Mihkel Kukk: Koos Äripäevaga tehtud uuringust tuleb välja, et ettevõtted ise peavad oma olukorda heaks. See võib tuleneda sellest, et infot, mille pealt oma infoturbe hetkeolukorda hinnata, pole väga palju. Tihti eeldavad ettevõtted, et kuna siiani pole midagi juhtunud, on kõik võib olla hästi. Samas [seda toetavaid] fakte või argumente väga palju ei pruugi olla.
Meie praktika näitab, et kui teha audit või testimine, siis hakkab sealt pinnale tulema igasugu asju, mida ei teatud ja millest polnud aimugi. Ehk et tegelik pilt on tihtipeale natuke teistsugusem.
Igmar Ilves: Isegi kui mõni ettevõte ei arva, et neil on kõik infoturbealaselt suurepärane, siis niipalju nad reeglina arvavad küll, et rahuldaval tasemel on nende tase ikka. Võib-olla tuleneb selline mõtteviis sellest, et ettevõttes pole ühtegi intsidenti teadaolevalt juhtunud. Aga juhtumisega on see moment, et iga turvalisuse intsident ei pruugi üldse olla selline, et sa saad sellest teada.
Väga paljud kurjategijad tahavadki selliselt su süsteemis sees ära käia, et sa sellest aru ei saagi – vähemalt mitte koheselt. Kui vaadata ka jäämäe veealust osa, siis hakkab alles kooruma, kuidas seal seis tegelikult on ja kas on midagi juhtunud. Me oleme reaalses situatsioonis klientide juures näinud seda, et kuigi kõik pealtnäha paistab okei, tõestavad piltlikult öeldes jalajäljed, et tegelikult on seal sees käidud.
Lühidalt öeldes arvatakse reeglina, et seis on parem kui see tegelikult on. See jällegi oleneb ettevõttest, mõnes valdkonnas on parem seis kui teises. Ent üldine tendents on see, et kui pole midagi juhtunud, siis arvatakse, et ju on kõik hästi.
Kukk: Pigem on toimunud muutus teadvustamises. Seda näitavad ka KPMG globaalsed uuringud, et firmajuhid küberturberiski, kui ühte peamist riski, juba teadvustavad. Tegevuse pool ja sisuline arusaam on mõneti sarnane investeerimisvaldkonnaga – kõik teavad, et investeerimine on oluline, mingi teadmine on seega olemas, samas tegevusi veel ei järgne. Kui sa ka klassifitseerid küberriski number üks riskiks oma ettevõttes, siis tihtipeale me ei näe, et tegevus oleks adekvaatses vastavuses sellega.
Kukk: Suurimad puudujäägid saab kõige kuluefektiivsemalt teada infoturbe ja küberturvalisuse küpsustaseme hindamise (ingl k Cyber Maturity Assessment ehk CMA) kaudu. See ongi CMA teenuse üks peamisi eesmärke – näidata, kust infoturbe tugevdamisega algust teha. Mõne valdkonna ettevõttes võibki kõik olla väga hästi, sul võib olla kõik dokumenteeritud, võivad olla poliitika ja eeskirjad paigas, aga näiteks taastamisega sa ei tegele. Siis saadki teada teemavaldkonna(d), kus sul võib-olla on suuremad augud ja millega peaks järgmisena tegelema.
See sarnaneb IT-auditiga, aga on lihtsam, ajaliselt kiirem ja ettevõtetel odavam teha. Tavaline IT-audit ISO 27001 baasil on kordades kulukam. Sealt pealt aga siis saaks juba järgmisi tegevusi ja ka eelarvet planeerida. Olgu siis edasine tegevus mingi tehnoloogia rakendamine, läbistustest, tarkvara lisamine vms. See aitab pildi ette saada, kuhu peaks edasi liikuma.
Kukk: Vahe tulebki sellest, et näiteks küpsustaseme hindamisel me ei hakka koguma tõendeid, me eeldame, et ettevõte on ise nõus andma adekvaatse ja tõese info. Samas IT-audit nõuab, et me peame otsima igale argumendile ka reaalse tõendi taha, et saaks seda auditi raportis väita. Kes ise tahab oma taset hinnata lasta, sel pole motivatsiooni hakata olukorda ilustama, siis pole sel teenusel ju väga mõtet.
