7 küberturbe viga, mida Eesti ettevõtted teevad (ja kuidas neid vältida)

Seekord tekkis suur kihk kirjutada ämbritest. Aga mitte nendest ämbritest millest oleme läbi kolistanud ja õppinud. Vaid hoopis nendest kõige püsivamatest ämbritest mis ei taha mitte ära kaduda.

Oma kogemusele tuginedes võin öelda, et kõige suuremad kahjud ei tule mitte keerukatest ja sihipärastest rünnakutest, vaid käputäiest levinud ja korduvatest vigadest. Need on vead, mis tulenevad ekslikust mõtteviisist ja valeinformatsioonist. Hea uudis on see, et need on väga lihtsalt lahendatavad.

See artikkel toob välja 7 kõige levinumat viga, mida ma Eesti ettevõtete juures näen, ning pakub nende vältimiseks lihtsaid ja praktilisi lahendusi.

Viga 1: "Me oleme liiga väikesed, et sihtmärgiks olla"

• Eeldus: "Oleme väike tegija, mitte pank ega rahvusvaheline megaettevõte. Miks peaks keegi meid ründama? Meil pole midagi väärtuslikku, mida varastada."

• Reaalsus: Reaalsus on see, et enamik rünnakuid on automatiseeritud. Küberkurjategijad ei otsi teid nimepidi; nende robotid skaneerivad internetti ööpäevaringselt, otsides ükskõik millist haavatavat süsteemi. Väikeettevõte on tihti isegi parem sihtmärk, sest too on vähem kaitstud. Teie ettevõtte suurus ei ole oluline. Lihtsalt iga internetti ühendatud ettevõte ongi sihtmärk.

• Lahendus: Rakendage küberhügieeni põhitõed. See on kõige kuluefektiivsem ja praktilisem kaitse automatiseeritud ohtude vastu. Ärge muretsege esialgu keerukate süsteemide ja seksikalt kõlavate müügiargumentide pärast – alustage baasasjadest.

Viga 2: "See on IT-osakonna mure"

• Eeldus: "Ma maksan IT-partnerile või mul on IT-inimene majas. Turvalisus on tema vastutusala, mina tegelen äripoolega."

• Reaalsus: See on üks ohtlikumaid väärarusaamu. Teie IT-partner või -osakond saab hallata tööriistu ja süsteeme. Nad saavad kaitsta seda, mida te peate oluliseks, aga nad ei saa otsustada, mis on oluline. See on juhtkonna otsus. IT ei saa otsustada, kas kliendiandmete leke on lihtsalt ebamugavus või eksistentsiaalne risk teie ärile.

• Lahendus: Seadke oma IT-meeskonnale (olgu see oma töötaja või partner) selged ootused ja tagage neile vajalikud ressursid. Leppige kokku regulaarsed kohtumised, kus arutate riske äri kontekstis ja kontrollite eesmärkide täitmist.

Viga 3: Inimfaktori alahindamine

• Eeldus: "Meie inimesed on targad ja lojaalsed, nad ei kliki kahtlastel linkidel. Pealegi, kes meid ikka rünnata tahab?"

• Reaalsus: Ka kõige targem ja lojaalsem töötaja võib teha vea, eriti kiirel ja stressirohkel päeval. Inimfaktor on endiselt peamine rünnakute sihtmärk (läbi andmepüügi ehk phishing'u). Üksainus hetk tähelepanematust võib nullida kõik tehnoloogilised investeeringud turvalisusesse.

• Lahendus: Looge oma ettevõttele lihtne, kuid järjepidev infoturbe koolitusplaan. Eesmärk ei ole muuta kõiki ekspertideks, vaid tõsta üldist teadlikkust, et igaüks oskaks märgata ohtu ja julgeks küsida, kui miski tundub kahtlane.

  • (Loe lähemalt miks just infoturve mitte küberhügieen: Küberhügieen või Infoturve? Leia oma ettevõttele parim koolitus!)

Viga 4: Läbimõtlemata (või puuduv) varundusstrateegia

• Eeldus: "Meil on varukoopiad olemas." Või, veel hullem: "Meil pole midagi nii olulist, mida peaks varundama."

