Küberturve
TURVALISUS JA IT LAHENDUSTE ELUTSüKKEL

Küberturbe olulisusest räägitakse küll üha enam, kuid ka kõige koledamad intsidendid, mis meedia vahendusel avalikkuseni jõuavad, moodustavad tegelikult ainult jäämäe tipu. Küberründed on tugevas ja pidevas kasvutrendis ning on muutunud igapäevaseks osaks IT-süsteemide haldurite aina mahukamast tööst.

Lõppkasutaja vaatenurgast tähendab küberturbe paroolide turvalist kasutamist, kahetasemelist autentimist, baasteadmisi küberhügieenist, tähelepanelikkust oma andmete jagamisel, oskust eristada turvalisi seadmeid ja keskkondi ebaturvalistest jms. Seda on päris palju, kuid kogu turvalisusest moodustab see ainult väga väikse (kuigi samas väga olulise) osa.
Spektri teises otsas on erinevad teenusepakkujad nagu taristulahendustele keskendunud IT-ettevõtted. Sõltuvalt taristupakkujast on nende vastutusala erinev, kuid pilvteenuste puhul vastutavad taristupakkujad lisaks ruumide ja riistvara turbele ka virtualiseerimise kihi, sisemiste võrkude, arvutusvõimsuse tagamise jms turvalisuse eest.
Nende kahe vahele jääb kõige olulisem osa ehk ettevõte, kellele mingi konkreetne IT-teenus „kuulub“. Olgu selleks teenuseks organisatsiooni veebileht, e-posti teenus, e-pood, CRM lahendus, vms. Just tema otsustest sõltub, mis kasu on spektri mõlemas otsas olevate osapoolte turvalisussesse panustamisest.
Kõige parem on olukord just taristu pakkujatel, kuna nemad näevad kõige suuremalt seda pilti ning seetõttu puutuvad igapäevaselt kokku erinevate rünnakute ja muude turvaprobleemidega. Samas on aga sellest tekkinud ka vale arusaam, et kui taristupakkuja panustab palju ja on loonud turvalise keskkonna, siis on kõik korras ja tänu sellele on süsteemid automaatselt turvalised. Tegelikkuses see aga kahjuks nii ei ole, sest misiganes teenuse puhul on vastutus jagatud – taristupakkuja ja ka lõpptarbija saab ainult teatud tasemeni ennast või kasutatavat teenust kaitsta. Nii näiteks ei ole palju kasu turvaliselt käituvast tarbijast, kui e-teenus, mida ta turvaliselt kasutab, ei ole oma IT-süsteeme kaitsnud.

Valearusaamad ja lootused

Iga päev luuakse vähemalt 300 000 uut pahavara (viirused, luna- ja nuhkvarad, troojalased jne), häkitakse 30 000 veebilehte, iga 39 sekundi tagant pannakse toime järjekordne küberrünnak, avastatakse uusi turvaprobleeme juba kasutusele võetud süsteemidest ning ründevektorid muutuvad üha nutikamaks. Sealjuures kulub ühe turvanõrkuse avastamiseks ja parandamiseks keskmiselt 314 päeva – 7 kuud selle leidmiseks ja 4 kuud lappimiseks. Koos nutikamate ründevektoritega automatiseerivad ka ründajad oma tööd üha enam – enamlevinud turvaprobleeme ei kasuta enam ära mitte inimesed, vaid selleks on loodud automaatsed botid mis 24/7 skännivad suurtes kogustes IT-süsteeme ja turvanõrkuse tuvastamisel kasutavad selle kohe ära. Kusjuures tihtilugu ei saa ohver sellest kohe isegi teada, sest värskelt üle võetud süsteem pannakse kas mustal turul müüki, liidetakse suurde botnetti või tehakse mõlemat. Nii ei olegi imestada, et mõni auk jääb aasta(te)ks lappimata.
See mõtlemapanev statistika ei puuduta ainult suuri ja rikkaid firmasid (2019. a oli 47% kõikidest küberrünnetest suunatud väikeettevõtete vastu) ja näitab ainult kasvamise märke. Miks see nii on, kuigi küberturvalisusest räägitakse aina rohkem ja uusi hoiatavaid näiteid tuleb kogu aeg juurde?
Meie kogemuse järgi on üks kõige levinumatest turvaintsidentide põhjustest ekslik arusaam IT-lahenduste elutsüklist. Oleme liiga sageli näinud, et püsti pannakse mingi lahendus või tellitakse arendus ja hetkest, kui see kasutusse võetakse, lõppeb töö. Kuid just see on koht, kus töö turvalisusega peaks alles algama!
Vahel jääb lahenduse elutsükkel toppama teadmatusest, mõnikord soovist kulusid kokku hoida. Viimase puhul jäetakse aga üldjuhul arvestamata need kulud, mis tekivad kõige halvema juhtudes. Paraku on need alati suuremad kui mistahes investeering turvalisusesse. Pealegi pole see, kas midagi ootamatut juhtub, reeglina üldse küsimus. Sellest annavad tunnistust iga päev ilmuvad uudised ja ülevaated. Tegelik küsimus on, millal see juhtub.

