Küberhügieen - uue aja mõiste, millest algab pihta riigi sõjaline julgeolek
Küberhügieen puudutab sõna otseses mõttes igaühte. Iga kaitseväelase puudulik küberhügieen mõjutab tema kolleege ja ka kaitseväge tervikuna ning pole vahet, kas tegu on noore või vana, jala- või sideväelase, kindrali või reamehe, aktiivse või passiivse infosüsteemide kasutajaga. Kui ennast küberruumis ise ei kaitse, ei saa aidata ka müstilised „IT-poisid“.
Küberturvalisuse tagamine organisatsioonis koosneb enamlevinud käsitluse kohaselt kolmest osast: inimesed, protsessid ja tehnoloogia, mis tuleb tervikliku kaitse tagamiseks integreerida. See eeldab, et omavahel ühendatakse tehnilised vahendid, olulised protsessid ja sotsiaalvaldkonna teadmised inimese käitumise kohta. Ründaja eesmärk on nendest kolmest nõrgim lüli valida välja ja tegutsema asuda.
On laialt teada asjaolu, et kasutajatest on saanud infoturbe tagamisel nõrgim lüli. Probleem seisneb selles, et kasutajate teadmised küberturbest jäävad loosungite tasemele, kuid kasutajate käitumises sellised teadmised enam nii selgelt ei väljendu.
Pahavaraga seotud probleemid ja isiklike seadmetega tööasjade tegemine jpm on autori kogemuse kohaselt põhilised igapäevaseid küberturbealaseid intsidente põhjustavad nähtused. Samale järeldusele on jõutud paljudes uuringutes ja ka Saksmaa 2014. aasta küberturvalisuse kokkuvõttes, mille kohaselt tihti on kasutajad ohtudest teadlikud, kuid ei võta enda kaitsmiseks kasutusele vajalikke meetmeid.
Theodoros Nikolakopulos tõi erinevate uuringute põhjal esile, et tihti näevad kasutajad arvutit kui suvalist musta kasti, mõistmata selle funktsionaalsust ja sellest tulenevaid ohte. Nad kasutavad arvutit hoolimatult ja käivad ümber tundlike andmetega ilma turvalisusele mõtlemata. Kasutajad keskenduvad üksnes sellele, kuidas saaks töö tehtud, pööramata tähelepanu sellele, kuidas teha seda turvaliselt, mis loob ründajaile soodsa pinnase.
Seda, et kasutajad on haavatavad, teavad väga hästi ründajad, kes otserünnaku asemel tehniliselt kaitstud süsteemi vastu, näiteks kaitseväe infosüsteemi vastu, kasutavad hoopis manöövrit ja ründavad kasutajat ja tema isiklikke seadmeid. Chan D. Lieu tõi juba 2002. aastal välja, et kuna kasutajad on kõikjal tihedas kokkupuutes infosüsteemidega ja nemad on süsteemi nõrgim osa, on see nõrkus hästi teada. Viimase kümne aastaga ei ole selles valdkonnas suuri muutusi toimunud.
Küberturbe ohte analüüsiva McAfee Labs uurimiskeskuse 2016. aasta prognoosi kohaselt suurenevad aga pidevalt rünnakud kasutajate isiklike seadmete ja süsteemide vastu, sest tegu on kaitsetute ja pehmete sihtmärkidega, mille kaudu proovitakse kasutajate hooletust kasutades jõuda tööandja infosüsteemideni või vajalikud andmed kasutajate seadmetest kätte saada.
Pahalane meie endi seas
Pahavaraga nakatunud hävitaja, mis ei ole enam lahinguvõimeline. Küberrünnakuga rivist välja löödud õhutõrjesüsteem, mis ei tuvasta vastase lennuvahendeid ega kaitse õhurünnakute eest. Kai ääres dokis seisev varustuslaev, mille navigatsioonisüsteem krüpteeriti, kuna kapten otsustas tühjaks saanud isikliku nutitelefoni akut süsteemis laadida. Vastasele lekkinud kaitse- ja lahinguplaanid, käsud ja korraldused jpm. Eelnev ei ole fantaasia, vaid praeguseks juba maailmas aset leidnud sündmused. Kõik eelnev ja sellest veelgi enam on lihtsasti teostatav meie puuduliku küberhügieeni tõttu. Mille põhjal ma seda väidan?
