Küberturvalisuse tagamine organisatsioonis koosneb enamlevinud käsitluse kohaselt kolmest osast: inimesed, protsessid ja tehnoloogia, mis tuleb tervikliku kaitse tagamiseks integreerida. See eeldab, et omavahel ühendatakse tehnilised vahendid, olulised protsessid ja sotsiaalvaldkonna teadmised inimese käitumise kohta. Ründaja eesmärk on nendest kolmest nõrgim lüli valida välja ja tegutsema asuda.

On laialt teada asjaolu, et kasutajatest on saanud infoturbe tagamisel nõrgim lüli. Probleem seisneb selles, et kasutajate teadmised küberturbest jäävad loosungite tasemele, kuid kasutajate käitumises sellised teadmised enam nii selgelt ei väljendu.

Pahavaraga seotud probleemid ja isiklike seadmetega tööasjade tegemine jpm on autori kogemuse kohaselt põhilised igapäevaseid küberturbealaseid intsidente põhjustavad nähtused. Samale järeldusele on jõutud paljudes uuringutes ja ka Saksmaa 2014. aasta küberturvalisuse kokkuvõttes, mille kohaselt tihti on kasutajad ohtudest teadlikud, kuid ei võta enda kaitsmiseks kasutusele vajalikke meetmeid.

Theodoros Nikolakopulos tõi erinevate uuringute põhjal esile, et tihti näevad kasutajad arvutit kui suvalist musta kasti, mõistmata selle funktsionaalsust ja sellest tulenevaid ohte. Nad kasutavad arvutit hoolimatult ja käivad ümber tundlike andmetega ilma turvalisusele mõtlemata. Kasutajad keskenduvad üksnes sellele, kuidas saaks töö tehtud, pööramata tähelepanu sellele, kuidas teha seda turvaliselt, mis loob ründajaile soodsa pinnase.

Rünnata ja kindla peale ära võtta tähendab rünnata kohta, kus pole kaitset.
Sun Zi

Seda, et kasutajad on haavatavad, teavad väga hästi ründajad, kes otserünnaku asemel tehniliselt kaitstud süsteemi vastu, näiteks kaitseväe infosüsteemi vastu, kasutavad hoopis manöövrit ja ründavad kasutajat ja tema isiklikke seadmeid. Chan D. Lieu tõi juba 2002. aastal välja, et kuna kasutajad on kõikjal tihedas kokkupuutes infosüsteemidega ja nemad on süsteemi nõrgim osa, on see nõrkus hästi teada. Viimase kümne aastaga ei ole selles valdkonnas suuri muutusi toimunud.

Küberturbe ohte analüüsiva McAfee Labs uurimiskeskuse 2016. aasta prognoosi kohaselt suurenevad aga pidevalt rünnakud kasutajate isiklike seadmete ja süsteemide vastu, sest tegu on kaitsetute ja pehmete sihtmärkidega, mille kaudu proovitakse kasutajate hooletust kasutades jõuda tööandja infosüsteemideni või vajalikud andmed kasutajate seadmetest kätte saada.

Pahalane meie endi seas

Pahavaraga nakatunud hävitaja, mis ei ole enam lahinguvõimeline. Küberrünnakuga rivist välja löödud õhutõrjesüsteem, mis ei tuvasta vastase lennuvahendeid ega kaitse õhurünnakute eest. Kai ääres dokis seisev varustuslaev, mille navigatsioonisüsteem krüpteeriti, kuna kapten otsustas tühjaks saanud isikliku nutitelefoni akut süsteemis laadida. Vastasele lekkinud kaitse- ja lahinguplaanid, käsud ja korraldused jpm. Eelnev ei ole fantaasia, vaid praeguseks juba maailmas aset leidnud sündmused. Kõik eelnev ja sellest veelgi enam on lihtsasti teostatav meie puuduliku küberhügieeni tõttu. Mille põhjal ma seda väidan?

Hea võitleja näeb vaenlase tugevaid külgi ja mõistab tema vajakajäämisi. Ta näeb vaenlase puudujääke ja mõistab tema ülejääke.
Sun Zi
Esiteks seetõttu, et minul ja tõenäoliselt ka sinul on õppusel või nõupidamisel taskus isiklik nutitelefon, mis puuduliku hügieeni tõttu on täis „legaalset“ pahavara ja mis jälgib meie liikumisi, kuulab pealt vestlusi ning jäädvustab muid sündmusi. Teiseks on meie töölaual isiklik sülearvuti või tahvelarvuti, mida kasutame igapäevaselt administraatori õigustes, kus pole viirusetõrje tarkvara ja mis on täis erinevatest teadmata allikatest pärit filme, muusikat ja pahavara. Kolmandaks on meie salasõnade haldus kasvanud üle pea ja nende majandamisega hakkama saamiseks kasutame korduvaid salasõnasid, loome salasõnasid ühe ja sama loogika alusel, salvestame neid veebilehitseja aknasse, kirjutame ülesse paberile või hoiame avatud tekstina arvutis mõnes dokumendis või nn märkmetes. Seda loetelu võiks pikalt jätkata, kuid kokkuvõttes ei ole siin midagi uut, vaid tegu on kõigile tuttava olukorra kirjeldusega.

