Meid ümbritsev maailm on muutunud. Päris korralikult. Pea iga päev ilmuvad teated selle kohta, kuidas üks või teine ettevõte on langenud küberrünnaku ohvriks. Küll on kas lunavaraga pihta saamise tõttu tegevus halvatud või on andmed ära varastatud. Või mõlemat. Või midagi muud. Võimalusi piirab vaid fantaasia.
Eri stsenaariumitest võiks pikalt heietada ja tuua näiteid viimase aja suurematest intsidentidest Colonial Pipeline’i, Iirimaa tervishoiusüsteemi või MS Exchange’iga, aga iga huviline leiab ise nende ja teiste juhtumite kohta infot. Pigem vaatame lähemalt, mis on muutunud, et sellised juhtumid saavad võimalikuks.
Infotehnoloogia areng on viimaste aastakümnete jooksul olnud pidev. Me oleme sellega üsna ära harjunud ega pane tähelegi, kuidas see meid ümbritsevat keskkonda muudab. Viimastel aastatel on areng olnud eriti tormiline. Me ei räägi enam sellest, et ettevõttes on üks-kaks arvutit, millega kirju toksitakse, vaid sellest, et iga väiksemgi asi on ettevõtetes seotud mõne arvuti või arvuti abil juhitud süsteemiga. Kui see nii ei ole, ollakse juba ette kaotanud.
Lõviosa seadmetest on ka ühenduses välismaailmaga – on see siis raamatupidaja arvuti, mis kasutab pilves olevat kassaprogrammi, või heitvee puhastusseadmete juhtimise süsteem, millele on hoolduseks ja seadistuseks tehtud ühendus tootjaga. Lühidalt öeldes on kogu elu kolinud arvutitesse ja internetti juba sel määral, et tegemist on eksistentsiaalse sõltuvusega.
IT-müüdid vajavad ümberlükkamist
Küll aga ei ole eriti muutunud inimeste teadlikkus arvutistamise ja internetistamisega kaasnevatest mõjudest, eeskätt just turvalisuse mõttes. Ohjeldamatult räägitakse sellest, kuidas innovatsioon ja tehnoloogia aitavad meid haljale oksale lähemale ja milliseid võimalusi oma teenuste veebi kolimine selleks annab, kuid tagaplaanile on jäänud jutt ohtudest, mis meid sel teel varitsevad. Neist ollakse kuulnud üldiselt ja abstraktselt ning arvatakse, et kui arvutil on viirustõrje peal, siis on kõik hästi ja midagi juhtuda ei saa. Palun vabandust, kui see ülekohtuselt kõlab, aga üldiselt on selline suhtumine valdav. Mõtteviis, et “minuga ei juhtu”, kehtib täpselt senikaua, kuni ollakse sunnitud tõdema “ups, minuga siiski juhtus”.
Teine levinud mõtteviis, mis pole väga visa muutuma: see va kompuutrivärk on puhtalt IT-meeste rida. Ühest küljest on see muidugi õige, sest IT-inimesed on need, kes taristut käigus hoiavad. Teisalt aga ei ole IT ammu enam sekundaarne tugiteenus, vaid läbi kõikide tasandite ja sisuliselt kõikidesse äriprotsessidesse nii sügavalt põimunud, et ilma enam ei saa, mis muu hulgas tähendab, et ka IT-d puudutavad otsused tulevad äripoolelt ja juhtkonnast. Samast peaksid tulema ka infoturbe valdkonna otsused ja vahendid. On ju arusaadav, et ükskõik kui vingest teenusest ei ole grammigi kasu, kui see on katkenud või kui selles teenuses töödeldavad andmed lekivad ja/või on krüpteeritud. Seega peaksid tootejuhid, äriomanikud ja juhtkonnad veel kord läbi mõtlema ja lahti mõtestama, milles seisneb nende panus teenuse toimimisse just infoturbe seisukohast.
Teenuseosutaja vastutagu kliendi eest
Tänapäeval kasutavad nii era- kui ka avaliku sektori organisatsioonid üha enam teenuste väljast tellimise võimalust. See on hea ja mugav ning võimaldab organisatsioonil keskenduda oma põhitegevusele. Tihti aga kipub olema kahjuks nii, et teenus ostetakse sisse ja arvatakse, et teenuseosutaja võtab endale ka vastutuse teenuse tellija eest. Nii see siiski ei ole. Teenuseosutaja vastutab küll tellija ees, aga n-ö riigi ja rahva ees vastutab ikkagi tellija ise. Seda vastutust ei saa sisse osta. Miks sellest siin juttu teen? Sest väga paljudes IT-valdkonna teenuslepingutes ei ole neid asjaolusid käsitletud ja nii juhtubki, et kummalgi poolel on oma seisukohad ja ootused teisele, aga kuna leping sellest midagi ei räägi, siis jäävadki need teemad õhku ja kukuvad lõpuks kahe laua vahele. Seega üks olulisi viise, kuidas küberõnnetusi ära hoida, on see, et teenuslepingud peavad olema vettpidavad, tegevused, rollid ja vastutused selgelt määratletud ning peab olema kirjeldatud, millistele turvaomadustele osutatav teenus peab vastama.