Eespool kirjeldatud probleemi ulatuse täpsemaks tuvastamiseks, kinnitamiseks või ümber lükkamiseks ja olukorra parandamiseks viidi kaitseväes 2015. aasta esimesel poolel läbi küberturvalisuse küsitlus. Uuringu tulemused kinnitasid probleemide olemasolu. Selgus, et kasutajate käitumises on järgmised probleemsed valdkonnad:
- 1) Ei kasutata pahavarakaitset, ei tegeleta andmete varundamisega ja kasutatakse administraatori õigusi;
- 2) Salasõnade haldus on puudulik (korduv salasõna, salasõna jagamine, salasõnade regulaarne mittevahetamine, „jäta mind meelde“ funktsionaalsuse kasutamine);
- 3) Kasutatakse avalike WiFi-võrke, ei lukutata seadmeid, jäetakse uuendamata tarkvara;
- 4) Usaldatakse sotsiaalmeedia teenusepakkujatele isiklikke andmeid, ei tunta huvi rakenduste õiguste vastu, ei muudeta turvaliseks kodust WiFi-võrku.
Uuringu kohaselt jätab iga kolmas kasutaja oma isiklike seadmete kaitsmiseks tegemata märgataval hulgal toiminguid ja suurem osa kasutajaid jätab tegemata mõne toimingu. Kokkuvõttes on uuritud infosüsteemide kasutajad isiklike seadmetega ümberkäimisel sama hooletud kui keskmine eestimaalane.
Mõtlemapanevalt tõi käesolev uuring välja, et hoolimata sellest, et kümnest kasutajast üheksa puutuvad aastas kokku suure hulga rämpspostiga ja aastas korra või tihedamini puutub pahavaraga kokku kümnest kasutajast seitse, on siiski palju neid, kes ei kasuta enda kõikides seadmetes pahavara kaitset. Selline olukord on eriti ohtlik, kuna Fraunhofer FKIE 2013. a küberkaitse inimfaktori uuringus on välja toodud, et enamiku ründevektorite eesmärk on süsteemidesse sisse tungida, selleks kasutatakse tõenäoliselt õngevõtmise e-kirju, mis on kombineeritud pahavaraga, mis süsteemi nakatab ja ründajale ligipääsu tagab.
Kui nutiseadme kasutaja pole seadmele pahavara kaitset paigaldanud, muudab ta sellega ründaja tegevuse äärmiselt lihtsaks. Seda on märganud ka kurjategijad ja vaenulikud riigid. Näiteks Taani luure 2015. aasta avaliku ohtude kokkuvõtte kohaselt rünnatakse peamiselt just nutiseadmete kasutajaid, et jälgida kasutaja liikumisi, kuulata pealt vestlusi ja saada ligi kasutaja andmetele. Sama probleem nutiseadmetega on välja toodud ka Saksamaa küberturvalisuse sama aasta kokkuvõttes.
Eelnevast järeldub, et tundlike andmete süsteemidega opereeriva tööandja jaoks on isiklike seadmete kasutamine suur ohuallikas, mistõttu tuleks tõhusalt takistada tööalaste andmete kandmist isiklikesse seadmetesse või kodustest seadmetest tööandja infosüsteemidesse. Lisaks ei tohiks lubada tööandja eri infosüsteemide, võrkude või veebiteenuste kasutamist viisil, mis on seotud tööalaste kontode kasutamisega isiklikest seadmetest.
Tööandja peab arvestama võimalusega, et töölaual olev töötaja isiklik nutiseade (nutitelefon, tahvelarvuti, nutikell jpm) võib salvestada tööalaseid vestlusi ja jälgida kasutaja liikumisi ning tegevust. Eriti problemaatiline on selline olukord sõjaliste tegevuste (sh õppuste), manöövrite või nende planeerimise käigus. Isiklikud nutiseadmed nõupidamistel, õppustel, missioonidel, relvastatud konfliktides on märkimisväärsed ohud, mis mõjutavad kõikjal maailmas relvajõudude reageerimisvalmidust, operatsioonide elluviimise tulemuslikkust ja konfidentsiaalsust.
