Directo infoturbejuht Toomas Oper: “Ole IT-vaatlik!”

25. veebr. 2026

27. jaanuaril 2026 korraldasime veebiseminari, mis rääkis küberturvalisusest ja küberkindlustusest. Veebinaril osalejad esitasid meile mitmeid sisukaid küsimusi, millele andis vastused Directo infoturbejuht Toomas Oper. Siin toome Sinuni kõik Directot puudutanud küsimused ja vastused.

Küsimused ja vastused:

Mis oleks lihtne kuid lollikindel protseduur, et veenduda, kui hankija edastab info uue pangakonto kohta või üleüldse kui tekib uus hankija? Tänapäeval saab kõiki dokumente võltsida. Kas oleks mõistlik paluda vastaspoolel teha 1 EUR ülekanne, et veenduda?

Toomas Oper:
Kuna digitaalselt allkirjastatud dokumenti on raske võltsida, siis oleks üks võimalus see, et IBANi muutmine oleks allkirjastamist nõudev tegevus (teine osapool peab digiallkirjastama lepingu). Allkirja tuleb kontrollida sertifitseeritud teenusepakkuja juures.
1-sendine/eurone ülekanne ei välista otseselt pettust. Alates aastast 2025 on kehtiv EU nõue Verification of Payee (VoP), kus kontrollitakse saaja nime ja IBANi kokkulangevust. Kindlasti tuleb kontrollida, et teil oleks pangas see teenus peal ning pank ei teeks ülekannet, kui saaja nimi ja IBAN kokku ei lange.
Veel turvalahendusi:
– Open Banking / PSD2 põhised kontrollteenused – KYC
– panga kinnituskiri/sertifikaat – eIDAS kvalifitseeritud sertifikaat/allkiri, mida kontrollida
– rahvusvahelised registrid (EU business register jms)
– e-arve ntx PEPPOL jne
– hankija digiallkirjastatud PDF – eIDAS kvalifitseeritud sertifikaat/allkiri, mida kontrollida
– finantsosakond helistab ametlikule numbrile, mitte arvel olevale
– soovitatavalt kombineeritud meetodid

Tarneahelaründed, tippjuhi petuskeem – kuidas riske maandate ja millised kontrollid on Directos sisemiselt kasutusel ning mida soovitate kliendile?

Toomas Oper:
Need on kaks väga erinevat teemat ning lahendused on erinevad. Tarneahela rünnaku eest kaitsmiseks on väga oluline saada aru tarnija riskitasemest, teostada pidevalt tarnija DueDiligennce kontrolle ning kehtestada tarnijale infoturbe nõuded. Lisaks minimeerida õigusi ja ligipääse – võimalusel teha hankijale ka nn micro segmente.
Tippjuhi petuskeem: tüüpiliselt on ettevõtted juurutanud kõrgendatud riskiga tegevuste juures nn 4 silma reegli ning kokku on lepitud tegevused ja küsimused, mida mitte kunagi ei tehta e-kirja või Teamsi vahendusel, vaid alati otse silmast silma. Kui selliseid reegleid ei ole paika pandud, siis soovitame sellega kohe tegelema hakata.
Directos on arvete jm dokumentidega turvaliseks tegelemiseks väga hästi sobiv Menetluse kasutamine, kus kõik arved peavad läbima 8mitmetasandilise) menetluse protsessi vastavalt ettevõttes kehtestatud reeglitele.

Meie tarkvara on mõeldud autohooldustöökojas hooldusega seonduvate tegevuste digitaliseerimiseks, üks funktsionaalsustest on liidestus raamatupidamis- ja teiste tarkvaradega, ehk “liigutame meie kliendi andeid teiste tarkvarade vahel” (kaasa arvatud raamatupidamine, peamiselt arved). Meie küsimus: kuidas ennetada/maandada riske API-ga liidestamistel, millele pöörata rohkem tähelepanu?

Toomas Oper:
API liidestamisel peab pöörama tähelepanu mitmetele asjadele:
1. Autentimise ja saladuste haldus (kõige kriitilisem) – ära hardcode’i api võtit, vaheta võti koheselt, kui on kahtlus, et see on lekkinud. Kasuta IP piirangut.
2. Kontrolli sertifikaati, mida server esitab, et vältida man-in-the-middle rünnakuid. Man-in-the-Middle on rünnak, kus kurjategija sekkub salaja kahe süsteemi vahelisse suhtlusse, et andmeid pealt kuulata või neid omavoliliselt muuta.
3. Vastupidavus ja tõrketaluvus (inglise keeles Resilience) – kasuta lühikesi timeoute, ehita üles retry loogika – näiteks Exponential Backoff meetod (oota 1 sek, siis 2 sek, siis 4 sek jne). Kui saad ikka vea, siis peata protsess teatud ajaks automaatselt, et server saaks taastuda.
4. Valideeri sisendit ja väljundit ning väldi oma baasi koguinfo salvestamist, salvesta ainult seda, mis on tegelikult vajalik.
5. Ära kirjuta logisse tundlikku infot nagu API võti!

