Riigi kübereksperdid üritasid murda riigile elutähtsaid teenuseid

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.

Riigi infosüsteemide amet (RIA) kirjutas oma augusti uudiskirjas, et turvalisuse tagamiseks viidi läbi turvatestimised elutähtsate teenuste suhtes, mis lihtsustatult tähendab, et RIA üritas leida viise, kuidas need teenused võiks maha murda.

RIA kriitilise informatsiooni infrastruktuuri kaitse osakonna juhataja Ragnar Õun sõnas Geeniusele, et sääraste katstuste raames testitakse elutähtsa teenuste osutajate infosüsteeme või mõnda osa sellest. Selle raames tehakse läbitavusteste (penatration tests), aga vaadatakse ka infosüsteemide füüsilist turvalisust ja fikseeritud kordasid.

Konkreetsed testitavad leitakse kokkulepete põhjal ning kuna testimised toimuvad kindlas rütmis, siis peab testimise toimumise aeg sobima ka teenuseosutajale. Lõpuks on testimisel aga siiski kindlad eesmärgid: aidata teenuse osutajatel leida nõrkusi, et neid parandada; saada RIAs ohtudest ülevaade; tõsta teenuseosutajate teadmisi küberturvalisusest.

Kokku testiti sel aastal kuute asutust, 2019. aastal on planeeritud testida seitsme ettevõtte või asutuse infosüsteemi.

Eri kohtades eri nõrkused

Õun märkis, et eri sektoritel on omad tüüpnõrkused. Näiteks energeetika, vee- ja kaugkütte ettevõtetes on rohkem SCADA-võrkudega seotud nõrkusi, tervishoius meditsiiniseadmetega. “Testimisega nõustumine, nende läbiviimine näitab, et ettevõtte huvitub oma küberturvalisusest,” lausus ta.

RIA poolt korraldatavate testide eesmärk ja sellest tulenevalt ka metoodika, on tuvastada võimalikult palju haavatavusi teenuse osutaja infosüsteemis. “Eesmärk on tuvastada nõrku kohti, mida saab teha tugevamaks, mitte aga tuvastada fakti sissemurdmise võimalikkuse kohta kui sellist,” lisas ta.

Metoodikast lähtuvalt tuvastatakse iga turvatestimise käigus raskeid haavatusi, tihti ka kriitilisi. “See aga ei tähenda, et infosüsteemid oleksid kriitilises olukorras, vaid et neid on võimalik parendada,” lisas Õun.

Kui teenuse osutaja on nõustunud turvatestimisega ja peale seda ka tutvunud testimise tulemustega, siis on tal võimalus kas nõustuda testijate poolt tehtud ettepanekutega turvalisuse parendamiseks, kasutada alternatiivseid võimalusi või hoopis aktsepteerida riski.

Õun märkis, et igal neil kolmest on omad plussid ja miinused. “Näiteks, kas kasutada viirusetõrje tarkvara, mis toimetab veebis (ehk siis testitavaid faile ja neis sisalduvat infot võrreldakse tarkvara osutaja serveris) ja kus info uuemate viiruste kohta on värskem, või tarkvara, mis asub küll teenuseosutaja serveris, kuid, kus viirusi puudutava info uuendamine võib olla aeglasem,” lisas ta.

Üldiselt on asjad aga siiski paremaks muutnud. “Küberturvalisuse olukorra pilt on läinud kindlasti paremaks. Sellest annab märku juba see, et huvi nende testide vastu on tunduvalt suurenenud ja teenuse osutajad teevad neid teste ka oma kuludest mitte ainult RIA abil,” lisas ta.

Märksõnad: ,

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.