Mai Kraft: miks Elisa oma töötajaid küberrünnakutega pommitab? (1)
2. aprill 2023, 11:24
Töötajate küberturbealase teadlikkuse tõstmine võib esmapilgul tunduda lihtsa ülesandena, kuid nõuab reaalsuses korralikku ettevalmistust, planeerimist, taustatööd, vajalike struktuuride loomist ning üle kõige järjepidevust. On küll lihtne viia esimesel tööpäeval läbi koolitus, või saata aeg-ajalt inimeste kirjakastidesse meeldetuletus parimate praktikate kohta, kuid reaalseid tulemusi sellega ei saavuta, räägib arvamusloos Elisa infoturbejuht Mai Kraft.
Õngitsuskirjadest, pahavarast ja muudest hirmsatest asjadest on tänaseks suure tõenäosusega kuulnud enamused veidigi tehniliselt taiplikud inimesed, kuid millestki kuulmine ja millestki aru saamine on kaks erinevat maailma. Sestap võib küll üritada küberturvalisust taga ajada pelgalt läbi koolituste ja meeldetuletuste, kuid kõige paremini on võimalik õppida läbi oma õnnestumiste ning oma põrumiste – seda nii töötajatel endil, kui ka päriselt turvalisuse eest vastutavatel osapooltel.
Täna on enamike organisatsioonide puhul üheks levinuimaks ja tüütumaks küberprobleemiks õngitsuskirjad, mis üritavad panna töötajaid klikkima tundmatutele linkidele või laadima alla tundmatuid faile. See on tee päriselt väärtusliku varani ning kui töötajaskond ei püsi valvel, on lihtne sattuda olukorda, kus ühe inimese eksimus paneb ohtu kogu firma. Taustsüsteemid küll teevad oma kaitsetööd, aga nalja pärast endale põlve tulistada ei maksa. Pigem on mõistlik tagada, et inimesed päriselt mõistaks selliste rünnakute sisu, ohte ja oodatud õiget käitumist.
Kuidas seda aga teha? Vii rünnakud ise läbi!
Töötajad saab õngitsuskirjadesse (ja teistesse ründetüüpidesse) tõsisemalt suhtuma panna peamiselt kahel viisil: läbi koolitamise ehk turvateadlikkuse otsese tõstmise teel ning läbi simuleeritud rünnakute ehk praktika. Kuigi koolitused on põhitõdede mõistmiseks olulised, võib nende reaalse kasuteguri mõõtmine raske olla. Sestap võivad päriselt mõõdetavate tulemuste ning ohtude olemuse reaalseks muutmisel kasuks tulla simuleeritud rünnakud ehk «reaalsete» õngitsuskirjade saatmine enda töötajatele.
Simuleeritud rünnaku näol on tegu justkui täiesti tavalise petukirjaga, mille läkitab saajani pahalase asemel ettevõte ise. Töötajad sellise testi läbi viimisest ei tea ning selle eesmärk on näha, kuidas inimesed ohuolukorrale reageerivad, kuidas paika pandud protsessid töötavad ning mis on need teemad, mida tuleks koolituste käigus veel üle rõhutada. Koolitus on koolitus, rünnak on eksam. Elisas oleme tänaseks sellist praktikat järginud aastaid ning jõudnud punkti, kus 70% töötajatest teavitavad saadud õngitsuskirjadest õigeid inimesi.
Saja protsendini on veel jupp maad minna, kuid võib täiesti kindel olla, et teemat kordagi puudutanud ettevõttes jääb sama protsent suure tõenäosusega ühekohaliste numbrite juurde. Niisamuti näitavad tulemused selgelt, miks on oluline, et koolituste ja praktika pool teineteisega ühte jalga käiks. Üks poolt on see, et inimesed ei kliki veidratele linkidele, teine pool aga see, kuidas info selliste ohtude esinemise kohta üldse kuhugi jõuab – kuhu tuleb sellistest juhtudest teada anda, kuidas seda teha ning mis kanaleid kasutada.
Sellest, mis juhtub siis, kui koolituste ning praktika pool ei suuda teineteist piisavalt toetada, on õpetlik näide see, mis juhtus meie esimese simuleeritud rünnaku puhul. Kui asjad algasid halvasti juba sellega, et kõik töötajad said ühe õngitsuskirja asemel neid kuus – õppetund, et testi oma süsteeme korralikult – siis eriliselt nõrga koha tõi välja see, mis juhtus pärast kirjamassiivi postkastidesse jõudmist.
Kui töötajad ei tea täpselt, mis protsesse järgida kahtlaste olude ilmnemisel, loovad nad enda omad. Kõik on koolitustelt kuulnud, et probleemidest tuleb teada anda, aga kuidas? Sada sõnumit Teamsi, sajad kirja meili teel, kõned ja veel kõik muud võimalikud suhtlusviisid. Hetkel oli tegu simuleeritud olukorraga, kuid kui sama asi juhtuks reaalse laiapõhjalise rünnaku puhul, halvaks see küberturbeinimeste võimekuse päriselt muredega tegeleda. Seega tasub koolituste ja simulatsioonide planeerimise kõrval kirja panna ka õiged protsessid, neid viimsepäevani korrata ja simulatsioonide toel hinnata, kui hästi on sõnum kohale jõudnud.
Koolita, testi, mõõda
Küberturvalisuse tagamine algab esimesest tööpäevast ja lõppeb töölepingu viimasel minutil. Lisaks kõiki töötajaid hõlmavatele koolitustele peaks ettevõtted kindlasti looma ka üldise turvakoolituse uutele töötajatele, kus kaetakse ära üldisemad teemad. Kui mõni välise teenusepakkuja turvakoolitus keskendub tavaliselt ühele kindlale teemale, siis uute töötajate turvabriif võiks hõlmata ettevõtte enda seisukohast lähtuvalt kõige olulisemaid aspekte ja küsimusi – kuidas ettevõtte andmeid kaitsma peab, millised on organisatsiooni turvareeglid ning kuidas toimub intsidentide korral suhtlus.
Asjad ei saa aga kunagi piirduda vaid esimese tööpäeva infotunniga. Põhitõdesid ja uusi esile kerkivaid ohte tuleb pidevalt selgitada, viia läbi uusi koolitusi ning senise pingutuse edukust tasub endale sobival viisil mõõta. Olgu selleks vahendiks testrünnakud, küsitlused, eksamid, või sootuks midagi muud. Sa ei saa ennast kaitsta nõrkuste eest, millest sa ei tea.
Mõistagi ei piirdu küberturvalisus ainult õngitsuskirjadega ning turvakoolituste käigus räägitakse reeglina erinevatest juhtumitest ja võimalustest, kuidas ettevõtte inimesi ära võidakse kasutada. Tasub aga hinnata, mis ohud on sinu töötajate puhul kõige suurema riskifaktoriga ning kui ressursid on piiratud, panna põhiaur neile. Mida rohkem ära saad teha, seda parem, kuid algseisu täpne mõistmine ja selge plaan aitavad vähemalt suurimad mured tempokalt tagasi õigele rajale juhatada.