„Maine ja usalduse ehitamiseks kulub 20 aastat. Piisab kõigest mõneminutilisest küberintsidendist, et see kõik ära rikkuda.“
Nende tunnustatud küberjulgeoleku eksperdi Stéphane Nappo sõnadega alustas Hansabi tegevjuht Kristo Timberg 2. oktoobril Kultuurikatlas toimunud Primendi konverentsil „Targad lahendused – turvalisem tulevik“ oma küberintsidendi kogemusloo jagamist.
Oma ettekandes kajastas Timberg nii juhtunu tehnilisi üksikasju kui ka õppetunde, mille võrra digitaalseid, automaatseid ja turvalahendusi pakkuv Hansab nüüd rikkam on.
1. märts 2024 läheb Hansabi jaoks ajalukku kui päev, mil kogu organisatsiooni infrastruktuuri küberturvalisus liikus uuele, palju kõrgemale ja läbimõeldumale tasandile. Kui ühe täiesti tavalise reedese tööpäeva pärastlõunal hakkasid ettevõtte serverid ootamatult restarti tegema, seiskas see hetkeks kogu ettevõtte toimimise. Tänu spetsialistide kiirele tegutsemisele katkestati koheselt internetiühendus, piirati ettevõtte võrguliiklust ja isoleeriti võrk, misjärel tuvastati, et kadunud oli kogu ettevõtte virtualiseerimiskeskkond. Timbergi sõnul oli intsidendis löögi alla sattunud Hansabi kõige turvatum ja raskemini ligipääsetav osa.
Kes ja miks seda tegid, ei ole tänaseni selgunud. Ettevõttele ei esitatud mingeid nõudmisi ega antud muul moel rünnaku kavatsustest märku.
Timbergi sõnul on sedasorti kriitilises olukorras oluline kiiresti tegutseda. Selleks käivitati kriisigrupid, kes kogunesid esialgu iga tunni, seejärel kahe, nelja jne tunni järel. Lisaks kaasati majasisest oskusteavet täiendama eksperte väljastpoolt – oma abi pakkusid nii Primend, CERT-EE, OIXIO, Telia kui ka paljud teised. „Seda oli väga lahe näha, et me polnud oma probleemiga üksi,“ avaldas küberrünnaku alla sattunud ettevõtte tegevjuht toetavate partnerite üle heameelt.
Kulus terve nädal, et pihta saanud süsteeme taastada, ent paraku ilmnesid seadmete ja süsteemide töö taastamise käigus anomaaliad, mistõttu alustati taastamistööga uuesti otsast peale. Siinkohal viitas tegevjuht ettevõtte missioonile, mis seisneb klientide elu lihtsamaks ja turvalisemaks tegemises.
„Kuna turvalisus on meie jaoks nii oluline teema, siis kui tekib valik, kas me teeme üht- või teistmoodi, saame alati küsida, kas see on see turvalisus, mida meilt oodatakse,“
põhjendas Timberg Hansabi ülimat põhjalikkust süsteemide taastamistööde käigus.
Just hästi sõnastatud ja läbimõeldud ettevõtte missioon, visioon ja väärtused on tema sõnul need, millele taolistes kriisisituatsioonides saab tugineda, sest need aitavad väga paljudele küsimustele väga kiiresti vastuseid leida.
Ehkki kliendilahendused, pangaautomaadid, terminalid ja muud teenused toimisid tänu alternatiivsetele lahendustele edasi, seisis kõnealuse küberrünnaku tõttu kogu Hansab silmitsi terve rea probleemidega: kliendisüsteemide reaalajas monitooring ei toiminud, puudus ülevaade saadud ja esitatud arvetest, uuendused kliendiseadmetele ei toiminud, puudus ülevaade laoseisudest, sularahaautomaatide täitmine oli varasemast oluliselt aeganõudvam, infovahetus raskendatud jne. Kõige selle taustal oli erakordselt keeruline ka Hansabi enda töö ja ressursside planeerimine ning rakendamine.
Lisaks tehniliste lahenduste leidmisele tuli planeerida ja korraldada ka kommunikatsiooni nii maja sees kui väljas. Kuna küberintsidendi puhul tekib kohe küsimus, kas kliendid ja koostööpartnerid on samuti mõjutatud ja ohustatud ning kuna kõige olulisem valuuta ettevõtte jaoks oli tol hetkel usaldusvääruse säilitamine, astuti väga konkreetseid samme ka selle osas, kuidas sellest kõigest rääkida.
