Samamoodi võivad erineda ka vaated andmekaitsele. Juristide jaoks on andmekaitse eelkõige juriidiline distsipliin; audiitorite jaoks on see nõuetele vastamise küsimus; küberturvajale meenub aga kohe riskide haldamine ja turvameetmete rakendamine.
Mina kardan, et väikesed ja keskmise suurusega ettevõtted tajuvad andmekaitset peamiselt kulude ja murede allikana.
Olles juba veerand sajandit tegelenud sellistele ettevõtetele internetitehnoloogiate kasutuselevõtu võimaldamisega, soovin siiski edastada positiivset sõnumit, et andmekaitse küberturvalisuse aspektidega seotud riskide maandamine ei pruugi olla nii hirmutav ja kallis, kui see esmapilgul tunduda võib. Õige lähenemise korral võib märkimisväärse tulemuse saavutada oluliste lisakuludeta.
Oma sõnumile autoriteedi lisamiseks toetun "hiiglaste õlgadele". Eesti Riiklik Küberturvalisuse Keskus (NCSC-EE), USA Küberturbe- ja Infrastruktuuriturbeamet (CISA) ja teised äärmiselt pädevad institutsioonid on nimelt avaldanud juhendi nimega „Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society“. 1
Paljudes riikides võivad piiratud ressursid tunduda peamiselt kodanikuühiskonna probleemina, kuid ma arvan, et siin Eestis puudutab see mure enamikku ühiskonnast. Ka selle artikli kirjutamise ajal toimub meedias terav diskussioon rahaliste vahendite nappuse mõju üle meie riigi kaitsevõimele.
Seepärast lubage mul esitleda eespool viidatud dokumendi peamiseid soovitusi, illustreerimaks, et ka lihtsalt parimate tavade järgimise abil võib palju saavutada. Lisan neile ka omapoolseid kommentaare selle kohta, kuidas neid konkreetselt veebiturvalisuse vaatenurgast rakendada.
Esimene soovitus on absoluutne klassika, mis on enamusele tuttav.
1. Hoidke tarkvara oma seadmetes ja IT-infrastruktuuris ajakohasena.
Tarkvarauuenduste rakendamine nende kättesaadavaks muutumisel parandab enamasti kõik aktuaalsed ja tarkvara autorile teada olevad turvaaugud ning on iga vastutustundliku riskide maandamise aluseks.
Veebimajutajana tahaksin rõhutada, et on äärmiselt oluline meeles pidada, et sama kehtib ka veebirakenduste kohta.
Vastavalt iga-aastasele Verizoni aruandele 2 on ligikaudu 20% andmeleketeni viinud ründevektoritest seotud veebirakendustes peituvate nõrkustega.
Paljud veebimajutuse pakkujad pakuvad automatiseeritud rakenduste paigaldamise ja uuendamise vahendeid, et muuta seda kliendi jaoks lihtsamaks. Need tööriistad on tavaliselt tasuta, sest ka teenusepakkujad on teie turvalisuse tasemest huvitatud. Uurige neilt, kas selline võimalus on saadaval, ja kui see on olemas, siis palun võtke see funktsioon kasutusele.
Kui te ei saa loota selle peale, et teie hostinguteenuse pakkuja rakendusi teie eest uuendaks, veenduge, et teil oleks olemas muud võimalused rakenduse regulaarseks uuendamiseks.
Aegunud veebirakendus põhjustab lõpuks turvaintsidendi.
2. Võtke kasutusele andmepüügikindel mitmefaktoriline autentimine (MFA). MFA raskendab kasutajate kontode kompromiteerimist ja lihtsustab sageli kasutajate sisselogimist.
Eespool mainitud Verizoni andmelekete aruanne andis ühtlasi teada, et üle 40% intsidendini viinud ründevektoritest on seotud veebirakenduste kasutajatunnuste lekkimisega, mis muudab ka selle soovituse meie valdkonna inimeste vaatevinklist äärmiselt asjakohaseks.
