5G
3 min lugemine
Iga päev tuleb teateid, kuidas eraisik või ettevõte kaotas kurjategijatele vahel isegi sadu tuhandeid eurosid skeemiga, mille pettusemaik peaks olema hoiatav igaühele, kes uudiseid vähegi jälgib. Ometi langevad ikka ja jälle ohvriks noored ja vanad, lihttöölised ja tippspetsialistid. Miks on see nii ning kes ja kuidas peaks õpetama inimese sellist ohtu vältima, arutleb Telia küberturbe lahenduste arhitekt Kristjan Aljas.
Ettevõtete puhul on küberturvalisuse üks olulisem komponent töötajate teadlikkus. Võib isegi öelda, et sellest sõltub vähemalt pool küberturvalisusest. Teadlikkusega võrdse tähtsusega on ka ennetustöö. Arusaam, et küberturvalisus ei ole mingi mööduv moeasi, on hakanud pärale jõudma, kuid samas üritatakse see ikka kuidagi “kaelast ära saada”, tegelemisega võimalikult kaua venitada või asi lahendada vähese pingutuse ning minimaalse kuluga.
Tolle mõtteviisi ekslikkust ilmestab nii RIA kui ka politsei jagatav info. Alles aprillis kaotas üks ettevõte arvepettusega 1,6 miljonit eurot, äsja Kunstnike Liit aga 700 000. Rääkimata eraisikutest, kes sõltumata vanusest annavad heauskselt kümned tuhanded eurod sularaha ukse taha ilmunud võhivõõrale või viivad raha ja pangakaardid – vahel isegi kõik kodused säästud- pakiautomaati.
Sisekorra puudumine annab jämeda otsa kurjategijatele
Sellised pettused õnnestuvad mitmel põhjusel. Esiteks ei kaitse meid enam keeleruum ehk petturid ei räägi ja kirjuta enam vigases eesti keeles, mis varem pani nii mõnegi kahtlema. Samuti mängitakse üha enam inimpsühholoogial, pannes inimese tegema asju, mille absurdsusest saab ohver aru alles siis, kui tema ümber tekitatud mull lõhkeb.
Teiseks pole ettevõtetel selget sisekorda, näiteks maksete kinnitamisel või ka küberintsidendi kahtluse või juhtumise korral. Näiteks oleks võimalik enamik arvepettusi ära hoida, kui ettevõte rakendaks pangaülekannetel n-ö kahe silmapaari reeglit ehk iga makse peaks kinnitama vähemalt kaks volitatud isikut. Kuna raamatupidajaid sihitakse järjest enam, siis sellise korra puhul ei saaks pettuse lõksu langenud raamatupidaja lasta ettevõtte kontot tühjaks teha. Kahjuks aga eiravad paljud ettevõtted seda soovitust, sest töö muutub seetõttu aeglasemaks ning lisab mõnele töötajale kohustusi. Samamoodi pole ettevõtetes tihti korda, kuidas kontrollida kontonumbri muutumisest teavitava kirja ehtsust, kuigi see on üks levinumaid lõkse, millega ettevõtetelt raha kätte saadakse.
Probleem on ka see, et kui suurema summa puhul küsib raamatupidaja ülekandele kinnitust, siis väiksema puhul pigem mitte, sest juhti ei taheta iga arve pärast tülitada. Kui midagi kahtlast on juba juhtunud, siis töökoha kaotamise hirmus üritatakse sageli asja hakata lahendama ise, jättes juhtkonna teavitamata. Just sellepärast ei räägita ülemusele ka näiteks petturite korraldatud “salajasest politseioperatsioonist”, kuhu töötaja lasi end kaasata. Sellistele inimpsühholoogia nüanssidele kurjategijad aga rõhuvadki, teenides sellega rohkelt raha.
Seega peaks ettevõttes juurutama toetava kultuuri, mis loob igale töötajale kindlustunde, et asju üle küsides ei seata kahtluse alla tema kompetentsi ja eksimus ei maksa talle töökohta. Peale selle peab juba n-ö rahuajal paika panema selge plaani ja küberintsidente läbi mängima nagu ka läbi mõtlema, kes mingi äparduse juhtudes vastutab kommunikatsiooni eest ja suhtleb meediaga. Näiteks maksis reeglite puudumine kätte ühele börsiettevõttele, sest töötaja postitas sotsiaalmeediasse kuvatõmmise küberintsidendist, mille peale kukkus ettevõtte aktsia hind 2%.
Koolitamist ei võeta tõsiselt
Kolmas petuskeemi ohvriks langemise põhjus on inimeste liiga väike ohuteadlikkus ning süsteemitu koolitamine. Liigagi sageli pannakse koolitamise kohustus ettevõtte IT-juhile või mõnele tuttavale, kes „jagab seda IT-värki”, sest nii on kõige lihtsam ja odavam. Olgu öeldud, et korralik koolitus maksab aastas 10-20 eurot inimese kohta, mis on oluliselt vähem kui küberintsidendi tagajärgede klaarimisele kuluv summa.
Kuigi nii see itimehest tuttav kui ka IT-juht võivad oma töös olla tõesti pädevad, siis IT on lai mõiste ning igal IT-inimesel ei ole ega peagi olema oskust inimesi koolitada ning teha seda veel ka tulemuslikult. Näiteks kipub selline koolitus olema tavainimese jaoks nii sisult kui ka keeleliselt liiga keeruline ja/või räägib probleemist vale nurga alt. Nõrgal koolitusel inimene osaleda aga ei taha/viitsi ning tema küberteadlikkus seepärast ka ei tõuse, mistõttu jäädaksegi alla järjest nutikamaks muutuvatele küberkurjamitele.
Kahjuks on kehvi koolitusi juba praegu küllaga ning aina lisandub kerget teenistust haistvaid tegelasi, kelle koolitus inimest tegelikult kuidagi ei aita. Kuna ettevõtted tahavad koolituse sageli lihtsalt kaelast saada, siis ei tehta sellest aga probleemi.
Kuna on järjest selgem, et küberkuritegevus ei kao kuhugi, siis tekib küsimus, et kelle asi on ikkagi tagada, et ühiskonnas tervikuna küberohtude teadlikkus suureneks? Või kelle süü see ikkagi on, kui töötaja langeb pettuse ohvriks ja laseb pätid ettevõtte pangakonto ligi? Kas peeglisse tuleks vaadata töötajal või tööandjal või peaks hoopis riik midagi kiiremas korras ette võtma?
On vähetõenäoline, et inimesed end ise koolitama hakkaksid, mistõttu langeb vastutus suuresti tööandjatele ja riigile. Oluline on aga tähele panna, et kui ettevõte tellib koolituse, siis tuleb meelde jätta, et koolitada tuleb inimest, mitte ainult töötajat ehk siis kasu ei ole ainult sellest, kui räägitakse ohtudest, mis varitsevad inimest tööl, vaid ettevõttesse peegelduvad ka kodus tehtud vead.
Samas on riik juba astunud küberteadlikkust tõstvaid samme. Paljudele ettevõtetele kehtestati NIS2-küberturbedirektiivist lähtuvad kõrgemad turvanõuded, mis eeldavad ka töötajate koolitamist. Kuid kas sellest piisab? Vaja oleks mõelda, kuidas tekitada ühiskonnas laiem arusaam, et ohuteadlikkus on sama tähtis kui igasugune muugi tarkus, milleta ei saa lõpetada kooli või kandideerida tööle. Kuigi uudistest on võimalik iga päev lugeda lugusid pettuseohvritest, siis ainult sellest ennetustööna ei piisa.
