Ettevõtte on nii tugev, kui on tema nõrgim lüli. Kodukontorite aina enam esiletõus on kindlasti nii mõnegi ettevõtte jaoks tekitanud murekortse, kuidas tagada see, et töötajad saaksid tegeleda oma tööasjadega kartmata liigseid turvariske.
Millest algab küberintsident?
Räägime loo Marist, kes töötab ühes ettevõttes personalitöötajana, ning teeb tööd kodukontoris. Aja kokkuhoiu mõttes kasutab Mari tööülesannete täitmiseks oma isiklikku arvutit, mis ei ole ettevõttes iseenesest kuidagi keelatud.
Viga, mille Mari teeb ja millest küberintsident algab on see, et ta salvestab ettevõtte Microsoft 365 parooli oma Chrome’i veebilehitseja paroolihaldurisse, mis omakorda on seotud Mari Gmaili kontoga. Gmaili konto on aga nõrga parooliga ning sellel puudub mitmikautentimine. Ja rohkem polegi vaja. Mari parool arvatakse ära. Tänapäeval toimub nõrkade paroolide tuvastus täiesti automaatselt internetti kammivate “robotite” poolt. Nüüd, kui küberpätil oli juurdepääs Mari Gmaili kontole (ühtlasi ka kõikidele Chrome’i salvestatud paroolidele, kus olid ka tööalased paroolid), alustas küberkriminaal oma tavapärast tööpäeva.
Küberpätt kogub informatsiooni
Küberkriminaal sai alustuseks sisse töötaja Microsoft 365 teenusesse. Sellele järgnes postkasti suunamiseks reeglite loomine, mis saatis Mari kirjade koopiad kriminaali postkasti. Nii õppis küberpätt ettevõtet paremini tundma, millised on kliendid ja milliste tehingutega parasjagu firmas tegeletakse.
Siit edasi laiendas kurjategija oma haaret. Ta kasutas ära tol hetkel aksutaalset suvepäevade temaatikat ning korraldas õngitsuskampaania, mille eesmärgiks oli koguda õngitsuskirja abil teiste töötajate paroole.
Kuna see loodud kiri oli nii autentne ja päevakajaline ning oli välja saadetud Mari enda e-posti aadressilt, siis läks päris suur hulk ettevõtte töötajaid selle õngitsuskirja ohvriks. Ja nii oligi õnnetus käes.
Selleks ajaks oli küberpätt istunud ettevõttes pea 12 nädalat, kuid keegi polnud sellest teadlik. Seda toetab ka globaalne statistika, et pahalane istub ettevõtte suurusjärgus 7 kuud enne, kui seda märgatakse.
Tagajärjeks klientide kaotamine
Kui kurjategijal oli piisavalt infot käes, hakkas ta endale palka tegema. Esmalt eksistas ta raamatupidaja enda kontole raha kandma, kuna raamatupidaja ei märganud, et partneri poolt esitatud arvel oli arveldusnumber küberpäti poolt ära vahetatud.
Paralleelse tegevusena kopeeris ta ka kogu ettevõtte dokumendihalduse endale, millega sai hulganisti personali ja klientide isikuandmeid.
Siit edasi saatis küberpätt ettevõtte tegevjuhile kirja, kusl ähvardas ettevõtte kopeeritud andmed avalikustada või rikkuda, kui kaheksa töötunni jooksul ei kanta lunaraha üle tema kontole. Kui ettevõtte juht sellega kohe kaasa ei läinud, siis survestamiseks kustutas ta ära terve ettevõtte personalikausta.
Nüüd sai tegevjuht aru, et asjalood on kehvasti. Ka ettevõtte IT inimene oli parasjagu puhkusel. Kiiresti võeti kriisikoosolekul vastu otsus, et lunaraha ei maksta. Kui kaheksa tundi täis tiksus, siis täitis küberpätt oma lubaduse ning lekitas isikuandmed ning krüpteeris pilves olevad andmed.
Tulemuseks oli see, et ettevõtte äritegevus oli paar tööpäeva tugevalt häiritud, osad kliendid jäid teenindamata, millega kaasnes ka rahaline kahju. Kõige valusam hoop oli see, et andmeleke sai avaliku kella külge, mis tähendas et pea viiendik klientidest otsustas ettevõtte teenustest edaspidi loobuda.
Ettevõtte tulevik oleks olnud palju helgem, kui see ettevõte oleks kasutanud turvaseireteenust
Turvaseireenuse olemasolul oleks antud rünne peatatud juba ründe algfaasis. Mõned näited, kuidas teenus oleks sekkunud.
Täna ei saa vältida inimeste kodukontoris töötamist. Küll aga on turvaseireteenuse üks oluline roll juhtida tähelepanu nõrkadele kohtadele ja antud teenuse raames oleks tehtud soovitused kaugtöö tegemist reguleeriva töökorra kehtestamiseks või teatavate tehnoloogiliste vahendite rakendamiseks, mis oleksid piiranud töö tegemist isiklikust (kaitsmata) arvutis. Loomulikult oleks olnud üks soovitus kasutajakontode kaitsmiseks mitmikautentimise rakendamine.
Turvaseireteenuse meeskonnas läheb punane lipp püsti kohe, kui oleks märgatakse, et töötaja sünkroniseerib äriandmed oma isiklikku arvutisse, mis ei ole ettevõtte halduse all.
Punane lipp läheb püsti ka siis, kui tuvastatakse kasutaja (antud juhul küberpäti) sisselogimine kahtlasest asukohast (nt Somaaliast) või senituvastamata võõrast arvutist.Siis oleks selle kasutajakontro õigeaegne blokeerimine või parooli muutmine ning MFA rakendamine aidanud ründe algfaasis peatada.
Märkamata ei jää ka küberpäti poolt andmete kopeerimine ettevõttest välja. Masstoimingud andmetega nagu kopeerimine, kustutamine, muutmine, löövad samuti turvaseireteenuse meeskonnas punase lipu püsti. Ja sageli ei pruugigi rünnak tulla väljastpoolt ettevõtet, vaid ettevõtte seest, kui mõni pahatahtlik töötaja otsustab omakasu eesmärgil andmeid varastada või lekitada.
Et vältida selliseid õnnetusi, millega Mari silmitsi seisis, on aina olulisem, et ettevõte panustaks oma töötajate küberhügieeni parandamisessening võtaks kasutusele turvaseireteenuse digivara kaitseks (sarnaselt nagu täna on turvafirma teenus füüsilise vara kaitseks).
Antud lugu põhines tõestisündinud lool ja oli hästi veidi võimendatud, kuid selline stsenaarium võib täiesti vabalt ka tegelikkuses aset leida.