IT-audit eeldab, et korjan tõendeid oluliselt rohkem ja ka raporteerimine nõuab seetõttu rohkem aega. Sealt tuleb ka teenuse suurem kulu. Läbistustest on sealt juba edasi tunduvalt tehnilisem teenus, kus peab olema arusaam, mida testitakse ja miks testitakse. Iga suvalist asja pole mõtet testida. Pädevad läbistustestimise spetsialistid ja see töö on üsna kulukas.
Riskianalüüs on alati mõistlik teha ettevõttel mingil tasemel ära. Tuleb vaadata tervet ettevõtet, analüüsida äriprotsesse ja mõjuhinnanguid – see võtab tavaliselt rohkem aega ja ressursse. See pole asi, mida suuremates ettevõtetes oleks võimalik kiirelt teostada. See on tavaliselt kuude küsimus, aga mõnede suuremate organisatsioonide puhul ka aastate küsimus, et suurem-sügavam analüüs ära teha ja riskid läbi vaadata.
Ilves: Kui ettevõte teab, et küberturvalisus on oluline, siis tekib küsimus, kuhu me paigutame raha. Tihti on ettevõtetes tööl mõni pädev isik, näiteks infoturbejuht või IT-juht, kes aimab, kuhu võiks küberturvalisuse tugevdamiseks raha suunata. Praktika aga näitab, et see käib kohati ka kõhutunde järgi.
CMA ehk infoturbe ja küberturvalisuse küpsustaseme hindamise teenus aitabki siinkohal võtmeisikuid. Nii ausalt kui võimalik, annavad nad intervjuu käigus meile info kätte. Sealt me saame vastava analüüsi tulemusel indikatiivse suuna, kuhu klient võiks edaspidiselt rahaliselt panustada.
Aga nagu öeldud, me ei kogu tõendusmaterjali ja sellest tulenevalt CMA ei ole ka perfektne. Kuid see on kindlasti parem kui suunata raha suvaliselt või hoopis mitte midagi teha. Meil on CMA raames juhtunud, et ettevõte arvab, et neil on kaitsmisega kõik korras. Aga läbistustesti tehes tuli välja vastupidine vaatepilt ning me sisuliselt võtsime nende süsteemid esimesest päevast üle. Kuid see ei tee CMA-teenust halvemaks, me arvestamegi alati, et CMA tulemused võivad olla ekslikud, sest ettevõte võtmeisikud ise ei pruugi olla kõikidest kitsaskohtadest teadlikud.
Väärtust on CMA-l kindlasti ning atraktiivne on ka teenuse hind ning läbiviimise kiirus, võrreldes alternatiivsete teenustega. CMA on parem kui suvaliselt valida, et testime mingeid süsteeme ja saame n-ö linnukese kirja – see poleks kuluefektiivne lähenemine. Mõistagi soovivad ettevõtted kulusid kokku hoida, aga siis ongi vaja suunata ressursid sinna, kus on suuremad riskid. CMA ongi see, mis aitab seda teha.
Ilves: IT-auditis, IT-riskianalüüsis ja tehnilises turvatestimises oleme n-ö kättpidi sees: teeme intervjuusid, kontrollime turvameetmete tõhusust, lõhume süsteeme, vaatame konfiguratsioone jms. Seevastu CMA on lihtsam, sest põhineb vaid intervjuul. Meil on viis eri teemat ja üle saja küsimuse, mis sisuliselt katavad turvaintsidentideks valmistumise etappe.
Me alustame CMA läbiviimist planeerimise teemaga – siia alla käivad küsimused infoturbe poliitika ja juhtimise kohta. Edasi tuleb kaitsmise teema, kus käsitletakse konkreetselt kaitsemehhanisme nii IT valdkonnas kui ka näiteks füüsilise turvalisuse kontekstis. Kui intsident siiski juhtub, on järgmine etapp see, et seda tuleks nii pea kui võimalik avastada. Ehk kuidas sa avastad intsidendi, kui see on sinu kaitseliinidest mööda läinud. Seega kolmanda etapi nimetus ongi “avastamine”.
