Noore ettevõtte jaoks ei saa küberhügieenile mõelda pärast toodete arendamist ja kasvamist

Noorel ettevõttel on palju kaalul ning toote või teenuse ülesehitamine ja kiire kasv investorite meelitamiseks seatakse tihti ainuprioriteetideks. Küberturvalisuse peale mõtlemine ei saa aga enam olla teisejärguline teema, millega tegeleda siis, kui toode on valmis ning kasv saavutatud. Juba valmis ehitatud toote või ettevõtte sisesüsteemide tagantjärgi turvaliseks muutmine on oluliselt aja- ja rahakulukam, kui kohe alguses mõelda turvalisusele ja vältida hilisemat karuteenet idufirma kasvukõverale. Seda eriti juhul, kui küberturvalisuse strateegiat hakatakse välja töötama alles peale õnnestunud küberrünnakut.

Mainet alles kujundavale kasvuettevõttele võib selline hoop aga saatuslikuks osutuda - esialgsed usaldussuhted klientidega kannatavad ning andmete lekkest põhjustatud rahaline kulu võib süüa ära kasvuks mõeldud eelarve. See on ka põhjuseks, miks üle poolte rünnaku ohvriks langenud väikeettevõtetest lõpetavad äritegevuse kuue kuu jooksul pärast intsidenti.

Ebameeldivate üllatuse ära hoidmiseks on viis peamist sammu, mida iga iduettevõtte saab varases staadiumis teha, et tagada pikaajaline edu:

Sisemiste nõuete loomine ja nendele vastavuse kontrollimine

Pea kõikide süsteemide puhul on kõige nõrgemaks lüliks inimesed, kes neid kasutavad. Töötajate käitumist ei saa otseselt kontrollida, kuid saab luua standardprotseduure ja nõudeid. Toote arendamisega tasuks samaaegselt luua protseduurid, mis reguleerivad, andmete turvalisust ja talletamist. Ettevõttes kehtestatud teabehoiustuspoliitika teeb idufirma skaleerimise lihtsamaks, hoides ära killustuse ning tagab kooskõla GDPR nõuetega. Üldjuhul tasub andmete töötlemisel alati teada vastust kuuele küsimusele - Mis? Miks? Kuidas? Kes? Millal? Kus?

Koolitatud töötajad on esimene kaitse rünnete vastu

Nagu eelmises punktis mainitud, on tihtipeale infoturbeketi nõrgimateks lülideks kasutajad ja töötajad. Koolituste läbiviimine on parima tootlusega investeering, mida üks ettevõte küberhügieeni tõstmiseks teha saab. Iga töötaja peab oskama ära tunda anomaaliaid ning ka teadma, kellele ja kuidas nendest teatada. Avatud suhtlus ja järjepidev harjutamine on võtmesõnad, mis aitavad õngitsejate ja muude pahatahtlike rühmituste elu võimalikult keeruliseks teha. Märksõna on kordamine – regulaarsed meeldetuletused ja firmasisesed õppused kinnistavad teadmisi. Kiiresti kasvava ettevõtte puhul peab koolitusi tegema tihedamalt, kuna paari kuu möödudes võib lisanduda suur hulk inimesi, keda eelmise koolituse ajal polnud.

Läbimõeldud pääsuhaldussüsteemid

Igal töötajal ei pea olema ligipääs kõikidele kaustadele, süsteemidele või lehtedele. Tähtsamate süsteemide puhul peab kindlasti teadma, kellel on ligipääs, mis põhjusel ning millal neid viimati kasutatud on. See hoiab ära olukorra, kus ühe kasutaja kompromiteerimine annab ligipääsu kogu firma sisevõrgule. Olgugi, et logid aitavad ründe korral olukorrast parema ülevaate saada, tasub rõhku panna ka kõige madalamal tasemel pääsusüsteemidele – iga kasutajakonto olema firma poolt hallatav, tugevate paroolidega ning kaheastmelise autentimisega kaitstud. Arvuti ununemine baari või hotelli ei tohi anda võimalust juhuslikule inimesele ligipääsu otse ettevõtte sisevõrku.

Kas sa jälgid oma tarkvara arendust sünnist surmani?

Siin põrkame kokku teada-tuntud probleemiga - funktsionaalsus versus turvalisus.

Turvalisuse tagamine tarkvaraarenduses on keeruline ja aeganõudev protsess, millega alustaval ettevõttel on keeruline tegeleda, kuna ei ole piisavalt aega ega ka ressursse. Tihti panustatakse toote võimalikult kiiresti turule saamisele lootes tekitada rahavood, millega saaks ressursse juurde palgata. Kahjuks küberpahalased ei anna aega ega ka armu.

Kaks tuntud ja head nippi on uurida ja rakendada kohe algusest peale turvalise tarkvara loomise protsesse, mille on kokku pannud NIST ehk Ameerika Ühendriikide Riiklik Standardi- ja Tehnoloogiainstituut ning järgida OWSAPi ettekirjutusi, mis selgitavad, kuidas ja mida oma tarkvara puhul testida. Tarkvara sünnist surmani monitoorimine ning testimise vaheetappide kokku leppimine vähendab oluliselt andmelekke või küberintsidendi tõenäosust, hoides kokku raha ja aega võimalike muudatuste arvelt, millega peab hilisemates arengufaasides tegelema.

Ründa ennast, enne kui keegi teine seda teeb

Sõjateadusest tuntud vanasõna „parim kaitse on rünnak“ kehtib samaväärselt oma ettevõtte kaitsmisel küberpahalaste vastu. Nõrkused ja turvaaugud tuleb avastada enne, kui seda teevad pahatahtlikud grupeeringud. Avastamiseks tulebki mõelda nagu vastane ning iseenda süsteeme järjepidevalt rünnata. Üks variant on seda teha näiteks automaatsüsteemidega, mis kompavad, nagu nimi viitab, automatiseeritult kõiki süsteeme ning otsivad nendest nõrkusi. Teine variant on kasutada „bug bounty“ programmi ehk luua preemiaprogramm nõrkustest teatajatele. Rahalised preemiad motiveerivad eetilisi häkkereid süsteeme kompama ning väljamakstud preemiad on üldiselt oluliselt odavamad, kui nendest tulenev võimalik kahju. Kolmas ning kõige efektiivsem variant on küsida abi professionaalselt punaselt meeskonnalt ehk tellida küberturvalisusega tegelevalt ettevõttelt teenust, mille käigus imiteeritakse küberkurjategijate rünnakut. Läbistustestimise eesmärk on saada realistlik pilt, milline on organisatsiooni valmisolek seista vastu reaalsetele küberohtudele ning anda ülevaate lünkadest ettevõtte kaitsevõimekuses.

Sajaprotsendilist kaitset ei ole kunagi võimalik saavutada, kuid kõikide nende nelja sammu koostoimel on võimalik teha oma ettevõtte võimalikult ebamugavaks sihtmärgiks.