Taustatöö ja pidev hooldus

IT lahendusi tuleb vaadata kui pidevat protsessi, mis ei lõppe enne, kui süsteem oma eesmärgi ära täidab ja kasutusest eemaldatakse. Kogu selle aja vältel tuleb veenduda, et tarkvara, seda jooksutavate serverite sisu ja seal ümber olev taristu on kogu aeg ajakohane ning viimaste parimate praktikate järgi hallatud. See ei ole kulukas ega keeruline, kuid eeldab mõistmist, millises keskkonnas inimesed ja IT-süsteemid toimivad ning kuidas meid ümbritsev meid mõjutada võib.

Riskide maandamiseks tuleb kaaluda, jälgida ning rakendada erinevaid meetmeid alustades taristust, mis on iga IT-süsteemi lahutamatu osa. Siin tasub mõelda enne kasutusele võtmist, milline taristu on kõige madalama riskiga. Selge on see, et turvaohtudega sammu pidamiseks tuleb pidevalt investeerida nii riist- kui tarkvarasse ja süsteemide hooldusesse ja seetõttu tasub algatuseks uurida, kas taristu pakkuja üldse on võimeline selliseid investeeringuid tegema ning kas ta suudab seda ka tõestada. Näiteks, kui organisatsioon kaalub, kas panna ise server (või terve serveripark) püsti või osta see sisse kogenud ja end edukalt tõestanud teenusepakkuja käest, siis ei ole küsimustki, et suurte globaalsete pakkujate investeeringumahtudega (nt Microsoft investeerib iga aastal oma pilvetehnoloogiate turbesse miljard dollarit) ja regulaarselt läbi viidavate karmide turvaaudititega ei ole võimalik võistelda.
Kui taristu on valitud, siis on järgmine samm selle ettevalmistus. Kuigi selleks tehtavad tööd erinevad sõltuvalt taristust, peaksid need lisaks tehnilistele töödele sisaldama ka protsesside paika panemist: kuidas taristut ning seal majutatavat lahendust tulevikus monitooritakse ja hallatakse ning kes selle eest vastutab. Nii nagu muugi turvalisuse puhul on, on ka siin oluline, et ahela kõik lülid oleksid teada ja teeksid omavahel koostööd.

Lisaks taristule tuleb üle vaadata tarkvara. Ühtviisi teravat tähelepanu nõuab nii paketeeritud valmislahendus kui ka enda loodud unikaalne lahendus. Muidugi, tarkvara valitakse vastavalt ärivajadusele, kuid see ei tohi mitte kunagi tähendada järeleandmist turvalisuses. Soovitan alati kodutöö ära teha ning võrrelda erinevaid tarkvarasid mitte ainult funktsionaalsuse, vaid ka turvalisuse vaatenurgast. Näiteks tasub uurida tehnilise toe aktiivsust, kuidas ja kui kiirelt on tarkvara looja varem reageerinud turvaintsidentidele, kas tarkvarale on usaldusväärne kolmas osapool teinud turvaauditi. Vabavaralise tarkvara puhul tuleks lisaks eelnevale ka uurida, kui aktiivne on seda arendav kommuun ning selle eestvedajad.

