Pangad on ühed kõige paremini kaitstud asutused (sestap panga nime siin artiklis ei nimetata), miks neile on vaja küberturbeauditit, kui kõik on niigi kontrollitud? Auditist oli siiski kasu, näitas ligi pool aastat kestnud protsess, mille viisid läbi OIXIO juhtivaudiitor Livio Nimmer ning projektijuht Berta Kullerkupp.
Muidugi ei selgunud hästi turvatud pangasüsteeme uurides mõni kriitiline turvaauk, mis on aga mõnikord üsna tavaline tavalistes ettevõtetes. Kuid asju, millele edaspidi rohkem tähelepanu juhtida või kus turvalisust tõsta, tuleb välja ka pangale auditit tehes.
Mida arvas klient?
Panga siseauditi juht pidas kogemuse põhjal küberauditit igati soovitatavaks, isegi kui otseselt ükski suur probleem kuskilt vastu ei karju.
Panga eksperdid osalesid planeerimise protsessis, pakkudes teadmisi oma valdkonna erinõuete kohta, OIXIO meeskond aga hindas põhjalikult ettevõtte süsteeme väljaspool traditsiooniliste paberil tehtavate auditite ulatust, mis tundus pangale oluline, sest nii testiti ka reaalseid süsteeme, mitte ainult vastavust dokumentatsioonile.
Panga siseauditi juhi sõnul on vaatamata väga tugevatele küberohutuse kontrollidele võimalik, et süsteemides võivad ikkagi mõned potentsiaalsed riskid jääda märkamatuks. Sõltumatu kolmanda osapoole kaasamine, kelleks seekord oli OIXIO, võib neid riske vähendada.
“Saime põhjaliku hinnangu, mis andis meile praktilisi soovitusi küberturvalisuse juhtimise tugevdamiseks,” võtab siseauditi juht kokku põhilise kasu, mis auditist saadi.
Ebatavaline kogemus
Livio Nimmeri sõnul oli panga auditeerimine OIXIO jaoks uus kogemus, mis andis ka auditi tegijale värskeid teadmisi.
“Tavalistel ettevõtetel on turvalisusega enamasti kehvem seis,” lisab juhtivaudiitor, viidates sellele, et tavaliselt leitakse rohkem probleeme ja puudusi, kui seekord.
“Üldiselt oligi kõik hästi,” võtab ta kokku, “aga leidsime ka asju, mis neil endal olid kahe silma vahele jäänud.”
“Alguses oli pank kasutanud erinevaid teenuseid turvalisuse hindamiseks, kuid taheti siiski senisest palju põhjalikumalt kõik üle vaadata,” räägib projektijuht Berta Kullerkupp, miks klient otsustas OIXIOlt küberturvaauditi teenuse tellida.
“Meie eripära ongi see, et vaatame kõik läbi väga tehniliselt, mitte ainult dokumentide põhjal. Kontrollime süsteemide tegelikku olukorda ka,” täiendab Livio Nimmer. Tema sõnul võib nii keerulise taristu puhul mõni pisiasi ettevõttel endal paratamatult kahe silma vahele jääda.
Kui näiteks mõne tööstusettevõtte puhul on vaja väga spetsiifilisi tööriistu, siis pangal olid enamik kasutatavaid lahendusi sellised, et neid sai tavaliselt uurida standardsete turvaauditi tööriistade ja raamistikega. Siiski on ka neil kasutusel üsna keerukaid süsteeme, mis vajavad erilist tähelepanu.
Meil on kontrollimiseks valmis ehitatud oma auditi ja küberturbe olukorra hindamise metoodika, mis põhineb Center of Internet Security raamistikul, mida OIXIO spetsialistid on täiendanud oma kogemustest ning teistest raamistikest lähtuvalt. Tehniliste kontrollide raamistik aga sõltub konkreetsest kliendist.
Oluline on teada, et kõik ongi hästi
Väga põrutavaid turvaauke mõistagi panga süsteemidest välja ei tulnud, kuid mõnikord on oluline teadmine seegi, et kõik on hästi. Auditi tegijate jaoks oli seekord erakordne, et positiivseid leide oli rohkem kui negatiivseid, pigem oli vaja tähelepanu juhtida vaid üksikutele väiksematele tehnilistele detailidele.
Mida siis leiti?
Ehkki väga detailidesse panga turvalisuse teemadel minna ei saa, võib öelda, et leiti siiski mõned tavalised parandamist vajavad asjad. Näiteks ründeala oleks paljudes kohtades võimalik vähendada, samuti võiks kitsendada ligipääsu õigusi.
Terviklikus tehnoloogiaraamistikus olid mõned vähemtähtsad augud, need soovitati parandada mõnede uuemate tehnoloogiate juurutamisega, et veelgi parendada süsteemides toimuva nähtavust.
Kui üsna tihti soovitatakse ettevõttel tegeleda tõsisemalt töötajate koolitusega, et nad oma ettevõtte turvaohtudest teadlikud oleksid ning rünnakutele kogemata kaasa ei aitaks, siis pank oli inimesi väga hästi välja õpetanud ning selles osas polnud auditis midagi ette heita.
