E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Andmepüük: miks tulemüür ei aita, kui inimene vajutab valel lingil?

Andmepüük on minu meelest üks viimase aja kõige ebameeldivamaid IT-turvariske, mida nii tööl kui eraelus on pidevalt tunda ja on ka mul kuidagi väga südamel(nagu postituse pikkus võib ära näidata), kuna see ei sõltu ainult sellest, kas süsteemis on mõni turvaauk, vaid sellest, kas inimene jääb uskuma talle saadetud kirja, sõnumit või kõne. Piisab vaid sellest kui inimene on väsinud või teeb mõnd liigutust nö automaatrežiimil. Ka RIA 2026. aasta küberturvalisuse aastaraamatus on 2025. aastat nimetatud pettuste aastaks, kus hinnati kelmide pettuste kahjudeks kokku 29 miljonit eurot. See näitab päris hästi, et tegu ei ole mingi väikese "kahtlaste e-kirjade" probleemiga, vaid pigem igapäevase kelmide ründemudeliga. Näiteks võib töötaja saada M365 parooli aegumise teate, ülemuselt kiireloomulise maksekorralduse või panga klient panga nimel lingi, kuhu ta usalduslikult sisestab oma andmed. KAPO 2025-2026 aastaraamatus on samuti lugeda, et kontodele ligipääsu saamiseks kasutatakse muuhulgas õngitsust, salasõnade kogusid ja paroolipakkumisi ehk ründaja ei pea alati midagi väga keerulist tegema, kui inimene või protsess ise aitab kasvõi tahtmata sellele kaasa. Samuti võib sarnane loogika töötada ka füüsiliselt, näiteks kui keegi ründaja teeskleb kullerit, uut töötajat või jalutab rahvamassiga enesekindlalt ja lastakse lihtsalt kontorisse sisse.

Mitnicki valem

Mitnicki valemi järgi ei ole tehnoloogia, koolitus ja reeglid eraldi lisad, vaid pigem selline komplekt, kus ühe osa nõrkus võib kogu kaitse ära rikkuda. Nende komplekt kehtib nii suurettevõttes, koolis kui ka koduses arvutikasutuses. Tehnoloogia poolelt võiks see tähendada mitmefaktorilist autentimist, paroolihaldurit, meilifiltreid, kui ka linkide ja manuste kontrolli, õiguste piiramist ning logimist, et ebatavalised sisselogimised või tegevused välja paistaksid. Samas ei tasu tehnoloogiat üle hinnata, sest väga usutav e-kiri võib ikka läbi tulla, mida saaja võib väga kergekäeliselt uskuma jääda. Koolituse osas oleks vaja inimestele tutvustada, et rünnak ei pruugi näha välja kui vigases eesti keeles spämm nagu vanasti, vaid võib tulla täiesti loogilise tööülesande kujul, kuna tänapäeva tehisintellekt on võimeline väga usutavaid kirju kokku kirjutama. Samuti pole ka võimatu, et tööstus- või riigijulgeoleku huvidega seotud ründajad kasutavad sihitud pettusi, kus kiri on koostatud konkreetse inimese, asutuse või tööprotsessi järgi. Sellepärast tulekski õpetada märkama kiirustamist, ähvardamist, ootamatuid manuseid või kasvõi palvet tavaprotsessist mööda minna. Välisluureameti 2026. aasta raportis on ka otse öeldud, et vaenulikud riigid korraldavad Eesti tundlikule teabele ligipääsemiseks küberründeid, mistõttu ei ole selline risk ainult teoreetiline probleem, vaid päris asi, millega peavad arvestama nii riigiasutused kui ka ettevõtted.

Seetõttu kui reeglid võivad tunduda selle teema juures võibolla kõige igavama osana, jääb nendeta töötaja ebamugavasse ja raskesse olukorda, kus ta peab üksi ilma tihtipeale tervest pildist arusaamata kiirelt otsuseid vastu võtma. Minu meelest peaks seetõttu organisatsioonis olema väga lihtne põhimõte: ka juhi e-kiri ei tohi olla aluseks tegevuste(nt pangaülekande) alustamiseks ning kõik protsessid peaksid järgima ette määratud protsesse, kus tegevusi kooskõlastavad mitmed inimesed, et isegi kellegi konto kaaperdamisel või pahatahtliku tegevuse tulemusel ei saaks niisama protsesse ilma kinnitusteta ellu viia. Sama käib füüsilise ligipääsu kohta, ehk võõrast ei lasta enda järel uksest sisse ainult sellepärast, et ta näeb enesekindel välja, vaid kontrollitakse kellega tegu on ja kas tal on üldse seal viibimiseks põhjus. Seetõttu tahaks andmepüügi kohta öelda, et inimene ei ole lihtsalt "nõrgim lüli", vaid tihti viimane kaitsekiht, kellele ei tohiks kogu vastutust anda, kuna vastupidisel juhul on terve süsteem juba enne selle ühe inimese otsust ebaõnnestunud.