Sama kehtib vahendite soetamise kohta, sõltumata sellest, kas hangitakse omale tööjaamu, servereid, tarkvara või muud sarnast. Teekond tootjast tarbijani on pikk ning sellel teel võib ette tulla igasugu tõrkeid ja vahejuhtumeid, mille tulemusena toode ei jõua sihtkohta või ei jõua see sinna selliselt, nagu peaks. Tavaliselt võivad nii seadmed kui ka tarkvara sisaldada pahavara, mis lisatakse sinna juba kas tehases või tarnimisel. Tarneahelaga seotud riskid (ja kahjuks ka intsidendid) on kasvav trend nii toodete kui ka teenuste puhul. See on oluline kahtlemata ka kübermaailmaga seotud toodete ja teenuste puhul. Järelikult tuleb püüelda selle poole, et mitte ainult enda organisatsioonis ei oleks asjad korras ja turvalised, vaid valima peaks ka sellised koostööpartnerid, teenuseosutajad ja allhankijad, kes toimetavad turvaliselt ja vastutustundlikult. Seda on muidugi kergem öelda kui teha ning neid riske nulli viia igal pool ei õnnestu, kuid sellegipoolest peaks iga organisatsioon tõsiselt pingutama.
Selleks, et teada saada, millised riskid ettevõtte või asutuse tegevust mõjutavad, on tingimata vaja teha riskianalüüs. Küberturbe valdkond ei ole erand. Ka siin on tähtis tuvastada riskid, vastavalt toodetele ja teenustele valida välja need, mille risk on suur, ning tegeleda nendega esmajärjekorras. Riskipõhise mõtteviisi üks oluline nurgakivi on põhimõte, et sahtlisse kirjutatud riskianalüüs, millel puutumus päriseluga puudub, on mahavisatud raha. Riskianalüüsi ei ole vaja teha riskianalüüsi tegemise pärast, vaid see on üks osa riskihaldusest. See tähendab, et riskianalüüsis tuvastatud riskidega tuleb ka midagi ette võtta, et neid vähendada. Nende otsuste tegemine on üldjuhul äriomaniku ja/või juhtkonna ülesanne ja vastutus.
Valmis uus Eesti infoturbe standard
Selle eeldus, et kõik eelkirjeldatud moel ka toimiks, on tähtis efektiivse süsteemi olemasolu. Riigi infosüsteemi amet on koos partneritega tänavu valmis saanud uue Eesti infoturbe standardi, mille põhimõtete rakendamine aitab luua just sellist süsteemset lähenemist, et oma protsesse, tooteid ja teenuseid ohustavad riskid võimalikult edukalt miinimumini viia. Standardi põhisisu kirjeldab organisatsiooni infoturbe haldussüsteemi ülesehitust ja toimemehhanisme ning meetmete kataloogis on lai valik organisatoorseid ja tehnilisi meetmeid. Kõik turvameetmed ei olegi mõeldud rakendamiseks. Iga organisatsioon rakendab ikka just selle osa meetmetest, mis neile kohaldub. Tavalise organisatsiooni jaoks piisab üldjuhul standardis olemas olevatest etalonturbe meetmetest ning suurema kaitsetarbega organisatsioonidel on võimalus täiendava riskianalüüsi tulemusel rakendada täiendavaid meetmeid. Ehkki vähemalt esialgu on standardi esmane sihtrühm avaliku sektori asutused, on see koostatud selliselt, et sobib edukalt kasutada ka erasektori ettevõtetes. Standard on vastavuses tuntud rahvusvahelise infoturbestandardiga ISO 27001. Standardit on kavas hakata igal aastal uuendama, et see oleks ajakohane ning võimaldaks kiiresti muutuval kübermaastikul orienteeruda ja ellu jääda.
Üks väike nõuanne veel, mis võib aidata kübermaailma ja selle ohte paremini mõista: laias laastus ei ole digitaalne maailm meie füüsilisest maailmast sugugi nii erinev. Üldiselt kehtivad üsna samad reeglid ja põhimõtted, mis tähendab, et päris palju saab kasutada analoogiaid ja tuua paralleele nii pahalaste kui ka nende kaitsmise kohta. Lihtne näide: kui me kodust või kontorist lahkume, on elementaarne, et paneme ukse lukku. Aga arvuti(ekraani) lukustamata jätmise peale kehitatakse tihti vaid õlgu. Miks küll?
Viis soovitust IT-turvalisuse heaks
- Tootejuhid, äriomanikud ja juhtkonnad peaksid läbi mõtlema ja lahti mõtestama, milles seisneb nende panus teenuse toimimisse just infoturbe seisukohast.
- Sisseostetud teenuste lepingud peavad olema vettpidavad, tegevused, rollid ja vastutused selgelt määratletud ning peab olema kirjeldatud, millistele turvaomadustele peab osutatav teenus vastama.
- Valima peaks koostööpartnerid, teenuseosutajad ja allhankijad, kes toimetavad turvaliselt ja vastutustundlikult.
- Selleks, et teada saada, millised riskid ettevõtte või asutuse tegevust mõjutavad, on tingimata vaja teha riskianalüüs.
NB! Sahtlisse kirjutatud riskianalüüs, millel puutumus päriseluga puudub, on mahavisatud raha. Riskianalüüsi ei ole vaja teha riskianalüüsi tegemise pärast. - Riigi infosüsteemi amet sai tänavu valmis uue Eesti infoturbe standardi, mille põhimõtete rakendamine aitab luua süsteemset lähenemist, et protsesse, tooteid ja teenuseid ohustavad riskid võimalikult edukalt miinimumini viia.
Artikkel ilmus kaubanduskoja ajakirja Teataja 4/2021 numbris rubriigis “Kasulikku”.