Järgmine teema on reageerimine, mille käigus me muuhulgas vaatame, kas ettevõttes on erinevaid intsidendihaldusega seotud kohustusi ja protseduure määratud. Näiteks kui tuleb öösel kõne, et me avastasime serverisse sissemurdmise, mis nüüd edasi saab – kellega võetakse ühendust ning kui kiiresti, kes tuleb kohale, kes menetleb intsidenti jne. Küsime, kas kliendil on välja töötatud erinevate olukordade lahendamise stsenaariumid.
Viimane osa on endise olukorra taastamine – sellest ka teema nimetus “taastamine”. Kui näiteks server on rünnakus maha võetud, siis uurime, kas ettevõttel on kirjas, kes ja kui kiiresti peab selle teenuse taastama.
Seega need viis teemat käivad kõik küberrünnakuks ettevalmistuse etapid läbi. Iga teema kohta on hulk küsimusi ja mida ausamalt klient vastab, seda parem. Küsimused põhinevad erinevatel rahvusvahelistel standarditel ja parimal praktikal ning käsitlevad kõiki olulisemaid infoturbe aspekte.
Kui see kahetunnine intervjuu on tehtud, siis me hakkame analüüsima vastuseid. Kui sealt jääb õhku mingi küsimus, võtame kliendiga uuesti ühendust. Mõni küsimus on jah/ei-tüüpi vastusega, aga mitte kõik. Arvestame ka erinevaid nüansse. Näiteks mõni kaitsemeede ei pruugi olla 100% töös, küll aga 80% ulatuses vms.
Kui intervjuu on tehtud, teemad läbitud, vastused analüüsitud, teeme kõigel eelneval põhineva raporti. Selle sisu koosneb mitmest osast. Esmalt määrame protsentuaalselt kõigi viie teema tulemuste alusel koondhinde – 0% on halvim võimalik hinne ning 100% parim võimalik hinne. Koondhinne omakorda jaguneb vastavalt saadud protsendile erinevateks hinnanguteks – “väga hea”, “hea”, “rahuldav”, “puudustega”.
Koondhinne näitab võrdlemisi lihtsustatult ja arusaadavalt, milline on ettevõtte üldine infoturbealane seis. Klient saab koondhinde alusel ka indikatiivse info, kuhu ta sarnaste ettevõtete seas infoturvalisuse kontekstis paigutub. Oletame, et ettevõte saab koondhindeks 65%, ent konkureerivate ettevõtete koondhinded asuvad keskmiselt 75% kandis. Siis teab ettevõte, et nad peavad kindlasti oma olukorda parendama.
Edasi tulevad viie teema tulemused, mida mainisin eelnevalt: planeerimine, kaitsmine, avastamine, reageerimine ja taastamine. Klient saab iga eraldiseisva teema osas tulemuse samuti protsentuaalselt, sarnaselt koondhindega.
Koondhinde ning teemade hinnangute määratlemisel arvestame kindlasti ka ettevõtte spetsiifikaga – selle tegevusvaldkonnaga, suurusega ning muude nüanssidega.
Muuseas, ettevõtteid, kes on saanud CMA hinnangu “väga hea”, on üpris vähe – üks kuni viis protsenti on neid kliente, kes sinna vahemikku kuuluvad.
Raporti viimane peatükk annab nõu, mida tuleks ettevõttel teha, et olukorda parandada. Toome välja olulisemad probleemkohad ning ka need tegevused, mida tuleks olukorra parandamiseks teha.
Näiteks me näeme CMA tulemuste alusel, et ettevõttes on loodud infoturbepoliitika ning defineeritud vastavalt protseduurid ja protsessid, kuid reaalsuses reegleid ettevõtte isikkooseisu poolt ei järgita. Tulenevalt sellest saame teha soovitused olukorra parandamiseks ning anda ka hinnangu, kui palju võiks ajaliselt ja rahaliselt nende soovituste rakendamise peale kuluda.
Kokkuvõttes käsitleb CMA intervjuu ning selle alusel valmiv raport kõiki olulisemaid infoturbe ja küberturvalisuse teemasid, andes infoturbe hetkeseisule kirjeldava hinnangu ja infoturbealaseid soovitusi järgmisteks sammudeks.