Eespool kirjeldatud probleemi ulatuse täpsemaks tuvastamiseks, kinnitamiseks või ümber lükkamiseks ja olukorra parandamiseks viidi kaitseväes 2015. aasta esimesel poolel läbi küberturvalisuse küsitlus. Uuringu tulemused kinnitasid probleemide olemasolu. Selgus, et kasutajate käitumises on järgmised probleemsed valdkonnad:

  • 1) Ei kasutata pahavarakaitset, ei tegeleta andmete varundamisega ja kasutatakse administraatori õigusi;
  • 2) Salasõnade haldus on puudulik (korduv salasõna, salasõna jagamine, salasõnade regulaarne mittevahetamine, „jäta mind meelde“ funktsionaalsuse kasutamine);
  • 3) Kasutatakse avalike WiFi-võrke, ei lukutata seadmeid, jäetakse uuendamata tarkvara;
  • 4) Usaldatakse sotsiaalmeedia teenusepakkujatele isiklikke andmeid, ei tunta huvi rakenduste õiguste vastu, ei muudeta turvaliseks kodust WiFi-võrku.

Uuringu kohaselt jätab iga kolmas kasutaja oma isiklike seadmete kaitsmiseks tegemata märgataval hulgal toiminguid ja suurem osa kasutajaid jätab tegemata mõne toimingu. Kokkuvõttes on uuritud infosüsteemide kasutajad isiklike seadmetega ümberkäimisel sama hooletud kui keskmine eestimaalane.

Mõtlemapanevalt tõi käesolev uuring välja, et hoolimata sellest, et kümnest kasutajast üheksa puutuvad aastas kokku suure hulga rämpspostiga ja aastas korra või tihedamini puutub pahavaraga kokku kümnest kasutajast seitse, on siiski palju neid, kes ei kasuta enda kõikides seadmetes pahavara kaitset. Selline olukord on eriti ohtlik, kuna Fraunhofer FKIE 2013. a küberkaitse inimfaktori uuringus on välja toodud, et enamiku ründevektorite eesmärk on süsteemidesse sisse tungida, selleks kasutatakse tõenäoliselt õngevõtmise e-kirju, mis on kombineeritud pahavaraga, mis süsteemi nakatab ja ründajale ligipääsu tagab.

Kui nutiseadme kasutaja pole seadmele pahavara kaitset paigaldanud, muudab ta sellega ründaja tegevuse äärmiselt lihtsaks. Seda on märganud ka kurjategijad ja vaenulikud riigid. Näiteks Taani luure 2015. aasta avaliku ohtude kokkuvõtte kohaselt rünnatakse peamiselt just nutiseadmete kasutajaid, et jälgida kasutaja liikumisi, kuulata pealt vestlusi ja saada ligi kasutaja andmetele. Sama probleem nutiseadmetega on välja toodud ka Saksamaa küberturvalisuse sama aasta kokkuvõttes.

Eelnevast järeldub, et tundlike andmete süsteemidega opereeriva tööandja jaoks on isiklike seadmete kasutamine suur ohuallikas, mistõttu tuleks tõhusalt takistada tööalaste andmete kandmist isiklikesse seadmetesse või kodustest seadmetest tööandja infosüsteemidesse. Lisaks ei tohiks lubada tööandja eri infosüsteemide, võrkude või veebiteenuste kasutamist viisil, mis on seotud tööalaste kontode kasutamisega isiklikest seadmetest.

Tööandja peab arvestama võimalusega, et töölaual olev töötaja isiklik nutiseade (nutitelefon, tahvelarvuti, nutikell jpm) võib salvestada tööalaseid vestlusi ja jälgida kasutaja liikumisi ning tegevust. Eriti problemaatiline on selline olukord sõjaliste tegevuste (sh õppuste), manöövrite või nende planeerimise käigus. Isiklikud nutiseadmed nõupidamistel, õppustel, missioonidel, relvastatud konfliktides on märkimisväärsed ohud, mis mõjutavad kõikjal maailmas relvajõudude reageerimisvalmidust, operatsioonide elluviimise tulemuslikkust ja konfidentsiaalsust.

