OLE TEADLIK I Turvamata tarkvaraarendused lihtsustavad andmevargust
Andmevargused on võimalikud tänu turvanõrkustele, mida võib esineda nii tarkvaras, riistvaras kui ka võrguinfrastruktuuris ning mis muudavad ettevõtte andmebaasid haavatavaks küberkuritegevusele.
Eesti suurima IT- ja telekomiettevõtte Telia sõnul tulenevad ettevõtte andmesidevõrgu ja IT-süsteemide turvanõrkused ehk haavatavused enamasti turvalisuse eiramisest tarkvarakoodi kirjutamisel, paikamisel, seadistamisel ja disainimisel. Turvaauke põhjustavad aga ka ebapiisav testimine, vananenud tarkvara ja protokollide ning nõrkade krüptograafiliste algoritmide kasutamine.
„Tarkvara arendusteenuseid pakkuvate ettevõtete programmeerimise praktikad ja süsteemide disainimise alused ei ole tihti vastavuses turvalisuse parimate praktikatega,“ tõdeb Telia küberturbe ja uute äride valdkonna tiimijuht Martin Paas. Tema sõnul soovitakse pigem luua uusi tooteid ja arendada uusi funktsionaalsusi, mitte aga tegeleda eelnevalt valminud moodulite või süsteemide turvalisuse parandamisega. “See on ka täiesti arusaadav, kuna nende kliendid turvalisuse eest eraldi nõus maksma ei ole, uute funktsionaalsuste eest aga küll.”
Tarkvara arendusteenuseid pakkuvate ettevõtete programmeerimise praktikad ja süsteemide disainimise alused ei ole tihti vastavuses turvalisuse parimate praktikatega.
Paasi sõnul tuvastati mullu 20 965 turvanõrkust, tänavu on avaliku statistika põhjal haavatavusi juba 14 214.
“Üks haavatavus võib mõjutada mitmeid tarkvarasid. Näiteks Log4j puhul, kus enamik tarkvarasid olid sellest ühest haavatavusest mõjutatud,” meenutab ta 2021. aastal avastatud kriitilist haavatavust, mis andis häkkeritele täieliku kontrolli seadmete üle, mis käitasid Log4j parandamata versioone.
Seetõttu olekski vaja regulaarselt teostada turvanõrkuste kontrolli, mille eesmärk on hinnata ja hallata haavatavusi süsteemides, et vähendada võimalike ohtude mõju. “Programmeerimis- ja seadistusvigade ning vananenud tarkvarast põhjustatud turvaaugud võimaldavad pääseda ettevõtte võrku ja varastada andmeid. Mõnikord võib üks turvaauk põhjustada kogu andmebaasi lekke ja kuritahtliku kasutamisega muuta see kogu maailmale nähtavaks,” räägib Paas.
Mõnikord võib üks turvaauk põhjustada kogu andmebaasi lekke ja kuritahtliku kasutamisega muuta see kogu maailmale nähtavaks.
Ta rõhutab, et haavatavuse haldamine peaks olema osa igast turvalisuse strateegiast ning seda tuleks pidada ettevõtluse standardkuluks. “Haavatavuse haldus on distsipliin. See nõuab järjepidevust, pühendumust ja pidevat ümberhindamist,” rõhutab Paas, et turvanõrkuste kontroll ühekordse protsessina ei taga pikaaegsest kaitset küberrünnakute eest.