E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid

Seekordseks teemaks andmeturve, teema mis on väga põnev, samas ka väga keeruline. Kunagine häkker, kes oli tagaotsitav FBI poolt ning hilisem turvaekspert Kevin Mitnick ütles, et andmeturve on kolme asja korrutis: tehnoloogia, koolitus ja reeglid. Kui üks neist on null või nullilähedane, on seda ka kogutulemus. Tabav mõtteviis, selle näitamiseks valisin teemaks õngitsemise ehk "phishing" mis on tänapäeval üks levinuim küberoht.

Tehnoloogia

Aastaid tagasi sai õngitsemis kirjast tunduvalt lihtsamalt aru, kui tänapäeval. Vigane eesti keel, kahtlane saatja aadress, imelik link aga asjad on muutunud päris kiirelt. Nüüd kasutavad ründajad tehisintellekti mis suudab kirjutada grammatiliselt peaaegu täiusliku meili minutitega ning personaliseerida seda sinu nime ja ametikoha järgi. Isegi saatja aadress võib olla peaaegu identne päris aadressiga, üks täht vahetatud või üks märk muutunud. Kui kunagi said grammatika vigade järgi lihtsasti aru, siis see enam nii hästi ei toimi. Tehnoloogia areneb, areneb ka selle kasutaja ja seda enam pahatahtlikud inimesed. Tekkinud on uued meetodid nagu QR-koodi phishing, kus pahatahtlik link on peidetud pildi sisse ja traditsiooniline meilifilter seda üldse ei näe.

Mis on need tavad kuidas me saame ennast kaitsta selliste asjade eest? Keeruline määrata kuna tihtipeale on iga asja ümber kerge "backdoor".  Aga sellegipoolest kaitsma peame end ikka, tehnoloogia poolelt on vaja isegi mitmekihilist kaitset: meilifiltrid, mitmefaktoriline autentimine, domeenipõhised kontrollid nagu DMARC ja SPF ning brauseripõhised turvalahendused. 

Koolitus

Faktid räägivad enda eest: 

• Eestis kaotasid inimesed 2025. aastal pettustele kokku 29 miljonit eurot ja suur osa sellest algas just õngitsemisega. 
• RIA tuvastab igakuiselt sadu õngitsemis lehekülgi, ainuüksi 2024. aasta detsembris oli neid rekordiliselt 735. Mõned levinumad skeemid on kullerteenuste nimel saadetud sõnumid ja võltsitud pangalehed, kus inimesed sisestavad oma andmed. 
• 2026. aasta märtsis tabas Eesti riigiasutusi suunatud õngitsemise rünnak, kus juba pelgalt lingile klõpsamine andis ründajale seadme üle kontrolli. 

Kõlab ebaloomulik, aasta on 2026, sellised pettused on kestnud aastakümneid aga ikka langeb nii suur hulk inimesi nende ohvriks. See näitab, et teadlikkus lihtsalt ei ole seal, kus ta peaks olema. Koolitus ei saa olla ühekordne loeng mille järel linnuke kirja pannakse vaid pidev protsess, kuna ründemeetodid muutuvad pidevalt ning see ei puuduta ainult tööinimesi, iga inimene peaks need baasteadmised saama ja neid ka lähedastele edasi andma.

Reeglid

Idee on lihtne, organisatsioonides on vaja selgeid protseduure: mida teha, kui saad kahtlase kirja, kellele teatada, kuidas käituda, kui oled juba lingile vajutanud. Ilma reegliteta jääb inimene üksi oma otsustega ja tihtipeale teeb vale valiku, mitte pahatahtlikkusest vaid lihtsalt teadmatusest. Eestis on RIA hallatav ISKE süsteem mis annab infosüsteemidele turvaraamistiku aga tavainimeseni see ei jõua. Tore oleks, kui iga tööandja kehtestaks vähemalt elementaarsed reeglid e-posti ja linkide käsitlemise kohta. 

Kui ausalt öelda, siis Mitnicki valem näitab õngitsemise puhul hästi ära seda, et tehnoloogia üksi ei päästa. Sa võid panna parima kaitse peale aga kui inimene ei tea mida ta teeb ja organisatsioonil ei ole paika pantud mingi komplekt reegleid, siis kogutulemus on null või nullilähedane.

Viited:

• RIA: Pettuste tõttu kaotasid Eesti inimesed 29 miljonit eurot.
  https://www.ria.ee/pettustelaviini-kahju-29-miljonit
• ERR: Petturid saatsid riigiametitele õngitsuskirju tuntud mõttekoja nime alt.
  https://www.err.ee/1609989942/petturid-saatsid-riigiametitele-ongitsuskirju-tuntud-mottekoja-nime-alt
• RIA: Aastalõpp Eesti küberruumis: petturid olid jõulukuul erakordselt aktiivsed. https://www.ria.ee/uudised/aastalopp-eesti-kuberruumis-petturid-olid-joulukuul-erakordselt-aktiivsed