Teadmised, oskused ja hoiakud

Et kasutaja ei oleks nõrgim lüli, tuleb teda harida. Christopher Hadnagy on öelnud, et teadmistes peitub jõud ja väljaõpe on parim kaitse enamiku rünnakute vastu. Seda isegi olukorras, kus teadmised ei anna küll otseselt täielikku kaitset, kuid hoiavad kasutaja valvel.

Teadmistepõhise lähenemise kitsaskohtadest on kirjutanud Alan R. Andreasen, kes tõi välja, et sellise lähenemise üks ohte on asjaolu, et teadmistepõhine lähenemine pole keskendunud käitumisele, vaid üksnes eeldab, et kui on olemas teadmised, järgneb ka käitumine. Asjaolu, et teadmised ei tähenda veel kohase käitumise saavutamist, on toodud välja paljudes uuringutes.
Ei piisa sellest, et teatakse – teadmisi tuleb ka rakendada. Ei piisa sellest, et tahetakse – tuleb vastavalt ka tegutseda.
J. W. Goethe

Infosüsteemide kasutajate teadmiste ja käitumise vahelist ebakõla on esile toodud ka Eestis läbiviidud TNS Emori 2014. aasta nutikaitse uuringus. Uuringu põhjal selgus, et paljudel nutitelefonide ja tahvelarvutite (edaspidi nutiseadmete) kasutajatel on teadmine, kuidas enda andmeid seadmetes kaitsta, kuid paljud seda käitumises ei järgi. Eelnevale lisandub asjaolu, et üldised teadmistele keskenduvad kursused, mis ei võta arvesse hoiakute kujundamist, ei ole tulemuslikud. Selle tõid oma uuringu kokkuvõttes välja inimfaktori mõjude küberturvalisuse nüanssidele keskendunud uurijad Kathryn Parsons, Agata McCormac, Marcus Butavicius jt.

Seega ei seisne probleem kasutajate puudulikes teadmistes, vaid nende käitumises. Talis Bachmann ja Rait Maruste on välja toonud, et kui soovime muuta või suunata kellegi käitumist, siis edu on võimalik saavutada üksnes siis, kui suudame muuta teise poole hoiakut.
Eespool öeldule toetudes saab öelda, et kui eesmärk on lahendada kasutajate seadmetega ümberkäimisel esinev vastuolu nende teadmiste, oskuste ja käitumise vahel, on oluline keskenduda kasutajate hoiakute muutmisele. Seda põhjusel, et kasutajate teadmised on piisavad, kuid nende hoiakud on käitumise aluseks.

Vaimu töötlemine

Michael E. Whitman ja Herbert J. Mattord on välja toonud, et teavituskampaania on organisatsioonides kõige vähem kasutatud, kuid kõige tõhusam kasutajate käitumise mõjutamise võimalus. Nende käsitluses sisaldab hea teavituskampaania uudiskirjutisi näiteks paberväljaannetes, e-postile või siseveebis, plakateid, videomaterjale, flaiereid, infolehti stendidel ja nipsasju. Teavitustegevused peavad olema järjepidevad ja lähtuma põhimõttest: kasutajaid on võimalik mõjutada nende käitumist parandama, kui neile pidevalt infoturbe teemasid meelde tuletada.

On olemas maailmas ainult kaks jõudu, mõõk ja vaim. Kuid lõppude lõpuks võidab vaim alati mõõka.
Napoleon Bonaparte
Üldsusele suunatud kampaaniast rääkides tõi Chris Rose välja, et juba üksnes probleemi näitamine võib panna inimesed muret tundma, kuid see ei pruugi mõjutada neid veel kohaselt käituma. Käitumise muutmiseks tuleb auditooriumile näidata võimalust midagi muuta ja lahendust võimaluse kasutamiseks. Rose’i hinnangul peab hea kampaania olema hulk samme, kus üks viib teiseni, nii nagu doominos. Ta lisab, et kuskil peab alati midagi toimuma, keegi peab midagi publitseerima, kedagi kaasama jne. Rose toob välja, et hea kampaania osaks on ka konfliktid, mis kajastavad erinevate poolte seisukohti ja selgitavad välja, mis on inimesele parim.

Austraalia valitsuse tellitud küberturvalisuse valdkonna teavituskampaaniaid võrdlevast analüüsist selgus, et kõige tulemuslikumad on kampaaniad, mis on seotud väljaõppeürituste ja muude oskuste andmisele suunatud tegevustega (sh arvutimängud, veebipõhised küsitlused ja võistlused). Relvajõudude kontekstis lisanduvad siia tingimata kübervaldkonna integreerimine erinevate tasemetega õppustega. Küberrünnakud, küberkaitse, infosüsteemide tagamine ja küberhügieen ei ole üksnes IT-tegelaste või side relvaliigi teemad. Need on valdkonnad, kus kõikidel on oma roll täita ja seda tuleb harjutada, harjutada ja veelkord harjutada.

