Väikeettevõttele võib küberintsident tuua ligi 13 000 eurot miinust päevas

Kuke sõnul on väga tavaline järgmine stsenaarium. Reede õhtu, kontor on tühi, nädalavahetus ootab ees ja lõpuks ometi on tunne, et saab ennast töömõtetest korraks päriselt välja lülitada. Siis ühtäkki tuleb teade, mitte ilmtingimata sinu telefonile, vaid kolleegi omale. Koostööpartner saatis uued makseandmed. Sõnumis on öeldud „kiire”. Peas keerleb küsimus, kas see teavitus on päris? Esmapilgul tundub kõik loogiline: õige suhtlustoon, õige signatuur, isegi eelnev vestlus on taustaks olemas. Ainult üks detail on teistsugune, kui tavaliselt, pangakonto number.

„Siin ongi väike- ja keskmise suurusega ettevõtete jaoks kõige valusam koht. Rünnakud ei tule siis, kui kõik on laua taga, et olukorda rahulikult analüüsida. Oled ilmselt märganud, et „pangaandmete uuendamise“ õngitsuskirjad jõuavad sageli postkasti puhkepäevadel. Ründed tulevad siis, kui on vaikus. Reede õhtul, nädalavahetusel, puhkuste ajal. Mitte seepärast, et see oleks romantiline, vaid seepärast, et nii on efektiivne. Kaks küsimust otsustavad, kui suureks see lugu kasvab – kas keegi märkab teavitust kohe ja kas keegi tegutseb kohe, mitte esmaspäeval,“ sõnab Kukk.

Sageli algab selline lugu täiesti argiselt: keegi sisestab andmed sisselogimise kohta, mis esmapilgul võib tunduda täiesti autentne. Vahel on see võltsitud sisselogimisleht, vahel kolmanda osapoole integratsioon, vahel lihtsalt väsimusest tehtud üks vale klõps. Ründaja ei pea murdma maha “paksu ust”, kui ta saab võtme inimese enda käest.

Kui ligipääs on olemas, ei tehta kohe järgmist sammu suure käraga. Tehakse vaikselt. Seatakse üles kirjade edastamise reeglid, peidetakse märguandeid, jälgitakse suhtlust. Oodatakse seda ühte hetke, mis mängitakse sinu ettevõtte normaalse töörütmi sisse ja siis saadetakse partnerile või kliendile “uuendatud makseinfo” või “kiire kinnitust vajav makse”. Väga tihti ei ole see tehniline ega äriline draama, vaid näeb välja nagu täiesti tavaline tööpäev.

Kas ohu tõkestamise plaan on läbi mõeldud?

Kuke sõnul tulebki siit esimene oluline tõdemus. “Meil on tööriistad olemas” ei tähenda, et sul on kaitse olemas. Väga paljudel väikestel ja keskmise suurusega ettevõtetel on Microsofti ökosüsteem tegutsemiskeskkonna selgroog, identiteet, meilboks, seadmed, pilv. Tihti on olemas ka turbefunktsioonid. Aga tööriist üksi on nagu suitsuandur, mille patarei on sees, kuid keegi ei kuule heli, sest hoones pole kedagi. Tööriist võib tõsta häire. „Järgnev tegutsemine otsustab, kas see on päris rünne, kui kriitiline see on ja kas kohe astutakse ohu tõkestamiseks ka edasised sammud. Kas pannakse konto lukku, võetakse sessioonid maha, eemaldatakse pahatahtlikud reeglid, taastatakse kontrollitult ligipääsud ja piiratakse kahjud enne, kui raha pangakontolt välja voolab,“ märgib Kukk.

Kui sa tahad juhina aru saada, kas selline intsident on sinu jaoks lihtsalt ebamugavus või ka tõsine löök rahavoogudele, siis aitab üks väga lihtne harjutus. Pane võimalikule seisakule hinnasilt. Mitte selleks, et end hirmutada, vaid selleks, et teha otsuseid, mis on proportsioonis reaalse riskiga.

Palju maksab ettevõtte seisak?

Koostame kõigepealt valemi: seisaku kulu €/päev ≈ (aastakäive ÷ 12 ÷ 22) + [kriitilised töötajad × (brutopalk × 1,35 ÷ 22)]. Kui mõju on kliendikriitiline (müügid/maksed/tarned seisavad), lisa konservatiivne puhver: ×1,5.

