Andmeturveː tehnoloogia, koolitus ja reeglid

   Selle nädalaseks blogi postituseks pidin valima ühe turvariskidest ning analüüsima seda "Mitnicki valemi" abil. Turvariskiks valisin ma social engineeringu ehk manipuleerimise. Manipuleerimist analüüsin peamiselt ettevõtetesiseselt, kuid ka tavainimestel sobivad mitmed lahendused. 

   Social engineering on meetod, mida kasutatakse inimeste petmiseks. Eesmärgiks on saada ohvritelt väärtuslike ressursse nagu näiteks raha, andmeid või muud sellist. Kuigi olen varasemas postituses juba selle kohta näite toonud, sobib see ka selle nädalase teema juurde. Nimelt langes selle aasta alguses Riot Games social engineering ohvriks. Riot Games on loonud mängud nagu näiteks League of Legends, Teamfight Tactics ja Valorant. Kuritegijad said tänu manipuleerimisele kätte osa mängu koodist, mis sisaldas anti-cheati lähtekoodi. Selle koodijupi abil saaksid nutikamad spetsialistid luua Riot Gamesi mängudesse häkke, millega mänge petmise abil lihtsamaks teha. Hiljem lubasid kurjategijad avalikustada selle koodi kui Riot ei maksa neile 10 000 000 dollarit lunaraha. Riot muidugi ei maksnud seda ning hakkas tegutsema ettevõtte siseselt selle probleemi lahendamisega.

  

Tehnoloogia

  Mitnicki valemi esimene komponent on tehnoloogia. Et vältida social egineeringut tuleks hoida tarkvara süsteemi ajakohasena. Kasutada tuleks selliseid tarkvara versioone, kus on kõige vähem turvaviga. Mõni kord võib uuendus tuua esile muid probleeme ning see tõttu peaks ka jälgima, mida uuendus täpsemalt parandab. Paljudel tarkvaradel saab valida erinevate versioonida vahel nagu näiteks: kõige uuem versioon, kõige stabiilsem versioon jne. Lisaks tuleb kasuks tulemüüri, krüpteeringute ning VPNide kasutamine.

Koolitus

   Mitnicki valemi teine komponent on koolitus. IT ettevõtted peaksid tihedamini läbi viima oma töötajatele turvariskide koolitusi, et neid kursis hoida nii manipuleerimisega kui ka teiste ohtudega. Koolitustel tuleks rääkida näiteks, kuidas ohte ära tunda ja kuidas neid vältida. 

Reeglid

   Mitnicki valemi viimane komponent on reeglid. Mida suurem on ettevõte, seda karmimad peaksid olema ettevõttesisesed reeglid. Töötajatel peaks olema ligipääs ainult oma tööks vajalikule teabel ja vahenditele. Lisaks peaks olema reeglid, mis ei luba jagada tööga seotud infot teisele inimesele, kui pole teada selle inimese volitust. Veel oleks kasulik panna paika paroolidega seotud reeglid, e-postiga seotud reeglid jms. Kui on ettevõttes korralikult reeglid paika pandud, siis on väikse tõenäosus, et inimlikest vigadest tekib turvariske.