Küberturbe maailmas toimuvad praegu muutused, mis sunnivad ettevõtteid olema valvsamad. Küberrünnakuid on Riigi Infosüsteemi Ameti (RIA) andmetel rohkem kui kunagi varem ning nendeks peab olema valmis. Parim võimalus selleks on täpselt teada saada, milline on seis ettevõttes digiturvalisuse rindel ning selleks tasub tellida küberturbe audit. See seletab lihtsalt ja n-ö inimkeeles lahti, mida vaja paremaks muuta.
Üha keerukamad rünnakud ja aina rangemad regulatsioonid muudavad küberturbe auditi paljude äride jaoks kui mitte kohustuslikuks, siis vähemalt hädavajalikuks. Aga mida see endast täpsemalt kujutab, miks see on oluline ja kuidas see erineb teistest sarnastest teenustest?
Miks on küberturbe audit vajalik?
Alustame sellest, miks on see audit siiski vajalik. Üks olulisematest põhjustest on korraliku ülevaate saamine, milline on hetkeseis ettevõttes ja kas on vaja midagi paremaks teha.
Paljude firmade jaoks on küberturvalisus paraku endiselt veel midagi, mis justkui on olemas, aga keegi täpselt ei tea, millisel tasemel. Vigu märgatakse alles siis, kui midagi juhtub – näiteks andmeleke või lunavararünnak.
Küberturbe audit on eriti vajalik siis, kui ettevõttel puudub selge ülevaade oma turbeolukorrast. See annab juhtkonnale laiapõhjalise vaate, millised on infoturberiskid ja kuidas nende maandamisega edasi liikuda.
Üha enam ettevõtteid seisab ka silmitsi väliste nõuetega, näiteks partnerite või EL-i regulatsioonide, nagu NIS2 ja ISO, täitmise kohustusega. Siis on küberturbe audit vahend, mis näitab, kas turvatase vastab standarditele ja kas koostöö on usaldusväärne. Lisaks aitab audit mõista, kuidas täita regulatiivseid nõudeid ja tagada turvalisus pikemaajaliselt.
Kas küberturbe audit või läbistustestimine?
Küberturvalisuse hindamiseks on kaks peamist lähenemist – audit ja läbistustestimine.
Kuigi mõlemad on tähtsad, täidavad nad erinevaid rolle. Audit on pigem laiapõhjaline hindamine, mis annab ülevaate ettevõtte üldisest küberturbe olukorrast ja tuvastab peamised riskid. Läbistustestimine aga keskendub konkreetsete süsteemide turvamehhanismide tõhususe kontrollimisele, simuleerides juba reaalseid rünnakuid.
Läbistustestid sobivad hästi siis, kui ettevõttel on juba selge ülevaade turbeolukorrast, saavutatud on juba arvestatav küberturbe küpsustase ja soovitakse tõestada, et rakendatud turvameetmed töötavad. Auditiga alustamine on siiski mõistlikum, kuna see annab alguses tervikpildi ja aitab tuvastada nõrkuseid, mida hiljem saab parandama hakata enne läbistustestide tegemist.
Kuidas küberturbe audit toimub?
Keskmiselt võtab see aega paar nädalat ning selle aja jooksul tehakse ettevõttest põhjalik ülevaade. Auditil on laias laastus kaks osa. Esmalt teoreetiline vastavushindamine, mis kätkeb endas intervjuusid erinevate osapooltega, olemasoleva dokumentatsiooni ülevaatust ja laiemalt organisatsiooniliste ning tehniliste turvameetmete olemasolu kontrolli.
See annab hea esmase ülevaate, milline on teoreetilisel tasemel ettevõtte tänane küberturbe küpsustase ja lubab ka hinnata, kui pikk tee on veel minna, kui näiteks on eesmärgiks tagada vastavus E-ITS, ISO27001 või NIS2 vaatest. Teine osa (põhirõhk) auditist on tehniline, mis näitab ära, kuidas olukord päriselt on – kas on IT-taristus nõrku kohti, mida pahalased saaksid ära kasutada.
Audit ei pea tingimata iga hinna eest vigu välja otsima, ka positiivne olukord on oluline tulemus. Sellest, et kõik on hästi, tuleb samuti teada.
Audit koosneb mitmetest erinevatest etappidest, mis aitavad kübertuvalisuse olukorra igast küljest välja selgitada. OIXIO teeb seda, kasutades paljusid tuntud raamistikke, kuid ei väljasta tulemusi tuhandeleheküljeliste aruannetega (ehkki ka selle saab). Hoopis olulisem, mis auditi tulemusena selgub, on inimkeeles kokkuvõte juhtkonnale, milline on olukord, mis on hästi, mis halvasti ja mida peaks nüüd tegema, et küberturvalisust tõsta.
Siin on kõige olulisemad etapid, mida auditit tehes läbitakse. Vajadusel võib seda mõne aja pärast korrata, kui vahepeal on probleemid kõrvaldatud.