Selle põhjal võtame lihtsa näite. Ettevõtte aastakäive on 2 miljonit eurot. Mõtle läbi, kui palju on kriitilise tähtsusega kolleege, kes seisaku ajal sisuliselt ei saa tööd teha. Keskmine brutopalk 2 500 eurot ning käibekao pool annab ligikaudu 2 000 000 ÷ 12 ÷ 22 ehk ligi 7 576 eurot päevas. Palgakulu pool annab 6 × (2 500 × 1,35 ÷ 22), mis tuleb suurusjärgus 920 eurot päevas.

„Juba see lihtne arvestus ütleb, et ettevõtte üks seisakupäev maksab ligi 8500 eurot ja kui kliendimõju on otsene, võib see konservatiivselt kasvada ligi 13 000 euroni päevas. See on põhjus, miks “vaatame esmaspäeval” ei ole tegelikult neutraalne otsus. See on otsus, millel on väga konkreetne hinnasilt,“ rõhutab Kukk.

Avalikkuses räägitakse SOC-ist (Security Operations Center) ehk turbeoperatsioonide keskusest ja 24/7 seirest üha enam ja seda õigustatult. Mitmete küberturvalisuse teenuste avalikud kirjeldused rõhutavad sama loogikat, mida silmas pidada – ööpäevaringne monitooring, intsidentide võimalikult varajane avastamine ja kohene reageerimine. Ent väikse ja keskmise suurusega ettevõtete jaoks ei seisne küsimus enamasti selles, kas keegi “vaatab ekraani”. Küsimus on selles, kas sul on üldse olemas meeskond, protsess ja automatiseerimine, mis viib teema kiiresti kolme peamise sammuni: kas see juhtum on päris, mis on intsidendi mõju ja mida me kohe teeme.

Ööpäevaringselt hallatud küberturbeteenus aitab organisatsioonidel kaitsta end keerukate küberrünnakute eest

MDR (Managed Detection and Response) ehk hallatud küberturbeteenuse loogika ongi ehitatud nii, et see ei jää pelgalt “teavituste edastamise” tasemele. Teenus ühendab ööpäevaringse 24/7 teostatava ohtude tuvastuse ja kiire reageerimise koos selge rollijaotuse ja eskalatsiooniga, et intsident ei jääks õhku rippuma, vaid liiguks olukorra kaardistamisest edasi ka selle ohjamiseni, sealt edasi taastamise ning õppetundide analüüsimiseni. Lisaks ei alustata lihtsalt “logide kokku kogumisest”, vaid lähenetakse metoodiliselt: kaardistatakse ärikriitilised teenused, vaadatakse arhitektuuri ja ründeteekondi ning seotakse tuvastus päriselt sinu ettevõtte keskkonna riskidega. KPMG kogemuse põhjal aitab see vältida kahte klassikalist äärmust: kas “vaikus” (ei tuvasta) või “müra” (liiga palju valehäireid).

Oluline on ka see, et tuvastus ei oleks ühekordne projekt “üks kord tehtud ja valmis”. KPMG näeb, et hallatud küberturbeteenus läheneb tuvastusele nagu tootearendusele. Võtame aluseks, et ettevõtte reeglid, käsiraamatud ja juhendid muutuvad ajas, täienevad ning automatiseeruvad. Sama oluliseks peame mahulist katvust, mis võtab arvesse sadu reegleid ja juhendeid ning automatiseerimise rolli, mis aitab hoida reageerimise kiirust kõrgena ka siis, kui juhtum leiab aset ebasobival ajal. Ja kuigi vaikimisi on fookus Microsofti ökosüsteemil, saab vajadusel sama operatiivvõimekuse raamida ka teiste XDR/SIEM lahenduste ümber, kui selleks on soov või vajadus.

Kui nüüd tulla tagasi selle reedeõhtuse stseeni juurde, siis tegelik küsimus ei ole, kas “selline asi võib juhtuda”. Jah, võib. Küsimus on hoopis, kas sinu ettevõttes on selleks hetkeks olemas selge, harjutatud ja ööpäevaringselt toimiv võimekus, mis suudab reageerida olukorrale enne, kui kahju jõuab pangani, klientideni või tootmisesse. Kui sul seda võimekust täna pole, siis hea uudis on see, et seda ei pea ise nullist ehitama ega võtma enda tiimi peale 24/7 valvekoormust.