Tänasel päeval võiks ette kujutada, et inimesed on üsnagi tehnoloogiapädevad ning oskavad läbi näha üsnagi kehvalt koostatud internetipettusi kuid tegelikkus on sootuks vastupidine. Igal tasemel küberohu ohvriks või langeda ükskõik kes: olgu selleks vanaema Võrust, väikevend Martin või kolleeg IT-osakonnast. Tegemist on huvitava paradoksiga, millel on nimeks “Awareness-Action Paradox”. Kasutajad on teadlikud neid ümbritsevatest ohtudest kuid üks keskmine inimene arvab, et temaga kunagi midagi sellist ei juhtuks või nad teavad teoorias, millisena küberohud end esitlevad kuid sellesse situatsiooni sattudes ei oska nad seda siiski ära tunda.
Üks huvitav nähtus on erinevad phishingu-treeningud ja koolitused. Suuremates ettevõtetes ja eriti IT-osakondades viiakse regulaarselt läbi katseid kõige ilmselgemate võltskirjadega, et näha kes nendele klikivad ja isegi kui inimesed teavad nendest, siis nad ikka kipuvad pahaaimamatult nende lõksu langema. Olen ise osalenud korduvates töörühmades, kus isegi ette hoiatades on ca 40% töötajatest klikkinud lingile, mille on saatnud väidetav tegevjuht vigase e-mailiga “olentegeltkaCEO@ettevõte.päriselt.legit.com”, mis lubab lingile klikkides palgatõusu. Küberturbejuht saab jälle ahastuses käega otsaette lüüa ja järgmise kvartali koolitusi asuda ette valmistama…
Selle tarbeks on õnneks tekkinud rohkem lahendusi, et päris turvaapsakaid ei juhtuks. Näiteks on turvalisust tõsiselt käsitletavates ettevõtetes turvatud VPN ilma milleta ühelegi töösüsteemile ligi ei pääse või ilma füüsilist töökaarti lugerisse sisestamata ei saa arvutit üldse kasutada. Samuti on piiratud võrgukasutust, et välistada kahtlastest kohtadest pahalaste külgepookimist. Lisaks on taustal rohkem võrguseiret ja turvateste, et võimalikud riskid varakult avastada. Samuti teevad (loodetavasti) ettevõtted regulaarselt IT-auditeid ja penteste, et ka väline partner saaks kinnitada süsteemide turvalisuse. Siiski on kõigil juures üks suur ohufaktor – kasutaja ise, kes võib tähelepanematusest libiseda üle mõnest logist, kogemata siiski klikkida linki või mis iganes eesmärgil minna mööda turvaseadistustest.
Ehk siis kuigi võidakse läbi viia koolitusi, maksimeerida turvaseadistusi ja anda inimestele minimaalselt õigusi ja ligipääse, siis ikka võib mingi halva juhuse kaudu keegi kaost luua. Isegi isoleeritud keskkonnas võib tulla tööle keegi, kes pahaaimamatult sisestab oma arvutisse näiteks kingituseks saadud mälupulga… Samuti tundub, et pidevalt pähetambitud tarkused kipuvad praktikas ununema just inimfaktori tõttu:
- Ettevõte seadistab karmi paroolipoliitika. Inimene seab endale lihtsama parooli…
- Selle vastu ettevõte rakendab paroolihaldurite kasutuse. Kasutaja seab master-parooliks midagi lihtsat. Või paroolihalduse teenusepakkujal läheb midagi nihu.
- Ja nii edasi…
Ehk turvariskideks tuleb olla igal tasemel valmis, alati arvestada võimalusega, et kõige targem inimene võib ka nende lõksu langeda ning protseduuriliselt olla valmis rakendama abinõud A, B ja C-d, et minimeerida kahjusid.
Hindenbug 