Nädal 14
Mina pean kõige suuremaks turvariskiks just pettusi. Nad ei ole otseselt IT-turvarisk aga kasutatakse IT vahendeid pettuse läbi viimiseks alates lihtsatest emailidest kuni rakendusteni, mille ohver vabatahtlikult paigaldab oma seadmesse ja laseb pahalase sinna ligi.
Ma olen töötanud kahes ettevõttes, ühes oli väga range IT juht, kes andis kasutajatele minimaalsed õigused, ise ei saanud mitte midagi arvutisse paigaldada, paroole tuli iga veidi aja tagant vahetada, USB pesadesse ei saanud väliseid seadmeid ühendada ja kõike muud sellist. Võib-olla see lõi kasutajates sellise turvatunde, et valvsus kadus ära. Raamatupidaja emailile tuli arve, suur firma, ei ole raamatupidajal aega taga ajada, kelle tellitud kaup see oli, lihtsam on ära maksta, pole suur summa ka. Hiljem selgus, et sellise nimega ettevõte ei ole midagi müünud meile. Huvitav, kui palju selliseid arveid igapäevaselt saadetakse ja ka makstakse ja mis ei tulegi välja, et tegemist oli pettusega. 50€ väärtuses arveid saata firmadele, mille käive on sadades tuhandetes, Kuskil ikka läheb õnneks. Teine juhtum oli, kus klient sai nagu meie käest emaili, mis nägi täpselt välja nagu oleks meie firma selle saatnud, sisuga, et palume viimane arve kanda tavapärasest erinevale pangakontole, sest me vahetame panka või mingi muu selline jutt oli juures. Klient maksiski sinna, ligi sada tuhat eurot.
Praeguses firmas on veidi lõdvemad tingimused, enamusel kasutajatel on arvutites admin õigused. Paroolide vahetamisele mingeid tingimusi ei ole. Igaüks võib paigadalda oma arvutisse mida soovib. Kuna firma on väiksem, siis sarnased petukirjad läbi ei lähe, sest kontori juht ajab enne arvete maksmist näpuga järge ja veendub, et iga arve on mingi toote ja teenusega seotud. Siiski õnnestus ka siin ettevõttes ettevõtte krediitkaardilt kolmel järjestikusel päeval võtta 2400 eurot. Tegevjuht küll märkas seda kohe ja sai panga abiga teenused tühistatud aga tundus, et natuke oli vaeva nähtud, sest makse selgitus oli Google Ads, reklaami me küll ei kasuta aga serveriteenust ostame Googlest, et lohakas lugeja vaatab, et Google, ok serverid on seal, kõik ok. Aga kuna me reklaami ei telli Googlest, siis taipas juht, et tegemist on pettusega, kust nad kaardi andmed said ei olegi selgunud.
Ma ise olen väga suur skeptik, koguni nii suur, et mõnikord ka õiged kirjad lendavad prügikasti, kommentaariga, et kui lolliks te mind peate. Näiteks teatud tingimustel DPD-ga Inglismaalt paki tellimisel tuleb paki Prantsusmaale jõudes kiri DPD-st, mis näeb välja nagu selle oleks kujundanud viie aastane:
Kuidas selle kõigega võidelda? Internet peaks olema küll ju vaba suhtluse ja infovahetuse jaoks loodud aga kas ta ikka peab nii vaba olema? Sotsiaalvõrgustikes saab määrata, kes sulle kirjutada tohivad, kes ei tohi, selle kiri läheb sõnumi taotlustesse. Äkki peaks ka emailidega olema nii? Tahad mulle kirjutada, saada taotlus, tutvusta ennast ja siis ma otsustan, kas selle aadressi pealt saab mulle edasisi kirju saata. Sama telefonikõnede ja sõnumitega, tahad helistada, saada sõnum, kes sa oled ja kui soovin, siis luban sul helistada. Androidil vist on saada mingeid selliseid rakendusi, mis tundmatute numbrite kõned välja filtreerivad. Tundub võib-olla jõhker aga kodu uksed meil ju ka ei ole pärani lahti, et igaüks võib sisse astuda ja hakata midagi seletama. Kui keegi tahab tulla tuppa, siis ta peab ikka kella andma ja ennast tutvustama.
Comments
Post a Comment