Kuidas planeerida ja mõõta küberturvalisust

Andres Vallistu

Küberturbe ärisuuna juht

Kas turvalisust saab olla liiga palju? Kus asub ideaalpunkt – ühel pool mugav, teisel pool turvaline? Kuidas investeeringuid õigustada? Püüame leida nendele küsimustele vastused.

too-much-sfety

Kas turvet saab olla liiga palju? Paraku küll. Turbe ülekülluse tulemusel võib ettevõte muutuda hoopis ebaturvaliseks. Kuidas nii? Kui IT-süsteemide kasutusmugavus väheneb, siis väheneb töötajate produktiivsus, töötaja ei saa teha seda, mida peab ja motivatsioon ning rahulolu tööga langeb. See omakorda toob kaasa selle, et töötajad hakkavad leiutama viise, kuidas turvast mööda hiilida, mis seab loomulikult äriandmed ohtu. Inimeste leidlikkusel pole piire. Kõige lihtsam näide on see, et töötajad hakkavad faile oma isiklikku pilve kopeerima, et neid sealt siis edasi jagada või töödelda.

Aga kuidas siis ikkagi küberturvalisusega tegeleda ja turvainvesteeringuid õigustada?

Esimene lähenemise viis – ära tegele turbega üldse.

Tundub meelevaldne nõuanne, aga ka see on OK, kui ettevõtte digitaliseerituse tase on madal, IT taristu on väike, äriprotsessid ei sõltu IT-st. Sellisel juhul võib täitsa mõelda, et infoturbega süsteemselt tegelema ei pea ja suured investeeringud ei ole vajalikud. Kuid see otsus peab olema teadlikult ja läbimõeldult tehtud. Ehk siis ettevõte peab olema täiesti kindel, et IT-st midagi ei sõltu! Tihti pole selles osas täielikku teadmist ja ülevaadet ning kui IT juhtub “katki” minema (nt küberintsidendi tagajärjel), siis alles saadakse aru, et äri on halvatud.

Lisaks veel üks oluline nüanss, millele tihti ei mõelda, on see, kui ettevõte ise on osa laiemast tarneahelast. Ei ole harvad juhtumid, kui ühe väiksema ettevõtte sisse murtud süsteemidest rünnatakse teist suuremat ettevõtet. Loomulikult selle tagajärjel võib juhtuda, et see teine ettevõte nõuab esimeselt kahjutasu/hüvitist, rääkimata veel tekkinud mainekahjust. Alati tuleb mõelda ka sellele, et sinu ettevõte nõrk küberturvalisus mitte ei kahjusta ainult sind ennast, vaid võib kahju teha ka teistele (klientidele, partneritele).

Veel tuleb meeles pidada erinevaid seadusi ja regulatsioone, mis nõuavad turbega tegelemist. Kui ettevõte on KüTS subjekt või kohaldub NIS2, siis pole pääsu ja turbega tegelemine on vajalik. Vastasel juhul rakenduvad trahvid ja seda isegi kuni eraisiku vastutuseni välja.

Teine viis küberturbega tegelemiseks ja turvainvesteeringute õigustamiseks on kasutada riskianalüüsi.

Risk = Nõrkus x Oht, lisaks tõenäosus ning mõju.

Miinimum, millest lähtuda on kvalitatiivne riskianalüüs. Selle põhjal oleks olemas mingigi õigustus turbeinvesteeringuid tehes. Paraku kvalitatiivse riskianalüüsi probleem on see, et sellisel moel tehtud analüüs põhineb osaliselt kõhutundel.