Viited:
https://www.ria.ee/kuberturvalisuse-aastaraamat-2026
https://www.ria.ee/olukord-kuberruumis-pettuste-aasta
https://kapo.ee/sites/default/files/content_page_attachments/aastaraamat-2025-2026.pdf
https://www.valisluureamet.ee/doc/raport/2026-et.pdf

Comments

Post a Comment

Popular posts from this blog

E-ITSPEA 1: Noppeid IT ajaloost

Tõeline revolutsioon IT-maastikul Üheks revolutsiooniks IT maastikul võiks lugeda Amazoni müügiplatvormi AWS teenust, mis kasvas algul raamatuid ja hiljem muid tooteid müüvast ettevõttest kordades suuremaks, saades tänapäeva pilvetehnoloogia alustalaks. See ei pruugi esmapilgul nii tunduda, kuid AWS tekitas revolutsiooni varasemate andmekeskuste kõrvale, kuna kui varem ettevõtete veebiteenuste majutamiseks oli ettevõttel vaja suurt taristut ning inimesi, kes seda hooldavad, siis muutis AWS suuresti ettevõtete jaoks IT kulumudelit ja ka turgu, kuna oma ettevõtte taristu püstipanekuks oli vaja vaid emaili aadressi ja krediitkaarti, millega teenuste eest maksta. Kui varem pidi ettevõtetes planeerima oma serverifarmide suurust kõige suurima kasutuse järgi(näiteks veebipoed pühade ajal) ja muul ajal kui servereid nii palju ei vajatud niisama elektri eest maksma, siis pilvetehnoloogia võimaldas ettevõtte ressursse vastavalt vajadusele skaleerida minutitega ehk läbi AWS sai võimalikuks maksta...
Read more

E-ITSPEA 3: Uus meedia...

Washington Post Ühe meediakanalina, kus on suurel kohal uus meedia, võiks esile tuua näiteks Washington Post ajalehe. 1877 aastal alguse saanud paberajalehest on ajaga saanud platvorm, mis tänapäeval on oma fookuse seadnud digitaalsetele platvormidele. Nende sisu on üldiselt platvormile spetsiifiline. Kui veebilehel näidatakse pikkasid uudisartikleid, siis videoedastusplatvormidel nagu YouTube ja TikTok on hoopis teistsugune sisu, mis püüab tähelepanu konkreetsete ja põhjalike uudislugudega.  Selliste sotsiaalmeedia videolugudega tuuakse esile ajakirjanikud, kes toovad oma loo esile personaalselt ning läbimõeldult. See annab neile usaldusväärsuse ning ka muudab neid konkurentidest tugevamaks. Oma veebilehel olevate maksumüüride tõttu võimaldavad sellised lahendused igalühel olla nende uudistega kursis. Samas tähendab see, et nende uudistekanalid on ka seetõttu tugevalt sõltuvad sotsiaalmeedia algoritmidest. Daily Mail Samas uueks meediakanaliks, mis on märksa lahjem kui enda põhika...
Read more

E-ITSPEA 2: Arpanetist Facebookini - Interneti kujunemislugu

Piiparid Enne veebi ja nutitelefone oli kiireks teavitamiseks olemas lihtne ja töökindel lahendus, milleks oli ja on piipar. 1980ndatel ja 1990ndate alguses kasutati seda laialdaselt nii haiglates, päästeteenistustes kui ka ärimaailmas. Seade oli lihtne: saadeti lühike numbriline või tekstisõnum ning adressaadi taskus olev seade andis helisignaali. Piipari tugevus oli selle töökindlus. See kasutas raadiosidet, aku pidas kaua ja levi oli parem kui varajastel mobiiltelefonidel. Vastata küll ei saanud, kuid kriitilise info edastamiseks sellest piisas ning see lahendas probleemi, kuna odava seadme tõttu oli lihtsam inimestega ühendust saada. Kui juba teade kohale oli jõudnud, siis teadis teine pool vajadusel vastata ning piipari edu ei piiranud saatmise võimaluse puudumine. See töökindlus on just selle põhjuseks, miks piipar pole täielikult kadunud. Ka täna kasutatakse piipareid just paljudes haiglates ja kriitilise infrastruktuuri valdkondades, sest need ei lakka töötamast ka siis, kui mo...
Read more