Sissemurdmise asemel simulatsioon
Ehkki mõnikord käib turvaauditi juurde ka süsteemide katsetamine reaalsete sissemurdmise katsetega, siis sel korral panka reaalselt ei häkitud, sest see polnud antud auditi eesmärgiks.
Pangal on väga palju väljast tellitud IT-lahendusi ning muidugi käivad ka need turvaauditi alla, sest võivad muidu vettpidavasse süsteemi üleliigseid auke tekitada. OIXIO auditeeris ka kliendi partnerite tööd, mis annab alati ettevõtte juhtkonnalele hea võimaluse kontrollida oma IT-partnerite tööd kolmanda osapoole kaudu.
Livio Nimmeri sõnul tuleb seepeale tihti välja, et firma juhtkond arvab, justkui IT-partner tegeleb ka turvalisusega, aga kui lepingus pole infoturvet sees, siis võib pall nii-öelda maha kukkuda ja osade asjadega ei tegele keegi.
Kolmanda poole audit aitab selle aga selgelt välja tuua. Infoteenuse pakkuja ei tegele infoturbega tavaliselt vaikimisi, see peab olema lepingus eraldi välja toodud ning OIXIO küberturbe audit uurib selle välja. Pangal siiski sellega probleeme polnud.
Mis saab edasi?
Kuna auditeerimiskohustus on pangal iga-aastaselt, siis loodetavasti koostöö jätkub. Kui pank teeb oma taristus suuremaid muutusi, siis tuleb samuti küberturvalisus üle vaadata.
Audit võttis aega pool aastat, kuid tavaliselt see ei pruugi nii pikalt kesta. Vahepeale jäi puhkuste hooaeg ning kuna oli palju osapooli, kellega kooskõlastada, siis taoline audit võttiski kauem aega.
Enamasti võib aga küberturbe audit keskmise ettevõtte jaoks juba paari nädalaga valmis saada.
Millised on suurimad ohud, millega silmitsi seistakse?
Üks kõige olulisematest ohtudest on Livio Nimmeri sõnul tavaliselt see, kui ettevõtte IT-süsteemid on Internetti liiga palju avatud. Kui süsteemid paistavad välisvõrku, siis saab ära kasutada erinevaid nõrkusi, mis on juba avastatud.
OIXIO küberturbeaudit sisaldab ka ründeala kaardistamist ehk seda, milline on ettevõtte jalajälg Internetis ning mida leiab avalikest allikatest näiteks see, kes plaanib rünnakut. Info kogumine annab tavaliselt teada, millised kontod ja andmed on lekkinud, otsida saab tumeveebi lekkinud ja sinna müüki pandud infot.
Õngitsuskirjad on populaarne viis ettevõtte süsteemidesse sisse pääsemiseks. E-posti lahendusi saab selle vastu seadistada, vältides vaikeseadeid. Viirusetõrje lahendused kipuvad tavaliselt kasutuses olema vaikimisi seadistustega, kuid uute ohtude jaoks peaks neid häälestama ning vältima seda, et ründaja saab neid lihtsalt välja lülitada.
Sisevõrkude segmenteerimine on veel üks levinud viga: see nimelt jäetakse tegemata, mis tähendab, et kui ründaja kätte langeb võrgu üks osa, kukuvad doominokividena järjest ka kõik teised osad. Selle vea pärast on näiteks lunavararünnakud väga levinud, sest korraga saadakse ligi kõigile olulistele andmetele.
Administraatori õigusi kasutatakse samuti liiga palju, neid võiks jagada tõesti vaid asjasse puutuvatele IT-meeskonna liikmetele, kuid hullemal juhul on selliste õigustega isegi mõni tavakasutaja konto.
Miks kulutada raha auditile, kui kõik tundub korras?
Kui kõik tundub korras olevat ja midagi pole juhtunud, siis miks üldse kulutada küberturbeauditile?
Tegemist on kindlustuse laadse teenusega, mis püüabki ära hoida võimalikke suuri kahjusid. Kui oled end kindlustanud küberohtude vastu, siis on auditi kulu suhteliselt mõistlik võrreldes nende kahjudega, mis tabavad klienti siis, kui toimub suurem küberintsident. Lisaks suurele mainekahjule võib tõsisem küber-õnnetus koguni firma eksistentsile saatuslikuks saada.
Küberturbe audit annab ka siis, kui pealtnäha kõik näib korras, väga hea ülevaate sellest, kuidas parandada senist olukorda veelgi ning milline on kogu IT-taristu seis, et seda edasi arendada.
Küberturbeauditi ja arenguplaani kohta loe rohkem siit
Küsi lisa, kui vajad abi
Kuidas saame Sulle abiks olla? (OIXIO Cyber)
Võta ühendust, kui soovid suhelda eksperdiga.
* tähistatud väljad on kohustuslikud