Villu Teearu: küberturvalisust ei saa tagada pimesi igat süsteemi kümne parooliga kaitstes (1)

Viimasel ajal ilmestab küberruumis toimuvat hästi näiteks Elisa hiljutine statistika, mille kohaselt tõusis tänavu suvel eestlaste vastu suunatud küberrünnakute hulk eelneva rekordiga võrreldes ligi viis korda.

Järjest kiiremini kasvavad numbrid näitavad selgelt, et end ei saa mugavalt ega kaitstuna tunda keegi, olenemata sellest, kui palju on aastate jooksul küberturvalisusse investeeritud. Ühtlasi näitavad viimase aja trendid kätte, et kuigi digitaalses sfääris ei pea kurjategija ettevõttega samas riigis või isegi samal mandril asuma, siis ei ei ole võimalik saavutada täielikku kaitset panustades vaid «kaugete» teemadega tegelemisesse.

Kuigi täieliku turvaspektri tagamiseks tuleb end kindlustada igal rindel, siis ongi tihti suurimaid võite võimalik saavutada kontoriseinte vahelt kaugemale vaatamatagi – küberturvalisus algab piisavalt kindlalt üles ehitatud tarkvarast, töötajatest, kes teavad, kuidas nende kätte usaldatud ligipääse kaitstuna hoida, ning hästi läbi mõeldud protsessidest, mis tagavad, et kõik võimalikud riskid on põhjalikult läbi analüüsitud ja kaitseressursid on pühendatud sinna, kus neid tegelikult vaja on.

Hinda riske!

Terviklik lahendus küberturvalisuses eeldab oskust mõista riske ja teadmisi sellest, kuidas nende riskide mõju minimaalseks viia. Just korrektne riskianalüüs on see, mis peaks kätte näitama, kui palju tuleks ühes või teises kohas pingutada, et tagada õige tasakaal turvalisuse ja kasutusmugavuse vahel – esmapilgul võiks tunduda küberturvalisuse tagamiseks mõistlik nõuda igasse süsteemi sisselogimiseks kasutajalt kolm veretilka, kuid kas see on ka päriselt mõistlik, kui selle arvelt ei saa ehitada üles tugevamat kaitset mõnele veelgi kriitilisemale süsteemile ning kui selle sammuga tehakse ka kõige igapäevasemate tööülesannete täitmine meeletult tüütuks?

«Väga lihtsalt on võimalik teha liiga vähe, kuid tihti on võimalik minna ka veidi üle võlli.»

Niisamuti peab pädev riskihinnang olema võimeline ajas muutuma ning võtma arvesse nii muutunud turvakeskkonda kui ka alaliselt muutuvat töökeskkonda. Kui mingitel hetkedel võis riskianalüüs kätte näidata, andmebaas X tuleb paigutada pimedas toas olevasse arvutisse, mis ei olnud internetiga ühendatud, siis kaugtöö võidukäik võib selle lähenemise võimatuks muuta.

Täpselt samamoodi peab riskihinnang ajas muutuma, kui muutub seda ümbritsev turvakeskkond – kolm aastat tagasi pahalasi mingit tüüpi süsteemid ei huvitanud ja seega ei panustatud nende kaitsesse liialt ressursse, kuid täna võib olukord olla vastupidine ja kaitsemeetmeid tuleb tugevdada.

Kõige juures tasub aga meeles pidada, et väga lihtsalt on võimalik teha liiga vähe, kuid tihti on võimalik minna ka veidi üle võlli. Seetõttu peab iga riskihinnangu osaks olema ka õige tasakaalu leidmine mugavuse ja turvalisuse vahel.

Seega peaks riskihinnangu läbivaks küsimuseks olema see, miks me midagi teeme või tegemata jätame. Olgu selleks andmete krüptimine, pilves või serveriruumis hoidmine, ligipääsude jagamine või töötajate koolitamine – turvalahenduse looja peab suutma selgitada, miks just sedasi asju kõige parem teha on. Või hoopis vastupidi – miks pole mõtet töötajate elu keerulisemaks muuta, kui selle tegevuse tulemusena ei vähene ükski reaalne risk.

Eelneva kõrval ei tasu ka ära unustada, et kõiki turvalisuse huvides vastu võetud otsuseid peavad toetama ka õiged protsessid. Ei ole mõtet andmeid taastatavuse ja töökindluse huvides pilves hoida, kui reaalsuses pole keegi välja mõelnud, kuidas sellega seotud ligipääse hallata või kuidas on lahendatud andmete turvaline liigutamine.

«Kui parool peab olema 25 märki pikk, siis unustatakse turvalisus täielikult, kirjutatakse see salasõna paberi peale ja kleebitakse monitorile.»

Iga konkreetset juppi hõlmavad turvateemad peaks analüüsi käigus olema läbi mõeldud algusest lõpuni ning «elame-näeme» lähenemise ja laiskuse puhul võib olla mõistlikumaks lähenemiseks lihtsalt kõik kümne parooliga ära kaitsta. See on küll ebamugav ja ebapraktiline, kuid vähemalt ei jäeta kuskile lahtiseid otsi.

Ära ei saa unustada inimfaktorit

Turvalisuse juures ei saa alahinnata ka selgitamise tähtsust. Riskide hindamise faasis tehtud otsused ja nende põhjendused peaksid olema arusaadavad kõigile, kelle tööd need puudutavad – alates tegevjuhist kuni reatöötajani välja.

Inimene on võimeline tegema ja saavutama meeletuid tulemusi, kui ta mõistab, miks see vajalik on. Kui öelda aga töötajale ilma selgitamata, et paroole tuleb vahetada iga nädal, siis võib üsnagi kindel olla, et varem või hiljem muutub tegevus talle vastumeelseks ning roteeruma hakkavad kaks sama parooli. Või kui parool peab olema 25 märki pikk, siis unustatakse turvalisus täielikult, kirjutatakse see salasõna paberi peale ja kleebitakse monitorile.

Enamik inimesi on ausad ja tahavad asju hästi teha. See on ka midagi, mida tasuks küberturvalisuse lähenedes meeles pidada. Kui riskihinnang näitab kätte, et midagi tuleks kaitsta, siis peaks turvalisuse eest vastutav inimene või meeskond ka endalt küsima, millise piirini saab töötajaid selles valdkonnas usaldada. Kuskil peab küll alati olema turvavõrk, aga kui ohud on piisavalt madalad ning inimesed piisavalt nutikad, siis äkki saab mõnel juhul turvaintensiivsust grammi võrra alla võtta ja tagada seeläbi inimestele veidi mugavam igapäevaelu.