Uus lahendus: IIZI küberriskide hindamise teenus aitab ettevõtteid küberohtude tuvastamisel

2022. aastal on Eesti ettevõtted pidanud toime tulema tavapärasemast tõsisemate küberrünnetega. Teenustõkestusründed (DDoS) puudutasid lisaks riigiga seotud asutustele meedia-, finants- ja transpordifirmasid. Lunavararündeid registreeritakse ametlikult paar tükki kuus ja mõnda ettevõtet rünnati seejuures korduvalt. Õngitsuskirjade saatmine on jätkuvalt hoos. Kurjategijad otsivad veebiavarustest pidevalt turvaauke, uuendamata tarkvara või valesti seadistatud süsteeme. Selleks, et nende ohtudega silmitsi seista, peab ettevõtte juhtidel olema piisavalt hea ülevaade IT-taristu ründekindluse kohta.

Miks tuleb hinnata IT-taristuga seotud riske?

Küberriskid on erinevad ohud, mis kaasnevad meie digitaalse maailma ja neis leiduvate andmetega. Need on kõik intsidendid, mis on seotud lubamatu tegevuse ja rünnetega ettevõtte infosüsteemide ja andmebaaside vastu ning toovad endaga kaasa ootamatud kulud ja äritegevuse katkemise.

IIZI riskide hindamise teenus on väärtuslik töövahend, mis annab hea ja lihtsa ülevaate ettevõtte nähtava IT-taristu riskide kohta. See võimaldab tuvastada ettevõtte enda turvanõrkused ja vältida küberkurjategija ohvriks langemist. IIZI küberkindlustuse eksperdi Helen Everti sõnul saab aruandest muuhulgas infot, kas ettevõtet ohustavad üleilmsed turvanõrkused nagu Microsoft Exchange’i nullpäeva nõrkus.

Hinnata saab ka väliste teenusepakkujate või koostööpartnerite küberturvalisust. Näiteks võib kehv küberturve olla põhjus, miks jääb ära ettevõtte ostu-müügi tehing või sõlmimata koostööleping. Samuti annab aruanne hea sisendi kindlustusandjatele küberkindlustuse pakkumiseks.

Mida IIZI küberriskide hindamise aruanne pakub?

Kogutakse ja hinnatakse ettevõtte nähtava IT-taristu küberturvalisust. Saadud hinnangud peegeldavad IT-taristu ründekindlust ülevaate koostamise hetkel, kuid aasta jooksul peale esimest hinnangut on võimalik täiendava kuluta tellida uus aruanne.

Aruanne kirjeldab ja annab hinnangu kuuele peamisele nõrkusele:

• Üldine nähtav ründekindlus
• Vastupidavus teenustõkestusrünnetele (DDoS)
• Domeeninimede süsteemi (DNS) turvalisus
• Meiliserverite konfiguratsioon (sh krüptimine ja rünnete ennetus)
• Veebilehe külastajate kasutajaandmete käsitlemine ja jälgimine
• Pimeveebis leiduv teave ja sotsiaalse manipuleerimise ründe oht.

Mis võib juhtuda, kui töötaja kasutab ettevõtte e-posti aadressi erasuhtluses?

Paljud inimesed kasutavad ettevõtte e-posti aadressi ja sellega seotud parooli ka muudel veebilehtedel ja isiklikes asjaajamistes. Evert toob näitena olukorrad, kus on selgunud, et töötaja on ettevõtte e-posti aadressiga registreerunud kohtinguportaalis, arvutimängus või täiskasvanutele mõeldud veebilehtedel.

Nende platvormide küberturvalisuses ei saa iialgi kindel olla. Võib juhtuda, et kasutatud e-posti aadress ja parool võimaldavad küberkurjategijal ettevõtte süsteemidele ligi pääseda. Eriti juhul, kui kasutusel pole mitmetasandilist autentimist või regulaarse paroolivahetuse praktikat. Kurjategijad võivad  e-posti ja parooli kasutada õngitsusrünneteks, arvetel muudetakse arvenumbrit või võetakse üle sotsiaalmeedia konto.

Sellises olukorras tuvastab IIZI küberriskide hindamise aruanne ettevõtte e-posti aadresside liikumise pimeveebis pakutavates andmebaasides ja ka selle, milliste kanalite kaudu on meiliaadress sinna jõudnud. Kuigi täpset e-posti aadressi aruanne ei tuvasta, siis annab ülevaate probleemi olemasolust ja tõsidusest.