„Kui sellised asjad juhtuvad, olete te oma partnerite silmis haiged. Haigete inimestega keegi aga suhelda ei taha,“
sõnas Timberg oma ettekandes ja lisas:
„Kui tahate digikeskkonna vahendusel äri ja koostööd teha, on klientide usaldus väga oluline.“
Hansabi tegevjuhi sõnul on küberturvalisus paraku teema, mille vajalikkuses keegi ei kahtle, ent niipea, kui sellesse on vaja raha investeerida või reaalseid tegevusi teha, muutub see ühtäkki teisejärguliseks IT-probleemiks. See on ka põhjus, miks Hansab on otsustanud oma kogemust avameelselt jagada.
Millised õppetunnid selle intsidendi valguses Hansab ise üles noppis, et neid teistegagi jagada?
- Parem olgu lahendused probleemile, mida ei teki, kui probleem, millele ei ole lahendusi. Kui hakkate alles kriisi ajal alternatiivseid süsteeme looma, olete juba kaks sammu hiljaks jäänud.
- Kohanemisvõime on kriisis võtmetähtsusega, sest on otseselt seotud ettevõtte usaldusväärsuse ja mainega. See, kui kiiresti suudetakse alternatiivsetele lahendustele üle minna ja mida ettevõte teeb selleks, et teenuste toimimine jätkuks, näitab partneritele võimekust ükskõik millises olukorras hakkama saada.
- Juba kriisi esimestel hetkedel tasub hakata mõtlema pika perspektiivi peale. Akuutse kriisi faasis tuleb kustutada tulekahjusid, aga mõtlema peab ka sellele, mis saab siis, kui kiireid lahendusi olukorra jaoks ei leidu ning backlog aina kasvab.
- Selgitage välja, mis tegelikult juhtus. Inimlik on tahta restarti teha, uuesti installida ja ära parandada, aga see võib kasu asemel hoopis rohkem kahju tuua. Mõistmine, mis tegelikult juhtus, on väga oluline ning adekvaatse reaktsiooni ning tegevuste tagamiseks ongi protseduurid, tegevuskavad ja reeglid, et vältida täiendavate valearvestuste tegemist.
- Logid on kui leivapuru, mille järgi kriisiolukorras liikuma hakatakse, et probleemi algpõhjuseni jõuda. See kõlab hästi lihtsalt, aga tegelikult tuleb mõelda, mida ja kui palju logida, kuskohas seda kõike hoida, kes logisid lugeda ja kasutada oskab ja mida nendega peale hakata.
- Reegleid ja plaane, sh varundusplaane ja riske tuleb regulaarselt ja päriselt, mitte lihtsalt paberi pärast üle vaadata. Samuti on oluline regulaarne võrgu- ja tulemüürireeglite uuendamine ja monitooring.
- Eksperte võib kaasata, aga mõistlik on seda teha juba enne kriisi. Vastasel juhul kulub väga palju aega enne, kui väljast tulnud spetsialistid on süsteemidega piisavalt tuttavad, et saaksid hakata probleemi lahendama. PR spetsialistid kommunikatsiooni nõustamiseks, juriidiline partner juriidikaga tegelemiseks – kõik see tuleb kriisiolukorra jaoks eelnevalt läbi mõelda ning ette valmistada.
- Suhtlus ja tihe koostöö võtmepartnerite ja -klientide, aga ka avalikkusega on ülioluline, sest kui teie ei räägi, teevad seda teised. Narratiivi on mõistlik aga ise juhtida, suhelda ausalt ja mõistlikult.
- Väliskommunikatsiooni kõrval on sama oluline ka sisekommunikatsioon. Majasisesed töötajad vajavad infot selle kohta, mis toimub ja mis saama hakkab. Sealjuures tuleb arvestada, et majasisene info võib lekkida ka avalikkusesse. Seega on ülioluline kõik oma sõnumid peensusteni läbi mõelda ja mitte uusi riske ja probleeme endale ise juurde tekitada.
Õppetunde, mis sellest kogemusest üles nopiti, oli veelgi, ent vahest kõige olulisemaks neist on teadmine, et on väga palju asju, mida saab ära teha enne, kui kriis juhtub.
Kõik see, mida tehakse pärast intsidendi toimumist, mõjutab omakorda aga ettevõtte usaldusväärsust ja mainet.
Timbergi sõnul oli kõnealuse küberintsidendi näol nende jaoks tegemist reaalelulise õppusega. Olukord lõppes hästi, sest kõik süsteemid said taastatud ja ettevõtte tervikuna tuli sellest kogemusest tugevamana välja. Lisaks tuvastati oma süsteemides mitmeid nõrkusi, millele rohkem tähelepanu pöörata. Intsidendijärgse analüüsiga mindi väga sügavale, muudeti täielikult kogu süsteemi ülesehitust ja tõhustati tehnilisi lahendusi ning protseduure. Ehkki süsteemide taastamine venis planeeritust pikemaks, on ettevõte tänaseks ametlikult kriisist väljunud.