Zone.ee on Eesti üks vanimaid internetiteenuste pakkujaid, mis alustas 1999. aastal sõpruskonnana ja on kasvanud üle 50 töötajaga täisteenuse pakkujaks. Nad pakuvad tervet ökosüsteemi: domeenid, e-post, nimeserverid, serveriplatvormid ja palju muud. Ardi rõhutab, et teenusepakkuja rollil on piir. „Meie oleme nagu vee- või elektriettevõte. Me toome teenuse majja, aga mis toimub peakraani või kilbi taga, on juba kliendi vastutus,“ ütleb ta.
Kui veebileht on maineka teenusepakkuja juures, siis arvatakse, et kõik on korras. Tegelikult on see üks levinumaid eksiarvamusi. Teenusepakkuja vastutab platvormi eest, kuid sisu, paroolid, kasutajad ja tarkvara on juba kliendi enda hoida.
Zone.ee kogemus näitab, et enamik intsidente saab alguse väga lihtsatest asjadest. Paroolid on endiselt nõrgad, korduvkasutuses ja tihti ka lekkinud mõnest muust teenusest. Nikita muigab, et kui kunagi nõuti paroolidesse numbrit, lisasid inimesed lihtsalt lõppu „1“, ja kui nõuti erimärki, tuli sinna hüüumärk. Ardi lisab, et kõige ohtlikum polegi ära arvamine, vaid see, kui parool varastatakse pahavaraga arvutist. Ta toob näite, kus lapse arvutisse tõmmatud „Robuxi generaator“ viis lõpuks Fortune 500 ettevõtte arendaja paroolide lekkimiseni.
Teine suur probleem on ühised kasutajakontod. Kasvavas ettevõttes jagatakse tihti ühte kasutajat mitme inimese vahel, mis muudab hilisema uurimise pea võimatuks. Kolmas klassika on unustatud „ajutised“ koopiad. Arendaja jätab vana e-poe versiooni aadressile old.epood.ee ja unustab selle. „See on disaster waiting to happen,“ (eesti k „õnnetus, mis ootab juhtumist“) lisab Ardi.
Kõige lihtsam ja tõhusam kaitsemeede on mitmefaktoriline autentimine. See loob kriitilise ajavõidu. Kui uks ei avane sekunditega, liigutakse edasi järgmise ohvri juurde. Eestis on olukord eriti hea, sest meil on ID-kaart, Mobiil-ID ja Smart-ID, mis on maailmas haruldane luksus.
Üle ega ümber ei saa ka ligipääsudest. Inspektsioon näeb sageli juhtumeid, kus lahkunud töötaja võtab andmebaasi „kaasa“. Nikita toob drastilise näite start-upist, kus koondatud töötaja kustutas kõik andmebaasid ja tema kaksikvend pääses ligi ka varukoopiatele.
Oluline õppetund!
Igal inimesel peab olema oma kasutajakonto, õiguseid tuleb regulaarselt üle vaadata ja ligipääsud tuleb lõpetada kohe, kui inimene lahkub.
Varukoopiad ei takista lekkeid, kuid päästavad olukorra, kui andmed kustutatakse või krüpteeritakse. Ardi rõhutab, et varukoopia ei ole sama mis snapshot. Snapshot samas serveris on väga ohtlik, sest kui serveriga midagi juhtub, lähevad kaduma nii andmed kui ka nende „varukoopia“. Tõeline varukoopia peab asuma teises füüsilises asukohas ja klient peaks lisaks teenusepakkuja omadele tegema ka oma koopiad.
Geili rõhutab, et teenusepakkuja valimine on vastutava töötleja kohustus. Tuleb küsida, kus andmeid hoitakse, kas tehakse varukoopiaid, kes teenusepakkuja juures andmetele ligi pääseb ja kuidas teavitatakse intsidentidest. Regulatsioonide maastik muutub kiiresti ja küsimine on igati normaalne.
Lõpuks ei tohiks tähelepanuta jätta ka tarkvara uuendamist, mis on üks alahinnatumaid turvameetmeid. Veebileht vajab uuendusi samamoodi nagu telefon või arvuti. AI-põhised tehnoloogiad jõuavad nii kaitse- kui ründepoolele. Praegu on hea aeg teha ära elementaarsed liigutused, mis tõstavad baasturvalisust.
Andmeturve ei ole midagi müstilist. See algab lihtsatest asjadest: tugevad ja unikaalsed paroolid, paroolihaldur, kahefaktoriline autentimine, individuaalsed kasutajakontod, tarkvara uuendamine, toimivad varukoopiad ja teadlik teenusepakkuja valik. Need on sammud, mis võivad päästa ettevõtte väga kallitest ja piinlikest intsidentidest.
Episoodi aitas salvestada Euroopa Liidu CERV (Citizens, Equality, Rights and Values) programm, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.
