Hiljuti avaldas Riigi Infosüsteemi Ameti küberturbeüksuse CERT-EE juht Tõnu Tammer ülevaate, mille kohaselt kasutab sadakond e-poodi Eestis oma klientide teenindamisel tarkvara, mis on tänases digimaailmas sisuliselt sama tark ja turvaline kui kümme aastat vana mobiiltelefon. Käsitlusi digiturvalisusest on ilmunud teisigi ning sõnum on neil kõigil üks: meie seas on üha rohkem ettevõtteid, kelle tehnoloogilisest võlast tingitud turvanõrkused on hakanud ohustama nii nende käivet kui ka head mainet.

Eelkirjeldatu ei ole kaugeltki erasektorile omane. CERT-EE statistikas registreeritakse igas kuus ca 200-250 turvaintsidenti, mis ohustavad ettevõtete kõrval ka riigiasutusi ja kohalikke omavalitsusi.

Kuigi lühiajaliselt on nende hulk püsinud samal tasemel, siis selle taga on pigem meie võimekate küberturbeekspertide igapäevased pingutused. Pikas vaates on küberrünnete hulk siiski mitmekordistunud. Tehnoloogilise võla all kannatavad asutused on küberkurjategijate silmis endiselt lihtne sihtmärk.

Juba 1980. aastatel hakati rääkima tehnoloogilisest võlast kui kaudsest kulust, mis tekib, kui ettevõtted ei lahenda probleeme, mis neid tulevikus mõjutavad. See on tarkvaraarenduse tavapärane osa – ning asjaolu, et see ei häiri hetkel äritegevust, ei tähenda, et seda ei eksisteeri. Pigem ei paista see esmapilgul lihtsalt välja.

Kogunev tehniline võlg põhjustab aga olemasolevate probleemide süvenemist aja jooksul. Mida kauem võlg koguneb, seda kulukamaks muutub selle heastamine. Tehnoloogilist võlga mõõdetakse ajas – iga minutit, mis kulutatakse «ebaõigele koodile» (vigasele, vanale jne), saab lugeda selle võla intressiks.

Vananenud süsteem neelab raha ja aega

Tehnoloogilist võlga IT-süsteemides võib võrrelda ka vana autoga, mis vajab teatavasti aeg-ajalt remonti. Aga ühel hetkel hakkab auto nõudma remondiraha sedavõrd palju, et mõistlikum on loobuda vanast sõidukist ning suunata remondile kulunud vahendid hoopis uue auto liisingumaksesse.

Sama seaduspära kehtib ka IT-lahenduste puhul. Lisaks pidevatele parandustöödele teevad puudused vananenud süsteemides kulukamaks ka uute funktsioonide juurutamise. Vanadele lahendusele üha uusi võimalusi juurde arendades või neid ka üle oma eluaja elus hoides ilmneb paratamatult palju vigu ja kitsaskohti, mille lahendamine ajab lõhki nii eelarved kui ajagraafikud.

«Iga süsteem aga amortiseerub ning üldjuhul loetakse ühe süsteemi tavapäraseks elutsükliks 5-10 aastat. Minu hinnangul on tänases kiiresti muutuvas äri- ja tehnoloogiakeskkonnas reaalsem pigem 4-6 aastat.»

Aeg on aga sageli sama kriitiline ressurss, kui raha. Reageerimine uutele võimalustele ja kiire kohanemine muudatustega on meie ettevõtluskeskkonnas üks olulisemaid edu võtmeid. Tüüpiliselt just ajasurve tõttu kipuvad paljud lahenduste kvaliteeti ja turvalisust puudutavad aspektid ununema või ei pöörata neile piisavat tähelepanu. Kiirustades ignoreeritakse kehtestatud arendusrutiine, häid tavasid, testimisprotokolle või loobutakse kehtestatud reeglite järgimisest. Selle tulemuseks on tavaliselt vead, mis väljenduvad süsteemi halvenemises ja arendajatel kulub täiendavalt rohkem aega nende parandamiseks.

Teine surve-element on mõistagi raha. Juhid on paratamatult pideva surve all, et täita ootusi ja tabada finantsnumbreid. Kvartali tulemite saavutamise püüdluses tundub lihtsa ja säästliku lahendusena vaid tänase kulutaseme hoidmine, ent pikas perspektiivis kasvab seeläbi tehnoloogiline võlg, mis tuleb sarnaselt tavalisele laenule mingil hetkel tagasi maksta.

Selle võla leevendamiseks vajalikke investeeringuid kinni hoides kasvavad riskid aga lõpuks eksponentsiaalselt. «Tehniline küsimus» muutub väga kiiresti äriliseks küsimuseks, mis võib ekstreemsel juhtumil olla ettevõttele fataalse iseloomuga.

Pidev parendamine hoiab pätid eemal

Kuidas tehnoloogilise võla tekkimist ära hoida? Traditsiooniliselt saavad sellega paremini hakkama ettevõtted, kes ei suhtu oma IT-lahendustesse kui ühekordsesse ostu, vaid kui ärifunktsiooni, mis peab olema pidevas arengus. Lahendused vajavad tuge ja uuendusi kogu oma eluea vältel, et suuta vastu panna pidevalt muutuvatele riskidele ja tulla toime küberpättide kasvava leidlikkusega.

