Meil avanes hiljuti üsna tore ja huvitav võimalus külastada mitmeid infoturbe ja küberturbe konverentse. Need konverentsid olid ujutatud üle suhteliselt “uute” teemadega, nagu järgmine põlvkond, asjade internet, asjade interneti hajutatud teenusetõkestamise ründed, turbeinfo platvorm jms. Asjaolu, et mõned neist mõistetest on kujunenud “haibiks”, pole iseenesest probleem, ent me hakkasime juurdlema selle üle, kas mitte turbemaailm ei vaata asjadele valesti, nii et märkamata jäävad nõudmised, millega tuleks tegeleda.
Me tutvustame selles artiklis uut arusaama küberturbest, mis käsitleb seda pigem eesmärgina iseenesest, mitte millegi sellisena, mis on otseselt seotud ärivajadustega. Praeguse seisuga näivad väga paljud turbeorganisatsioonid “märgist mööda laskvat”.
Õppetund 1: Alustage äritegevusest (ja selle riskidest).
Praktikas võib turve olla ülimalt kompleksne, ent selle põhiolemus on üsna lihtne. Turve ei tähenda midagi muud, kui riskide vähendamist või elimineerimist ja eeskätt nähtavaks muutmist, et firma saaks neid aktsepteerida ja jätkata oma tööd – ei midagi rohkemat ega vähemat. Selle võimalikult efektiivselt ja tõhusalt tegemiseks peame meie, turbevaldkonna inimesed mõistma konkreetset äritegevust ning mitte vaatama seda üksnes IT perspektiivist, vaid laiemast, äritegevuse enda perspektiivist.
“KOGEMUS NÄITAB, ET ENAMIK HÄKKE (UMBES 90%) KASUTAB IKKA LIHTSAID MEETODEID JA NÕRKUSI: ÕNGEVÕTMISMEILE JA PAHAVARAMANUSEID.”
Äritegevusest alustades peame me esmalt tuvastama, kaardistama ja liigitama konkreetse äritegevuse ehk firma riskid. Teiseks peame me koostöös firmaga tegema kindlaks, milliste riskidega oleks vaja tegeleda ja millises järjekorras.
Kui see on tehtud, siis peaks firmas sees turbe eest vastutav isik koostama turbekava, mis kirjeldab soovitud muutuste saavutamist. Sellega tuleb sõnastada täpsed eesmärgid ja panna paika tähtajad. Ideaalis tuleks selle kõigega tegeleda nutikalt, ühe sammu haaval, et mitte võtta korraga käsile liiga palju projekte.
Õppetund 2: Koostage selge eesmärgiga samm-sammuline turbekaart.
Oma turbelähenemise (või turbekaardi) defineerimine on hädavajalik ning seda tuleks arutada firmas jooksvalt, et seda vastavalt vajadusele õigel ajal kohandada. Turbekaardi loomise ja järgimise käigus aitavad kõik defineeritud projektid kaasa riskide vähendamisele ja lõppeesmärgi saavutamisele.
On oluline mitte unustada ärieesmärke, sest turbe eest vastutavad isikud ei tohiks turbemeetmetega äritegevust piirata ega takistada. See pole raketiteadus ja seda ei tohiks sellisena käsitada. Plaani loomine peaks olema midagi sellist, mida mõistab igaüks ka ilma IT oskusi omamata. IT täidab loomulikult oma osa, ent seda alles viimasel hetkel, kui turbeprojektide ellurakendamiseks on vaja IT lahendusi.
Õppetund 3: Hoolitsege põhilise eest, enne kui rakendate keerukamaid turbelahendusi.
Me märkasime konverentse külastades, et enamik organisatsioone ei rakenda isegi peamisi turbemeetmeid, rääkimata siis keerukamatest turbelahendustest. Turbefirmade presentatsioonid oma tehnoloogiate kohta on tihti rabavad ja huvitava sisuga, ent need on lihtsalt enamiku firmade jaoks liiga keerukad. Pealegi näitab kogemus, et enamik häkke (umbes 90%) kasutab ikka kõige lihtsamaid meetodeid ja nõrkusi: õngevõtmismeile, pahavaramanuseid jms. Ja loomulikult ei tohi unustada kõige nõrgemat lüli – inimest.
Firmad peavad rakendama põhilisi turbelahendusi nende lihtsate riskide tarvis, enne kui pööravad oma tähelepanu keerukamatele tehnoloogiatele. Ka need on loomulikult olulised ja neid tuleks tulevikus rakendada, ent alles pärast peamise kindlustamist. Turbekonverentsidel keskendutakse tihti keerukatele ohtudele ja komplitseeritud visadele ohtudele, ent firmasid nagu TalkTalk ja Ashley Madison oleks ehk võinud ründe eest kaitsta koguni ainult peamiste turbemeetmete rakendamine.
Õppetund 4: Arendage õigeid partnerlussuhteid – koostöö infoturbe professionaalide vahel on hädavajalik.
Uued arengud tekivad kiiresti ning pahatahtlikud rühmitused ja üksikisikud kasutavad üha mitmekesisemaid ja keerukamaid ründeid ja taktikaid. Ükskord muutuvad keerukamad turbelahendused lahutamatuks osaks meie organisatsioonide laiematest turbekaartidest. Ent vundament peab olema paigas, enne kui “maja” saab hakata ehitama. Ning selle maja ehitamiseks on vajalik arhitekti, kinnisvaramaakleri, müürsepa, krohvija ja loomulikult koduomaniku vaheline koostöö.
See millegi koos ehitamise või rajamise tunne on täpselt see, mida turbemaailm vajab – arusaama koostöö vajalikkusest. Me peame tegema intensiivselt koostööd, sest sarnaselt maja ehitamisele pole reeglina ükski omanik ega arhitekt ühtlasi parim ka müüriladumisel, värvimisel või ehitusel üldiselt.
Ühelgi üksikul turbefirmal ei ole parimat lahendust iga turberiski tarvis, mistõttu on hädavajalik koos töötada. Need, kes teie firmale kahju teeks, juba tegutsevad selle nimel, mistõttu on aeg, et turbeprofessionaalid astuks neile üheskoos vastu. Me peame alustama omanikust (äritegevusest ehk firmast) ja vundamendist (turbekaart) ning looma, arendama ja hoidma siis suhteid õigete töövõtjatega (turbetarnijatega). Vaid nii saab ehitada tugeva, vastupidava ja turvalise maja.
“SEE MILLEGI KOOS EHITAMISE VÕI RAJAMISE TUNNE ON TÄPSELT SEE, MIDA TURBEMAAILM VAJAB – ARUSAAMA INTENSIIVSE KOOSTÖÖ VAJALIKKUSEST.”
Õppetund 5: Kaasake kõiki – see on ainus võimalus edu saavutamiseks.
Turbe ja äritegevuse vahelise kooskõla ja arengu saavutamiseks on vaja kahepoolset mõistmist ja tuge. Turbe eest vastutajad peavad suutma anda lühidaid ja arusaadavaid selgitusi firma kõikide erinevate huvirühmade osaluse kindlustamiseks. Kui see neil ebaõnnestub, siis ei mõista firma (ja selle juhatus) turbevajadusi, ei võta neid oma südameasjaks ega hakka teie plaanide (nende headusest hoolimata) rakendamist toetama. Nagu Einstein on öelnud: “Kui sa ei suuda seda lihtsalt selgitada, siis ei mõista sa seda piisavalt hästi!”
Autor: Dave Maasland (ESET Netherlandsi tegevdirektor) koostöös Fred Streeflandiga (LeaseWeb’i IT turbejuht)
Allikas: WeLiveSecurity
