Petukirjade tuvastamine ja küberturvalisuse tagamine suurettevõttes

Digitaalne ohumaastik on muutunud professionaalsemaks kui kunagi varem. 2024. aastal registreeriti Eestis 6515 küberintsidenti, mis tähistab rünnakute sageduse märkimisväärset kasvu. Ainuüksi Telia äriklientide suunal blokeeriti kahe kvartali jooksul üle 1,3 miljardi rünnaku, mis kinnitab, et küberoht on reaalne ja igapäevane nähtus. Suurettevõtte IT-juhina teate, et tehnoloogilised barjäärid on vaid üks osa kaitsest. Kuna üle 90% küberintsidentidest saab alguse inimlikust eksimusest, on petukirjade ja -sõnumite õigeaegne tuvastamine kriitiline oskus kogu meeskonnale. See on ahel, mis on täpselt nii tugev kui selle nõrgim lüli – ja sageli on selleks ettevalmistamata töötaja.

Kuidas petukirju ja -sõnumite ohumärke ära tunda?

Tänapäevased õngitsuskirjad ei ole enam alati vigases eesti keeles kirjutatud teated kaugetelt sugulastelt. Ründajad kasutavad üha enam generatiivset tehisintellekti, et luua veatut ja usaldusväärsena tunduvat sisu, mis muudab pettuse avastamise keeruliseks isegi kogenud spetsialistile. Siiski on teatud mustrid, mis reedavad pettuse. Ründajad püüavad sageli tekitada kunstlikku kiireloomulisust või hirmutada kasutajat väidetega, et konto suletakse 24 tunni jooksul, kui andmeid ei uuendata, või et teid ootab trahv autoriõiguste rikkumise eest.

Erilist tähelepanu tuleb pöörata saatja aadressile ja tehnilistele detailidele:

• Võltsitud domeenid: Domeeninimi võib esmapilgul tunduda korrektne, kuid sisaldab pisidetaile, nagu `microsoft-support.com` ametliku `microsoft.com` asemel.
• Üldsõnalised tervitused: Petturid kasutavad sageli fraase “Austatud klient” või “Hea kasutaja”, selle asemel et pöörduda teie poole nimepidi.
• Kahtlased lingid: Enne mis tahes lingile vajutamist on mõistlik hiirega selle kohal hõljuda, et näha tegelikku sihtkohta. Kui kuvatav tekst ja tegelik URL ei ühti, on tegu pettusega.
• Ohtlikud manused: Erilist tähelepanu nõuavad .zip, .exe või makrodega varustatud failid, mille avamine võib viia lunavararünnakuni ja halvata kogu ettevõtte töö.

IT-juhtidele suunatud juhised selgitavad täpsemalt, kuidas ära tunda phishingut ja millised on peamised ohumärgid, mida töötajatele õpetada.

Levinud pettusviisid Eesti turul

Eesti ettevõtted ja asutused on pidevalt sihikul ning rünnakud on sageli lokaliseeritud ja kohandatud meie turu eripäradega. Üks ohtlikumaid ja kulukamaid skeeme on tegevjuhi pettus (CEO Fraud), kus ründaja esineb ettevõtte juhi või partnerina ning palub raamatupidajal teha kiireloomuline konfidentsiaalne makse. Hiljutine juhtum Pärnumaalt, kus ettevõte kaotas arvepettuse tõttu üle 1,6 miljoni euro, näitab selgelt, kui suured on kaalul olevad summad. Kurjategijad võivad kuude viisi süsteemides varitseda, et tabada õige hetk võltsitud maksekorralduse saatmiseks.

Lisaks e-kirjadele on tõusuteel smishing ehk SMS-pettused. Politsei on hoiatanud libasõnumite eest, mis matkivad panku või kullerteenuseid, püüdes inimestelt välja petta kümneid tuhandeid eurosid. SMS-i saatja nime on tehniliselt lihtne võltsida, mistõttu võib sõnum näida tulevat usaldusväärselt allikalt. Riigi Infosüsteemi Amet on täheldanud kampaaniate sagenemist, kus kasutatakse tuntud institutsioonide, näiteks ERR-i või mõne mõttekoja mainet, et levitada pahavara või varastada sisselogimisandmeid. Nende rünnakute eesmärk on tihti laiem kui vaid rahaline kasu, püüdes hankida strateegilist äriinfot või pääsu riiklikesse infosüsteemidesse.