1. Intervjuud ja kaardistamine
Audit algab ettevõtte võtmeisikutega läbi viidavate intervjuudega. Kasutades OIXIOs spetsiaalselt välja töötatud küsimustikku CIS, ISO 27001 ja ASD põhjall, selgitab auditi tiim välja, millised on ettevõtte äriprotsessid, tehnilised lahendused ja turbepraktikad.
Intervjuude käigus saabki esmase ülevaate, kuid see ei jää vaid teoreetiliseks osaks. Kõike kontrollitakse ka tehnilisel tasandil, et näha, kuidas olukord tegelikult on.
2. Infovarade ja nõrkuste analüüs
Pärast intervjuusid kaardistatakse ettevõtte infovarad. See hõlmab võrkude skaneerimist, välisperimeetri, veebide ning võrguliikluse igakülgset analüüsi ja seadmete loetelu koostamist.
Sageli selgub just nüüd, et ettevõte ei tea ise, mis nende võrgus toimub ja mis seadmed on ühendatud. Infovarade kaardistamine on küberturbe parandamise esimene oluline samm.
3. Turvanõrkuste hindamine
Seejärel alustatakse turvanõrkuste analüüsiga, kasutades nii automatiseeritud kui käsitsi testimise meetodeid.
Siinjuures uuritakse näiteks tulemüüride reegleid, süsteemide turvanõrkusija kasutajaõigusi. Audit annab ka hea ülevaate turbearhitektuuri tugevustest – näiteks sellest, kas võrgu segmenteerimine takistab ründajate liikumist või on kõik oluline ühes segmendis koos, mis pole hea praktika.
4. Digitaalse jalajälje hindamine
Oluline osa auditi tööst on ettevõtte digitaalse jalajälje kaardistamine. See hõlmab avaliku info analüüsi, sealhulgas tumeveebi skaneeringut ja sotsiaalmeediasse jäetud jälgi. Paljud ettevõtted ei teagi, kui palju infot nende kohta Internetis vabalt kättesaadav on. See aga teeb ründajate töö lihtsamaks ja on oluline oht, mida auditi käigus uurida.
Varem avastati niimoodi ka lekkinud kasutajakontod ja avalikkusele nähtavad sisevõrgu osad, kuid nii suuri prohmakaid kohtab nüüd juba harva. Samas võib siiski välja tulla mõne töötaja lekkinud konto.
5. Füüsiline kontroll kohapeal
Nüüd minnakse auditi käigus kohale – proovitakse, kas füüsilisse kontorisse õnnestub kellegi sabas sisse lipsata, kas monitoride küljes on kollaseid lipikuid paroolidega, samuti vaadatakse, kuhu pääseb ja mismoodi on füüsiliselt ettevõtte varad kaitstud.
6. Aruanne ja tegevusplaan
Lõpptulemusena valmib auditi aruanne, mis sisaldab olulisi leide ja praktilist tegevuskava.
OIXIO auditi eesmärk pole aga siinjuures kliendile üle anda tuhandeleheküljelist raportit, millega tavakasutajad midagi peale hakata ei oska. Saab aga lihtsa ja selge tegevuskava, alustades kiiretest ja kergesti rakendatavatest parandustest.Oluline ongi alustada just nendest, et saavutada kohe mingi tulemus, hiljem juba võib ette võtta keerulisemad küsimused, millele pühenduda.
Lisaks saavad kliendid ka detailse tehnilise dokumentatsiooni, mis on abiks IT-spetsialistidele võimalikesse probleemidesse sügavamal kaevumisel.
Kes üldse vajavad küberturbe auditit?
Küsimus on praegusel kasvavate küberrünnakute ajastul üsna selge ja lihtsa vastusega.
Küberturbe audit on vajalik igale ettevõttele, kelle jaoks on oluline oma andmete ja süsteemide kaitse. Regulatsioonidest tulenevate nõuete tõttu on audit eriti vajalik tervishoiu, finantssektori ja avaliku sektori ettevõtetele, paljudele lausa kohustuslik.
Samuti saavad auditi tulemustest kasu kõik organisatsioonid, kes soovivad tõsta oma turvalisust ja valmistuda võimalike ohtudega toimetulekuks. Küberrünnaku ohvriks langemine on alati kulukas ja mainet kahjustav, seega oleks parem seda vältida ning kaitseks valmis olla.
Küberturbe audit pole seega lihtsalt ankeeti linnukeste tegemise harjutus – see on ettevõtte turvalisuse vundament. OIXIO-s tehtavad auditid eristuvad oma põhjalikkuse poolest ning annavad ettevõtetele praktilised tööriistad riskide maandamiseks ja turbe parandamiseks.
Oluline pole auditit “võita” seda edukalt läbides, vaid saada ülevaade ja teada täpselt, mida paremaks tegema hakata.
