TV ja meelelahutus
3 min lugemine
Kuigi mitmeastmeline autentimine on saanud küberturbe standardiks, näitab möödunud sügisel aset leidnud juhtum, et tehnilised meetmed üksi ei pruugi rünnakuid peatada. Tõsisema kahju hoidis ära Telia küberturbe juhtimiskeskuse kiire sekkumine.
2025. aasta sügis ühes Harjumaal asuvas tööstusettevõttes kulges tavapäraselt. Tööpäev oli läbi saamas ning töötajad lõpetasid pooleliolevaid ülesandeid. Ühe töötaja postkasti saabus e-kiri näiliselt kolleegilt, sisaldades linki ettevõtte sisemisele koostööplatvormile. Kuna töötajal oli e-kirja saatnud kolleegiga tihe ja regulaarne suhtlus ning üksjagu kiireloomulisi ülesandeid vajas veel lahendamist, klikkis ta pikemalt süvenemata lisatud lingil.
Veebibrauser suunas töötaja täiendavale autentimislehele. Sisselogimise käigus edastas multifaktoriaalse autentimise (MFA) rakendus kolm hoiatust: sisselogimiskatsed pärinesid tavapärase Harjumaa asemel välismaal asuvalt IP-aadressilt, millel ettevõttega seos puudus. Hoiatustele vaatamata kinnitas töötaja kõik kolm autentimispäringut. Töötaja ei teadnud, et kirja saatja ei olnud kolleeg, vaid ründaja, kes kasutas ära inimliku eksimuse ja tähelepanu hajumise. Ligipääs ettevõtte süsteemidele oli loodud.
Rünnakule reageeriti minutitega
Ründajad ei jäänud siiski märkamatuks. Kümnete kilomeetrite kaugusel Telia küberturbe juhtimiskeskuses (SOC) tuvastas analüütik ebatavalise tegevuse. Eelseadistatud reeglid ja varasem kogemus viitasid kõrge mõjuga intsidendile, mis nõudis viivitamatut sekkumist.
Ettevõtte kontaktisikuga võeti kohe ühendust, kompromiteeritud kasutajakonto parool lähtestati ning kõik aktiivsed sessioonid tühistati. Intsidendi tuvastamisest reageerimiseni kulus 10 minutit ja kogu olukord lahendati vähem kui tunni jooksul. Andmete vargust ei tuvastatud ning kahju piirdus lühiajalise volitamata ligipääsuga.
„See juhtum näitab, et isegi kaasaegsed tehnilised kaitsemeetmed ei pruugi olla piisavad, kui ründajal õnnestub kasutajat sotsiaalse manipulatsiooni abil eksitada,“ ütles Telia küberturbe juhtimiskeskuse (SOC) juht Martin Paas. „MFA kaitseb ainult siis, kui kasutaja mõistab, mida ta kinnitab.“
Küberturbe juhtimiskeskuse teenusena (Security Operations Center as a Service) roll selliste juhtumite puhul on ülioluline. Välise SOC-tiimi reageerimine oli kiire: intsident tuvastati koheselt, uuriti põhjalikult, kasutaja parool vahetati ja kõik aktiivsed sessioonid tühistati viivituseta. See tõkestas ründaja edasise tegevuse ning välistas püsiva ligipääsu.
Paas selgitas, et sarnaselt õiguskaitseasutustele on ennetamisele panustamine perspektiivis tulemuslikum kui pelgalt reageerimine. Seetõttu ei piirdu SOC-tiimi töö üksnes intsidentidele reageerimisega. “Aitame üle vaadata ja tõhustada e-posti filtreerimise reegleid, täiustada ligipääsupiiranguid ning korraldada kasutajatele teadlikkuse tõstmise koolitusi. Samuti jagame soovitusi auditeerimisvahendite osas, meie analüütikud süvenevad sündmuste logidesse, kontrollivad võimalikke kõrvalekaldeid ning suhtlevad kõigi osapooltega – alates kasutajast kuni ettevõtte IT-kontaktini,” selgitas Paas ning lisas, et selline süsteemne ja läbipaistev lähenemine tagab, et kõik olulised sammud on dokumenteeritud ning vajadusel saab kiiresti reageerida.
Küberruum ei tunne ajavööndeid ega riigipiire. Kui Eestis tööpäev algab, on Aasias tööpäev juba täies hoos ja vastupidi, kui Eestis tööpäev lõpeb, on Ameerika mandril tööpäev alles algamas. Praktikas tähendab see, et enamik ettevõtteid on haavatavad sisuliselt ööpäevaringselt, ka riigipühadel ja nädalavahetustel. „Ründajale piisab vaid ühest õnnestunud sisselogimisest. Seetõttu on pidev nähtavus ja seire eduka küberturbe aluseks,“ ütles Paas.
Investeering, mis tasub end kiiresti ära
Ilma nähtavuseta ei ole küberturvet. Valesti seadistatud või ebapiisav seire võib jätta mulje, et kõik on korras, kuni on juba liiga hilja. SOC-tiimi ööpäevaringne valve peatab ründed enne, kui need jõuavad äritegevust mõjutada.
„Pideva seire ja valmisoleku tagamine oma jõududega on keeruline, ajamahukas ja kulukas. SOC-teenuse kasutamine on reeglina kuluefektiivsem kui sisemise 24/7 küberturbe meeskonna ülesehitamine, pakkudes samal ajal kõrgemat kompetentsi ja paremat tehnilist võimekust. See on investeering, mis tasub end ära juba esimese tõsisema intsidendi korral,” selgitas Telia küberturbe juhtimiskeskuse (SOC) juht.
Juhtum Harjumaal näitab, et küberturbe tagamine ei ole ainult IT-küsimus. See eeldab pidevat seiret, kiiret reageerimist ja teadlikke kasutajaid. SOC-tiimi kaasamine annab ettevõtte juhtkonnale kindluse, et rünnakud avastatakse ja tõrjutakse professionaalselt, võimaldades ettevõtetel südamerahus keskenduda oma põhitegevusele.
Telia SOC-teenus vastab ISO 27001 infoturbe juhtimissüsteemi standardile.
Kui soovid oma etteõttele kulutõhusat ja usaldusväärset küberturvet, siis võta ühendust Telia SOC-tiimiga: socaas@telia.ee