Teadmised, oskused ja hoiakud
Et kasutaja ei oleks nõrgim lüli, tuleb teda harida. Christopher Hadnagy on öelnud, et teadmistes peitub jõud ja väljaõpe on parim kaitse enamiku rünnakute vastu. Seda isegi olukorras, kus teadmised ei anna küll otseselt täielikku kaitset, kuid hoiavad kasutaja valvel.
Infosüsteemide kasutajate teadmiste ja käitumise vahelist ebakõla on esile toodud ka Eestis läbiviidud TNS Emori 2014. aasta nutikaitse uuringus. Uuringu põhjal selgus, et paljudel nutitelefonide ja tahvelarvutite (edaspidi nutiseadmete) kasutajatel on teadmine, kuidas enda andmeid seadmetes kaitsta, kuid paljud seda käitumises ei järgi. Eelnevale lisandub asjaolu, et üldised teadmistele keskenduvad kursused, mis ei võta arvesse hoiakute kujundamist, ei ole tulemuslikud. Selle tõid oma uuringu kokkuvõttes välja inimfaktori mõjude küberturvalisuse nüanssidele keskendunud uurijad Kathryn Parsons, Agata McCormac, Marcus Butavicius jt.
Seega ei seisne probleem kasutajate puudulikes teadmistes, vaid nende käitumises. Talis Bachmann ja Rait Maruste on välja toonud, et kui soovime muuta või suunata kellegi käitumist, siis edu on võimalik saavutada üksnes siis, kui suudame muuta teise poole hoiakut.
Eespool öeldule toetudes saab öelda, et kui eesmärk on lahendada kasutajate seadmetega ümberkäimisel esinev vastuolu nende teadmiste, oskuste ja käitumise vahel, on oluline keskenduda kasutajate hoiakute muutmisele. Seda põhjusel, et kasutajate teadmised on piisavad, kuid nende hoiakud on käitumise aluseks.
Vaimu töötlemine
Michael E. Whitman ja Herbert J. Mattord on välja toonud, et teavituskampaania on organisatsioonides kõige vähem kasutatud, kuid kõige tõhusam kasutajate käitumise mõjutamise võimalus. Nende käsitluses sisaldab hea teavituskampaania uudiskirjutisi näiteks paberväljaannetes, e-postile või siseveebis, plakateid, videomaterjale, flaiereid, infolehti stendidel ja nipsasju. Teavitustegevused peavad olema järjepidevad ja lähtuma põhimõttest: kasutajaid on võimalik mõjutada nende käitumist parandama, kui neile pidevalt infoturbe teemasid meelde tuletada.
Austraalia valitsuse tellitud küberturvalisuse valdkonna teavituskampaaniaid võrdlevast analüüsist selgus, et kõige tulemuslikumad on kampaaniad, mis on seotud väljaõppeürituste ja muude oskuste andmisele suunatud tegevustega (sh arvutimängud, veebipõhised küsitlused ja võistlused). Relvajõudude kontekstis lisanduvad siia tingimata kübervaldkonna integreerimine erinevate tasemetega õppustega. Küberrünnakud, küberkaitse, infosüsteemide tagamine ja küberhügieen ei ole üksnes IT-tegelaste või side relvaliigi teemad. Need on valdkonnad, kus kõikidel on oma roll täita ja seda tuleb harjutada, harjutada ja veelkord harjutada.
Mis saab edasi
Kaitse ennast küberruumis ja sellega aitad kaasa tugevama julgeolekukeskkonna loomisele!