Ilves: Võime ju öelda, et küsimused võiks minna IT-juhile või infoturbejuhile, ent me ei pruugi teada, mis ametikohad kliendi ettevõttes/organisatsioonis täpsemalt on ning kes mille eest vastutab. Paljude klientidega on meil CMA teenuse osutamisel alles esimene kokkupuude. Meie lähenemine on see, et saadame kõik küsimused ette ning palume kliendil kaasata kõik vajalikud inimesed, kes suudaksid nendele vastata.
Kuna küsimusi ja valdkondi on palju, ei suuda üks inimene seda tihtipeale ära katta. Siis ettevõte leiabki need inimesed – nt süsteemiadministraatorid, võib-olla keegi, kes vastutab füüsilise turvalisuse eest jne.
Ilves: See intervjuu on üsna intensiivne, ent seal on taga ka KPMG metoodika ja kvaliteet – läbiviijad on oma ala eksperdid. Küsimused on võrdlemisi detailsed. Kulub kaks tundi, võib ka muidugi natuke üle minna.
Klient võib osa vastuseid meile intervjuu eel ka ette saata, ent me seda metoodika mõttes ei nõua. Saadame küsimused selleks, et nad teaksid, mis neid ees ootab. Näiteks ei pruugi IT-juht kõiki vastuseid teada, aga tema alluvuses on spetsialistid, kes taastamisest teavad palju rohkem kui tema. IT-juht kas kaasab selle inimese intervjuule või saab temalt vastused ette.
Ilves: Oleme küsimused disaininud nii, et iga suurusega ettevõte saaks nendest kasu lõigata. Meil on näiteks ka valikküsimused. Paljud ettevõtted ostavad IT-haldust sisse lepingupartnerilt, neil pole oma IT-inimesi. Seda me arvestame. Kui aga neil on oma IT-inimesed olemas, siis me osasid küsimusi ei küsigi. Üldises plaanis pole vahet, kas väike, keskmine või suur ettevõte, intervjuusid tehes me arvestame sellega.
Kukk: Kui intervjuu analüüsi käigus tekib lisaküsimusi, siis küsime neid juurde. Pärast raporti valmimist jagame seda kliendiga ning saame eri asju ka koos läbi arutada. Siis klient mõistab puudusi, mis sealt analüüsist välja võivad tulla.
Ilves: Kõike. Protsessid ja inimesed ongi planeerimise teema juures. Samas kaitsmise teema juures küsime üsna tehnilisi küsimusi, näiteks mitmeastmelise autentimise, VPNi või ruuteri kohta.
Kukk: Intervjuu põhineb erinevatel rahvusvahelistel standarditel, mis püüavad ka neid eri valdkondi katta. Mõni võib ollagi süvatehniline, teine aga rohkem protsessi või inimeste fookusega. Väga detailseks ei minda, ent saame indikatsiooni, kas ühe või teise teemaga on tegeletud ja kui süvitsi. Mõnikord võib selguda, et midagi on tehtud ja rakendatud, aga pole näiteks korralikult dokumenteeritud. Kui ka on poolik lahendus kasutusel, siis saame vähemalt aru, mis on hetkeolukord.
Ilves: Planeerimise alamteema osas küsitakse muuhulgas infoturbehalduse, riskianalüüsi, riist- ja tarkvara inventuuri kohta. Tehnilised meetmed lähevad rohkem kaitsmise alla: näiteks pahavara tõkestamise all on mitmed küsimused, samuti rakenduste turve, andmekaitse, e-posti ja veebikasutuse turvamine jms.
Osad küsimused on valikulised, näiteks traadita võrk, sest paljud ettevõtted ei pruugi kasutada põhivõrguna traadita võrku, vaid see on külaliste jaoks. Avastamise alla lähevad logide seire ja analüüs, turvanõrkuste avastamine ja analüüs, aga ka ründetestide läbiviimine. Reageerimine käsitleb, kuidas on ettevalmistused tehtud turvaintsidentideks, samuti nende halduse korraldamist. Taastamine puudutab muuseas taastevõimekust ja varundamist.