Praktilised sammud organisatsiooni kaitsmiseks

Teie roll IT-juhina on integreerida küberturvalisus äristrateegiasse ja riskijuhtimisse. Selleks tuleb luua keskkond, kus tehnilised kontrollid ja inimteadlikkus töötavad süsteemselt koos. Esimeseks ja kõige olulisemaks sammuks on rakendada mitmeastmeline autentimine kõigis kriitilistes süsteemides. See on täiendav turvakiht, mis uuringute kohaselt blokeerib 99,9% automatiseeritud rünnakutest kontode vastu. On oluline mõista, et kaheastmeline autentimine on hädavajalik eriti Microsoft 365 ja Teamsi tundliku äriinfo kaitseks.

Tehnoloogilistest lahendustest on vältimatud kaasaegsed endpoint protection (EDR) ja pahavaratorje süsteemid, mis suudavad tuvastada anomaaliaid reaalajas, isegi kui kasutaja on juba lingile vajutanud. Samuti tuleb tähelepanu pöörata järgmistele tegevustele:

• E-posti turvaprotokollid: Seadistage SPF, DKIM ja DMARC, et vältida teie ettevõtte domeeni nimel võltskirjade saatmist kolmandatele osapooltele.
• Regulaarsed simulatsioonid: Realistlik andmepuugi test aitab tuvastada organisatsiooni nõrgad lülid ilma reaalse riskita. See on nagu vaktsiin, mis tekitab ettevõttes immuunsuse ja vähendab eduka rünnaku tõenäosust kuni 75%.
• Pidev arendustöö: Ühekordsest koolitusest ei piisa, sest ründajate meetodid arenevad. Järjepidev kuberturbe teadlikkuse koolitus peaks olema osa ettevõtte IT-strateegiast, muutes töötaja nõrgimast lülist tugevaimaks kaitsemeetmeks.
• Tõhus paroolihaldus: Rakendage tsentraalsed lahendused ja unikaalsed paroolifraasid, juhindudes NIST-i suunistest, kus rõhk on parooli pikkusel ja unikaalsusel. Täpsemad juhised leiab teemast paroolide haldamine ettevõtte keskkonnas.

Tegevusplaan pettuse ohvriks langemise korral

Kui vaatamata ennetustööle on tekkinud kahtlus, et sisselogimisandmed on lekkinud või pahavara on süsteemi pääsenud, on kiirus määrava tähtsusega. Esimene samm on kompromiteeritud konto paroolide kohene vahetamine ja kõigi aktiivsete sessioonide tühistamine. Võimalik sissetung tuleb isoleerida, eemaldades nakatunud seadme võrgust, et vältida pahavara liikumist sisevõrgus. IT-osakond peab suutma juhtumit dokumenteerida ja analüüsida, et sarnaseid olukordi tulevikus vältida ja süsteemid “tagaustest” puhastada.

Oluline on tõsta ka üldist kuberohtude teadlikkust, teavitades töötajaid toimuvast rünnakust sisekanalite kaudu. See aitab vältida ahelreaktsiooni, kus mitu inimest langevad sama skeemi ohvriks. Suuremate intsidentide korral tuleks alati esitada teavitus CERT-EE-le, et aidata kaasa laiemale ohupildi kaardistamisele. Iga intsident on õppetund, mis peab viima protseduuride parandamiseni ja turvapoliitikate ülevaatamiseni.

Petukirjad on muutunud osaks igapäevasest äritegevusest, kuid teadliku ettevalmistuse ja õigete tehnoloogiliste valikutega on võimalik riske oluliselt vähendada. Küberturvalisus ei ole sihtkoht, vaid pidev protsess, mis nõuab tähelepanu nii IT-osakonnalt kui ka juhtkonnalt. Kui soovite hinnata oma organisatsiooni praegust valmisolekut või vajate abi tervikliku kuberturvalisuse lahenduse juurutamisel, võtke ühendust Pro IT spetsialistidega, et luua teie ettevõtte vajadustele vastav kaitseplaan.