Kaitse oma kaubamärki

Avalikke teenuseid (veebilehed, e-post) varitsevad ohud, mille kaudu võib olla häiritud ettevõtte töö ja mis võivad ettevõtte mainet kahjustada.

Avalike veebilehtede puhul võivad esineda näiteks järgmised ohud:

1. Ründajad võivad teha ettevõtte veebilehe kättesaamatuks. See halvab näiteks e‑kaubandusega tegeleva ettevõtte töö ja segab ka paljude teiste ettevõtete tööd, sest kliendid ei pruugi veebilehelt saada vajalikku teavet.
2. Ründajad võivad pääseda veebilehe haldusele ligi ja varastada sealt näiteks ettevõtte klientide andmeid, mis võib kaasa tuua mainekahju ja GDPRi trahvid.
3. Ründajad võivad muuta veebilehe sisu sobimatuks (näiteks solvavaks), mis jällegi võib segada ettevõtte tööd ja kahjustada selle mainet.
4. Ründajad võivad paigaldada veebilehele tarkvara, mis nakatab veebilehte külastavad kliendid kahjurvaraga. See toob kaasa olukorra, kus ettevõtte kliendid hakkavad seda veebilehte vältima, isegi kui see on korda tehtud.

Kui ründajad võtavad üle sotsiaalvõrgustiku kontod, võib see ettevõttele kaasa tuua nii maine- (tehakse ebasobivaid postitusi, solvatakse kliente jne) kui ka rahakahju, kui need kontod on seotud maksetega (näiteks Facebooki reklaami ostmiseks on lisatud krediitkaardi teave, millele ründajad saavad ligi). Tuleks arvestada, et lisaks ettevõtte enda sotsiaalvõrgustike kontodele tuleb kaitsta ka ettevõtte juhtkonna ja võtmetöötajate kontosid.

Kui ettevõtte e-posti teenus ei ole kaitstud, võivad ründajad kasutada ettevõtte e-posti aadresse, et petta selle töötajatelt või partneritelt raha välja või saata rämpsposti. Samuti võivad kaitsmata domeenilt saadetud e-kirjad jääda kinni mõne meiliserveri rämpspostifiltrisse ja saajale mitte kohale jõuda. See võib tuua kaasa nii maine- kui ka rahakahju.

Ohtude vastu kaitsmise esimene samm on teadvustamine, et need on olemas. Ohtude vastu kaitsmiseks on hulk tegevusi, mida ettevõtted saavad ise teha, et neid ohte ära hoida.

Avalike teenuste rünnakuks kasutatakse tavaliselt ära teenuste (näiteks veebileht või e‑posti server) tarkvaras olevaid turvaauke, nõrku turvasätteid, liiga lihtsaid või lekkinud paroole jne. Turvanõrkuste tuvastamiseks on olemas tööriistu, mis teevad seda automaatselt. Sellised tööriistad skaneerivad avalikke teenuseid ja loovad avastatud turvanõrkuste kohta ülevaatlikud aruanded. Peale nende avastamist tuleks IT-personalil või ‑teenusepakkujal need kõrvaldada. Seejärel tuleb teha uus skaneerimine ja vaadata, kas varem avastatud turvanõrkused on kõrvaldatud. Neid on vaja skaneerida regulaarselt (näiteks kord kuus), et järjepidevalt uusi turvanõrkuseid avastada ja need kõrvaldada.

Avalike teenuste kaitsmiseks tuleb kõrvaldada avastatud turvanõrkuseid. Tähtis on ka see, et veebilehtede või e-posti serveri tarkvara oleks uuendatud. Uuendama peab nii teenuse serveri kui ka teenuse enda tarkvara.

Domeeni kaitsmiseks kontrolli, et sinu domeeni halduskontaktide andmed domeeniregistris on korrektsed. CERT-EE seirab .ee domeeniruumi ja saadab kriitiliste turvanõrkustega või kompromiteeritud lehtede omanikele vastavad teavitused. Korrektsed andmed tagavad, et teavitused jõuavad õigeaegselt kohale.