• Reaalsus: Lunavara (ransomware) rünnakute ärimudel põhineb eeldusel, et teie varukoopiad on puudulikud või kättesaamatud. Sageli avastatakse alles pärast intsidenti, et varukoopiaid tehti vaid kord nädalas, need ei katnud kõiki olulisi andmeid või need olid samas võrgus ja krüpteeriti koos kõige muuga. Testimata varukoopia meenutab pigem religiooni kui strateegiat.

• Lahendus: Tehke selgeks mis andmed on olulised ja määrake üks kindel isik, kes vastutab varukoopiate olemasolu ja toimivuse eest. Kui keegi vastutab, siis on tema ülesanne tagada, et varukoopiaid testitakse ja et need katavad kõik kriitilised süsteemid.

Viga 5: Kriisiplaani puudumine

• Eeldus: "Kui midagi juhtub, küll me siis tegeleme. Oleme tugevad improviseerimises."

• Reaalsus: Intsidendi ajal valitseb paanika, ajasurve ja kaos. Selgelt mõelda ja õigeid otsuseid vastu võtta on peaaegu võimatu. On vana ütlus: "Kõige lühem pliiats on pikem kui kõige pikem mälu." See, mis on paberil, jääb alles ka siis, kui pea on laiali otsas.

• Lahendus: Pange kirja ühe lehekülje pikkune plaan. See ei pea olema keeruline. Vastake lihtsalt põhiküsimustele ja olete juba 90% paremas seisus kui enamik ettevõtteid.

  • (Rohkemate ideede saamiseks lugege meie põhjalikumat artiklit: Intsidendihaldus plaan: Mida see sisaldab ja miks on see oluline?)

Viga 6: Tarkvara mitteuuendamine

• Eeldus: "Parem ei puutu, muidu läheb katki. Kui süsteem töötab, siis milleks seda uuendada ja riskida, et midagi enam ei toimi?"

• Reaalsus: Peamine põhjus, miks tarkvara uuendatakse, on leitud turvaaukude parandamine – turvaaukude, mida kurjategijad juba aktiivselt ära kasutavad. Uuendamata jätmine on nagu välisukse pärani jätmine, lootes, et keegi ei tule sisse.

• Lahendus: Lahendus on labaselt lihtne: lülitage sisse automaatsed uuendused. Jah, on olemas väike risk, et mõni uuendus tekitab ajutiselt probleeme. Aga see risk on kordades väiksem kui risk, mis kaasneb teadaoleva turvaaugu lahti jätmisega. Ja kui midagi lähebki katki, siis on teil hea võimalus oma äsja loodud kriisiplaani testida.

Viga 7: Vale partneri valimine (või partneri puudumine)

• Eeldus: "Kõik IT-firmad on ühesugused, võtame kõige odavama." või "Saame ise hakkama, hoiame raha kokku."

• Reaalsus: Vale partner on sageli ohtlikum kui partneri puudumine, sest ta loob vale turvatunde. Partneri puudumine jätab teid aga kriisiolukorras täiesti üksi. Õige partner ei ole kuluartikkel, vaid investeering. Ta on teie teejuht, kes aitab teil vältida kõiki eelnevat kuut viga.

• Lahendus: Partnerit valides on teil õigus esitada küsimusi ja oodata sisulisi vastuseid. See on teie äri ja teie vastutus.

  • Küsige, kuidas nad lähenevad teie äri spetsiifilistele riskidele, mitte ainult tehnilistele probleemidele.

  • Uurige nende lähenemise ja protsesside kohta, mitte ainult hinnakirja.

  • Eelistage partnerit, kes seab esikohale teie ettevõtte, mitte seadmete müügi.

Nende seitsme levinud vea vältimine on see, mis eristab küberohtudele reaktiivselt reageerivat ettevõtet sellest, kes juhib oma riske ennetavalt ja strateegiliselt.

Hea küberturvalisus ei seisne kallite ja keeruliste tehnoloogiate ostmises. See seisneb teadlike ja järjepidevate otsuste tegemises, mis samm-sammult vähendavad teie ettevõtte riske. Mis iganes esimeseks sammuks valid on kõige olulisem see samm teha.