Mis saab edasi

Kaitse ennast küberruumis ja sellega aitad kaasa tugevama julgeolekukeskkonna loomisele!

Turvalisuse küsimustes tuleb kasutajate vastumeelsus esile turbemeetmete rakendamise ebamugavuse tõttu, kuna kasutusmugavus tuleb tihti turvalisuse arvelt, pealegi ei pruugi kasutaja näha otsest isiklikku kasu, kui ta täiendavad meetmed kasutamisele võtab. Seda tingimustes, kus küberohud on kasutajale vahetult nähtamatud ja turvalisuse tagamiseks peab ta tegema täiendavaid samme (kulutama enda aega) või millestki koguni loobuma (nt piraatlus või isiklikud nutiseadmed õppustel). Samas pole riigikaitse koht, kus mugavus peab käima enne turvalisust ja kõikide tehtud pingutused ning töötulemused võivad kõigest paari hiireklõpsuga vastu taevast lennata. See on küsimus, mida ei tohi ignoreerida ükski infosüsteemi kasutaja.

Et saaksid enda turvalisuse tagamisele kaasa aidata, vasta järgnevatele küsimustele ja tee endal asjad korda:

  • 1) Kas mina hoian töö- ja eraasjad üksteisest lahus?
  • 2) Kas minu tahvelarvutis ja nutitelefonis on pahavarakaitse?
  • 3) Kas minu arvutis ja tahvelarvutis on erinevatel kasutajatel erinevad kasutajakontod?
  • 4) Kas mina pean igapäevaselt arvutis/tahvelarvutis administraatori kontot kasutama?
  • 5) Millal varundasin arvutis, nutitelefonis jne enda olulisi andmeid?
  • 6) Kas minu kodune WiFi on seadistatud vastavalt turvalise kasutamise soovitustele?
  • 7) Kas mina kasutan võimalusel alati kaheastmelist autentimist (nt Gmail, Hotmail, Outlook, Facebook, LinkedIn, Dropbox, LastPass, Instagram, PayPal jne)?
  • 8) Kas mina haldan ja oman ülevaadet enda salasõnadega toimuvast, ilma et teised neile ligi pääseksid?
  • 9) Kas mina olen kunagi kontrollinud enda seadmete uuenduste laekumist?

Milline on eelnevate küsimuste valguses õige käitumine? Erinevate uuringute kohaselt me kasutajatena seda juba teame. Kui mõni aspekt vajab siiski meeldetuletamist, siis kaitseväe küberhügieeni kursuselt on võimalik leida kasulikke näpunäiteid.

Lõpetuseks

Enam ei ole otstarbekas keskenduda tööandjate poolt üksnes organisatsiooni infosüsteemide tehnilisele või protseduurilisele turbe tagamisele. Fookusesse tuleb võtta töötajate isiklik küberhügieen ja isiklike seadmete turbeküsimused. Nii on toodud McAfee Labs aasta prognoosis välja, et tark tööandja peab hakkama mõtlema sellele, kuidas töötajate isiklike seadmete ja süsteemide turvalisus järele aidata.

Jätkates kasutajate harimisel üksnes teadmiste või oskuste andmisega, ei ole võimalik kasutajate käitumises soovitud muutusi esile kutsuda. Soovitud eesmärkide saavutamiseks tuleb kasutada teavituskampaania põhist lähenemist ja kombineerida omavahel eri meetodeid. Kokkuvõtvalt peab kasutajate käitumise suunamist terviklikult ja järjepidevalt mõjutama kampaania, mida toetavad erinevad väljaõppeüritused, õppused, veebiportaal ja veebipõhiseid materjalid, e-teavituskirjad, publikatsioonid, plakatid, jaotusmaterjalid, ekspertide ja koostööpartnerite (sh avalike ürituste) kaasamine jpm.

Euroopa Kaitseagentuuri küberkaitse inimfaktori mõjuanalüüsis on öeldud, et kasutajat ei tohiks vaadelda inimese ja tehnoloogia vahelistes süsteemides üksnes nõrkusena, vaid tuleb mõista ka tema tähtsust viimase kaitseliinina, kui tehnoloogia või protseduurid alt veavad. Selleks, et infosüsteemide kasutajatest saaksid süsteemi kaitsjad, kes lisaks kõigele ka enda turvalisust tagavad, läheb veel aega ja selleks tuleb muuta seniseid lähenemisi kasutajate käitumise mõjutamisel, sh väljaõppes.