Lisan omalt poolt, et veebimajutuse pakkuja juhtpaneelile juurdepääsu kaitsmine kahefaktorilise autentimisega on andmekaitse seisukohalt kõige olulisem asi, mida teha saate. Need on teie "kuningriigi võtmed" – kui juurdepääs juhtpaneelile on kompromiteeritud, võib sihikindel ründaja sisuliselt ükskõik mida saavutada.
Eestis on ettevõtjad ja ettevõtted väga privilegeeritud, sest meil on hästi arenenud riigi (ID-kaart, mobiil-ID) ja erasektori (Smart-ID) toel ülal peetav avalike võtmete haldamise infrastruktuur, mis loob suurepärase vundamendi mitme faktoriga autentimise kasutamiseks.
Ja mis kõige parem: see on kasutajatele tasuta, sest arveid tasuvad teenusepakkujad nagu meie.
3. Auditeerige kontosid ja keelake kasutamata ja mittevajalikud kontod. Lülitage välja lahkuvate töötajate juurdepääsud organisatsiooni ressurssidele.
Loomulikult on see suurepärane soovitus, kuid ma astun siinkohal siiski sammu tagasi ja näitan ka hostinguteenuse pakkuja vaatenurka.
Meie kliendid kipuvad enamasti üldse unustama individuaalsete kasutajanimede ja juurdepääsutunnuste vajaduse või võimaluse ning kasutavad ühte ja sama kasutajakontot nii oma turundajate, IT-töötajate kui ka tarkvaraarendajate jaoks – olgu nad siis oma ettevõttes sees või sellest väljas.
See muudab võimaliku intsidendi korral ründevektori seostamise töötaja või partneriga ja esialgse haavatavuse kindlakstegemise keerulisemaks, kui see olla võiks. Soovitan võimalusel luua personaalseid juhtpaneeli kasutajaid ja seejärel kasutada delegeerimismehhanisme neile vajalike juurdepääsude andmiseks.
Kui me aga juba ressursside ülevaatamisest räägime, soovitan teil regulaarselt üle vaadata kõik oma veebiserveris asuvad kasutamata või mittevajalikud veebirakendused või failid.
Te ei usuks, kui palju andmelekkeid on seotud alamdomeenide või kaustadega, mille nimed on "vana" ja "test". Enamasti on nendes peidus uuendamata rakendused, millel on seetõttu juba teada olevad nõrgad kohad. Isegi kui neile rakendustele on turvameetmeid rakendatud, on nood juba moraalselt ja tehnoloogiliselt aegunud. Tihti ei teagi organisatsioonis enam keegi selliste rakenduste ja nendes peituvate andmete olemasolust.
Samasse kategooriasse kuuluvad aastate jooksul toimunud kolimised, käsitsi tehtud varukoopiad või migratsioonidest järele jäänud failid, mis on serverisse unustatud ja vahel lausa avaliku veebi kaudu ligipääsetavad. Internet on paksult täis skännereid, mis otsivad veebilehtedelt faile backup.zip, backup.sql, index.php.bak jne, sest "põld", mida nad künnavad, kannab neile pidevalt vilja.
Enamik meie nähtud andmelekkeid ongi tingitud juhuslikest rünnakutest, mitte kurjade geeniuste hoolikalt planeeritud sissemurdmistest, ning sellise riski vähendamiseks on vaja näha vaid veidi vaeva.
Kokkuvõttes olid need vaid mõned näited paljudest eespool nimetatud dokumendis Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society 3 esitatud aktuaalsetest soovitustest, mille rakendamine ei ole kulukas, kuid mille järgimine muudab internetitehnoloogiate kasutuselevõtu turvalisemaks. Soovitan soojalt heita pilk peale ka ülejäänutele!
Autor: Ardi Jürgens, Zone.ee juhatuse liige
Artikkel on valminud koostöös Andmekaitse Inspektsiooniga
1Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society.
2Verizon Data Breach Investigations Report.
3Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society.