Katse: mis juhtub, kui ise oma töötajaid küberrünnakutega pommitada?
/nginx/o/2023/04/25/15280430t1he171.jpg)
25. aprill 2023, 15:31
/nginx/o/2022/03/07/14413565t1h15eb.jpg)
Täna pööravad paljud ettevõtted tähelepanu sellele, et uutele kolleegidele küberturvalisuse põhiprintsiibid selgeks teha ja igapäevaseid tegevusi selgete reeglite ja tehniliste lahendustega turvalisemaks muuta, kuid ainult sellest enam ei piisa, kirjutab Elisa infoturbejuht Mai Kraft.
Töötajad on ettevõttes küberturvalisuse vaates alati eesliinil ning nende tegevusest sõltub, kui hästi on kaitstud nii ettevõte ise kui ka selle kliendid.
Aja jooksul valvsus paratamatult langeb. Vahetult pärast ohtude tutvustamist suudavad tähelepanelikuna püsida kõik, kuid mida päev edasi, seda kaugemana ohud tunduvad. Just see näiline turvatunne on aga see, mille toel suudavad tänaseni õngitsuskirjad ja teised üsnagi lihtlabased rünnakud suurt kahju valmistada. See aga ei tähenda, et see oleks probleem, mida lahendada ei saa.
Turvakoolitused, töötoad ja pidevalt kõige olulisemate ohtude meeldetuletamine on valvsuse ülalhoidmiseks kriitilise tähtsusega, kuid neist üksi piisata ei pruugi. Pidev harimine on justkui koolis käimine, kuid ilma eksamiteta on raske mõista, kas seniräägitust ka midagi päriselt kohale jõudnud on. Selleks, et senise töö edu hinnata ja murekohad üles leida, tasub oma inimesed proovile panna – neid ise kontrollitud keskkonnas küberrünnates.
Sina oled pahalane
Elisas oleme oma töötajaid simuleeritud rünnakutega testinud juba mõnda aega ning tulemused on selgelt nähtavad. Tänaseks oleme jõudnud punkti, kus 70 protsenti töötajatest teavitavad õigete kanalite kaudu postkasti jõudnud petukirjast, kuid sellesse punkti jõudmine on olnud omaette väljakutseid täis tee. Heaks näiteks kohatud raskustest on meie esimene katse simuleeritud rünnakud päriselt käiku panna.
Simuleeritud rünnaku eesmärgiks on olla tavapärasest ründeviisist eristamatu. See on justkui iga teine postkasti sattuv petukiri, millega soovime näha, kas töötaja klikib ««pahavaraga» nakatunud lingile, või teavitab sellest õigeid kanaleid pidi vastutavaid osapooli. Kui tänaseks seda juba suuresti tehakse, siis esimene katse näitas selgelt, et ruumi paranemiseks on kõigil – nii töötajatel reeglite järgimisel kui ka turvatiimil endal inimeste harimise ja rünnakute läbiviimisega.
Esimene simuleeritud rünnak algas juba halvasti. Kirjade väljasaatmiseks kasutatud süsteem hangus ning soovitud ühe kirja asemel jõudis töötajateni kuus identset petukirja. Oli selle taga vaid süsteemi enda viperus, või aeglusest tulenevast frustratsioonist korduvalt «saada» nupu vajutamine, jäägu praegu mõistatuseks. Kuigi võiks arvata, et kuus veidrat kirja on piisav, et punased lipud tõsta ja inimesed linke mitte vajutama panna, siis kahjuks see nii polnud.
Petukiri jäljendas klassikalist kasutajatoe meili, kus paluti inimestel lingile vajutada ja tarkvara uuendada. Lingile klikkis kirjalaviinist hoolimata nii suur hulk inimesi, et testi jaoks loodud maandumisleht, mis pidi kuvama sõnumit «Palju õnne, oled võitnud infoturbe koolituse», koormati üle ja joosti pikali. See tähendab, et tänaseni puudub meil täpne ülevaade, kui suur hulk kirjade saajatest lõpuks lingile vajutas. Küll aga saab üheselt väita, et tulemused üllatasid pigem negatiivses valguses.
Meeletult parem polnud pilt ka juhtudel, kus töötajad otsustasid lingile mitte vajutada. Reeglid näevad ette, et petukirjadest tuleb kindlaid kanaleid pidi turvatiimile teada anda, kuid suure kirjalaviini valguses need põhimõtted ununesid. Teavitusi tuli kõnede teel, meilitsi, Teamsi kaudu ja kõiki muid võimalikke pidi. Testi ajal oli see üleelatav, reaalse massiline rünnaku puhul oleks aga risti-rästi igas kanalis teavitamine küberturbetiimi ja IT-kasutajatoe töö halvanud.
Aga igas põrumises on midagi positiivset. Esimene test näitas isegi kõigi viltuvedamistega selgelt kätte, mis on hästi ja mis on halvasti. Oli selgelt näha, et õigetele teavituskanalitele rõhumine on jätkuvalt oluline, pettuste äratundmiseks on vaja teha veel üksjagu tööd ning testide läbiviimises on arenguruumi kõvasti. Kui simuleeritud rünnakut toimunud poleks, siis poleks seda infot meil kuskilt võtta.
Ei saa ka jätta märkimata, et tänu veidi ebaõnnestunud katsele said paljud töötajad teadlikumaks selles suhtes, millised õngitsuskirjad päriselt välja näevad ja kuidas neist teadaandmine tegelikult töötama peaks.
Täna kasutame simuleeritud rünnakute läbiviimiseks automaatset süsteemi, kus uus õngitsuskiri jõuab postkasti iga 7–14 päeva tagant. Kõik töötajad ei saa kirja üheaegselt ning ka kirjade sisu on erinev, tagades nii, et raporteerimine tuleneb päriselt petukirja äratundmisest, mitte lihtsalt sellest, et keegi kolleegidest kohvinurgas seekordse õppuse olemuse välja rääkis.
Praktilised õppused ei pea e-kirjadega piirduma
Kuigi simuleeritud õngitsuskirjad on üks kõige lihtsamaid viise töötajate testimiseks, siis ei tasu võimalusel vaid nendega piirduda. Erinevaid praktilisi teste on palju ning kui ressursse jätkub, siis tasub nendega tegeleda.
Headeks valikuteks on näiteks füüsilise turvalisuse testid, mis võivad hõlmata nii territooriumile «nakatunud» mälupulkade vedelema jätmist ja vaatamist, kas keegi need oma arvutisse pistab, kuni kollase vesti testini välja. Viimase puhul peaks keegi «suvaline» selga panema kollase vesti ja haarama kätte redeli, väitma, et on näiteks suitsuanduri kontrollija ja jalutama sisse serveriruumi või tundlikke andmeid sisaldava tööarvuti poole. Suuresti on füüsiliste testide puhul piiriks fantaasia.
Testida tasub ka turvatiimi ja tänaseks ülesehitatud süsteeme. Näiteks tasuks kontrollida, kui hästi suudavad küberturbemeeskonnad rünnakuid tuvastada ja kuidas pärast «intsidendi» toimumist sellega toime tullakse. Ka siin on ohtralt ruumi fantaasiale, sest pärispahalastel õelatest mõtetest puudust pole. Mida raskem õppustel, seda kergem lahingus.