Tele2 Eesti IT turvaspetsialisti Triin Palts

Internetis peituvad ohud ei varitse mitte ainult tavainimesi, vaid ka ettevõtteid, kes võivad pettuste või rünnakute läbi kaotada oma vara ja klientide andmeid. Eriti suur oht kimbutab seejuures väikese ja keskmise suurusega ärisid.

Riigi Infosüsteemi Ameti (RIA) ja Statistikaameti korraldatud uuringust selgub, et Eesti väikese ja keskmise suurusega ettevõtted (VKE-d) pööravad küberturvalisusele oluliselt vähem tähelepanu kui suurfirmad ning võivad seetõttu langeda kergemini ka küberrünnete ohvriks. VKE-de juhid peavad küberturvalisuse teemat küll oluliseks, kuid see ei ole nende jaoks esmatähtis.

“Kahjuks hakatakse küberturbesse panustama sageli alles siis, kui päriselt midagi juhtub. Paljude ettevõtjate teadlikkus küberruumis levivate ohtude kohta on paraku madal. Samuti ei teata, millised on küberrünnakute kahjud või intsidentide juhtumise tõenäosus,” ütles RIA analüüsi- ja ennetusosakonna juht Märt Hiietamm.

Kõige sagedamini puutuvad ettevõtted kokku andmete õngitsustega, BEC-skeemi ehk arvepettusega, veebilehtede ülevõtmisega, teenustõkestus- ja lunavararünnakutega. Hiietamm toob näiteks eelmisel suvel toimunud juhtumi, kus sõidukite müügiga tegelev Eesti ettevõte langes BEC-skeemi ohvriks. “Ettevõte suhtles meili teel enda koostööpartneriga ega märganud, kui ühel hetkel võtsid kirjavahetuse üle hoopis kurjategijad. Firma sai äripartneri kaaperdatud meilikontolt võltsitud arve ning tasus selle. Alles hiljem saadi pihta, et makse tehti petiste kontole – kahjusummaks ligi 30 000 eurot,” ütles ta.

Tele2 Eesti IT turvaspetsialisti Triin Paltsi sõnul muutub küberturvalisus ajas aina olulisemaks, sest iga uus tehnoloogia annab samaaegselt uue tööriista kurjategijatele. “Näiteks kasutavad petturid tehisintellekti, et jõuda massiliselt veelgi rohkemate ohvriteni,” ütles ta.

“Suurtel organisatsioonidel on vahendid ja teadmised, et prioriseerida küberturvalisust ja teha vastavaid investeeringuid. Ühelt poolt sunnivad kaitsesse investeerima erinevad regulatsioonid ja teisalt motiveerib ettevõtteid riski ja tulu suhe, sest mida suurem on ettevõte, seda ulatuslikum on rünnaku korral tekkiv kahju. Suurtest jäävad aga maha väiksemad ja keskmise suurusega ettevõtted, kelle jaoks tundub investeering küberturvalisusesse liialt suure kuluna. Seetõttu oleme Tele2-s lisanud ärikliendi paketti Bitdefenderi viirusetõrje, mis on üks parimaid kaitseid viiruste, õngitsuslinkide ja pahavara rünnakute vastu,” ütles Palts.

Palts rõhutab, et lisaks viirusetõrjele tuleks regulaarselt uuendada arvutite tarkvara, et leida ja parandada turvanõrkuseid. “Lisaks tuleks harida ettevõtte töötajaid küberhügieenist, varitsevatest ohtudest ja võimalikest tagajärgedest.

Hiietamm lisas, et väikese ja keskmise suurusega ettevõtted saavad taotleda ka RIA ning EASi ja Kredexi Ühendasutuse koostöös loodud küberturvalisuse kaardistamise ja arendamise toetust, mille suurus on ühe ettevõtte kohta kuni 60 000 eurot “Toetuse abil saavad ettevõtjad välise nõustaja kaasabil selgitada välja oma IT süsteemide küberturvalisuse taseme ja teha vajalikke arendusi selle tõstmiseks, et kaitsta ennast küberrünnakute ja nendega kaasnevate majanduslike kahjude vastu.“

RIA soovitused ettevõttele küberriskide maandamiseks

Selleks, et end küberohtude eest kaitsta, saab järgida kindlaid ettevaatusabinõusid. Nende kohta saab lähemalt lugeda mullu valminud RIA ettevõtte küberturvalisuse lühijuhendist:

1. Tea, mis riistvara ja tarkvara kasutad (inventuur) –vaja on selgelt ülevaadet süsteemidest ja jälgida sisevõrkudes toimuvat, ainult nii saad kaardistada oma kaitsevajadused.

2. Kaitse oma vara – halda uuendusi, paika haavatavusi, kasuta tulemüüre/viirusekaitset jne

3. Kaitse oma töötajaid – loo turvaline paroolipoliitika, kasuta mitmikautentimist

4. Õpi ära tundma rünnakuid – suurenda töötajate teadlikkust, koolita töötajaid ning kontrolli regulaarselt töötajate teadmisi

5. Õpi taastama – loo taasteplaan, taga varunduse toimimine ja kontroll ning tee proovitaastamisi

6. Kaitse kaubamärki – teadvusta ohtusid, kaitse (sotsiaalmeedia) kontosid, vaata üle meiliserverite turvaprotokollid jne

Viimaseks peaks töötajatel olema une pealt teada, kuhu pöörduda vähimagi kahtluse korral. Pane paika protseduurid, kuidas käituda, kui töötaja saab näiteks lihtlabase õngitsusmeili või täheldab mõnda kahtlast muutust ettevõtte süsteemides– anna märku CERT-EEle (cert@cert.ee).

Artikkel avaldati esmalt 9. veebruaril Postimehes.