Üldjuhul kehtib rusikareegel, et minimaalsed püsikulud, mis võimaldavad süsteemi viieaastase perioodi jooksul jätkusuutlikult edasi arendada, hallata ja hooldada, peaksid moodustama ca 20% investeeringu mahust. See võimaldab hoida elementaarset taset süsteemi käitlemiseks ning säilitab tehnoloogilise võla taset samal nivool.

«Turvalisuse osas ei ole võimalik kompromisse teha. Eriti siis, kui mängus on ka klientide andmed, kes on need kaupmehele usaldanud.»

Kui soovida ajas tehnoloogilist võlga aga vähendada, siis tähendab see pigem suuremaid püsikulusid.

Iga süsteem aga amortiseerub ning üldjuhul loetakse ühe süsteemi tavapäraseks elutsükliks 5-10 aastat. Minu hinnangul on tänases kiiresti muutuvas äri- ja tehnoloogiakeskkonnas reaalsem pigem 4-6 aasta pikkune periood. Selles vahemikus tuleb hakata olemasoleva süsteemi toetamise kõrval ette valmistama investeeringuid uue süsteemi loomiseks.

Kui pädev on su IT-partner?

Teiseks aitab tehnoloogilist võlga piirata asjatundlik IT-partner. Üha sagedamini kohtab meedias ka uudiseid erinevate ettevõtete andmeleketest. Sõnum, et turvaaukude tuvastamiseks, lappimiseks ja süsteemi üldiseks parendamiseks on kaasatud pädev IT-partner, on neis uudistes klientide silmis usalduse taastamiseks teenitult olulisel kohal.

Teenusepakkuja valikul muutub tunnitasu, ettevõtte ajaloo, seniste kogemuste ja tehnoloogilise oskusteabe kõrval tähtsaks ka see, et partner suudab tagada kvaliteetse ja turvalise tulemi.

Kvaliteedijuhtimise (nt ISO 9001) ja infoturvalisuse (nt ISO 27001) vastavussertifikaadid on muutumas elementaarseteks hügieenifaktoriteks, mida ettevõtetel tasub oma IT-partneritelt üha häälekamalt nõuda.

Häid valikuid igas hinnaklassis

Tulles tagasi Tõnu Tammeri kriitika juurde e-poodide turvanõrkuste teemal, siis pean temaga nõustuma.

Tänanes küberruumis ei ole Magento 1.x veebipoe platvormi kasutamine enam mõistlik, sest platvormi algne arendaja andis viimase omapoolse turvauuenduse välja kaks aastat tagasi. Sealt edasi on Magento 1.x platvormil asuvate e-poodide omanikud saanud loota vaid oma IT-partneri suutlikkusele avastada turvanõrkused ning leida neile lahendused. Olgu põhjuseks e-kaupmeeste teadmatus, ükskõiksus või rahanappus, kuid turvalisuse osas ei ole võimalik kompromisse teha. Eriti siis, kui mängus on ka klientide andmed, kes on need kaupmehele usaldanud ning kelle usaldus on intsidentide puhul kiire kaduma.

See aga ei tähenda seda, et kui e-poodnik avastab, et tema praegune Magento 1.x platvorm on turvariskidele vastuvõtlik, tuleb kukkur koheselt Adobe Commerce’i (endise nimega Magento 2) juurutamiseks valmis panna. Turul on saadaval mitmeid avatud lähtekoodiga e-kaubanduse lahendusi, mis pakuvad Magento 1.x versiooni kasutavatele e-poe omanikele mõistliku maksumuse, turvalisuse ja ülalpidamiskuludega alternatiivi, näiteks WooCommerce, Shopify ja OpenCart.

Samuti on hea valik üle 20 aasta turul tegutsenud ning ITL-i turvalisuse tarkvara arendamise hea tavaga liitunud Finestmedia FinestCommerce terviklahendus, mille toel on endale kaasaegsed, turvalised ning jätkusuutlikud veebiplatvormid saanud mitmed Eesti kaubandusettevõtted.

Alternatiive kaaludes tasub silmas pidada, et pakutavate lahenduste turvastandardid ja uuenduste rütm võivad olla küllaltki erinevad – seetõttu tasub toote või teenuse turvalisust kontrollida CVE haavatavuse andmete lehel. Magento 1.x platvormi kasutavad veebipoe omanikud või nende kliendid saavad aga lehe võimalikke turvariske tuvastada MageReporti mootori abil.

Turvalisus kui prestiiži küsimus

Mõte ajale jalgu jäänud, aga justkui muretult toimiva süsteemi asendamisest võib tunduda keeruline ja tüütu ettevõtmine. Kuid probleemi ignoreerimine ja pea liiva alla pistmine on nii äriliselt kui ka klientide heaolu silmas pidades siiski halvim võimalik otsus.

Endast ja oma klientidest lugu pidavad kaupmehed näevad pidevalt vaeva oma IT-süsteemide arendamisega. Enam kui 200 kaubandusettevõtet on otsustanud anda oma ostjatele täiendava kindlustunde, kandes oma lehel uhkusega Eesti e-kaubanduse liidu poolt väljastatud turvalise ostukeskkonna märgist. Pole kahtlustki – kaasaegsed IT-süsteemid on täna mitte enam pelgalt tehniline, vaid ka turvatunde ja prestiiži küsimus. Probleemituid ja kuulikindlaid lahendusi ei ole maailmas olemas, ent ära ei tohi kaduda pidev püüdlemine paremuse suunas.