Kes on Eestis pädevaimad küberturvalisuse testijad näiteks Microsoft -i tarkvara osas?

Toomas Oper:
Eestis on palju teenusepakkujaid, kes on antud valdkonnas väga pädevad. Tasub küsida testijate käest vajalikud referentsid ja koostada testi skoop, et saada võrreldavad pakkumised.

Palun rääkida ka paroolihalduse võimalustest.

Toomas Oper:
Kindlasti tuleb kasutada paroolihalduse tarkvara. Tarkvarasid on palju ning tuleks uurida funktsionaalsusi, mida vajate, kas on olnud infoturbe intsidente ning milliseid. Brauserite sisse ehitatud vaikimisi seadistustes paroolihaldurid ei ole piisavad ning pahalastel on võimalik sealt parooli ikkagi varastada. Tasub rõhutada, et paroolihaldur üksi on haavatav, kui sellel pole tugevat 2FA-d (nt riistvaraline võti nagu YubiKey).

Kuidas kontrollida, et arve saatja on ka tegelik koostööpartner, mitte pahalane. On olnud juhtub, kuidas koostööpartneri emaili pealt tuli vastus/reply eelnevale kirjale sisuga, et pangaandmed on muutunud ja palun teha ülekanne uuele IBANile (lisas seesama leping koos sisuga, päises muudetud IBAN). Allkirjastatud jne… AGA, tegemist oli petukirjaga.

Toomas Oper:
E-kirjasid on võimalik nn kaaperdada ning lisada sinna pahatahtlik info. Digiallkirjastatud lepingute puhul tuleb dokumendil alati üle kontrollida allkirja õigsus.

Kas ja kuidas on kaitstud Dircto äritarkvara küberrünnaku (AI küberrünnak) eest?

Toomas Oper:
Directo kasutab mitmekihilist küberkaitset ning teeb pidevalt ja regulaarselt teste, et avastada turvaauke, ning jälgib küberturbes toimuvaid arenguid ning tegutseb vastavalt muutustele. AI’d saab kasutada nii küberründes aga õnneks ka küberkaitses. AI rünnakud põhinevad samadel põhimõtetel kui inimese tehtud, seetõttu on kaitse ka sarnane. AI võltsingud on aga väga head ning deepfake Teams kõned on täna reaalsus. Selleks on aga õnneks juba infoturbe teenuste pakkujatel lahendused olemas. Kuid parim kaitse on siiski sisemine kord, näiteks “me ei tee kunagi ülekandeid videokõne peale ilma täiendava kinnituseta teises kanalis”.

Mis on parim praktika uue hankija taustakontrolliks, mis protseduure ja dokumente küsida, veendumaks, et hankija andmed, sh pangakonto vastab tõele. Meil on palju Aasia hankijaid.

Toomas Oper:
Verifitseeri uued hankijad ametlikult panga kinnituskirja ja videokõne abil, et välistada meilivahetuse kaaperdamine ja kinnitada konto kuuluvus. Aasia turu puhul on kriitiline ka ettevõtte kehtivuse kontrollimine kohalikus äriregistris. Kui hankija teatab meili teel pangakonto muutusest, siis eira seda meili ja helista neile varem kokkulepitud (mitte uues meilis olevale) numbrile üle. Pangakontosid muudetakse harva – pettusi tehakse aga iga päev. Vaata ka kõige esimese küsimuse vastust.

Küsin üle, kas e-arved on turvalisemad kui PDF’d, aga kui turvalised? Kas ka nendega on võimalik petta ja kui lihtsalt?

Toomas Oper:
E-arved on PDF’dest tunduvalt turvalisemad, kuna need liiguvad manipuleerimiskindlalt süsteemist süsteemi, vältides ebaturvalist e-posti teel saatmist. Pettuse risk on nendega minimaalne ja eeldab tavaliselt hankija enda majandustarkvara otsest kompromiteerimist, mitte lihtsalt dokumendi võltsimist.

Kas Directo süsteemis on olemas kahefaktoriline autentimine (2FA) kasutajate sisselogimiseks?

Toomas Oper:
Jah, Directo toetab kahefaktorilist autentimist: Smart-ID, ID kaart ja mobiilID.

Veebiseminari saad järelvaadata siin.

◆