fbpx

Kübereturvalisuse veebiseminari Q&A

13. apr. 2023

12. aprillil 2023 toimus Directo ja Cybernetica koostöös veebiseminar “Ettevõtte küberturvalisus. Investeeri ennetusse – tagajärgedega tegelemine on kallim”. Siin on veebiseminaril osalejate poolt esitatud küsimused ning vastused nendele.

Veebiseminar on järelvaadatav siin: www.voogle.ee/directocyber (logi sisse oma nime ja e-mailiga).


Veebinaril esitatud küsimused ja nende vastused:

Millise vahendiga saab reaalajas LINUX-i turvalisust monitoorida/jälgida?

Linuxile väga palju häid viirusetõrje ja monitoorimislahendusi turul ei olegi. Linuxile on samas suunatud ka üsna vähe pahavara ning edukaid ründeid on vähe. Seega juba iseenesest Linuxi kasutamine on turvalisem.

Teie arvamus AI kohta, kuidas võib mõjutada küberturvalisus valdkondale?

Selgelt mõjutab. Ühelt poolt aitab kaitsta. Näiteks on võimalik AI’d kasutades kaardistada ettevõtte normaalne olukord ja tuvastada anomaaliad. Samuti on võimalik kasutada ründamiseks. Hea ja lihtne näide on Chat GPT, mis genereerib mängleva kergusega tekste, mida saab ära kasutada õngitsuskirjade koostamiseks. Keerukamaid süsteeme saab tulevikus võltsveebilehtede loomiseks kasutada jne.

Milline on tõenäoline kahju, mis võib Eesti keskmisele ettevõttele küberrünnakust tekkida? Milline oleks piisav investeering küberturvalisusesse?

Riskide kvantifitseerimine sõltub ettevõtte spetsiifikast. Rusikareeglit ei ole. Kõige õigema pildi saab kaardistades ettevõtte varasid ja analüüsides tööseisakuid, andmekadu ja -lekkeid. Majandus- ja kommunikatsiooniministeeriumi riikliku küberturvalisuse osakond koostöös Ernst&Young’ga on koostamas ettevõtetele küberturvalisuse kulude arvestamise mudelit, mida plaanitakse tutvustada kõigile huvilistele. Huvilised saavad endast teada anda . Oluline on, et küberturve oleks tavalise protsessijuhtimise loogiline osa ja võib olla ei peaks eraldi eelarvet selleks olemagi.

Väga paljud ettevõtted kasutavad oma töös Office 365 rakendusi. Kui turvaliseks Office 365 peate? Kas lisaks mitmetasandilisele autentimisele ja täiendava back-upi tegemisele (näiteks Veeami abil) soovitate veel mingeid meetmeid, mida tuleks igal juhul kasutada?

Me ei ole otseselt O365 spetsialistid. Tegemist on kolmanda osapoole pilvelahendusega, kes on väga huvitatud oma mainest ja investeerib turvalisusesse väga palju. Tuleb jälgida MS poolseid juhiseid, teha uuendusi ja rakendada parimaid praktikaid. Soovitame üle vaadata, kas teil on paketis sees back-upid ja kas need on sisse lülitatud.

Mis on tähtsam, kas küberturve või võrgu ja seadmete skaneerimine? Või mõlemad?

Seadmete skaneerimine on üks küberturbe alla kuuluvatest meetoditest. Mida pidada kõige tähtsamaks, sõltub ettevõtte spetsiifilistest riskidest ja prioriteetidest. Kui andmete leke pole oluliseks probleemiks, siis võib näiteks olla hoopis kiire andmete ja tavapärase töö taastamine tähtsam kui skaneerimine.

Mida teha, kui keegi on saanud ligipääsu minu arvutile?

Kuidas käituda siis kui juba on süsteemi (võrk, tarkvara, mille sees on raamatupidamine, ost, laosaldo jne.) sisse häkitud? Mis võimalused on süsteem turvaliseks tagasi saada?;

Katkesta internetiühendus. Võta ühendust RIA/CERT-EE’ga (https://www.ria.ee/kuberturvalisus/kuberintsidentide-kasitlemine-cert-ee/kuberruumi-seire-ja-intsidentide-tokestamine).