Kõikide vastuste koosmõjul tekib meil teatud arusaam, millest tulenevalt saame välja tuua näiteks kümme olulisemat probleemkohta. Me ei ütle ainult, et see või see on puudu ja tee ära, vaid ka selgitame, miks see on oluline.
Seda sama raportit presenteerime ka kliendile, kui ta soovib. Nii võib tekkida täpsustavaid küsimusi ja saame raportile lisaväärtust pakkuda. Raporti osa on ka soovituslik tegevusplaan ehk mida võiks teha, reastatuna prioriteetsuse järjekorras. Toome seal välja ka indikatiivse rahalise ja ajalise kulu.
Ilves: Reeglina on infoturbepoliitika kas täiesti puudu või puudulik. Samuti ei ole väga paljude ettevõtete poolt tehtud IT riskianalüüsi. Eriti väiksemad ettevõtted ei saa sellest aru, miks võiks riskianalüüs neile oluline ja kasulik olla. Pea iga intervjuu lõpus märgivad muuseas sellised kliendid, et oleme nende tähelepanu juhtinud kitsaskohtadele, mis on neil piltlikult öeldes nina ees, ent mida nad ise märganud pole.
Näiteks e-kaubandusega tegelevas väikeettevõttes on üks IT-inimene, kes võib mõnel ootamatul hetkel töölt lahkuda või haigeks jääda – see on sellisele ettevõttele suur risk. Mida siis teha? Üks võimalik riski leevendav meede on kogu olulise informatsiooni eelnev dokumenteerimine: kus IT-seadmed asuvad, kuidas on ühendused tehtud, kuidas antakse kasutajatele juurdepääsuõigusi, kus asuvad hädaolukorra juhised jne. Siis ei võta ainus IT-spetsialist kõiki teadmisi endaga kaasa, juhul, kui ta otsustab ettevõttest ära minna.
Suurte ettevõtete puhul on üsna levinuks probleemiks see, et kuna tihtipeale ostetakse IT-teenuste haldamist mujalt sisse, siis selle valguses nad arvavad, et koostööpartner tegeleb haldamise kõrvalt ka IT turvalisusega. Väga tihti ei vasta selline arvamus aga tõele. Reaalsus on ikkagi see, et ettevõte saab teenusena täpselt nii palju, kui palju nad on teise lepingupoolega vastava tasu eest kokku leppinud.
Näiteks kui ettevõte ostab sisse IT haldamise teenust, siis nad tegelevadki eeskätt IT-haldusega: annavad kasutajaõiguseid, paigaldavad arvuteid jms. Kuigi turvalisus on mingil määral tagatud, siis nad proaktiivselt ja süvitsi IT turvalisusega ei tegele, juhul, kui seda pole eraldi vastavas koostöölepingus sätestatud.
Ilves: Esimene reaktsioon on tihtipeale vaikus. Nad mõtlevad nende teemade peale, kus arvasid, et pole probleeme, kuid tegelikult probleemid siiski ilmnesid. On kliente, kellest me rohkem midagi ei kuulegi, kus jääbki vaikus kõlama, aga teine osa klientidest näiteks võtab poole aasta pärast ühendust sooviga ikkagi nüüd olukorda paremaks saada. Reaktsioonid on erinevad. Teisalt on kogu teenus tehtud selliselt, et me ei eelda, et peame tingimata hakkama jätkutööd tegema. Raport seisab ka oma jalgadel, seal on piisavalt väärtust.
Kukk: Reaktsioonid sõltuvad sellest, kuidas ettevõttes tunnetatakse ja hinnatakse IT-turvalisust ja kuivõrd suudetakse selleks ka ressursse leida. Enamik neist jätkutegevustest nõuab inimressurssi või rahalist ressurssi. See, et riski teadvustatakse, ei pruugi lõppeda sellega, et küsimusega ka tegelema hakatakse.
Meie eesmärk on näidata, mis on ettevõtte hetkeolukord. Kas ja mis teenuseid nad seejärel ostavad, on ettevõtte enda otsustada.
TAUST
Infoturbe küpsustaseme koondhinde kujunemine
Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alte..
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..
Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..
IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..
Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..
Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.