Eellugu

Avaliku sektori organisatsioonis X infosüsteemis tuvastati turvanõrkus – võõrastel oli võimalik alla laadida tundlikud kliendiandmed. Nõrkuse avastas kasutaja, kes oli sõbralik ja edastas info süsteemi omanikule ning palus avalikustada turvanõrkus omanikul endal.

Mis siis hakkas toimuma?

Tegemist on reaalselt asetleidnud sündmusega Eesti avalikus sektoris. Teave sellest, kuidas reageeriti ja mida tehti on kirja pandud etapiti koos umbkaudsete kulunumbritega, saamaks pilti sellest, mis võivad sellised nõrkused maksma minna, rääkimata mainekahjust. Info pärineb esmasest allikast, nimesid ei avalikustata.

Etapp I – avastamine ja tuvastamine

1. Peale nõrkusest teadasaamist oli vaja tuvastada, kas info on pädev. Tuli tellida turvatest leidude osas. Usaldusväärne turvatestija, kellel on võimalus see teema kohe töösse võtta, oli vaja leida tundidega. Ei ole Eesti piires üldse lihtne! 
   Kulu 3000 €
2. Järgmise päeva õhtuks oli olemas kinnitus, et jah, turvanõrkus on reaalne. Peale seda sai info edastada lepingupartnerile, kes siiani väitis, et süsteem on turvaline.
3. Lepingupartner parandas vead päevaga, mille järel tuli tellida uus test kuna usaldus lepingupartneri osas oli kadunud (kasutati sama firmat, kes tegi ka esmase testi).
   Kulu 1000 €
4. Vead parandatud, süsteem konkreetse nõrkuse osas testitud ja infosüsteem toimib. Töös katkestust ei tehtud. 
   IT-juhil lisatööd neli tööpäeva ja kõvasti stressi kogu organisatsioonis. Kuna ootamatult sattus uudis kokku teise andmelekke uudisega, pani meedia ka selle suure kella külge.
   Otsesed kulud kokku 4000 €, kaudseid kulusid arvutada keeruline.
   Kõigele lisaks tohutu mainekahju.

Etapp II – parandamine, tegelemine, kommunikeerime

1. Nüüd oli vaja organiseerida infosüsteemile uus täielik turvatest (OVASP). Infosüsteemi haldaja polnud kahjuks koostööaldis ja teha oli vaja „black box“ test. Võtta konkureerivad pakkumised, analüüsida, kooskõlastada, teha otsused, teha kokkulepped, sõlmida lepingud, tagada ligipääsud, olla kontaktiks kogu testimise vältel. 
   Testide tellimisega seotud tööd IT-juhile, ajakulu 5 päeva.
2. Tellitud sai testid infosüsteemi veeblilahendusele ja androidi äpile, Apple jäi välja, kuna rahapiir tuli vastu.
   Testid kestsid kokku 4 nädalat ja maksumus 22 000 €.
3. Paralleelselt olid pidevalt teemaga hõivatud IT-juht, infosüsteemi peakasutaja, GDPR-i vastutaja ning PR-juht. Infot oli vaja jagada sisemiselt juhtkonnale, väljapoole AKI-le, RIA-le, ajakirjandusele ja sotsiaalmeedias. Lepingupartner, kes vastutas infosüsteemi turvalisuse eest otsustas, et kogu nendepoolselt suhtlust vahendab jurist kuna oli oht, et tekivad leppetrahvid. 
   Esmase prioriteedina tegelesid teemaga 4 inimest 4 nädalat.
4. Turvatestide käigus ilmnes veel olulisi turvanõrkuseid, mis näiteks viitasid võimalusele kaaperdada krediitkaardiandmed (õnneks peatasid mõned infosüsteemi lisaturvameetmed lekke ja reaalset andmete leket ei õnnestunud siiski esile kutsuda).

Etapp III – haavade lakkumine

1. Vaevalised läbirääkimised lepingupartneriga infosüsteemi parendamiseks. Tuli välja, et turvanõrkuste parandamine vajab süsteemiarhitektuuri muutmist. 
2. Ettevõte pidi aru andma RIA-le ja läbib RIA auditi. IT-juht tegeles eelnevalt kogu IT-dokumentatsiooni ülevaatamise ja korrastamisega.
3. AKI küsis järjest uusi andmeid ja logisid, ähvardades GDPR trahvidega, mida õnneks reaalselt ei järgnenud.
4. Järelvõnked kestsid veel poolteist kuud. Kogu selle aja olid seotud inimesed valmis tegelema teemaga esmase prioriteedina.
5. Tulemus: suur mainekahju ja teenusest loobub 1% klientidest.

Kokkuvõte

1. Kulunud aeg intsidendi avastamisest lahendamiseni:
   • I etapp – 1 nädal
   • II etapp – 5 nädalat
   • III etapp – 6 nädalat
   • Kokku 12 nädalat e. kolm kuud
2. Otsene rahaline kulu:
   • I etapp – 4000 €
   • II etapp – 22 000 €
   • Kokku 26 000 €
3. Tööjõu kulu:
   • I etapp – 1 nädal. IT-juht 8 tundi päevas, tänu millele kõik muud tööd jäid ootele. 
   • II etapi ajakulu on keerulisem hinnata aga 4 nädalat ja 3 inimest, pluss IT-juht 5 nädalat. 
   • III etapp – 6 nädalat, eelkõige GDPR ja infosüsteemi peakasutaja tööd, IT-juht oli rohkem taustal.
   • Kokku kuni 540 inimtundi
4. Mainekahju ja teenusest loobunud klientide kahju kokku ei arvestatud.

Kõik SEE oleks võinud olla olemata, kui organisatsioonil oleks olnud turvaseireteenuse leping. 

Hinnang „potentsiaalse lepingu“ tasuvusele.

ROSI (Return on Security Investment) = (intsidendi maksumus x kaitsetõhusus – investeering)/investeering
Intsidendi umbkaudne rahaline maksumus: 39 500 €
Turvaseire kaitsetõhusus: 95%
Investeering aastas: 15 500 €
ROSI = 142% ehk siis investeering turvaseirelepingusse tooks näiliselt tagasi 56 090 €.
ROSI-s pole arvesse võetud teenusest loobujate kulu, rääkimata mainekahjust. 

Tutvu turvaseireteenusega. Hea nõu saamiseks võta ühendust oma kliendihalduri või kirjuta lahendused@oixio.ee

Küsi lisainfot või pakkumist

Loe lisaks: European Network and Information Security Agency | Introduction to Return on Security Investment