Teine ja parem lähenemine on kvantitatiivne riskianalüüs. Kvantitatiivne erineb kvalitatiivsest selle poolest, et igale riskile pannakse ka rahanumber külge. Hinnatakse varade väärtust, koefitsiente, kui suure regulaarsusega võivad riskid realiseeruda, kui suured on realiseerumise kahjud, palju maksavad tööseisakud, kui suured on potentsiaalsed kahjud jne. Ehk siis sellise lähenemisega saab minna väga detailseks ja investeeringute õigustamise vaatest on see kõige parem lähenemise viis. Selle tulemusel saab luua riskide maandusplaani, kus on reaalsed numbrid küljes. Ehk siis sealt joonistub välja, kas näiteks on mõtet investeerida uude kallisse turbetehnoloogiasse, kui potentsiaalne realiseeruva riski (nt lunavararünnaku) kahju on oluliselt madalam kui investeeringu suurus. Meetmete kulu ei tohi olla suurem kui võimalik kahju! Vähemasti suuremad riskid võiksid olla kvantitatiivselt mõõdetud. Loomulikult on keeruline hinnata mainekahju või saamata jäänud tulu, kuid mingid subjektiivsed hinnangud saab anda siiski. Ehk siis riskianalüüs võiks anda tulemi, mille põhjal infoturbe kulutusi planeerida.

Kolmas meetod on vähem tuntud, aga samas oluline. See on ajapõhine turve.

Küberründed toimuvad alati mitmes etapis. Selle selgituseks on välja töötatud tapuahela mudel.

Kõigepealt eelneb eeltegevus, kus ründaja kogub teavet kokku. Nt uuritakse töötajate kohta infot, skaneeritakse võrku, otsitakse turvanõrkusi, mille põhjal mõeldakse ründestrateegia välja. Seejärel kasutatakse turvanõrkust või sotsiaalmanipulatsiooni ära. Nt saadetakse töötajale õngitsuskiri, millele töötaja klikib ja mille tulemusel pääsetakse ettevõttesse sisse. Siit juba edasi võetaksegi süsteemid üle, luuakse juhtkanalid, kust kaudu saab tegutseda. Siis hakatakse tegema külgliikumist, kaardistatakse infovarasid, võrke, püütakse saada suuremaid kasutajaõigusi. Lõpufaasis lastakse ettevõttesse sageli lunavara lahti ja äriandmed kopeeritakse ettevõttest välja. Kõik see võtab aega – nädalaid või isegi kuid ehk siis ajamõõde on siin ilmselge.

Miks on ajamõõde siinkohal oluline? Sest küberrünnaku puhul võrdub aeg alati rahaga. Mida rohkem aega ründeks kulub (mida lähemale jõuab ründaja eesmärgini), seda suurem on tavaliselt kahju ja sellega kaasnev rahakulu.

Ajapõhisest turbest lähtudes on võimalik turbemeetmeid paremini planeerida. Siinkohal võib turbemeetmed jaotada kolmeks – ennetavad, tuvastavad, parandavad.

Siin on üks võimalik näide, kuidas nimetatud meetmed jaotuvad:

Igale meetmete komplektile saab omistada ajalise väärtuse, kaua nad kaitset pakuvad. Kahjuks sageli eeldatakse, et ennetavad meetmed pakuvad kaitset igavesti, mis pole sageli tõsi. Reaalsus on see, et sageli on ennetavate meetmete ajaline väärtus 0 (nt tulemüür ei kaitse, sest müüris on turvanõrkus ja sealt kaudu saadakse lihtsa vaevaga ettevõttesse sisse). Kui ennetavate meetmete väärtus on null, siis peame lootma teistele meetmetele (tuvastavad ja parandavad). Kui tuvastamine ja reageerimine on efektiivsemad, siis ei pea kaitsmiseks tegema nii suuri investeeringuid. Lisaks saame teha ka kasutajate elu mugavamaks, ei pea panema nii palju tõkkeid produktiivsusele. Sageli on investeeringute puhul probleem, et raha pannakse liiga palju ennetavatesse meetmetesse ja unustatakse ära, et rakendatud peavad olema ka tuvastatavad ja parandavad meetmed – rakendatud meetmete vahel peab valitsema tasakaal.

Ajapõhine lähenemine on seega huvitav viis, kuidas infoturvet rakendada ja tagada, et investeeringud oleksid õigetesse kohtadesse tehtud ja meetmete vahel valitseks tasakaal.

Küsi lisa. Oleme alati valmis konsultatsiooniks.

Kuidas saame Sulle abiks olla? (OIXIO Cyber)

Võta ühendust, kui soovid suhelda eksperdiga.

* tähistatud väljad on kohustuslikud

Nimi*
Kirjutage meile, kui teil on küsimus või soovite suhelda eksperdiga.
This field is for validation purposes and should be left unchanged.