Turvalisuse küsimustes tuleb kasutajate vastumeelsus esile turbemeetmete rakendamise ebamugavuse tõttu, kuna kasutusmugavus tuleb tihti turvalisuse arvelt, pealegi ei pruugi kasutaja näha otsest isiklikku kasu, kui ta täiendavad meetmed kasutamisele võtab. Seda tingimustes, kus küberohud on kasutajale vahetult nähtamatud ja turvalisuse tagamiseks peab ta tegema täiendavaid samme (kulutama enda aega) või millestki koguni loobuma (nt piraatlus või isiklikud nutiseadmed õppustel). Samas pole riigikaitse koht, kus mugavus peab käima enne turvalisust ja kõikide tehtud pingutused ning töötulemused võivad kõigest paari hiireklõpsuga vastu taevast lennata. See on küsimus, mida ei tohi ignoreerida ükski infosüsteemi kasutaja.
Et saaksid enda turvalisuse tagamisele kaasa aidata, vasta järgnevatele küsimustele ja tee endal asjad korda:
- 1) Kas mina hoian töö- ja eraasjad üksteisest lahus?
- 2) Kas minu tahvelarvutis ja nutitelefonis on pahavarakaitse?
- 3) Kas minu arvutis ja tahvelarvutis on erinevatel kasutajatel erinevad kasutajakontod?
- 4) Kas mina pean igapäevaselt arvutis/tahvelarvutis administraatori kontot kasutama?
- 5) Millal varundasin arvutis, nutitelefonis jne enda olulisi andmeid?
- 6) Kas minu kodune WiFi on seadistatud vastavalt turvalise kasutamise soovitustele?
- 7) Kas mina kasutan võimalusel alati kaheastmelist autentimist (nt Gmail, Hotmail, Outlook, Facebook, LinkedIn, Dropbox, LastPass, Instagram, PayPal jne)?
- 8) Kas mina haldan ja oman ülevaadet enda salasõnadega toimuvast, ilma et teised neile ligi pääseksid?
- 9) Kas mina olen kunagi kontrollinud enda seadmete uuenduste laekumist?
Milline on eelnevate küsimuste valguses õige käitumine? Erinevate uuringute kohaselt me kasutajatena seda juba teame. Kui mõni aspekt vajab siiski meeldetuletamist, siis kaitseväe küberhügieeni kursuselt on võimalik leida kasulikke näpunäiteid.
Lõpetuseks
Enam ei ole otstarbekas keskenduda tööandjate poolt üksnes organisatsiooni infosüsteemide tehnilisele või protseduurilisele turbe tagamisele. Fookusesse tuleb võtta töötajate isiklik küberhügieen ja isiklike seadmete turbeküsimused. Nii on toodud McAfee Labs aasta prognoosis välja, et tark tööandja peab hakkama mõtlema sellele, kuidas töötajate isiklike seadmete ja süsteemide turvalisus järele aidata.
Jätkates kasutajate harimisel üksnes teadmiste või oskuste andmisega, ei ole võimalik kasutajate käitumises soovitud muutusi esile kutsuda. Soovitud eesmärkide saavutamiseks tuleb kasutada teavituskampaania põhist lähenemist ja kombineerida omavahel eri meetodeid. Kokkuvõtvalt peab kasutajate käitumise suunamist terviklikult ja järjepidevalt mõjutama kampaania, mida toetavad erinevad väljaõppeüritused, õppused, veebiportaal ja veebipõhiseid materjalid, e-teavituskirjad, publikatsioonid, plakatid, jaotusmaterjalid, ekspertide ja koostööpartnerite (sh avalike ürituste) kaasamine jpm.
Euroopa Kaitseagentuuri küberkaitse inimfaktori mõjuanalüüsis on öeldud, et kasutajat ei tohiks vaadelda inimese ja tehnoloogia vahelistes süsteemides üksnes nõrkusena, vaid tuleb mõista ka tema tähtsust viimase kaitseliinina, kui tehnoloogia või protseduurid alt veavad. Selleks, et infosüsteemide kasutajatest saaksid süsteemi kaitsjad, kes lisaks kõigele ka enda turvalisust tagavad, läheb veel aega ja selleks tuleb muuta seniseid lähenemisi kasutajate käitumise mõjutamisel, sh väljaõppes.