Kas Directo tarkvaraga on midagi juhtunud (on häkitud tarkvarasse sisse ja tehtud igasugu asju, mida ei tohiks teha), kui on olnud, kuidas sellised olukorrad ära parandatud on, kui suured mõjud on olnud ettevõttel, kes seda tarkvara kasutavad?

Selliseid juhtumeid ei ole esinenud ja teeme Directos kõik, et neid ka tulevikus ette ei tuleks.

Kui veebirakendus hoiab faile Eestis S3 platvormis, kust saadakse rakendusse avalikku materjali, mida kuvatakse kasutajatele… Siis kas samas kohas on turvaline hoida isikut tõendavate dokumentide fotokoopiaid (isikutuvastuseks)? Kas S3 saab turvaliselt seadistada?

Kindlasti saab turvaliselt pilves andmeid hoida. Näiteks krüpteerides fotokoopiad ID-kaardiga. Krüpteerides ei olegi tähtis, millises pilves andeid hoitakse, sest krüpteering kaitseb andmelekke eest. Siiski sõltub kõik ka konkreetsest rakendusest. Seadistamise tuge tasub küsida oma AWS sertifitseeritud pilveteenuse partnerilt.

Kas on mõistlik Linuxis SSH’s kasutada 2fa?

Turvalisem on alati kasutada mitut faktorit. Tõenäoliselt on olukordi, kus küberintsidendist tekkiv kahju on ebaoluline. Siis tähendab teise faktori kasutamine olulist viivitust ning seda pole ka otseselt vajalik kasutada.

Kas mitmetasandiline autentimine on jagatud arvutite, nt. poe kassade puhul vajalik?

Kassadesse peaks iga kasutaja eraldi sisse logima. 2FA ei pruugi olla vajalik, oluline on hinnata käideldavust. Hinnata riske. Max piiratud õigustega kasutaja.

Palun selgitage Eestis asuvale e-kaubandusele kehtivad turvalisuse nõudeid, kui vastu võetakse kaardimakseid, makseid üle pangalingi ja digirahakottide.; ; Mida peaks teadma iga e-kaupleja, kes ei ole IT spetsialist, et täita  PCI DSS nõudeid ja vastata adekvaatselt PCI Self Assessment A kategooria küsimustikule?; ; Milliseid oleksid soovitatavad krüpteerimise meetodid ja etapid isikuandmete kogumisel, hoidmisel ja edastamisel?; ; Milline avalik pilveserver neist on ettevõtte andmetele pigem turvalisem kui teised: MS Sharepoint, MS OneDrive, Google Cloud, Dropbox?; ; Millised on turvalisuse erinevused avaliku, erakasutuses ja hübriidsete pilveserverite puhul? Palun tooge näited ja soovitusi, milliseid võiks Eesti väikeettevõttele kõige paremini sobida.; ; Kas ettevõttele on vajalik ja/või kasulik täita ISO27001, PCI ja SOC2 standardite nõudeid? Mis on eri standardite nõuete erinevused ja kokkulangevused?; ; Millised on mõistliku kuluga füüsilised turvakontrollid, mida peaks rakendama andmete hoidmisel pilveserveris, millele on ligipääs kontoriarvutitest?; ; Millised on parimad paroolihoidlad meeskondadele, kus on võimalik hoida paroole, millest osad on ja osad ei ole isikustatud?; ; Kuidas viia odavalt läbi haavatavuse ja andmerikkumise teste? ; ; Milliseid turvalisuse meetmeid peaks rakendama ISP? Kas nende meetmete olemasolu saab klient kontrollida?; ; Selgitage palun detailides, milline on üks hea turvarikkumise intsidendile vastamise tegevuskava (Breach Incident Response Plan). ; ; Kui e-kaubandusega tegeleja puhul kasutatakse ; a) pilveplatvormi, et luua e-kaupluse veebileht, näiteks Voog, Greative, Wix või Weebly ; b) veebimajutust, näiteks Zone või Microsoft või Wix; Kui veebilehe kaudu kogutakse ostjate kontaktandmeid, siis kelle hoole alla tekib andmebaas? Milliste turvalisusnõuete täitmist kaupleja andmebaasihoidjalt nõuda saab?

Nii põhjalikud küsimused nõuavad juba sügavamat analüüsi, arutelu ja konsultatsiooni. Soovitame olukorra analüüsiks ja lahenduste leidmiseks ühendust võtta Cybernetica spetsialistidega e-mailil , lisainfo: https://cybersec.cyber.ee.