Kokku testiti sel aastal kuute asutust, 2019. aastal on planeeritud testida seitsme ettevõtte või asutuse infosüsteemi.
Eri kohtades eri nõrkused
Õun märkis, et eri sektoritel on omad tüüpnõrkused. Näiteks energeetika, vee- ja kaugkütte ettevõtetes on rohkem SCADA-võrkudega seotud nõrkusi, tervishoius meditsiiniseadmetega. “Testimisega nõustumine, nende läbiviimine näitab, et ettevõtte huvitub oma küberturvalisusest,” lausus ta.
RIA poolt korraldatavate testide eesmärk ja sellest tulenevalt ka metoodika, on tuvastada võimalikult palju haavatavusi teenuse osutaja infosüsteemis. “Eesmärk on tuvastada nõrku kohti, mida saab teha tugevamaks, mitte aga tuvastada fakti sissemurdmise võimalikkuse kohta kui sellist,” lisas ta.
Metoodikast lähtuvalt tuvastatakse iga turvatestimise käigus raskeid haavatusi, tihti ka kriitilisi. “See aga ei tähenda, et infosüsteemid oleksid kriitilises olukorras, vaid et neid on võimalik parendada,” lisas Õun.
Kui teenuse osutaja on nõustunud turvatestimisega ja peale seda ka tutvunud testimise tulemustega, siis on tal võimalus kas nõustuda testijate poolt tehtud ettepanekutega turvalisuse parendamiseks, kasutada alternatiivseid võimalusi või hoopis aktsepteerida riski.
Õun märkis, et igal neil kolmest on omad plussid ja miinused. “Näiteks, kas kasutada viirusetõrje tarkvara, mis toimetab veebis (ehk siis testitavaid faile ja neis sisalduvat infot võrreldakse tarkvara osutaja serveris) ja kus info uuemate viiruste kohta on värskem, või tarkvara, mis asub küll teenuseosutaja serveris, kuid, kus viirusi puudutava info uuendamine võib olla aeglasem,” lisas ta.
Üldiselt on asjad aga siiski paremaks muutnud. “Küberturvalisuse olukorra pilt on läinud kindlasti paremaks. Sellest annab märku juba see, et huvi nende testide vastu on tunduvalt suurenenud ja teenuse osutajad teevad neid teste ka oma kuludest mitte ainult RIA abil,” lisas ta.