses. Cybers pakub nii küberturbe juhtimist, seiret, kaitset, intsidentidele kiirreageerimist ning turvakontrollide paigaldamist. Kuna turvalisus pole vaid tehniline probleem, vaid sõltub iga töötaja käitumisest, pakub Cybers ka küberturvalisuse treeningud ja küberhügieenikoolitusi.