E-posti teenuse kaitsmiseks peab IT-personal või -teenusepakkuja tegema järgnevad seadistused:

1. Meiliserverite andmevahetuse kaitsmiseks tuleb lülitada sisse SMTP protokolli TLS-tugi, kasutada POP3s ja IMAPS protokolle ning serveri poolel ära keelata krüpteerimata POP3 ja IMAP protokollide tugi. Tähtis on kasutada e-posti serveri teenustel ainult usaldatud sertifikaate, mis on väljastatud õigele serveri täisnimele (FQDN – fully qualified domain name) ja sertifikaati on lubatud kasutada ka e-kirjade kaitsmiseks (Email protection);
2. Selleks et ründajad ei saaks vabalt kasutada ettevõtte e-posti aadresse, tuleks DNSi luua SPF-kirje (Sender Policy Framework), mis ütleb, millised e-posti serverid võivad kirju saata ettevõtte e-posti domeeni alt. E-kirja mass-saatjate (näiteks Smaily, MailChimp jm) puhul ei tohiks neid lisada SPF-kirjesse, vaid kasutada hoopis DKIM-i. Vastasel juhul võib juhtuda, et kõik sama teenuse kasutajad saavad teise isiku nimel e-kirju saata;
3. Selleks et tõestada ettevõtte e-posti serveri õigsust, on võimalik seadistada ka DKIM (DomainKeys Identified Mail). DKIM allkirjastab serverist väljuvad e-kirjad ning teised e-posti serverid kontrollivad, kas antud allkiri on õige.
4. DMARC (Domain-based Message Authentication, Reporting and Conformance) levitab DNSi kaudu e-posti serveritele poliitika, mis ütleb, mida peaks sellelt domeenilt tulnud e-kirja puhul kontrollima ja kuidas e-posti server peaks selle kirjaga edasi käituma. DMARC kasutab SPFi ja DKIMi, et oma poliitikale vastavust kontrollida. DMARC abil on võimalik saada raport selle kohta, kas keegi on üritanud saata kirju mujalt kui lubatud kohtadest.

Häid nõuandeid ja soovitusi e-posti teenuse kaitsmiseks leiab ka RIA blogist.

Tihti rünnatakse ettevõtete sotsiaalvõrgustiku kontosid, nagu X, LinkedIn, Facebook, Instagram jne. Ohus on ka ettevõtte juhtkonna ja võtmetöötajate kontod ning neid tuleb samamoodi kaitsta.

Ettevõtte sotsiaalmeedia kontode kaitseks tuleb teha järgnevaid tegevusi, mis ei ole keerulised ega kulukad, kuid suurendavad turvalisust märgatavalt:

1. Loo ettevõtte sotsiaalmeedia kasutamise eeskiri. Reeglid peaksid muuhulgas sisaldama:
   • milliseid ja mis eesmärgiga sotsiaalmeedia kanaleid (platvormid, kontod ja lehed) organisatsioon kasutab;
   • mis töötaja mis kontole ligi pääseb ja mis õigustes kontosid hallata saab;
   • milline on varuligipääs kontole;
   • kuidas toimub ligipääsude üleandmine tööülesannete muutumise või töötaja lahkumisel;
   • kuidas töötaja sotsiaalvõrgustikes käitub.
2. Kasuta tugevaid paroole ja vaheta salasõnad, kui ettevõttest lahkub töötaja, kes pääses ettevõtte kontodele ligi.
3. Lülita sisse mitmeastmeline autentimine.
4. Kontrolli regulaarselt olemasolevad sotsiaalmeedia kontosid. Eemalda alati ligipääsud töötajatelt, kes neid ei vaja.
5. Kontrolli üle kontode sätted. Aeg-ajalt võivad platvormid privaatsussätteid uuendada või võib olemasolev seadistus muutuda.
6. Kui kontod ei ole aktiivselt kasutuses, tuleks neid kaitsta ja jälgida sarnaselt aktiivses kasutuses olevate kontodega, et tuvastada võimalik ülevõtmine.
7. Kasutades platvormide haldamiseks mõnda välist teenusepakkujat, tuleb leppida kokku, et konto ja sisu omandiõigus on siiski ettevõttel.