Põhjused, miks ettevõtted on küberrünnakute vastu nii kaitsetud

KPMG viis 2022. aastal läbi küberturvalisuse uuringu Eesti suurimate ettevõtete juhtide ning lisaks ka eraldiseisvalt Eesti tervishoiusektori ettevõtete juhtide seas. Uuringust selgub, et poolte vastanute arvates on nende ettevõttes IT turvalisuse vallas asjad korras.

Lähemal vaatlusel aga selgub, et tõde võib nii mõnegi ettevõtte puhul olla hoopis midagi muud. KPMG küberturvalisuse nõustaja Igmar Ilves selgitab, miks paljud ettevõtjad hindavad oma ettevõtte küberturvalisust ekslikult paremaks, kui see tegelikult on ja mis võivad sellise eksiarvamuse tagajärjed olla. 

“Me võime sellise eksiarvamuse erinevate põhjuste üle spekuleerida pikalt, sest iga ettevõte on erinev, aga kuna ma olen selles valdkonnas pikalt tegutsenud, siis on mul suures plaanis võimalikest põhjustest hea ülevaade. Esimene põhjus võib olla paljude ettevõtete juhtide vale arusaam sellest, millised on sisseostetavate IT-teenuste infoturbealased omapärad. Ettevõtete juhid eeldavad sageli ekslikult, et sisseostetava IT-teenusega kaasneb ka vaikimisi lepingupartneri poolt küberturvalisuse tagamine. Tõsi, teatud teenuse puhul see võibki nii olla, aga tegelikkus on pigem vastupidine – klient saab ikkagi reeglina vaid ainult seda, mida ta tellib ja mitte rohkem. Uudis nii mõnelegi ettevõtte juhile on see, et sisseostetud IT-haldamise teenusega ei kaasne üldjuhul olemasoleva IT infrastruktuuri konfigureerimist ja praktilist testimist turvalisuse parimate praktikate kohaselt. Vähemalt mitte adekvaatsel tasemel,” sõnas Ilves alustuseks. 

Üks põhjuseid, miks poolte vastanutest arvates küberrünnakute teema neile vahetut ohtu ei kujuta, on seotud sellega, et neile teadaolevalt ei ole minevikus nende ettevõtte vastu küberrünnakuid korraldatud. Seega järeldatakse, et seda ei juhtu suure tõenäosusega ka kunagi tulevikus. Paljude Eesti ettevõtjate seas on levinud arusaam, et on ebatõenäoline, et küberkurjategijad tunnevad huvi väikeses Eestis, eeskätt kodumaisel turul tegutseva ettevõtte vastu.

“Jah, te võite tegutseda veel 20 aastat nii, et midagi ei juhtu. Samas ülemaailmne statistika näitab, et küberrünnakute arv on kasvuteel, mis teeb küberrünnaku ohvriks langemise tõenäolisemaks aina enam ka Eestis. Minu filosoofia küberturvalisuse tagamisel on selline: ma pigem olen valmis hullemaks, aga midagi ei juhtu, kui et midagi juhtub, ja ma pole selleks valmis,” ütles Ilves.

Arvamus, et “minuga vast ikka ei juhtu”, on Ilvese sõnul vale ka seetõttu, et juba toimunud rünnakut ei pruugi klient üldse avastadagi, kui ta aktiivselt selle teemaga ei tegele. KPMG küberturvalisuse meeskond on klientide juures käies korduvalt kogenud, kuidas klient väidab, et nende vastu pole küberrünnakuid teostatud, aga kontrolli käigus selgub, et nende arvutivõrgus on kurjategijad juba käinud.

Ilvese sõnul arvatakse tihti, et igasugused küberturvalisuse kontrollimise ja tagamise teenused on ettevõttele pigem kulu, kui investeering. “IT- või infoturbejuht võivad ju mõista, et küberturvalisusesse peaks ennetavalt investeerima, kuid tihti jõutakse juhtkonnas ikkagi otsuseni, et on prioriteetsemaid valdkondi, kuhu ressursse suunata. Otsuse põhjus on jätkuvalt mõtteviis: “Meid pole enne rünnatud ja tõenäoliselt ei rünnata ka tulevikus. Seega suuname raha hoopis uute ärisuundade arendamiseks”. Selline mõtteviis on inimlikult arusaadav ja eks see ongi risk, mida ettevõtte aktsepteerib. Kuid ei tohi unustada, et üks hetk võib ettevõtet tabada lunavararünnak ning adekvaatsete kaitsemeetmete puudumise tagajärjel võib kogu äri määramata ajaks täiesti seisma jääda. Küberrünnaku toimumise järgselt pöörduvad ettevõtted meie poole olukorra lahendamiseks ning tihti me avastame olemasolevate jälgede alusel seda, et infosüsteemidele on kurjategijad omanud ligipääsu juba mitmeid kuid.”

Küberintsidendi järgse kontrolli raames avastame me ettevõtte IT-süsteemides erinevaid pahatahtlikule käitumisele viitavaid mustreid. “Väga lihtsustatud näitena võib pahatahtlikule käitumisele viidata teatud kasutajakontode kasutamine öisel ajal, mis omakorda võib viidata sellele, et antud kasutajakontod on kurjategijate poolt kaaperdatud ning nende abil teostatakse töövälisel ajal tegevusi eesmärgiga jääda märkamatuks,” selgitas ta.