Erilahendusena loodud tarkvara puhul ei tohiks koostöö arenduspartneriga lõppeda tarkvara üleandmisega, vaid see peaks jätkuma regulaarse hooldustööga, mis hõlmab nii tarkvarakomponentide uuendamist kui ka valmidust uuendada kogu tarkvara kui taristut uuendatakse. Seda seepärast, et pea kõik modernsemad rakendused kasutavad kümneid ja sadu kolmandate osapoolte komponente, mis aitab küll mõistliku hinnaga luua hea funktsionaalsusega tarkvara, kuid sellega kaasneb ka suurem turvarisk – ainuüksi maailma kõige populaarsema sisuhaldustarkvara WordPress turvanõrkustest 98% pärineb selle pluginatest. Seega peab pidevalt monitoorima kõiki kasutusel olevaid kolmandate osapoolte komponente ja olema valmis operatiivseks reageerimiseks.

Kõik muu on täpselt sama oluline

Nende kahe suure ploki, taristu ja tarkvara, vahele jääb veel terve rida kriitiliselt olulisi asju, millega tuleb samuti regulaarselt tegeleda: võrgukihid, operatsioonisüsteemid, erinevad tugiteenused ja rakendused, mis konkreetse IT-lahenduse töö jaoks vajalikud on. Paraku jääb see osa sageli tähelepanuta, kuigi just selle tulemusel tekkis ka näiteks 2017. aastal sobiv pinnas lunarahaviiruse WannaCry levikuks, mis halvas üle maailma suurettevõtete, haiglate, riigiasutuste jt töö ning tekitatud kahju suurust hinnatakse sadades miljonites ja isegi miljardites.
Turvalisuse tagamiseks tuleb ka jälgida muutuvaid ründevektoreid ning rakendada ennetavaid kaitsemeetmeid nende vastu. Õnneks saab neid tegevusi osaliselt automatiseerida, kuid inimese roll on praegu veel endiselt oluline – keegi peab olema kursis nii parajasti toimuva kui ka planeerituga, jälgima taristut, teenuseid, rakendusi ning läbi viima turvariske maandavaid toiminguid.
Lihtsamate lahenuste puhul suudab seda klient ka ise teha. Näiteks WordPressi, Magento ja teiste lihtsamate vabavaraliste ilma erifunktsionaalsuseta rakenduste puhul, mida majutatakse jagatud virtuaalserveris (kus ka operatsioonisüsteemi kiht on teenusepakkuja halduses), pingutab tarkvarast „allapoole“ jäävate süsteemide turvalisuse nimel teenusepakkuja. Kliendi kanda jääb rakenduse turvamine. Vähim, mida sellisel puhul teha, on regulaarselt haldusliidesesse sisse logimine ning veendumine, et uuendused on paigaldatud.

Keerulisemate lahenduste puhul tuleks aga kokku leppida, kes vastutab regulaarse monitoorimise ja halduse eest ja on valmis 24/7 reageerima intsidentidele. On loomulikult ettevõtteid, kellel on selline võimekus endal olemas, kuid see on pigem erand kui reegel, sest sedasorti võimekuse tekitamine ning edukalt käigus hoidmine ei ole üldjuhul majanduslikult mõistlik. Nendel juhtudel on sageli kiusatus ignoreerida võimalikke riske ning loota, et “vaevalt, et see minuga juhtub”. Selle asemel, et jääda lootma õnnele, tuleb kindlasti võtta riske tõsiselt ning leida sobiv partner, kes võtab lahenduse enda hallata ning aitab riske ennetada ja maandada.

Klemens Arro
Tegevjuht
ADM Cloudtech

Avaldatud: https://digipro.geenius.ee/rubriik/uudis/klemens-arro-turvahoiatus-suhtumine-et-vaevalt-et-see-minuga-juhtub-maksab-katte/