kuidas ...
KUIDAS ... VÕITA KÜBERVAENLAST?
KÜBERHÜGIEEN – RIIGI KAITSEVÕIME ALUS Nii nagu kehahügieen, on ka küberhügieen regulaarne tegevus, millega ennetatakse levinud riske. Tekst: HANNO SAKS, Kaitseliidu Pärnumaa maleva rühm Küber
S
edasi ütleb igamehe entsüklopeedia Wikipedia, lisades, et küberhügieen on käitumiste ja võtete jada kasutamisel loodud olukord, kus on hoolikalt läbi mõeldud nii inimese enda andmete kui ka asutuse või organisatsiooni andmete kaitsmine – seda võib vaadelda kui käitumismallide ja võtete kogumit, mille abil arvutite (ja üha enam ka muude Internetti ühendatud seadmete) kasutajad tagavad süsteemide toimimise ja parandavad turvalisust. Iseenesest ju elementaarne ja mõistetav. Ega selliseks käitumiseks peakski olema mingeid erilisi ootusi. Aastal 2020 on see ju sama, kui pesta hambaid või käia duši all. Peaks, oleks, võiks ... Kui mõistetavad sõnad, aga üldse mitte mõistetav tegelikkus, mis selle kõige taga on.
MIS SEE MINUSSE PUUTUB?
Kui Somaaliast saabuv ja 500 000 tuhandet eurot pakkuv e-kiri on tänapäeval juba anekdoot, siis Facebooki postituses sisalduv, Tšehhi internetiruumist pärinev link väidetavalt sinu kohta käiva infomaterjaliga mõjub usutavalt. Hääldumatult meiliaadressilt tulnud, Swedbanki värvides ja logomaterjaliga kiri nõudega klikkida lingil, mis võimaldab korrastada oma andmeid või saada head laenupakkumist, ei tundu sugugi vale ega kahtlane. Mis fenomen sellist tegevust võimaldab ja miks on see nii edukas? Seda püüabki alljärgnev artikkel lahata ja pakkuda mõned esmased, igapäeva46
3/2020
sed käitumismallid, mis võiksid saada normiks, kui nad seda veel ei ole.
küberturvalisust puudutavas artiklis just sellest räägitakse?
Enamik inimesi, kuuldes, et jutt tuleb infoturbest, lülitub kohe välja. Pea läheb hetkega unerežiimile, sest „see on ju see jutt“ ja „ega see arvutiasjandus pole minu asi ajada“.
Esmalt on see tehnoloogia suunatud kõige lihtsamale ja odavamale viisile kasutaja valduses oleva tehnoloogia üle volitamata kontrolli saavutamiseks. Maakeeli: selle häkkimisele.
Aga on küll. Sest meist igaühe internetikäitumisest sõltub kogu riigi kaitsevõime. Meie, kes me moel või teisel oleme seotud riigikaitsega, igaüks omal tasemel ja omas valdkonnas, mõjutame riigikaitset otseselt.
Küberturbele mõeldes kangastuvad meile hollywoodlikud stseenid hämaras toimetavatest kapuutsistatud tegelastest, kes kümne sõrmega klaviatuure pekstes saavutavad keerukaid kübaratrikke kasutades ligipääsu ohvri infovarale.
Seega on meie käitumine kübermaailmas – meie küberhügieen – otseses ja vahetus seotuses riigikaitsega. Pole vahet, kas räägime 7aastasest noorkotkast või kaitseministrist – igaühe panus mõjutab.
OHT NUMBER 1 – SOCIAL ENGINEERING
Mis see on ja miks on see nii edukas? Sama palju, kui on küberturvalisusega tegelevaid inimesi, on ka erinevaid selgitusi ja suhtumisi tehnoloogiasse, mida inglise keeleruumis nimetatakse social engineering ja mis võiks tähendada sotsiaaltehnoloogiat. Viimast tõlget olen ise kõige sagedamini kasutanud, sest selle moodustamise aluseks on keeleruumis juba levinud mõiste poliittehnoloogia ning neil kahel on, kummalgi omas valdkonnas, palju sarnasusi metoodikas ja taotletavates tulemites. Mis siis on sotsiaaltehnoloogia ja miks on see nii ohtlik, et esimeses
Jah, kindlasti on käimas ka selliseid kõrgpilotaaže, kuid häkkerid on üdini ratsionaalsed inimesed ja alati on lihtsam ära kasutada inimlikke nõrkusi (ahnust, edevust, rumalust jne), saavutamaks kontrolli mõne lihtsamini kaitstud seadme üle, millest siis juba edasisi rünnakuid korraldada. Kuidas sotsiaaltehnoloogiaid ära tunda? Esmalt muidugi tuleb igaühel meist endale aru anda, et 99 juhul sajast ei anta sadu tuhandeid eurosid niisama. Ja et mitte ükski asutus ei lase kunagi oma klientidel teha ühtegi tundlikku tegevust lihtsalt e-kirja sisse pandud lingile klikkides. Kirjas võib sisalduda link, kuid see viib ikkagi asutuse või ettevõtte turvasertifikaatidega kaitstud kodulehe avalehele, seal tuleb meil ennast tuvastada, kasutades kokkulepitud viise (parool, ID-kaart, Mobiil-ID, Samrt-ID) ning alles seejärel saame teha toiminguid, mida saabunud e-kiri meid tegema kutsus.