Ilvese sõnul on tulnud ette ka seda, et kurjategijad on endast meelega jäljed maha jätnud. “Mõned kurjategijad jätavad meelega sõnumi stiilis “Me oleme siin käinud” – eks seda teevad nad mõnes mõttes seetõttu, et nad on oma “saavutuse” üle uhked ja näitavad teistele sarnastele tegijatele, et nemad jõudsid teistest ette.” 

Ehkki võiks ju mõelda, et küberrünnaku korral hakkab kohe kuskil mingi häire tööle, on see Ilvese sõnul enamasti ekslik arusaam. “Võib tõesti juhtuda, et rünnak toimub aggressiivselt ning seda on võimatu mitte märgata, kuid reeglina üritavad kurjategijad IT-süsteemidesse sisse murda märkamatult ja kui neid saadab edu, siis nad jätavad endast võimalikult vähe jälgi maha,” ütles Ilves. Pigem üritatakse kurjategijate poolt küberrünnakust jätta siiski muljet kui tavalisest võrguliiklusest.

Siinkohal tõi ta näiteks olukorra, kus hüpoteetiliselt murtakse sisse suure energiaettevõtte andmesidevõrku ja selline tegevus avastatakse alles mitu kuud hiljem. Kurjategijate kätte on aga sattunud energiaettevõte kohta käivad olulised andmed – nagu näiteks andmesidevõrgu ülesehitus ja muu spetsiifiline tehniline teave.

“Sellist sorti informatsioon võib aga huvi pakkuda näiteks mõne vaenulikult meelestatud riigi luureteenistusele, kes seda ka kurjategijatelt nn “mustalt turult” osta üritabki,” selgitas Ilves. 

Kui kontrolli käigus selgub, et tegelikult on kurjategijad kliendi andmesidevõrku juba rünnanud, siis on klientide seas reaktsioone erinevaid. “On neid, kes on sõnatud või isegi šokis, aga on ka neid IT-juhte või infoturbejuhte, kellel on hea meel. Nende rõõm seisneb selles, et nad on aastaid küsinud küberturvalisuse valdkonda rahastust juurde, kuid pole seda seni saanud, tulenevalt juhtkonna vähesest ohutunnetusest ja prioriteetide seadmisest mujale. Rünnakujärgselt juhtkonna seisukoht muutub reeglina koheselt. ”

Ilvese sõnul ei ole tema meeskonna eesmärk küberturvalisuse kontrolle teostades kellelegi süüdistatavalt näpuga näidata, vaid kontrollide eesmärk on ikkagi muuta olukord paremaks ning maandada võimalike äri mõjutavate riskide avaldumist. “See on väga hea, et me olulisi turvanõrkusi ning haavatavusi avastame. See teeb kokkuvõttes meie kliendi IT-keskkonda oluliselt turvalisemaks ja annab meie klientidele suurema enesekindluse, et nende äri toetavad IT-süsteemid jäävad ka keerulisema küberrünnaku kontekstis püsima.” lisas Ilves. 

Selleks, et aru saada, mis võiksid olla võimalikud tagajärjed, kui ettevõtet tabab küberrünnak,  ei pea lihtsa, majasisese riskianalüüsi jaoks lisakulutusi tegema. Tuleb lihtsalt leida vastav aeg võtmeisikute kokku kutsumiseks ning läbi viia ajurünnak.

“Selleks võiks IT-juht ja/või infoturbejuht koos ettevõtte juhtkonna, raamatupidaja ja teenustejuhtidega maha istuda ning ühisel koosolekul läbi mängida erinevaid olukordi – näiteks, kui küberrünnaku järgselt kukuvad maha ärikriitilised IT-süsteemid, teenused, veebilehed jms. Kui kaua kuluks aega esialgse olukorra taastamiseks kõige halvima stsenaariumi realiseerumise korral? Millised oleksid ettevõtte mõõdetavad kahjud teenuste maasoleku ajal? Milline oleks ettevõtte võimalik mainekahju?”

Tõenäoliselt selgub sellise ajurünnaku ja analüüsi käigus, et aja- ja rahakulu oleks ettevõtte jaoks märkimisväärne. Analüüsijärgselt peab ettevõtte juhtkond otsustama, kas aktsepteerida võimalikke riske või alustada proaktiivselt küberturvalisuse tugevdamisega.

Paljudel ettevõtetel puudub aga tihtipeale infoturbealane kompetents, et objektiivselt hinnata ettevõtte infoturbealast olukorda ja olemasolevate kaitsemeetmete tõhusust. KPMG pakub sellistel juhtudel infoturbe ja küberturvalisuse küpsustaseme hindamise teenust, mille raames on võimalik hinnata võrdlemisi lühikese aja jooksul ettevõtte üldist infoturbealast seisu ning välja pakkuda ettevõttele ka kõige optimaalsem tegevus- ning ajakava praeguse olukorra parandamiseks. Intensiivse kahetunnise intervjuu järgselt analüüsivad KPMG eksperdid kliendi poolt antud vastuseid ning koostavad vastavasisulise raporti, mida presenteeritakse kliendile koos küpsustaseme koondhindega, viie vastava teema (planeerimine, kaitsmine, avastamine, reageerimine, taastamine) hinnangutega,  olulisemate kitsaskohtade kirjeldustega, tegevuskavaga kitsaskohtade maandamiseks/eemaldamiseks (koos ligikaudse ressursi hinnanguga) ning lisaks eelnevale toome välja ka sama valdkonna ettevõtete infoturbe ja küberturvalisuse küpsustaseme koondhinnete võrdluse. Teenuse hind on 4500 eurot.

Loe lähemalt: küberkaitse.ee